|
活动目录是Windows 网络中目录服务的实现方式目录服务是一种网络服务它存储网络资源的信息并使得用户和应用程序能访问这些资源 活动目录对象 主要包括用户组计算机和打印机然而网络中的所有服务器域和站点等也可认为是活动目录中的对象 活动目录架构 ◆ 含有活动目录中所有对象的定义 ◆ 用对象类和对象属性来描述每个对象 ◆ 在Windows 的网络中整个森林只有一个架构 ◆ 架构保存在活动目录中 活动目录的逻辑结构 活动目录的逻辑结构用来组织网络资源 域(Domain) ◆ 域是Windows 活动目录的核心单元是共享同一活动目录的一组计算机集合 ◆ 域是安全的边界在缺省的情况下一个域的管理员只能管理他自己的域一个域的管理员要管理其他的域需要专门的授权 ◆ 域是复制单位一个域可包含多个域控制器当某个域控制器的活动目录数据库修改以后会将此修改复制到其他所有域控制器 组织单元(Organizational UnitsOU) ◆ OU是域下面的容器对象用于组织对活动目录对象的管理是Windows 中最小的管理单元 ◆ OU可用来匹配一个企业的实际组织结构域的管理员可以指定某个用户去管理某个OU ◆ OU也可以像域一样做成树状的结构即OU下面还可以有OU ◆ 使用OU可取代Windows NT的多域网络参见图 图 树和森林(Trees and Forests) 树(Trees)由一个或多个域构成Windows 中的树共享连续的名字空间树具有双向传递信任即缺省情况下Windows 中父域和子域树和树之间的信任关系都是双向的而且是可传递的 森林(Forests)森林由一棵或多棵树组成森林中的树不共享一个连续的名字空间但共享一个普通架构和全局目录 全局目录(Global Catalog) Global Catalog(GC)是一个包含活动目录中所有对象的属性信息(不是完全信息是常用属性的一个子集)的仓库它为用户提供以下重要功能 ◆ 在整个森林中查找活动目录的信息 ◆ 使用通用组成员信息登录到网络 ◆ 活动目录中的第一个域控制器自动成为全局目录为了平衡登录和查询流量您可以设置额外的全局目录 活动目录的物理结构 物理结构用来设置和管理网络流量活动目录的物理结构由域控制器和站点组成 域控制器(Domain Controller) 活动目录复制多主复制模式(MultiMaster Replication Model)和活动目录的物理结构决定复制在什么时候发生和如何发生 单主操作对从森林中添加/删除域这样的操作不适合用多主复制的模式需要单主复制执行单主操作的计算机称为操作主机 站点(Sites) ◆ 站点由一个或多个高速连接的IP子网构成 ◆ 站点是网络的物理结构站点和域没有必然联系一个站点可包含多个域一个域也可跨多个站点 ◆ 创建站点的主要理由是为了优化复制流量和使用户能够用可靠的高速线路连接到域控制器 活动目录集成区域 要实现活动目录集成区域 DNS Server必须装有活动目录的DC因为集成后DNS的区域数据库文件变成了活动目录的一部分它的复制被包含在活动目录的复制中所以不会再发生DNS区域传输(Zone Transfer)但仍然能向非活动目录集成的辅助服务器执行区域传输避免了主服务器失败后DNS记录无法被更新 安装和设置DNS以支持活动目录 若在安装活动目录时同时安装DNS操作系统会自动配置DNS并创建与活动目录域同名的DNS正向查询区域配置此正向查询区域与活动目录集成 活动目录对DNS的要求 ◆ 支持SRV记录(强制) ◆ 支持动态更新协议(推荐) ◆ 支持增量区域传输(推荐) 活动目录的用户登录名 主用户名(User Principal Name) 主用户名的格式同Email地址例如john称为主用户名前缀称为主用户名后缀一般为根域的域名主用户名只能用于登录Windows 的网络 用户登录名(User Logon Name) 用于PreWindows 的环境或Windows 登录时需要用户名和域名 用户名惟一性原则 ◆ 全名在所属的容器内惟一 ◆ 用户登录名在所属的域内惟一 ◆ 主用户名在整个森林内惟一 活动目录中的组 全局组(Global Groups) 域本地组(Domain Local Groups) 通用组(Universal Groups)通用组一般用于多域的情况通用组的成员信息保存在GC中尽量避免通用组直接包含用户账号成员而使用全局组作为通用组的成员 在域中使用组的策略 使用AGDLP策略 使用AGGDLP策略 使用AGUDLP策略 这里A表示用户账号G表示全局组U表示通用组DL表示域本地组P表示资源权限AGDLP策略是将用户账号添加到全局组中将全局组添加到域本地组中然后为域本地组分配资源权限其余类推 在活动目录中出版资源 所有Windows 的共享打印机都被自动出版在活动目录中 删除打印机时也会自动删除活动目录中的打印机 打印服务器负责在活动目录中出版打印机 当修改打印机属性时会自动更新活动目录中打印机的属性 活动目录安全组件 安全主体(Security Principals) 安全主体是一个能够对它分配权限的对象例如用户组和计算机 每一个Windows 域中的安全主体都有一个惟一的安全标识符 安全标识符(Security Identifier——SIDs) 安全标识符是用来标识一个安全主体的一个数值它在这个主体被创建时产生绝对不会重用Windows 中的访问控制机制是基于SIDs而不是基于名字 安全描述符(Security Descriptors) 安全描述符是包含与一个可以设置安全对象相关的安全信息的数据结构主要包括以下内容 头部安全描述符的版本信息和一组控制标志 所有者此对象所有者的SID 主要组所有者所属的主要组的SID DACL(Discretionary Access Control List)用户对此对象的访问控制列表 SACL (System Access Control List)对用户进行审核的访问控制列表 如果在一个对象上设置了权限这个对象的安全描述符中将包含一个DACLDACL中包含允许或拒绝访问这个对象的用户和组的SIDs如果还对这个对象设置了审核它的安全描述符中还包含一个SACL 活动目录权限 权限是一种对象所有者的授权通过授权用户可以对特殊对象进行操作如果对象是所有者可以分派给其他用户或组部分或全部任务的权限还可以分派所有权的权限 ◆ 允许权限或拒绝权限拒绝权限比任何允许权限优先级高 ◆ 间接否定或直接否定(Implicitly Deny or Explicitly Deny)例如不是明确指定的操作权限是间接否定 ◆ 标准权限和特殊权限标准权限是经常分派的权限而特殊权限是对分派访问权限的更细致的控制 ◆ 完全控制 ◆ 读出查看对象和对象属性 ◆ 写入修改对象内容和属性 ◆ 创建所有子对象向OU中添加对象 ◆ 删除所有子对象从OU中删除对象 实验技术 安装活动目录 .必备条件计算机必须安装Windows Server Advanced ServerDatacenter Server和最小M的可用磁盘空间必须有NTFS磁盘分区或卷用于保存SYSVOL文件夹必须运行TCP/IP协议和DNS服务(可在安装活动目录的同时安装DNS)计算机须安装网卡 .在Windows 上使用dcpromo命令将出现AC安装向导对话框若在网络中第一次安装活动目录时所创建的是森林的根域此时选择新域的域控制器单选钮 .选择创建一个新的目录树和创建新的域目录树单选钮输入新域的DNS全名例如输入NetBIOS名它一般取DNS域名的第一部分或前位这里是cyc然后指定AD数据库和SYSVOL保存的文件后者必须位于NTFS分区 .最后指定权限和密码等此时开始安装AD并创建一个Windows 的域活动目录安装后将在程序/管理下产生三项Active Directory用户和计算机Active Directory域和信任关系Active Directory站点和服务 .若用无人值守的安装脚本去安装活动目录则使用命 |
