第1章活动目录基本概念课件.ppt

《第1章活动目录基本概念课件.ppt》由会员分享，可在线阅读，更多相关《第1章活动目录基本概念课件.ppt（82页珍藏版）》请在三一办公上搜索。

1、学习目标,通过本课程的学习，能够高效地搭建一个适合自己需要的网络，简化网络管理。,课程内容,重、难点分析,重点：活动目录的结构难点：组织单元站点,第一课 活动目录介绍,活动目录能做什么,集中的管理网络资源分散的管理网络资源存储对象提高网络性能,集中的管理网络资源,Active Directory的基本概念,何为目录?日常生活中所用的电话簿图书馆中的查询目录计算机中的文件系统内记录文件名、大小、日期等查询台网站的搜索功能,任务一、活动目录的概念,活动目录就其本质来讲是一种目录服务，是Win2003 Server操作系统所支持的一种采用LDAP的目录服务。在Windows Server 2003域

2、内的目录是用来存储用户账户、组、打印机、共享文件夹等对象的，这些对象的存储处称为“目录数据库”。在Win2003域内负责提供目录服务的组件是活动目录，它负责目录数据库的保存、新建、删除、修改与查询等服务。活动目录存储网络上的各种对象的相关信息，使域用户只用一个用户帐号,就可以访问活动目录中所有的资源（一次登录，全网使用）。对于网络管理员来讲，活动目录服务提供了集中而且灵活的网络管理能力，使Win2003 Server系统用来实现网络管理的关键服务。,活动目录的概念,活动目录服务的功能是组织和管理网络中的全部资源对象。,活动目录包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理上的容

3、器，目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理。,活动目录的概念,目录：是存储各种对象的一个物理上的容器，存储网络资源的信息，便于用户查找、管理和使用这些资源。从静态的角度来理解，活动目录与“目录”和“文件夹”没有本质区别，仅仅是一个对象，是一实体。,活动目录的概念,活动目录对象,目录服务：是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问，提供容错。目录服务包括以下功能：维护目录信息合理组织信息结构

4、全局编目查询机制数据复制,网络环境,AD概念理解,工作组原始社会:各服务器（人）各自为政域国家:一定范围内实现集中管理，中央集权AD森林联合国:实现多个基本管理范围（国家，域）的联合管理。减少这些基本范围内的重复管理工作。方便之间资源调用。,AD概念理解,定义联合国谁能加入联合国共同遵守的设定和规则不干涉别国内政,定义AD活动目录中能放哪些对象通用性设定各域数据原则上由数据所在的域进行管理,AD适用范围,AD适用范围非常广泛，小到一台计算机、一个小型局域网，大至数个广域网的结合。它可以包含此范围中的所有对象，例如文件、打印机、应用程序、服务器、域、用户帐号等。,任务二 轻型目录访问协议（LDA

5、P）,LDAP(Lightweight Directory Access Protocol),是一种用来查询和更新活动目录的目录服务的通信协议。Win2003域是利用“LDAP命名路径”来表示对象在AD内的位置，以便访问对象。所有对活动目录的访问都通过LDAP来进行。LDAP采用对象的区别名来为目录对象提供唯一的名字。,轻型目录访问协议（LDAP）,可分辨名称（Distinguished Name,DN），对象在AD中的完整路径:,CN=user1,OU=Market1,OU=Market,DC=abc，DC=com,DC：域组件OU：组织单元CN：普通名字,轻型目录访问协议（LDAP）,相对

6、可分辨名称（Releative Distinguished Name,RDN），对象在AD中的部分路径，:,CN=user1,轻型目录访问协议（LDAP）,轻型目录访问协议（LDAP）,全局唯一标识符（Global Unique Identifier,GUID）：一个128 bit的数值，AD中每个对象系统都自动指定一个唯一的GUID。,轻型目录访问协议（LDAP）,用户规则名（User Principal Name,UPN）：格式类似电子邮件账户：。用户在登录域时，最好使用UPN登录，因为无论这个用户被移到哪个域，都不会改变他的UPN。,任务三 活动目录的特性,信息安全特性：活动目录服务完成

7、网络中的安全管理，不仅可以管理网络中的计算机和用户，还包括管理网络中的各种服务资源。这些访问资源的安全控制可以在活动目录中针对每个对象定义，也可以在对象的属性中调整。,良好的可伸缩特性：活动目录包含了一个或多个域，每个域具有一个或多个域控制器，以便调整网络的规模。,集成DNS服务：活动目录服务借用现有DNS服务命名体系来定义域环境的名称，这样使得活动目录的域环境更容易被记忆和使用。另外，活动目录服务器和接受活动目录服务管理的计算机都使用DNS服务来查找和定位网络中的资源和服务。,完善的信息复制：活动目录服务允许在一个域环境中保存多个活动目录服务数据库的副本，这样域环境中就可以有多个域控制器同时

8、进行工作，为客户计算机和用户提供网络资源的管理和定位。,灵活的活动目录查询能力：不论是域环境中的用户还是管理员，都可以使用计算机中的“网上邻居”或者是“开始”菜单中的“搜索”来查找活动目录中的现有对象。,任务四 活动目录的结构,逻辑结构物理结构,运输部,运输部,合肥分公司,北京总公司,活动目录的逻辑结构,活动目录使用数据库组织和管理网络对象。为灵活组织和存储网络对象，活动目录数据库使用了灵活的分区机制组织和管理网络对象。,逻辑结构,逻辑结构:组织管理网络资源,活动目录能够通过名字（的属性）找到资源，而不是物理位置,这样使网络的物理结构对用户透明。域组织单元域目录树域目录林全局目录,活动目录的逻

9、辑结构,活动目录的相关术语,1、命名空间：活动目录就是一个命名空间，是有特定边界的指定区域，主要用途是组织资源的说明，使用户按其特性或属性等有关信息来查找资源。Win2003的AD与DNS紧密结合，域“命名空间”采用DNS的架构，域名也采用DNS的格式来命名。,2、对象与属性：Win2003域内的资源以对象的形式存在，如用户、组、计算机、打印机等都是对象。而对象是通过属性描述它的基本特征，即对象本身是一些“属性”的集合。比如，一个用户账号的属性中可能包括用户姓名、电话号码、电子邮件地址和家庭住址等。,活动目录的相关术语,活动目录对象,3、容器与组织单位：容器是活动目录名字空间的一部分，与目录对

10、象一样，它也有属性，容器内可以存放其他的对象，也可以包含其他的容器。组织单位是AD内一个比较特殊的容器。AD通过层次式的架构，将对象、容器、OU等组合在一起，并将它们存储在AD数据库中。,活动目录的相关术语,组织单元：组织单元（OU）是一种用来把活动目录中的对象（用户、组、计算机及其他单位）按照某种管理需求组织在一起的容器，从名称上理解，它是一个单位、一个容器，用来容纳活动目录中的各种对象。组织单元可包含用户、组、计算机、打印机、共享文件夹及其他组织单元。,活动目录的相关术语,理解方式,OU相当于公司里面的部门机构，可以理解为生活中公司总经理（域管理员）按照职能把公司（活动目录域）划分成为部门

11、（组织单元），并且任命部门经理（OU中的被委派用户），部门经理代替总经理在本部门内部行使管理权利。,通过组织OU，可建立一个层次结构，将域内的资源层次化。利用OU可以简化域中对象的管理，可以把管理控制权委派给OU内的对象进行管理。,方便应用组策略,4、域：域是Win2003 Server网络系统的安全性边界。一个计算机网络最基本的单元就是“域”，活动目录可以贯穿一个或多个域。每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后，活动目录可以被多个信任域共享。,活动目录的相关术语,域环境是活动目录中的逻辑结构的核心管理单元。域内包含网络中的计算机、用户和网络服务等对

12、象。每个活动目录域有唯一的名字。特点：1、域环境定义了安全边界：安全边界的作用保证了域环境的管理者只能在自己的域环境内部行使管理员的权利。2、域环境也是活动目录服务数据库的复制单元：域内可以存在多台域控制器,所有的域控制器都能够执行对活动目录的查询等工作，同时把活动目录数据库的变化复制给其他的域控制器。,活动目录的相关术语,安全边界,复制管理安全策略组策略,复制单元,Windows 2003 域,User1User2,复制,理解方式,活动目录域环境可以理解为分布在地球上的各个国家。每个国家都有自己的安全管理法律，形成了地理上连接在一起而安全管理互相独立的“域”。活动目录管理的网络也是物理上（可

13、能）互相连接的众多计算机，其中的一部分主机遵守共同的安全管理机制，形成管理层次上相对独立的“域”。,5、域树：要架设一个内含多个域的网络，则可以将网络设置成“域树”的架构，即这些域是以树状形式存在。域树由多个域组成，这些域共享同一个结构和配置，形成一个连续的名字空间。域树中的域通过双向可传递信任关系连接在一起。,活动目录的相关术语,域目录树的概念,如果多个域环境使用了连续的命名空间（类似我们平时说的都姓一个姓氏），称这样的多域结构为活动目录树。活动目录树中的下层域成为其上层域的子域，上层域称为父域。从形式上来讲，如果父域名称是，那么子域的名称应该是XXX。,域目录树的概念,域树,nwtrade

14、rs.msft,marketing.nwtraders.msft,sales.nwtraders.msft,contoso.msft,sales.contoso.msft,目录林,目录树,目录树,6、域林：域林是指由一个或多个非连续名字空间的域树组成，它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。,活动目录的相关术语,域林,使用一个活动目录树或者多个活动目录树组成的更大范围的多域环境，在目录林中，存在不连续的域名称空间。但是它们之间的信任关系是一样的双向可传递式信任。活动目

15、录树中的第一个域环境成为目录树的根域。活动目录林中的第一个建立的目录树的根域称为目录林的根域。,目录林根域,目录林根域是在林中第一个建立的域,contoso.msft,目录林,目录林根域,nwtraders.msft,目录树,目录树根域,全局目录,marketing.nwtraders.msft,sales.contoso.msft,目录树,域,域树,域,域树,域森林,Domain,域林,目录树和目录林,7、信任 两个域之间必须建立了“信任关系”之后，才可以访问对方域内的资源。任何一个Win2003域被加入到域树后，会自动信任其前一层的父域，同时父域也会自动信任这个新域，具有“双向传递性”。,

16、8、全局编录（GC-Glable Catalog）,全局编录服务是包含着目录林中的所有活动目录对象的属性的一个子集的服务。也就是说全局目录是活动目录林中信息的仓库。可以让用户很容易的找到所需的对象。全局目录服务中包含的是活动目录中经常被查询到的对象的部分属性，例如用户帐户、用户的姓氏、用户的登录名称等。还负责提供用户登录时，该用户所隶属的“通用组”的数据；或当用户利用UPN登录时，提供该用户是隶属于哪一个域的数据。,全局编录服务器,一个森林中的每台域控制器都存储本域的完整目录信息(一个林内的所有域树使用相同的架构)。全局编录服务器是一个不仅存储本域的完整目录，同时还存储森林中所有域目录的一个部

17、分的、只读的副本的域控制器。（子域对象属性的子集，只包含约4%，可查子集对象的常用属性）全局编目服务器包含了域目录林中所有对象的信息，只要给出目标对象的一个或几个属性，用户和应用程序就可以在 AD域目录林中找到这些对象。,全局目录,全局编录服务器是在林中第一个建立的域控制器,contoso.msft,目录林,目录林根域,nwtraders.msft,目录树,目录树根域,全局目录,marketing.nwtraders.msft,sales.contoso.msft,目录树,理解指南,在我国部分地区，一个家族的人为了理顺亲人之间的亲属关系，建立了“族谱”之类的管理某一家族的全体人员的“全局目录”

18、。“家谱”用来在亲友之间检验亲戚关系。家族就相当于活动目录林，而“全局目录”服务就相当于目录林的“族谱”。,活动目录的物理结构：网络的配置和优化,域控制器（domain controller）站点（site）,Domain Controllers（域控制器）:参与活动目录复制在一个活动目录中执行单主控操作,活动目录的物理结构,域控制器：运行Win2003 Server的活动目录服务的计算机，存储活动目录服务的数据库副本。域控制器是管理员执行活动目录服务管理的对象的调整的位置，域控制器管理活动目录服务信息的变化，并将其写入活动目录服务数据库。一个域可有一个或多个域控制器。,活动目录的物理结构,提

19、高域的容错能力，为每个站点架设一台DC，提升使用效率。,复制,DC-B,DC-C,DC-A,控制器之间的复制,复制拓扑,域中计算机角色,域控制器 域控制器必须是一台运行Win2003 Server的计算机，一个域可以有一个或多个域控制器：1、提供AD服务。2、存储与复制AD数据库。3、管理域中的活动，包括“用户登录”，“身份验证”与“目录查询”。,成员服务器 运行 Win2003 Server 的计算机，但它不是 Win2003 Server域的域控制器。成员服务器加入域，但不存储目录数据库的副本，不存储目录数据库不处理帐户登录过程。常作文件服务器、应用程序服务器或数据库服务器等。,域中计算机

20、角色,工作站 所有运行Win2000 Pro、WinXP Pro等系统，且加入域的计算机。,域中计算机角色,站点（site）：站点是指包括活动目录域服务器的一个网络位置，通常是一个或多个通过TCP/IP连接起来的子网。站点内部的子网通过可靠、快速的网络连接起来。站点的划分使得管理员可以很方便地配置活动目录的复杂结构，更好地利用物理网络特性，使网络通信处于最优状态。活动目录中的站点与域是两个完全独立的概念，一个站点中可以有多个域，多个站点也可以位于同一域中。,活动目录的物理结构,站点（site）是根据网络的物理特征定义的活动目录服务网络物理结构，把一组高速可靠的物理链路划分为一个站点，站点间实行

21、计划复制，把两站点之间的复制量压缩到15%。,站点,优化复制交流，增进AD数据更新频率：加强站点内AD数据的一致性。加速验证性能：让客户计算机定位到站点中离它最近的DC，使用户能够使用可靠、高速的连接登录到域控制器上。,站点,IP 子网,IP 子网,桥头堡服务器,站点内复制,站点,IP 子网,IP子网,桥头堡服务器,站点内复制,慢速网络链路上的复制,优化复制交流用户可靠、高带宽登录一个站点可有几个域一个域也可有几个站点,精品课件！,精品课件！,本课总结,Windows2003 server利用活动目录来有效管理网络中的对象；活动目录具有安全性、可扩展性、可伸缩性、信息复制、与DNS集成、灵活的查询、LDAP等特性。Windows2003 server活动目录逻辑结构有域、域树、域森林，物理结构可分为域控制器、站点组成。,