win2003活动目录AD域服务器-01基本概念
AD_01_概念
Res*.log 保留日志文件 检查日志
SYSTEM LOG
DIRECTOTY SERVICE DNS SERVER
4.
FILE REPLICATION SERVICE
31
wuhan
Relative Distinguished Name
Sales
mary
CN=mary,OU=Sales,OU=wuhan,DC=yinhe,DC=com
15
操作主机
林范围内的操作主机角色
– 架构主机 – 域命名主机
域范围内的操作主机角色 – RID 主机 – PDC 仿真主机 – 结构主机
DNS
SYSVOL 数据库 和日志 文件
29
校验活动目录安装
1. 2. 3. 4.
DNS中SRV 资源记录是否注册
_msdcs _sites _tcp _udp 检测:NSLOOKUP >>LS –T SRV DOMAIN 注:ipconfig /registerdns netlogon
SYSVOL
Users
User2 Printers Printer1
活动目录:
– 可以使一个管理员集中管理网络资源 – 可以使管理员容易的确定对象的信息 – 可以使管理员把相似的对象组织到 OU 中 – 可以使管理员给站点、域或 OU 指定具体的组策略设置
20
管理用户环境
12
3
Domain OU1 OU2 OU3
建立AD同时配置DNS服务器
建立域中的额外域控器
活动目录安装后的工作
26
活动目录的安装
Windows Server 2003活动目录与域控制器
实验二Windows Server 2003活动目录与域控制器[注意事项]:1、在虚拟机软件里自己安装的网络操作系统中做实验。
2、有两种方式打开安装或删除活动目录的界面:(1)用命令“开始——管理工具——配置您的服务器向导”(Server 2003才有)。
(2)用命令“开始——运行——输入‘dcpromo’”。
3、密码可以设置与5.1管理员相同的密码或设置另外的密码,并且一定要书面记住密码。
4、安装结束后出现配置DNS服务器的选项,选择让系统自动配置。
5、安装活动目录成功后的标志见下图5.19。
6、安装好活动目录后,请不要再次运行“dcpromo”命令,否则会删除已安装的活动目录。
一、实验目的学习活动目录的安装和删除(实验只要求安装)。
二、实验内容1.活动目录的安装(升级)2.活动目录的删除(降级)——理论上掌握,具体实验不要做三、实验理论基础活动目录是Windows Server 2003网络中提供的目录服务。
目录服务也是一种网络服务,它把网络中的资源信息集中存储起来,并将其提供给用户和应用程序使用。
它提供了一种一致化的命名、描述、定位、管理和设置相应安全的方法。
通过提供通用的网络资源接口和直观的网络资源访问界面,使用户能够以一致的方式管理自己的整个网络。
由于活动目录中网络资源信息集中存放和管理,使得网络的物理结构和网络所使用的传输协议对用户来讲变得透明起来。
当用户访问网络时,无需了解资源的物理位置和连接方法,就可以访问资源。
这对于多数缺乏网络专业知识的网络普通用户来说,显得格外有意义。
使管理员和一般用户可以方便地查找和使用网络信息,同时也更便于网络管理员有效的管理网络。
活动目录是由组织单位(OU)、域(Domain)、域树(Domain Tree)和森林(Domain Forest)组成的层次结构,它存储有关计算机网络对象的信息。
例如,用户、组、计算机、组织、帐户、共享资源和打印机等等。
域是网络对象的分组,如用户、组和计算机。
active directory基本概念
active directory基本概念Active Directory(AD)是由Microsoft开发的一种目录服务,用于在网络中管理和组织用户、计算机、打印机等资源。
它提供了一个集中式数据库和认证服务,用于在组织内建立和维护网络中的对象的层次结构。
以下是一些关于Active Directory 的基本概念:1. 目录服务(Directory Service):• Active Directory 是一个目录服务,其主要作用是存储和组织网络中的对象信息,如用户、计算机、打印机等。
这些对象按照层次结构进行组织,形成一个树状的目录。
2. 域(Domain):•在Active Directory中,域是一个逻辑上的组,用于组织和管理网络中的对象。
每个域都有一个唯一的域名,域内的对象可以相互共享资源和认证信息。
3. 林(Forest):•一个林(Forest)是一个包含一个或多个域的集合。
域与域之间可以建立信任关系,形成一个林。
每个林都有一个共享的林根(Forest Root),所有域都共享这个林根。
4. 域控制器(Domain Controller):•域控制器是运行Active Directory服务的服务器。
每个域至少有一个域控制器,它存储了该域的目录信息,并提供认证和授权服务。
5. 组织单位(Organizational Unit,OU):•组织单位是用于组织和管理域内对象的容器。
OU可以包含用户、组、计算机等,并可以在OU内应用特定的策略。
6. 组(Group):•组是一种将用户、计算机等对象集合在一起的方式,以便更轻松地管理这些对象的权限和设置。
7. 用户和计算机账户:• Active Directory存储了用户和计算机的信息,包括登录名、密码、权限等。
用户和计算机账户可以被组织在域内的不同容器中。
8. 域名服务(DNS):• Active Directory使用DNS来命名和定位域控制器。
第12章-Windows Server 2003活动目录简介
森林 树
nwtraders.msft asia. contoso.msft au. contoso.msft
双向、可传递的信任
树
asia. nwtraders.msft au. nwtraders.msft
12.2.3 组织单位(Organization Unit)
网络管理模型 组织结构来自内容总结• • • • • 理解Windows Server 2003活动目录的概念 掌握活动目录的特点和好处 掌握活动目录的逻辑结构组成 掌握活动目录的物理结构组成 理解活动目录和DNS服务的关系
Sales Users Computers
Vancouver Sales Repair
• 使用OU把对象组织到逻辑结构中,以此更好地 满足公司的需要 • 通过为用户或组分配特定的权限,从而给他们 委派对某个OU中的对象进行管理控制的能力
12.2.4 全局编录(Global Catalog)
• 存储了活动目录中的所有对象以及每个对 象的部分属性信息
12.2.1 域
• 域是一个管理界限
– 域管理员只能对本域范围内的对象进行管理,不能 管理其它域,除非被明确分配了对其它域的管理权 利
• 域是复制的单元
– 域中的域控制器参与活动目录的复制工作,它包含 了本域目录信息的完整副本
复制
Windows 2003域
12.2.2 域树和域目录林
双向、可传递的信任
Seattle New York Chicago Los Angeles
IP 子网
站点
站点: 优化复制流量 使用户能够通过一条可靠、高速的连接登录到 一台域控制器上
IP 子网
12.4 设置DNS服务支持活动目录
《windows server 2003服务器操作系统》第13章 活动目录基础
2、组织单元 活动目录允许管理员在一个域内创建一个满 足其组织需要的层次结构。建立这些层次结构要选 择的对象类是Orgnizational Unit类,这是一个通 用容器,该容器可以因管理上的目的而将其他大多 数对象类组合到一起。活动目录中的一个组织单元 与文件系统中的一个目录是类似的,它是一个可以 包容其他对象的容器。
第8章 活动目录基础
主要知识点:
一、活动目录逻辑结构 二、活动目录物理结构 三、活动目录的安装 (了解) (了解) (掌握)
四、将计算机加入到域
(掌握)
一 活动目录介绍
1、什么是活动目录 活动目录(Active Directory)是Windows Server 2003平台提供的目录服务,在中央数据库 中存放信息,使用户在网络上只拥有一个用户账号。 Windows Server 2003中的活动目录是高度完善的、 自适应能力很强的目录服务。它支持用户进行大范 围的修改来满足特定的商务和组织需要。活动目录 支持多域结构,由一个或多个域组成。每个域拥有 与其他域相关的安全策略和安全关系。这种多域模 式可以使Windows Server 2003具有更高的安全性。
(1)管理层次
组织单元可以被嵌套在一起来创建一个域中 的层次结构,并为用户、组和资源对象形成逻辑上 的管理单元,如打印机、计算机、应用程序和文件 共享。一个域中的组织单元层次结构独立于其他域 的结构;每个域可以组织自己的层次结构。同样, 由一个集中的权威机构管理的多个域可以实现相似 的组织单元层次结构。这种结构是灵活的,它使得 一个组织可以创建一个与其管理模型相同的环境, 不管它是集中的还是分散的。
DNS的主要功能是将用户可以识别的计算机 名字映射到计算机可识别的IP地址上。因此,DNS 为计算机名字定义了一个名字空间,根据这些名字 可以解析出IP地址,反之亦然。在Windows NT 4.0或更早的版本中,DNS名字是不需要的,域和 计算机使用NetBIOS名字,这种名字通过使用 Windows Internet名字服务(WINS)而映射到IP 地址。尽管对Windows Server 2003域和基于 Windows Server 2003的计算机来说,它们是需要 DNS名字的,但为了达到跟Windows NT 4.0域及 那些运行Windows NT 4.0或更早版本、Windows for Workgroups、Windows 98或Windows 95的客 户机之间的兼容性,Windows Server 2003中也支 持NetBIOS名字。
windows server 2003 活动目录 (初识AD)
1.1 活动目录简介
域中的所有域控制器之间都是平等关系,不再
区分主域控制器和备份域控制器,这是因为 Win2003采用了动态活动目录服务,在进行目 录复制时不是沿用一般目录服务的主从方式, 而是采用多主复制方式。通过这种方式,任何 一个域控制器上的活动目录库的变更都会被自 动复制到其他域控制器上。 为了克服DNS管理困难的缺点,Windows 2003将DNS与其特有的DHCP和WINS紧密配合 起来,从而使DNS更加易于管理。
三、可调整性
四、信息复制
活动目录使用多主复制。对目录数据所做的更 改将复制到所有的域控制器中,每个域控制器的 目录数据都保持同步。 信息复制提供了有效性、容错和加载平衡等优 点。在一个域中使用多个域控制器可提供容错和 加载平衡。如果域中的某个域控制器减慢、停止 或失败,同一域中的其他域控制器可提供必要的 目录访问,因为它们包含着相同的目录数据。在 广域网中,目录访问可由与每个网络客户机最近 的域控制器执行。
1.2 活动目录的优点
一、基于策略的管理 二、扩展性 三、可调整性 四、信息复制 五、与DNS的集成 六、灵活的查询 七、信息安全性
一、基于策略的管理
活动目录服务包括数据存储和逻辑分层结构。 作为逻辑结构,它为策略应用程序提供分层的 环境。作为目录,它存储着分配给特定环境的 策略(称为组策略对象)。组策略对象表示一 套规则,包括应用环境的有关设置,目录对象 和域资源的访问确定,用户可使用什么域资源 以及这些域资源的配置使用等。
Windows 2003 Server支持多种网络安全协议, 这些协议提供更强大、更有效的安全性。
2、Active Directory的创建
FYI…
微软AD活动目录介绍
ATL.
• 操作主机
森林范围内:
Schema Master Domain Naming Master
域范围内:
PDC Emulator RID Master Infrastructure Master
操作主机介绍
只有作为操作主机的域控制器才能对活动目录信息作相应改变 在操作主机上作的改变将会复制到其他的域控制器 任何域控制器可以作为操作主机 操作主机角色可以转移
一个域是一个复制单元
域控制器包含域中信息的完整集合,并且参 与域信息的复制
复制
Windows 2000 Domain
域的性能
能力
复制单元 大小 命名
NT 4.0 对象 Windows 2003 属性
40,000 对象
NetBIOS 建立新域
1,000,000+ 对象
DNS 在域内建立管理委派 到OU
活动目录的结构
活动目录逻辑结构 活动目录物理结构 Sites及活动目录的复制
活动目录逻辑结构
域 组织单元 树和森林 全局编录 Domains Organizational Units Trees and Forests Global Catalog
域 Domains
域是一个安全边界
域管理员只能在本域中执行管理操作,除非 他被明确地赋予其他域管理员身份
Server2
打印机 打印机
名称:Printer1 名称:Printer1 Type:HP4Si Type:HP4Si Color:No Color:No Duplex:Yes Duplex:Yes Location:3rd Floor Location:3rd Floor
Windows Server 2003网络操作系统第4章 域与活动目录(改)
4.2 活动目录的创建与配置
4.2.4 创建子域
(4)输入父域的域名以及管理员的账户、密码等。
4.2 活动目录的创建与配置
4.2.4 创建子域
(5)接着输入子域的NetBIOS名。 (6)重新启动计算机,用管理员登录到域中。
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
1. 创建DNS域
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
2. 安装域树的域控制器
(1)确认服务器上“本地连接”属性中的TCP/IP的首选DNS指向。
(2)运行活动目录安装向导。 (3)选择“新域的域控制器” 。
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
2. 安装域树的域控制器
下一步选择“在现有的林中的域树” 。
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
2. 安装域树的域控制器
(4)输入已有域树的根域的域名和管理员的账户、密码。
(5)接着输入新域的NetBIOS名,按照原步骤继续设置,直到完成。
Temp.edb:临时文件。
安装后检查
5. DNS记录
4.2 活动目录的创建与配置
4.2.3 安装额外的域控制器
(1)首先要在 服务器上检查“本地连接”属 性,确认能否正常通信。
(2)运行“Active Directory”安装向导。 (3)将该计算机设置为现有域的额外域控制 器。 (4)输入拥有将该计算机升级为域控制器权 力的用户名和密码。 (5)安装向导从原有的域控制器上开始复 制活动目录。
4.1 域与活动目录
4.1.3 域目录树
当需要配置一个包含多个域的网络时, 应该将网络配置成域目录树结构。域目录 树是一种树型结构。 活动目录的域名仍然采用DNS域名的命 名规则进行命名。
ad域概念以及作用
AD域概念及其关键概念1. AD域的定义AD(Active Directory)域是一种由微软公司开发的基于目录服务的身份验证和授权服务,用于管理和组织网络中的用户、计算机和其他网络资源。
它是一种分布式数据库系统,旨在提供集中管理和控制网络资源的能力。
AD域可以理解为一个逻辑上的容器,它可以包含多个组织单元(OU,Organizational Unit),每个OU又可以包含多个用户、计算机和其他网络资源。
AD域通过一组规则和策略来管理和控制这些资源的访问和配置。
2. AD域的重要性AD域在企业网络中起着至关重要的作用,具有以下几个重要性:2.1 集中管理和控制AD域提供了集中管理和控制网络资源的能力。
管理员可以通过AD域来创建、修改和删除用户账户、计算机账户以及其他网络资源的账户,以及配置这些账户的访问权限和其他属性。
这种集中管理和控制的方式大大简化了管理员的工作,提高了工作效率。
2.2 统一身份验证和授权AD域作为一个身份验证和授权服务,可以统一管理和验证用户的身份,确保只有授权的用户可以访问网络资源。
通过AD域,用户只需要一个账户和密码就可以访问所有的网络资源,不需要分别登录不同的系统。
这大大简化了用户的登录过程,提高了用户体验。
2.3 安全性和权限控制AD域提供了丰富的安全性和权限控制机制,可以对用户、计算机和其他网络资源进行细粒度的访问控制。
管理员可以通过AD域来定义和管理用户的访问权限,限制用户对某些敏感数据或系统的访问。
这种权限控制机制可以有效地保护企业的数据和系统安全。
2.4 集成其他服务和应用AD域可以与其他服务和应用集成,例如邮件服务器、文件共享服务器、VPN等。
通过与AD域的集成,这些服务和应用可以直接使用AD域中的用户账户和权限信息,简化了配置和管理过程,并提供了更好的用户体验。
3. AD域的关键概念在理解AD域的概念和作用之前,需要了解一些与AD域相关的关键概念。
3.1 域(Domain)域是AD中最基本的组织单位,它是一个逻辑上的容器,用于管理和组织网络中的用户、计算机和其他网络资源。
微软AD活动目录介绍文档
Global Group 嵌套到 Domain Local Group
Move Infrastructure Master
决定操作主机的位置
确认当前操作主机的位置
用“Active Directory 用户和计算机” 查找 RID master PDC emulator Infrastructure master 用“Active Directory 域和信任” 查找 Domain naming master 用 “Active Directory Schema”查找 Schema master
一个域是一个复制单元
域控制器包含域中信息的完整集合,并且参 与域信息的复制
复制
Windows 2000 Domain
域的性能
能力
复制单元 大小 命名
NT 4.0 对象 Windows 2003 属性
40,000 对象
NetBIOS 建立新域
1,000,000+ 对象
DNS 在域内建立管理委派 到OU
Server2
打印机 打印机
名称:Printer1 名称:Printer1 Type:HP4Si Type:HP4Si Color:No Color:No Duplex:Yes Duplex:Yes Location:3rd Floor Location:3rd Floor
为什么需要目录服务
目录服务的 功能性
Directory Partition 复制
NTDS.DIT
Schema Schema
Forest
Configuration Domain
Configuration
Domain X
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
域、域树和域林
工作组( 工作组(Work Group)就是将不同的电脑按功能分别列入不同 ) 的组中,以方便管理。工作组名并没有太多的实际意义, 的组中,以方便管理。工作组名并没有太多的实际意义,只是在 “网上邻居”的列表中实现一个分组而已。 “ 工作组”就像一 网上邻居” 的列表中实现一个分组而已。 工作组” 个自由加入和退出的俱乐部一样, 个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个 房间” 以方便网上计算机共享资源的浏览。 “房间”,以方便网上计算机共享资源的浏览。 在主从式网络中,资源集中存放在一台或者几台服务器上, 在主从式网络中,资源集中存放在一台或者几台服务器上,如果 仅仅只有一台服务器,问题就很简单,在服务器上为每一位员工 仅仅只有一台服务器,问题就很简单, 建立一个账户即可, 建立一个账户即可,用户只需登录该服务器就可以使用服务器中 的资源。然而如果资源分布在多台服务器上呢? 的资源。然而如果资源分布在多台服务器上呢?要在每台服务器 分别为每一员工建立一个账户( 分别为每一员工建立一个账户(共M×N个),用户需要在每台 × 个 服务器上( 服务器上(共M台)登录,感觉又回到了对等网的模式。 台 登录,感觉又回到了对等网的模式。
Sales Users Computers
Vancouver Sales Repair
Trees and Forests
TwoTwo-Way Transitive Trust
contoso.msft
Forest Tree
nwtraders.msft asia. contoso.msft au. contoso.msft
Users
Printers
轻型目录访问协议 (LDAP)
LDAP 提供了一种连接活动目录的方 法,通过为活动目录中每一个对象指 定唯一的命名路径 LDAP 命名路径包括:
CN=Suzan Fine Suzan Fine,OU=Sales,DC=contoso,DC=msft 标识名
相对标识名
活动目录逻辑结构
活动目录对象
Active Directory Attributes Printer Name Printer Location Users Don Hall Suzan Fine Printers Printer1 Printer2 Printer3 Attributes First Name Last Name Logon Name Attribute Value
Objects
Printers
Users
活动目录对象代表网络资源 对象的属性存储着描述对象的信息
活动目录架构
Objects Class Examples
活动目录数据库存储架构: 活动目录数据库存储架构 可以动态获得 可以动态更新 可以通过DACLs来保护 Attribute Examples
Attributes of Users Might Contain:
Domains(域) Organizational Units(组织单元) Trees and Forests
(域目录树域目录林)
Global Catalog(全局目录)
Domains(域)
一个域是一个安全边界
一个域的管理员只能在该域内有必要的管理权 限, 除非管理者得到其他域的明确授权。
一个域是一个复制单元
TwoTwo-Way Transitive Trusts
accountExpires department distinguishedName middleName
Computers
List of Attributes
accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName …
Organizational Units
利用 OU可以把对象组织到一个逻辑结构中使其最佳适应你的组织需 求 可以把管理控制权委派给OU内的对象,通过把OU及OU包含的对象 的具体权限指派给一个或几个用户和组
Network Administrative Model Organizational Structure
Windows 2008AD管理 管理
2003 第一章 Windows 2003中的活动目录介绍
学习目标
在完成本章的学习后,您将能够: 了解Windows2003域环境在企业中应用
了解域的逻辑结构,物理结构 了解域中管理的对象
课程安排
1. 域和工作组对比 2. 域管理的对象 3. 域的逻辑结构,物理结构
多域的模式
域、域树和域林
为了解决用户跨域访问资源的问题,可以在域之间引入信任, 为了解决用户跨域访问资源的问题,可以在域之间引入信任,有了 信任关系, 的用户想要访问B域中的资源 信任域A就行 信任关系,域A的用户想要访问 域中的资源,让域 信任域 就行 的用户想要访问 域中的资源,让域B信任域 信任关系分为单向和双向,下图中①是单向的信任关系, 了。信任关系分为单向和双向,下图中①是单向的信任关系,箭头 指向被信任的域,即域A信任域 信任域B, 称为信任域, 指向被信任的域,即域 信任域 ,域A称为信任域,域B被称为被 称为信任域 被称为被 信任域,因此域B的用户可以访问域 中的资源。图中② 的用户可以访问域A中的资源 信任域,因此域 的用户可以访问域 中的资源。图中②是双向的 信任关系, 信任域B的同时域 也信任域A,因此域A的用户可 信任关系,域A信任域 的同时域 也信任域 ,因此域 的用户可 信任域 的同时域B也信任域 以访问域B的资源 反之亦然。 的资源, 以访问域 的资源,反之亦然。
信任关系
域、域树和域林
微软的网络操作系统是考虑在大型企业构建网络和扩展网络的需要 而设计的。在一个企业中可能会有分布在全世界的分公司等, 而设计的。在一个企业中可能会有分布在全世界的分公司等,分公 司下又有各个部门存在, 资源的访问常常可能跨过许多域。 司下又有各个部门存在 , 资源的访问常常可能跨过许多域 。 在 Windows NT 4.0时,域和域之间的信任关系是不可传递的,如果 时 域和域之间的信任关系是不可传递的, 要实现多个域中的用户可以跨域访问资源, 要实现多个域中的用户可以跨域访问资源,必须创建多个双向信任 关系: × 关系:n×(n-1)/2。 。
域因为域中的计算机使用 域的关系非常密切,因为域中的计算机使用DNS来定位域控制器 域和 域的关系非常密切 来定位域控制器 和服务器以及其它计算机、网络服务等,实际上域的名字就是DNS域的名 和服务器以及其它计算机、网络服务等,实际上域的名字就是 域的名 企业向Internet组织申请了一个 组织申请了一个DNS域名 域名,所以根域就采用 字 。 企业向 组织申请了一个 域名 , 了该名。然而,企业可能同时拥有和两个域名,如果某个 两个域名, 了该名。然而,企业可能同时拥有 和 两个域名 域用作为域名, 将无法挂在 作为域名, 将无法挂在域树中, 这个时候只 域树中, 域用 作为域名 将无法挂在 域树中 能单独创建另一个域树,新的域树根域为,这两个域树共同构成了 能单独创建另一个域树,新的域树根域为 , 域森林( 域森林(Domain Forest)。 )
域、域树和域林
随着网络的不断发展,有的企业的网络大的惊人, 随着网络的不断发展,有的企业的网络大的惊人,当网络有十万个 用户甚至更多时,域控制器存放的用户数据量很大, 用户甚至更多时,域控制器存放的用户数据量很大,更为关键的是 如果用户频繁登录,域控制器可能因此不堪重负。 如果用户频繁登录,域控制器可能因此不堪重负。在实际的应用中 我们在网络中划分多个域,每个域的规模控制在一定的范围内, ,我们在网络中划分多个域,每个域的规模控制在一定的范围内, 同时也是出于管理上的要求,将大的网络划分成小的网络, 同时也是出于管理上的要求,将大的网络划分成小的网络,每个小 的网络管理员管理自己所属的账户。 的网络管理员管理自己所属的账户。
域森林
什么是活动目录? 什么是活动目录
目录服务功能
集中式管理
组织 管理 控制
单点管理
资源
允许用户只登陆一次就可以访问 整个活动目录的资源
活动目录
活动目录(Active Directory)是一种目录服务,它存储有关网 活动目录( ) 是一种目录服务, 络对象(如用户、 计算机、共享资源、打印机和联系人等) 络对象(如用户、组、计算机、共享资源、打印机和联系人等) 的信息, 的信息,并将结构化数据存储作为目录信息逻辑和分层组织的基 使管理员比较方便地查找并使用这些网络信息。 础,使管理员比较方便地查找并使用这些网络信息。 活动目录是在Windows 2000 Server就推出的新技术,它最大的 活动目录是在 就推出的新技术, 就推出的新技术 突破性和成功之一也就在于它全新引入了活动目录服务 , 使 Windows 2000 Server与Internet上的各项服务和协议更加联系 与 上的各项服务和协议更加联系 通过在Windows 2000 Server 的基础上进一步扩展 , 紧密 。 通过在 Windows Server 2003提高了活动目录的多功能性、可管理性及 提高了活动目录的多功能性、 提高了活动目录的多功能性 可靠性。 可靠性。
多个域的资源互访需要多个信任关系
域、域树和域林
从Windows 2000 Server起,域树(Domain Tree)开始出现,如下 起 域树( )开始出现, 图所示。域树中的域以树的形式出现,最上层的域名为,是 图所示 。 域树中的域以树的形式出现 , 最上层的域名为 , 这 个 域 树 的 根 域 , 根 域 下 有 两 个 子 域 : 和 , 子域下又有自己的子域。在域树中,父域和子域的 子域下又有自己的子域。在域树中, 信任关系是双向可传递的, 信任关系是双向可传递的 , 因此域树中的一个域隐含地信任域树中所 有的域。下图中共有七个域,所有域相互信任, 有的域 。 下图中共有七个域 , 所有域相互信任, 也只需要六个信任关 系。