Windows活动目录功能级别详细列表
活动目录介绍
活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。
NT的"域(domain)"的概念是⽬录服务的⼀个基本单元。
"⼀次登录,Single Logon"在Windows NTServer 的环境下有了具体的应⽤,⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进⼀步发展了"活动⽬录(Active Directory)"。
活动⽬录充分体现了微软产品的"ICE",即集成性(Integration),深⼊性(Comprehensive),和易⽤性(Ease of Use)等优点。
活动⽬录是⼀个完全可扩展,可伸缩的⽬录服务,既能满⾜商业ISP的需要,⼜能满⾜企业内部⽹和外联⽹的需要。
活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。
它采⽤的是Exchange Server的数据存储,称为:Extens ible Storage Service (ESS)。
其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能⾮常优良。
这个数据存储之上已建⽴索引的,可以⽅便快速地搜索和定位。
活动⽬录的分区是"域(Domain)",⼀个域可以存储上百万的对象。
域之间还有层次关系,可以建⽴域树和域森林,⽆限地扩展。
在数据存储之上,微软建⽴了⼀个对象模型,以构成活动⽬录。
这⼀对象模型对LDAP有纯粹的⽀持,还可以管理和修改Schema。
Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义,其本⾝也是活动⽬录的内容之⼀,在整个域森林中是唯⼀的。
Windows的使用活动目录讲义
活动目录
活动目录
该窗口可对计算机进行以下管理。 监视诸如登录次数和应用程序错误等系统事件。 创建和管理共享。 浏览与本地或远程计算机相连的用户列表。 启动和终止计划任务和线程。 设置存储设备的属性。 查看设备配置和添加新设备驱动器。
活动目录
⑤创建用户账户 弹出“Active Directory用户和计算机”窗 口 。 在左窗格中右击要创建计算机账户的域,快捷 菜单中选择“新建→用户”选项, “新建对象— 用户”对话框。
活动目录
目录服务把域详细分为组织单元。组织单元是 一个逻辑单位,是域中一些用户和组、文件与打印 机等资源对象的集合。组织单元还可以再划分下级 组织单元,下级组织单元能够继承父组织单元的访 问许可权。 每个组织单元可以有自己单独的管理员并指定 其管理权限,它们管理着不同的任务,从而实现对 资源和用户的分级管理。动态目录服务通过这种域 的组织单元树和域之间的可传递信任树来组织其信 任对象,实现颗粒式管理,为动态活动目录的管理 和扩展带来了极大的方便。
步骤3. 输入要加入的域名,然后单击“确定“。
步骤4.系统提示“输入有权限在域中重命名这台计算机的 帐户的名称和密码”时,输入该域中有权限的用户名和密 码,需经域控制器验证通过。 步骤5.出现“欢迎您加入xxxx.xxx域”后,表示当前计算 机已经成功地加入到指定的域中
活动目录
(2)域和信任关系管理工具 “Active Directory域和信任关系”管理工具 可以帮助系统管理员完成不同域之间信任关系的设 置。 例如,系统中安装两个域:hzjsj域与hzjw域, 两个域各有一台Active Directory的域控制器,且 两个域之间的连接正常。
活动目录
2 安装活动目录 (1)注意事项 1)在服务器上安装活动目录时,磁盘中必须有一个 格式化为NTFS的分区。 2)可以利用系统提供的活动目录安装向导配置服务 器。如果网络没有其他域控制器,可将服务器配置 为域控制器,并新建子域、域目录树或目录林。如 果网络中有其他域控制器,可将服务器设置为附加 域控制器,加入旧域、旧目录树或目录林。 3)活动目录安装后,服务器的开机和关机时间变长, 且系统的执行速度变慢。
微软认证-活动目录之域功能级别详解新
微软认证:活动目录之域功能级别详解一:概念从win NT到win2000、win2022、win2022都供应供应活动名目功能,然而不同操作系统运行的域都供应不同功能的服务,在域内由不同类型的操作系统组合而成的域,支持不同的功能、服务,这就称之为域的功能级别。
同理在林中也存在林的功能这个概念在Windwos2022的Active Directory中供应了比Windows2000 Active Directory更高的功能级别,称为windows2022临时模式和windows2022模式。
只有把全部的与掌握器升级到Windows2022模式,整个森林才能被提升到Windwos2022模式。
森林功能级别的提升需要手动完成。
二:域功能级别域功能激活只影响整个域和该域的功能。
Windows Server 20008功能级别支持五功能级别,一下分别介绍五功能级别及其功能级别所支持的域掌握器1:Windows 2000 混合模式(默认)其网络配置使用Windows 2000和Windows NT 的任意组合系统。
Windows 2000 域掌握器和Windows NT 4.0 备份域掌握器可以在同一个域中无缝共存而不会消失任何问题。
当然Windwos 2022域掌握器也支持此模式。
激活的功能包括本地与全局组并支持全局编录2:Windows 2000本机模式。
域中全部域掌握器都可以运行Windows2000或Windwos2022.激活的功能包括组嵌套、通用组、Sidhistory、平安组与通讯组之间的转换、3:Windows Server 2022临时模式。
允许Windows 2022域控和Windows NT 4 域掌握器的混合使用。
但不能与Windows2000域掌握器混合使用。
显见支持的域控为Windows 2022和Windows NT4.此级别内没有域范围的激活功能。
该模式只在将NT4的域控升级到Windows2022域控时使用4:Windows Server 2022模式。
Windows目录功能揭密大全
Windows目录功能揭密大全相信大家对于Windows是再熟悉不过了,我们天天都在用它,但是对于Windwows中系统目录你又了解多少呢?本文将对Win 98、Win ME和Win 2000中的系统目录做个详细的介绍,包括功能和简单应用。
所谓系统目录就是指操作系统的主要文件存放的目录,目录中的文件直接影响到系统是否正常工作,了解这些目录的功能,相信对你更好的使用系统会有很大的帮助。
以下介绍的目录若不做特殊说明,在Win 98/ME系统下,它们在Windows目录中,在Win 2000系统下,他们在Win NT目录中。
All Users文件夹:Win 98/ME所有用户文件夹,里面里面包括系统缺省登录时的桌面文件和开始菜单的内容。
Win 2000在Win 2000的系统目录中没有这个文件夹,Win 2000将用户的信息放在根目录下的Documents and Settings文件夹中,每个用户对应一个目录,包括开始菜单、桌面、收藏夹、我的文档等等。
Application Data文件夹:Win 98/ME应用程序数据文件夹。
包括任务栏中的快捷方式,输入法的一些文件等等。
根据你系统中使用不同的软件,该目录中的内容也有所不同。
Win 2000在Documents and Settings文件夹中,每个用户都对应一个Application Data文件夹,同样每个用户由于使用的软件不同,目录内容也相同。
Applog文件夹:Win 98/ME应用程序逻辑文件目录。
逻辑文件是用来记录应用软件在运行时,需要调用的文件、使用的地址等信息的文件。
要查看这些文件,用记事本打开即可。
Catroot文件夹:Win 98计算机启动测试信息目录,目录中包括的文件大多是关于计算机启动时检测的硬软件信息。
Win ME该文件夹位于系统目录的system目录中。
Win 2000该文件夹位于系统目录的system32目录中。
Command文件夹:Win 98/ME DOS命令目录。
windows系统安全3(活动目录)
在客户查询目录信息时:使其能够方便快捷的执行跨所有域 的搜索,而不用具体考虑信息所在的域
多个全局编录服务器会减少客户查询的时间,但是会导致网络的复制通信 量增加。 推荐在每一个主要站点上设置一台全局编录服务器。
4.2 活动目录组件
逻辑结构
域(Domain) 组织单位(Organizational Unit ,OU) 域树(Tree) 域森林(Forest) 站点(Site)
4.3 活动目录对象
名称空间和命名环境 对象和对象命名
4.4.1 名称空间和命名环境
名称空间:解析给定名称的空间 如DNS
Active Directory也有一个自己的名称空间,名称可以被解析为 一个对象。 域命名环境:存储适用于域的所有对象和属性
名称空间被分成三个命名环境
只能用于它所在的域 域中每个控制器(Domain Controller)都有它的一个副本。 定义了复制拓扑及与AD配置有关的其他数据(即其中存在哪些域,域控制器的 位置 等等) 是个目录林范围的命名环境,所有林中每个AD都拥有这个命名副本 定义了可在Active Directory中存储哪些对象、属性和操作规则。
物理结构
4.2.2 物理组件---站点
站点:定义为一个或多个TCP/IP子网,这些子网通过高速链接(如T1或者以太网) 连接起来。它们主要用于确定复制拓扑,以便进行有效而快速的复制。
物理结构反映了网络架构
注意:
Windows2000网络中,站点链路并不是自动产生的,而是 必须用 Active Directory Sites And Snap-In工具来创建, 其中用到了活动目录中的Knowledge Consistency Checker(KCC)服务自动生成。
1WindowsServer活动目录简介精品PPT课件
• 活动目录发展史
Page 4/38
活动目录架构
• 活动目录架构:用来定义数据类型、语法规则、命名约定 和其他更多的内容;它是活动目录的基本结构,是组成活 动目录的规则
• 活动目录架构中主要定义了两方面内容
• LDAP是一种访问活动目录服务的通信协议,管理员或用户 通过它查询与更新AD中的数据
• Windows Server 2003域利用“LDAP命名路径”来表示对象在 AD内的位置,利用它来访问在AD内的对象
• LDAP命名路径包含以下内容:
– 可分辨名称:即AD中的完整路径,DC表示DNS域名中的组件,即 活动目录域的DNS名称,OU为组织单位,其他的都是CN,如 CN=user1,OU=Office1,DC=Shanghai,DC=com
• 活动目录是由至少一个域所构成的集合,即域是活动目录的 分区单位
• 构建一个域环境首先需要在一台服务器上安装活动目录,而 安装了活动目录的服务器就成为域控制器(DC)
• 在Windows Server 2003活动目录中的域用三Cor角e.ed形u 表示
Page 9/38
域树的概念
• 域树:是由一组具有连续命名空间的域组成,命名空间的 命名遵循DNS域名空间结构标准
• 我们知道,域是安全的最小边界,而域树是由多个域组成 的,因此多个域之间相互访问时就需要一种信任关系
• 信任的特点
– 方向性 – 可传递性 – 自动性
域树
Page 10/38
林
• 林是一棵或多棵域树组成,每棵域树独享连续的命名空间, 即不同域树之间没有命名空间的连续性,但它们逻辑上处于 同一个林中
Windows域功能列表
文件服务器访问
对公司文件服务器有默认的访问权限(server-U则没有关系,因为登陆账户还是使用SERVER-U的账户登录,如果是用域权限控制的文件服务器,每次访问需要输入用户名密码)
每次访问需要输入用户、密码
访问无需输入用户密码
1、如果是SERVER-U则需要输入SERVER-U自身的凭据进行验证
能访问到AD中发布的打印服务器
无法访问AD中发布的打印机,需本地安装打印机驱动及服务
随时连接安装使用发布打印打印
Exchange邮件收发
从Exchange上进行邮件的收发
输入用户名密码之后能收发(没有域用户账号的可以建立Exchange自身的账户,没有加入的账户通过此帐户进行邮件的收发)
不需输入用户名、密码收发邮件
Windows域功能列表
功能名称
功能描述
工作组
域
Active DirectoryGPO(活动目录组策略)
统一客户端安全管理、权限控制(例如密码复杂度要求、安全控件的加固、用户安装权限的控制等)(没有加入域的客户端不能够应用到域策略,只能通过设置客户端的本地组策略。)
不支持活动目录组策略
不能够应用,只能在客户端设置本地组策略
2、如果是域权限控制的直接访问
Active Directory 搜索功能
能在网上邻居—Active Directory 搜索中搜索到公司所有加入到域的计算机的资源(包含打印机、文件服务器、域控等等)
无此功能
没有此功能,只有一个本地组,而且没有加入域的客户端,不能找到已加域的资源
支持此功能
网络打印功能
Windows Server 2003活动目录简介
2、树和信任关系 域是安全的最小边界、而域树是由多个域树组成的,因此多个域之间互相访问 时就需要一种信任关系。在 window server 2003 的域树中父域和子域之间可以 自动建立一种双向可传递的信任关系。 如果两个域之间有双向信任关系,则可以达到以下结果: 》这两个域就像一个域一样,A 域中的帐号可以在 B 域中登陆 A 域 》A 域中的用户可以访问 B 域中有权限访问的资源 可以说这种双向信任关系淡化了不同域之间的界线。而在 windiws server 2003 的域树中,父域和子域之间的信任关系不但是双向的,而且是可传递的。
2/7
活动目录的逻辑结构 》域 》域树 》域目录林 》组织单位 在 ad 中有很多资源对象,要对这些资源进行很好的管理,就必须把他们有机地组织起来, 活动目录的逻辑结构就是用来组织资源的。 通常将 ad 的逻辑结构和公司的组织结构框架结合起来。通过对资源进行逻辑组织,使用户 可以通过名称而不是通过物理位置来查找资源,并且使网络的物理结构对用户来说是透明 的。 活动目录的逻辑结构包括域(DOMAIN)、域树、域目录林和组织单位 一、域的概念
3.2 站点 1、dc 实际存储 ad 的地方 2、站点 站点一般与地理位置相对应,它由一个或几个物理子网组成,创建站点的目的是为了优 化 dc 之间的复制的流量。 站点具有以下特点: 》一个站点可以有一个或多个 ip 子网 》一个站点中可以有一个或多个域 》一个域可以属于多个站点
三、DNS 服务支持 ad dns 服务的作用 dns 域活动目录名称空间 服务资源记录 活动集成区域 设置 DNS 服务支持活动目录
注意: 活动目录、域和域控制器的关系: 域是一种逻辑的组织形式,能够对网络中资源进行统一的管理,就像工作组模式对网络 进行松散管理一样。要想实现域的管理,必须在一台计算机上安装 ad 才能实现,而安 装了 ad 的计算机就是域控制器。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在默认情况下,随后添加到林的所有域都将以 Windows Server 2008 R2域功能级别运行。
如果计划仅包括在整个林中运行 Windows Server 2008 R2 的域控制器,则为便于进行管理可以选择此林功能级别。如果这样做,您将永远不必为在林中创建的每个域提升域功能级别。
•服务的自动 SPN 管理,适用于计算机帐户的名称或 DNS 主机名发生更改时,运行于特定计算机上托管服务帐户上下文下的服务。
林级别
林功能级别
启用的功能
Windows 2000
所有默认的 Active Directory 功能。
Windows Server 2003
所有默认的 Active Directory 功能及以下功能:
改进的知识一致性检查器 (KCC) 的算法和可伸缩性。站点间拓扑生成器 (ISTG) 使用改进的算法,可缩放以支持具有远远大于在 Windows 选择算法是一种在 Windows 2000林功能级别选择 ISTG 的入侵性较小的机制。
改进的 ISTG 算法(更好的缩放 ISTG 用于连接林中所有站点的算法)。
Windows Server 2008 R2
所有默认的 Active Directory 功能、所有来自 Windows 2000 纯模式、Windows Server 2003 和 Windows Server 2008 功能级别的功能,以及以下功能:
•身份验证机制保证,将对域用户进行身份验证所用的登录方法类型(智能卡或用户名/密码)相关信息封装在每个用户的 Kerberos 令牌中。如果在已部署联合身份管理基础结构(如 Active Directory 联合身份验证服务 (AD FS))的网络环境中启用此功能,则每当用户尝试访问已部署为根据用户登录方法确定是否授权的声明感知应用程序时,都会提取令牌中的信息。
所有默认的 Active Directory 功能、所有来自indows2000纯模式域功能级别的功能,以及以下功能:
•准备要用于域控制器重命名的域管理工具 Netdom.exe 的可用性。
•更新登录时间戳。将使用用户或计算机的上次登录时间来更新lastLogonTimestamp属性。可以在域内复制该属性。
Windows活动目录功能级别详细列表
域级别
Windows 2000纯模式
所有默认的 Active Directory 功能及以下功能:
•为分发组和安全组启用的通用组。
•组嵌套。
•已启用组转换,可在安全组和分发组之间进行转换。
•安全标识符 (SID) 历史记录。
Windows Server 2003
在域目录分区中创建动态辅助类(称为dynamicObject)的实例的功能。
将inetOrgPerson对象实例转换为User对象实例的功能,反之亦然。
创建新组(称为应用程序基本组和轻型目录访问协议 (LDAP) 查询组)类型的实例以支持基于角色的身份验证的功能。
在架构中停用并重新定义属性和类别。
Windows Server 2008
•SYSVOL 的分布式文件系统 (DFS) 复制支持,可提供 SYSVOL 内容的更稳健更详细的复制。
•Kerberos 身份验证协议的高级加密服务(AES 128 和 256)支持。
•上次交互式登录信息,将显示用户上次成功交互式登录的时间、来自什么工作站,以及自上次登录失败的登录尝试次数。
•严格的密码策略 (FGPP),这可以为域中的用户和全局安全组指定密码和帐户锁定策略。
Windows Server 2003林功能级别上可用的所有功能,但不包括任何其他功能。但在默认情况下,随后添加到林的所有域,将在 Windows Server 2008域功能级别进行操作。
Windows Server 2008 R2
Windows Server 2003林功能级别上可用的所有功能,以及下列功能:
•在inetOrgPerson和用户对象上将userPassword属性设置为有效密码的功能。
•重定向用户和计算机容器的功能。默认情况下,已提供了两个已知的容器,用于容纳计算机和用户/组帐户:即cn=Computers,<域根> 和cn=Users,<域根>。该功能可用于定义这些帐户新的已知位置。
•授权管理器能够将其授权策略存储在 Active Directory域服务(AD DS) 中。
林信任。
域重命名。
链接值复制(组成员身份中的更改为各个成员存储并复制值,而不是作为单个单位复制整个成员身份)。在不同域控制器中同时添加或删除不同成员时,这种更改可在复制期间占用更少的网络带宽并降低处理器使用率,同时消除丢失更新可能性。
部署运行 Windows Server 2008 的只读域控制器 (RODC) 的功能。
•包含受限制的委派,以便使应用程序可通过 Kerberos 身份验证协议充分利用用户凭据的安全委派。可以将委派配置为仅允许特定的目标服务。
•支持选择性的身份验证,通过它可以从受信任林指定允许对信任林中资源服务进行身份验证的用户和组。
Windows Server 2008
所有默认的 Active Directory 功能、所有来自 Windows Server 2003域功能级别的功能,以及下列功能: