某银行活动目录方案建议书.docx

《某银行活动目录方案建议书.docx》由会员分享，可在线阅读，更多相关《某银行活动目录方案建议书.docx（22页珍藏版）》请在三一办公上搜索。

1、 中国银行活动目录部署建议书 上海赛卫思信息技术有限公司客户服务部上海赛卫思信息技术有限公司客户服务部2007-03-28V1.0上海浦东向城路15号锦城大厦11E电话：（86-21）51029886传真：（86-21）58312457文档说明中国银行网络基础服务和活动目录方案建议书制作者孙可可审核者制作日期20073更新日期版本1.0密级散发范围中国银行说明本文档中所包含的内容是上海赛卫思信息技术有限公司为中国银行提供的活动目录部署方案，其中可能用到了赛卫思公司产品和技术的专有信息。这些信息仅在中国银行活动目录部署过程中使用，不应该被扩散到中国银行以外，同样也不应该在参考此手册的前提下，复制

2、、使用和扩散本手册。Microsoft Windows Server、Internet Security and Acceleration Server 2006、Microsoft SQL Server 或其它本手册中提及的 Microsoft 产品，是Microsoft 的商标或注册商标。本文档所提到的真实的公司和产品名称可能是其各自所有者的商标。项目概况随着中国银行业务的扩展和IT应用的增加，维护整个网络系统的稳定、安全、高效越来越重要。微软是企业IT基础架构领域的技术领先者，其活动目录技术被业界广泛认可，世界财富五百强的跨国公司大多采用活动目录技术来提供IT基础架构服务。中国银行和微软

3、有着良好的合作关系，在IT应用的各个领域都有很多微软的解决方案。为利用新技术全面提升IT管理能力，决定在此次项目中全面部署基于Windows Server 2003的网络基础服务和活动目录服务。Windows 2003 操作系统集成了IT基础架构所需要的各种网络服务，让企业来建立和管理网络、连接远程工作人员、连接分支机构并且建立兄弟单位的外部网。Windows 2003 Server在开放的平台上遵循标准的协议，它提供了增强的安全性和策略控制，同时提高性能并且简化了系统的安装、管理和使用。此次项目将以建立完善的网络基础服务，集中统一规划结构合理的基于Windows Server 2003活动目

4、录为目标，赛卫思将帮助中国银行建立更加强大的IT基础架构，以适应业务的高速发展。二、项目方案下文中将就网络基础服务、活动目录服务、远程安装服务三个方面进行详细介绍。2.1 网络基础服务2.1.1 背景简介Windows Server 2003的基础的网络服务包括以下两大方面：地址分配 地址分配即IP地址的分配和管理。 目前中国银行的ip地址是静态的，其添加和维护工作由IT人员在现场手工完成。 根据中国银行的安全策略，在此次项目中仍然使用静态ip地址。名称解析 名称解析是指在访问网络资源（包括文件服务器和打印机）时，如何将资源的名称转换成对应的IP地址的服务。 通过DNS和WINS的服务，相关的

5、服务器会自动将某个名称转换成实际的IP地址，用户只需记住容易辨识的资源名称即可进行相应的访问。这样网络资源的共享和使用效率将得到很大程度的提高。下文将对相关的部分进行详细的介绍。2.1.2 地址分配 这次项目不牵涉对中国银行现有ip地址分配方法的改动。Ip地址的划分和分配，还沿用原有的设计。2.1.3 名称解析DNS内部名称解析 建议在域内每一个站点都设一台DNS服务器。该服务器同时也是域控制器。换而言之，所有的域控制器同时也都将是DNS服务器。 建议中国银行内部网络的域名为：boc. DNS服务器都将DNS数据放在本地的AD数据库中，但是作为独立的Application Partition来

6、参与域控制器之间的目录复制(Directory Replication)从而同步DNS数据库。 中国银行内部目前使用linux的DNS服务，该DNS上面有银行内部一些应用程序需要的特有的服务纪录。在部署过程中，我们建议在活动目录的DNS服务器上设置转发，当用户需要查询这些特有的纪录时，域的DNS服务器会将解析的请求自动转发到linux上。这样既可以实现活动目录内资源的地址解析，也可以实现原有linux上提供的纪录的解析。预期效果所有内网的客户端都将通过域DNS来进行名称解析。包括登入域和访问文件服务器或其他客户端。每一个加入域的客户端都通过动态注册在DNS服务器上注册自己的主机纪录(A)和指针

7、纪录(PTR)。管理员在服务器上可以轻松的了解所有客户端的注册情况。2.2 活动目录服务2.2.1 背景简介Windows 2003 的活动目录(Active Directory)服务是Windows 2003网络结构的一个必要和不可分离的部分，该服务是特别为分布式的网络环境而设计的。活动目录可以让企业有效地共享和管理网络资源和用户的信息。此外，活动目录扮演着网络安全性的主要权威的角色，它让操作系统准备好验证用户的身份并且控制他或她对网络资源的访问。同等重要的是，活动目录起到了把系统集成到一起的结合点并且巩固管理任务的作用。新版Windows 2003的活动目录服务在Windows 2000版

8、本的基础上，保留了大部分体系结构，但在安全性，稳定性和扩展性上又有很大的进步。设计Windows 2003活动目录服务主要包括以下几方面： 域结构 组织单元结构 账号和口令管理 站点结构 FSMO角色2.2.2 域结构和DC位置规划域结构设计是活动目录中最重要，也是最基础的工作，是多种因素权衡的结果，它既要尽可能贴近用户的管理模式和组织结构，也要考虑网络情况及今后的各种变化。建议此次在中国银行的IT环境内采用单域结构，域名：BOC.以下是单域结构相对于其他结构的优点： 使用Enterprise Administrators组集中管理整个集团的安全策略。 利用域里的组织单元反映具体的企业内部组织

9、结构。 当机构重组时可以非常灵活的进行调整。 当资源和用户需要在组织机构内迁移时可以非常灵活的调整。2.2.3 组织单元结构 一个组织单元是一个容器对象，用于管理域中的对象，例如：用户账号、组、计算机、打印机和其他的组织单位。可以使用组织单位在一个逻辑层次中组织各种对象，这样能够体现企业基于部门的或基于地理分界的结构。可以在域中创建组织单位的层次结构。组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位是目录容器对象。它们表现为“Active Directory 用户和计算机”中的文件夹。组织单位简化了域中目录对象的视图以及这些对象的管理。可将每个组织单位的管理控制权委

10、派给特定的人。这样，您就可以在管理员中分配域的管理工作，以更接近指派的单位职责的方式来管理这些管理性职责工作。在中国银行活动目录部署中，组织单元的设计将遵循两点原则： 反映中国银行内部的组织结构 有利于通过组策略进行细化的终端管理 由于用户帐号（在这里包括用户组账号）和计算机账号分数两种不同的资源类型，所以也需要分开管理。通常，应该创建能反映组织单位的职能或商务结构的单位。例如，您可以创建顶级单位，例如人事、设备管理和营销等部门单位。在人事单位中，您可以创建其他的嵌套组织单位，例如福利和招聘单位。在招聘单位中，也可以创建另一级的嵌套单位。例如，内部招聘和外部招聘单位。总之，组织单位可使您以一种

11、更有意义且易于管理的方式来模拟本单位实际工作的情况，而且在任何一级指派一个适当的本地权利机构作为管理员。具体的组织单元结构在进行后续部署时进行细化。组织单元示意图：2.2.4 账号和口令管理账号管理可以分为个人账号管理、组账号管理和机器账号管理。个人账号管理个人账号可以分为两类： 第一类为普通账号，采用一人一号的方式，为每一位员工建立自己的账号。当员工加入或者离开时，按照一定的规则增加或者删除用户的账号。 第二类为特殊账号，通常不属于某一位员工，而是为了满足某些特殊的功能，比如系统管理、匿名访问等等。特殊账号有以下几个： Administrator，系统管理员账号，具有最高的权限，可以进行任何

12、管理操作，该账号不能被删除，只能更改用户名。为了提高系统的安全性，建议将管理员账号的用户名更改，比如hqadmin（仅仅是建议，系统管理员可以自行决定）。 Guest，匿名登录的账号，为了提高系统的安全性，建议将Guest账号禁止。 服务的账号，在Windows 2003中，每一个服务都需要一个账号，通常这些账号采用系统账号，无须关心，但有一些服务需要特殊的用户账号。 每个个人账号都有一个口令来保护，为了防止口令被盗用和攻击，建议在整个域中启用相应的密码策略以保证每个密码都符合一定的复杂度，具体要求如下： 长度不得小于7个字符 必须包含大写和小写字母 必须包含特殊字符（例如：!#$%&*()_

13、+） 个人账号的命名规则，用户名称将使用中文名，帐号名称为: 采用英文名称，如有重复则在末尾加用户所在部门名称的首字母，若仍有重复则在末尾加数字以示区别。 例如：姓名英文名 帐户名张刚 tony tony.zhang计算机账号管理所有加入到域中的计算机都需要一个计算机账号，通过该帐号，可以对计算机的各种配置进行管理。建议的计算机命名规则为：部门+序号。例如：HR-001（人力资源部第一台计算机）。组账号管理分组管理是重要而有效的管理策略。在Windows 2003中有三种组帐户：通用组（Universal Group）、全局组（global group）和域本地组（Domain local g

14、roup），全局组可以包括本域的用户帐户（user account），域本地组可以包括本域和资源域的用户帐户和全局组帐户，通用组的使用则没有任何限制。良好的分组策略可以降低管理的复杂性，避免安全上的漏洞，大大提高管理的可靠性。采用这样的分组策略：1. 按照职位分组。2. 按职能分组，例如所有的财务人员，所有的科技人员，所有的系统管理员等等。3. 对员工分类，比如普通员工，临时员工等等。由于维护用户和组账号是一项日常的工作，这项工作将由中国银行的IT人员，依据管理的需求来创建。首先将所有用户分到各个不同的组织单元(OU)下面。每个组织单元下还包含一个用户组，该用户组的成员即是该组织单元内的所有用

15、户，这样可以较为轻松的管理用户资源。2.2.5 管理控制委派总部集中的管理并不以为着所有与IT相关的操作、配置都必须由总部的IT人员完成，Windows Server 2003的活动目录提供了很好的委派管理机制，可以有效地减少总部的管理负担，实现既中央集权，又分布管理。对于一个大型的银行而言，管理IT资源的人员不可能局限于一两个人。在有多个管理员同时存在的情况下，如何分配管理权限是一个重要的问题。如果权限过于疏松，个别的人为误操作或恶意攻击将对整个企业的环境产生威胁；而权限过于严格，又会产生诸多不便，影响工作效率并增加管理负担。Windows 2003提供了一种叫做管理控制委派 (Delega

16、tion of Administrative Control) 的机制来解决这一问题。通过对不同管理控制的委派，可以轻松的让某一个或某一组普通用户帐号管理一定的资源，同时又不放松对整个域和其他重要资源的控制。通过一定的委派，这些帐号都有权限管理自己分支机构所对应的OU下面所有的用户帐号和计算机账号，包括改名，改密码，创建用户和组，或加入计算机到域内。但是，对于域内的其他资源而言，这些帐号只是普通的用户帐号，没有权限进行任何改动。同时，这些帐号都将加入一个用户组，名称是admins。这个组将加入域内每一台客户端的本地管理员组(administrators)中。这意味着这些帐号都可以登入到任何一台

17、客户端上并具有本地管理员的权限。这样，这些帐号就可以用来代替每一个客户端的本地管理员账号来管理本地资源。2.2.6活动目录的备份和恢复活动目录是一种事务性数据库，它是一种预先写入记录的模式，使用了ESE97的技术。在磁盘上，AD显示为几个文件，它们是ntds.dit(AD数据库)，一组交易记录(即日志)和记录数据库最后一个缓冲区的检查点文件。还有一个暂时性的数据库文件。目录服务是一个组合名词，它包括有目录数据存储和可让用户或程序存取信息的相关服务的意思。 为什么要有目录呢?目录可提供企业网络所有重要数据的一个集中存放区域，这些数据包括用户帐户、计算机、打印机、应用程序、安全性与系统原则等各种资

18、源。将大部分的重要的资源集中的放在某个共享的网络资源中，这样一来可以改善企业的效率与大幅减少网络的总拥有成本(TCO)。WIN 2K的目录服务使用的是多控制器模式，也就是说，可以在任意的一个控制器上修改目录资源。所以，从上我们可以得知，AD实际是个数据库，而每个DC都是重要的数据库服务器。当AD环境中的某一台DC出现灾难时，不影响用户的访问，因为其他的DC上面保存有同样的活动目录数据库。 AD的备份你不能单独备份Active Directory,Windows2003将Active Directory做为系统状态数据的一部分进行备份。系统状态数据包括注册表,系统启动文件,类注册数据库,证书服务

19、数据,文件复制服务,集群服务,域名服务和活动目录等,这几部分都不能单独进行备份,必须做为系统状态数据的一部分进行备份。你可以在系统工具里找到备份工具来完成此工作，也可以使用第三方软件来实现。但要注意备份AD的一些约束条件:l AD只备份当前有效的数据，对于已经标记删除的对象，不备份。而AD中的对象删除并不是立即的，需要有60天的删除标记时间。因此，应避免恢复60天前的AD备份，以免导致AD不完整。l 要确保备份中同时包含系统状态、系统盘的文件以及SYSVOL目录的内容。l 你只能用原服务器的备份来恢复该服务器，不能用另一台服务器的备份恢复该服务器。AD的还原有两种办法可以恢复Active Di

20、rectory。第一种是从域的其它DC上恢复数据,前提是域内必须还有一台DC是可用的,这时当损坏的DC重新安装并加入到它原来的域时,DC之间会自动进行数据复制,Active Directory随之会恢复。另一种方法就是从备份介质进行恢复。通常情况下,对于大多数小型公司来说,整个公司只有一个域,由于资金等诸方面的限制也只有一台DC,因此从介质恢复Active Directory是经常遇到的事情。使用备份来还原活动目录分为两种方式：授权还原方式和非授权还原方式从备份介质进行Active Directory恢复有两种方式可以选择:验证方式(authoritative restore)和非验证方式(n

21、on authoritative restore)。通常情况下,Windows2000使用非授权方式恢复:Active Directory从备份介质中恢复以后,域内其它的DC会在复制过程中使用新的数据覆盖旧的恢复过来的旧的数据。举个例子,假设今天是星期五,你使用了星期三的备份对Active Directory进行了恢复,那么从星期三以来已经更改了的数据会复制到你正在恢复Active Directory的DC上,也就是新数据会覆盖你使用备份恢复的数据。授权模式则完全不同,它会将从备份介质恢复过来的数据强行复制到域内所有的DC上,无论从备份以后数据是否发生了变化。还拿上面的例子来说,当你在星期五使

22、用星期三的备份恢复了Active Directory后,这些恢复过来的数据会复制到域内所有的DC上,强行将备份后发生改变的所有数据覆盖掉,域内数据就恢复到了备份时的状态。验证模式恢复Active Directory通常用于这种情况:Active Directory在域内某台DC上发生了严重的错误,而且这种错误通过复制扩散到了域内的其它DC上,这时就需要在某台DC上使用验证方式恢复Active Directory,强制使域恢复到原来的好的状态。应该说这种方式是用的比较多的一种恢复Active Directory的方式。三、关于远程安装什么是RIS服务RIS服务是一种从Windows2000时代开

23、始的技术，它的全名是Remote installation service,我们可以实用他来对Windows XP进行远程安装使用RIS服务的优点RIS主要提供了以下优点：l 它可以为我们提供Windows XP 的远程安装，而不用到每台机器面前去一个一个安装l 简单化的服务器管理l 支持在计算机出现故障时对操作系统进行恢复l 即使目标计算机重新启动，也可保持它的Windows XP的安全性在什么时候使用RIS安装Windows XP系统在以下情况下选择使用RIS来安装Windows XP是比较合适的：l 要在多台计算机上安装Windows XP系统，但不想通过手动安装每一台机器。l 企业或机

24、构部署大量的计算机时，可以选择RIS进行自动部署。l 网络中配置了DHCP、DNS、Active Directory。（实现RIS的必要条件）注意上面条件中列出。如果要使用RIS服务进行Windows XP 的远程安装，DHCP服务是必须要条件。但是由于中国银行内部的安全策略中禁止使用DHCP服务，所以在本次实施用我们依然采用DHCP服务，同时使用基于802.1x的网络访问认证技术。这样只有通过了身份验证的用户才能通过网络中的DHCP服务器得到ip地址。关于802.1x网络访问认证技术802.1x协议起源于802.11协议，后者是IEEE的无线局域网协议， 制订802.1x协议的初衷是为了解决

25、无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制 设备 (如LANS witch) ，就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。但是随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必 要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制 (Port-Based Network Access Contro1) 而定义的一个标准。IEEE 802.1X是根据用户

26、ID或设备，对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法，并将其划分为三个不同小组:请求方、认证方和授权服务器。820.1X 标准应用于试图连接到端口或其它设备(如Cisco Catalyst交换机或Cisco Aironet系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 802.1X提供自动用户身份识别，集中进行鉴权、密钥管理和LAN连接配置。如上所属，整个802.1x 的实现设计三个部分，请求者系统、认证系统和认证服务器系统。一下

27、分别介绍三者的具体内容:请求者系统请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备，用户通过启动客户端软件发起802.lx认证，后文的认证请求者和客户端二者表达相同含义。认证系统认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802. Lx协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以 是逻辑端口，一般在用户接入设备 (如LAN Switch和AP) 上实现802.1x认证。倎文的认证系统、认证点和接入设备三者表达相同含义。认证服务器系统认证服务器是为认证系统提供认证服务的实体，建议

28、使用RADIUS服务器来实现认证服务器的认证和授权功能。请求者和认证系统之间运行802.1x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如 RADIUS)，以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其它认证协议(如 RADIUS)，传递用户认证信息给认证服务器系统。认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主

29、要用来传递EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。整个802.1x的认证过程可以描述如下(1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入;(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器;

30、(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备(8) 接入设备将Challenge，Challenged Password和用户名

31、一起送到RADIUS服务器，由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束;(10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获取规划的IP地址;四、附录：术语和概念 3.1目录服务（directory service）目录服务是一种存储网络信息的层次结构。目录是用来存储有用对象的信息源，例如电话目录存储关于电话用户的信息。在文件系统中，目录存储关于文件的信息。在分布式计算

32、机系统或者象Internet这样的公用计算机网络中，有许多有用的对象，例如打印机、传真机、应用软件、数据库和其它用户。用户希望寻找并使用这些对象。而管理员则希望管理这些对象的使用。这份文档中，术语directory（目录）和directory service（目录服务）指在公用和专用网络中的目录。“目录服务”不同于“目录”在于它既是目录信息源，也是使用户可以使用这些信息的服务者。3.2活动目录 (active directory)活动目录是包含了Windows2000 Server的目录服务。它扩展了以前基于Windows的目录服务的功能，并增加了一些全新的功能。活动目录是安全的、分布式、可分

33、区和可复制的。它的设计保证能在任何规模的安装中正常工作，从只有几百个对象，一台服务器的小系统到拥有数百万对象，上千台服务器的庞大系统它都支持。活动目录增加了许多新功能，这些功能使浏览并管理大量信息变得更容易，为管理员和终端用户都节约了时间。3.3域（domain）基于Windows NT的计算机网络的安全边界。活动目录由一个或多个域组成。在一个独立的工作站上，域就是计算机自身。域可以跨越多个物理区域。每一个域都有自己的安全策略和与其他域的安全关系。当多个域通过信任关系连接起来，并且共享一个模式、配置和全局目录的时候，它们组成一个域树。多个域树可以组成一个森林。参见域控制器，局部域小组。 域控制

34、器(domain controller)-一个基于Windows NT的服务器拥有一个活动目录分区。3.4树（tree）通过可传递、双向信任关系连接在一起的Windows NT域的集合，它们共享相同的模式、配置和全局目录。域必须组成层次式的名字空间，例如，是树根，是的孩子，是的孩子等等。活动目录是一个或多棵域树的组合。3.5森林（forest）相互信任的一个或多个活动目录树形成的小组。森林中的所有树共享一个模式、配置和全局目录。当一个森林包括多个树的时候，所有的树不是形成连续的名字空间。给定森林中的所有树通过信任关系的双向传递相互彼此信任。与树不同的是，森林不需要一个可分辨的名称(DN)。森林

35、作为一组交叉引用的对象和成员树之间的信任关系而存在。森林中的树形成一层次信任关系。3.6组织单元（organizational unit，简称OU）一个容器对象，它是活动目录可管理的划分。OU可以包含用户、小组、资源和其他OU。组织单元可以管理权限委托给目录中的子树。组织单元的结构限制在一个域内。3.7站点 (site)站点是网络中一个包含活动目录服务器的位置。站点定义为一个或多个连接良好的TCP/IP子网。“连接良好”指网络连接非常可靠和快速（例如10兆比特每秒或更高速的LAN）。定义站点为一组子网则允许管理员快速轻松地配置活动目录访问和复制拓扑，以便充分利用物理网络。当用户登录上网时，活动

36、目录客户机将以用户的身份在同一个站点找到活动目录服务器。由于网络中同一个站点的机器彼此邻近，所以它们之间的通讯可靠、快速并且高效。由于用户的工作站已经知道位于哪一个TCP/IP子网上并且能将子网直接转变为活动目录站点，所以在登录时确定本地站点就变得很容易。3.8域名系统（Domain Name System，简称DNS）一种层次分布式数据库，用来进行域名/地址转换。域名系统是Internet上使用的名字空间，用来将计算机和服务名称转换成为TCP/IP地址。活动目录在它的定位服务中使用DNS，以便客户端可以通过DNS查询找到域控制器。3.9可传递信任关系（transitive trust）Win

37、dows 2000域树或森林中的域、森林中的树、森林之间固有的存在信任关系。当一个域加入到一个已有的森林或域树时，自动的建立可传递关系。可传递信任一般时双向的关系。在域树中的父子域、森林中域树的根域这一系列信任关系允许森林中的所有域相互之间彼此信任，这样的目的是授权。例如，如果域A信任域B，域B信任域C，那么域A可以信任域C。3.10局部域小组(domain local group)可以包含森林、通用小组和本域中的其他局部小组中的用户和全局小组。一个局部域小组只能在本域的ACL中使用。3.11通用小组（universal group）组的最简单的形式。通用组可以出现在森林ACL的任何地方。小型

38、安装可以专有的使用通用小组而不要去关心全局和局部小组3.12模式（schema）整个数据库的定义；可以存储在数据库中的全局对象定义在模式中。对于每一个对象类而言，模式定义了类实例必须具有的属性、可能有的附加属性和当前对象的父亲是基于什么类的。3.13复制（replication）在数据库管理系统中，通过例行公事的将整个数据库或数据库的子集拷贝到网络中的其他 服务器上而使分布式数据库同步的功能。有几种拷贝的方法，包括主站点复制、共享或传输所有权的复制、对称复制（也称为随时更新或对等复制）和失败恢复复制。参见不同复制方法的完整定义百科全书。 3.14轻型目录访问协议（LDAP）用来访问目录服务的一

39、种协议。目前的 Web 浏览器和电子邮件程序中都实现了LDAP，这样就可以查询一个LDAP目录。LDAP是目录访问协议（Directory Access Procotol ，简称DAP）的一个简化版本，可以用来访问X.500目录。编写LDAP查询代码比DAP简单，但是LDAP的功能不是十分完善。例如，如果没有找到地址，DAP可以在其他的服务器上进行初始化寻找，但是LDAP就不具备这个功能。LDAP是活动目录的主要的访问协议3.15 Kerberos一种用来授权用户的安全系统。对于服务或数据库，Kerberos不提供授权；它在登录时授权用户身份，这在整个会话中都是要使用的。Kerberos协议是

40、Windows 2000操作系统中的主要授权机制。3.16组策略(Group Policy)指将策略应用到活动目录容器中的计算机组和/或用户。所包括的策略类型不仅是出现在Windows NT服务器4.0中的基于注册的策略，还可以是目录服务所允许的用来存储策略数据的多种类型，例如：文件配置、应用程序配置、登录和注销脚本、启动和关机脚本、域安全、Internet协议安全（Internet Protocol security，简称IPSec）等等。策略的集合称为组策略对象（Group Policy object，简称GPO）。 3.17组策略对象（Group Policy object，简称GPO）

41、策略的虚拟集合。它有一个唯一的名称，例如一个全局唯一标识符（globally unique identifier，简称GUID）。GPO在两个位置存储组策略设置：组策略容器（Group Policy container，简称GPC）（首选的）和组策略模板（Group Policy templet，简称GPT）。GPC是一个活动目录对象，存储版本信息、状态信息和其他策略信息（例如应用程序对象）。GPT用于基于文件的数据并且存储软件策略、脚本和配置信息。GPT位于域控制器的系统卷文件夹上。 一个GPO可以于一个或多个活动目录容器相关，例如站点、域或组织单元。多个容器可以与相同的GPO相关联同时一个

42、容器可以与一个或多个GPO相互关联。 此外，缺省的，每一个计算机接受一个只包含指定安全策略的局部组策略对象（local Group Policy object，简称LGPO）。管理员也可以在单个计算机上设置和应用不同的局部组策略。这对于那些不是域的成员或那些管理员希望删除从域中继承组策略的计算机的情况是有力的。参见组策略。 3.18组策略管理控制台（Group Policy Management Console，简称GPMC）Microsoft组策略管理控制台（GPMC）是一种用以帮助您通过更具成本效益的方式对企业进行管理的新型组策略管理解决方案。它由一个Microsoft管理控制台（MMC）

43、嵌入式单元以及一套支持脚本编程方式的组策略管理接口所构成。GPMC将作为一种独立的Windows Server 2003组件予以提供。 GPMC的设计意图在于通过提供对组策略核心领域进行管理的统一场所来简化组策略管理方式。您可以将GPMC视为一种管理组策略所需的一站式资源。 通过提供以下特性，GPMC能够满足目前所提出的组策略部署需求： 能够简化组策略使用方式的用户界面（UI）。 组策略对象（GPO）的备份与恢复。 组策略对象的导入/导出与复制/粘贴以及Windows管理规范（WMI）过滤器。 得以简化的组策略相关安全性管理方式。 针对GPO设置与策略结果集（RSoP）数据的HTML报表生成功

44、能。 由这种工具所提供的GPO操作脚本编程方式但不支持针对GPO设置的脚本编程方式。 在GPMC出现之前，系统管理员必须同时使用几种不同的Microsoft工具来管理组策略。GPMC将这些工具所包含的现有组策略管理功能集成到一种统一控制台中，并且提供了以上所列出的新增功能特性。.（.）成立于2004年，专注于企业管理培训。提供60万企业管理资料下载，详情查看：./map.htm提供5万集管理视频课程下载，详情查看：./zz/提供2万GB高清管理视频课程硬盘拷贝，详情查看：./shop/2万GB高清管理视频课程目录下载：./12000GB.rar高清课程可提供免费体验，如有需要请于我们联系。咨询电话：020-.值班手机：.网站网址：.