AD活动目录介绍
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
•
Domain OU1 Computers Computer1 Users User1 OU2 Users User2 Printers Printer1
KimYoshida Attributes Name Building Floor Values
Kim Yoshida 117 1
大家可以以书的目录为例来进行思考
Active Directory安装准备
要求
计算机运行 Windows 2000 Server / Advanced Server / Datacenter Server ,Windows Server 2003 Standard / Enterprise / Datacenter NTFS分区,磁盘空间不少于250MB TCP/IP 协议(静态的IP地址)及 DNS(指向自己的IP地址)
•
单操作主机:
NT4环境 PDCBDC(单向) 无复制冲突 容错性差
•
多操作主机:
复制
2000/2003 AD DCDC 有复制冲突 容错性好
Windows 2003 AD
LDAP —轻型目录访问协议
•
•
•
活动目录访问使用LDAP协议(端口:TCP 389) LDAP协议中制定了严格的命名规范,可唯一定 位一个活动目录中的对象。 下表是LADP中关于DC、OU和CN的定义
• •
•
新建域简介 安装 Active Directory 检查Active Directory 默认结构 删除Active Directory
Windows 2003 活动目录
•
在一台WIN2003 SERVER上安装AD,则可创建域
New Forest
First Domain Controller
名字 DC OU 属性 域组件 组织单位 活动目录域的DNS名称 组织单位可以和现实中一个行政部门相对应,在组 织单元中可包括其他对象,如用户、计算机和打印 机等 除了域/组织单元外的所有对象,如用户和打印机 描述
CN
普通名字
可辨别名(DN)和相对辨别名(RDN)
辨别名DN标识对象所在的域,及找到它的路径 相对辨别名标识是指辨别名中唯一能标识这个对 象的部分,通常为辨别名中最前面的一个。
可伸缩性
简化的管理
活动目录对象
Objects Attributes Printer Name Printer Location Users Active Directory Printers Printer1 Printer2 Printer3 Attributes First Name Last Name Logon Name Attribute Value
Sales
Vancouver
Users
Computers
•
•
Sales
Repair
OU是活动目录中一个特殊容器,它可把用户、组、 计算机和打印机等对象组织起来。 OU是活动目录中最小的管理单元,它不仅可以包括 对象,而且可进行组策略设置和委派管理,这是其 他普通容器做不到的。
AD的物理结构
• • •
Printers
Don Hall
Suzan Fine
Users
活动目录对象代表域中的网络资源 活动目录对象是通过其“属性”来描述的
什么是架构( Schema)?
• • •
架构是活动目录的基本结构,是组成活动目录的规则。 活动目录架构包括两个方面内容:对象类和对象属性。 当在活动目录中创建对象时,就必须遵守这个架构规则,只有在活动 目录架构中定义了一个对象的属性才可以在活动目录中使用该属性。
什么是活动目录?
活动目录基于LDAP (Light Directory Access Protocol,轻 型目录访问协议) ,有效集中地组织查找和管理网络中的 资源(包括用户、计算机、共享文件夹和共享打印机等)
•
功能
集中管理
组织
管理
控制
单点管理
单一登陆,完全访问AD
资源
活动目录的优点
DNS
SYSVOL Database and Log Files
检查 Active Directory默认结 构
Active Directory Users and Computers Console Window Help
Active View
Tree contoso.msft 8 objects Active Directory Users and Co.. Name contoso.msft Builtin Builtin Computers Computers Domain Controllers Domain Controllers ForeignSecurityPrincipals LostAndFound ForeignSecurityPrincipals System LostAndFound Users
第五课
安装额外域控制器
本课概述
•
• •
安装额外域控制器的简介 安装额外域控制器--与主DC共用同一台DNS服务器 安装额外域控制器--与主DC使用不同的DNS服务器
额外域控制器简介
• • • •
容错 责载均衡 多个DC之间是平等的 多个DC之间要实现复制
安装额外域控制器
与主DC共用同一台DNS服务器
Examples of object class
User
Computer
Printer
Examples of attributes accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo firstName lastName
站点 域控制器 WAN连接
站点
WAN连接
站点
域控制器
AD的物理结构
• •
域控制器DC 站点(Site)
域控制器
• 具有存储活动目录数据功能
• 参与AD复制 • 在域中执行单主控操作角色
复制
域 控制器 域 控制器
域 = AD的数据库的可写副本
站点
西雅图 纽约 芝加哥
洛杉矶
IP子网
站点目的:
• •
Contoso.msft Finance Sales 相对可辨识名 Suzan Fine
CN=Suzan Fine,OU=Sales,OU=Finance,DC=contoso,DC=msft
什么是全局编录GC?
•
• •
•
包含有:AD中所有对象属性子集的仓库(包括安全权限) 作用:跨域访问、通用组信息、访问令牌(UPN) 确定GC位置:AD站点和服务 确定GC复制提升完成:注册表(延迟:5分钟)
删除 Active Directory
•
•
Active Directory 安装向导 要求有适当权限
Domain Controller (Windows server 2003) 企业管理员 域管理员
Remove Active Directory
总 结
•
• •
•
新建域简介 安装 Active Directory 检查Active Directory 默认结构 删除Active Directory
在欲安装的额外的域控制器上设置DNS地址(指向DNS服务器) 运行安装向导(Dcpromo)安装额外DC 选择“现有域的额外域控制器”
Lab A: 额外域控制器
安装额外域控制器
与主DC使用不同的DNS服务器
在欲安装的额外DC上安装DNS服务 建立DNS辅助区域 设置DNS地址(指向自己的IP) 运行安装向导(Dcpromo)安装额外DC 验证AD集成区域
存储着 Windows Server 2003 默认的安全组 默认本域中的计算机账户 默认本域中域控制器计算 机账户 存储着来自信任域中对象 的安全主体 Holds orphaned objects 存储着一些内置的系统设 置
System Users Infrastructure
默认本域中的用户和组账 户
Additional Domain Controller (Replica)
Forest Root ( First Domain )
安装 Active Directory
•
• •
•
•
Active Directory的安装准备 安装Active Directory 验证Active Directory的安装 验证”Active Directory用户和计算机”的完整性 将客户机或成员服务器加入现有的域
站点
IP子网
优化复制流量 使用户登录到DC,使用一个可靠的、高速的链接
总 结
活动目录的逻辑结构
林、树、域、OU 站点、DC、WAN链路
活动目录的物理结构
第三课
活动目录的概述(三)
本课概述
• • • •
活动目录的复制模式 LDAP协议 全局编录服务器 活动目录数据库的目录分区
单操作主机和多操作主机
存储本域内的对象,如 User/Group/compuer/OU等。复 制时只会复制到本域的DC上
域 Domain Directory 活动目录数据库
总 结
•
• •
•
活动目录的复制模式 LDAP协议 全局编录服务器 活动目录数据库的目录分区
第四课
创建Win server 2003的域
本课概述
•
只读
全局目录GC
HKLM\system\CurrentControlset\services\ntds\parameters DWORD: Global Catalog Promotion Complete = 1
目录分区
目录分区
树林
架构 配置
Application Direcotry
定义AD中的所有对象、属性 以及操作规则。树林共享同 一架构 包含树林的域结构、站点、 域控制器、服务信息 存储与应用程序有关的数据 ,它会复制到林中特定的域 控制器上。
•
• • • • •
集中存储用户和密码列表 提供一组服务器作为身份验证服务器 对域中的资源维护一个可供搜索的索引便于查找 允许创建带有不同权限的用户 能更好的做分层管理 AD为多厂商提供身份验证平台
减少 TCO 柔性管理
Sales
Paris
Repair
User1 Computer1 User2 Printer1
适当的权限(管理员的身份)
确认计算机名称 原安装光盘
TCP/IP
NTFS
安装Active Directory的过程
•
启动AD安装向导( DCPROMO)
Βιβλιοθήκη Baidu
验证 Active Directory 安装
验证 Active Directory 安装
验证SRV 记录
验证SYSVOL 验证AD日志 验证事件日志
总 结
• • • •
理解什么是活动目录 了解活动目录的优点 掌握活动目录的对象、属性、类 掌握活动目录架构的作用
第二课
活动目录概述(二)
本课概述
•
活动目录的逻辑结构
林、树、域、OU 站点、DC、WAN链路
•
活动目录的物理结构
AD的逻辑结构
域树
域
域
域
域 OU
域
域
对象
OU
OU
域 组织单位
林
AD的逻辑结构
域树和森林
双向可传递的信任关系
Bw.com
林 树
cc.net neimeng.Bw.com Changchun.bw.com
双向可传递的信任关系
树
域树具有连续的名称空间,而森林没有 林是活动目录实例的信息安全边界
Hebei.cc.net Henan.cc.net
组织单位OU
网络管理模型 OU结构
• • •
域 域树和森林 组织单元OU
域—活动目录的核心逻辑单元
•
•
域是出于管理而定义的对象集合 域是管理边界
域管理员仅仅能管理自己的域,除非在其它域被特别指派管理权 利,有其自己的安全策略(独立唯一) 域中的DC参与复制,并且包含自己域的目录信息的一个完整拷贝 复制
•
域是复制单元
Windows 2003 域
客户机加入域
前提条件 步骤
设置DNS地址 将计算机加入域
Lab A: 建立 Windows server 2003 域
先安装DNS再安装活动目录
•
• •
•
安装DNS服务 建立DNS辅助区域,实现区域复制 安装活动目录 验证DNS中的区域类型及动态更新
Lab b:先安装DNS再安装域
第一课
活动目录概述(一)
本课概述
• •
简介 理解什么是活动目录?
什么是目录 什么是活动目录
• • •
了解活动目录的优点 掌握活动目录的对象、属性、类 掌握活动目录架构的作用
什么是活动目录
•
•
什么是目录 什么是活动目录
什么是目录?
在一个组织中关于人和资源的信息的 一个存储仓库 •特点:用一致的方式命名、描述、定位、管理和保证这些 信息的安全
Domain OU1 Computers Computer1 Users User1 OU2 Users User2 Printers Printer1
KimYoshida Attributes Name Building Floor Values
Kim Yoshida 117 1
大家可以以书的目录为例来进行思考
Active Directory安装准备
要求
计算机运行 Windows 2000 Server / Advanced Server / Datacenter Server ,Windows Server 2003 Standard / Enterprise / Datacenter NTFS分区,磁盘空间不少于250MB TCP/IP 协议(静态的IP地址)及 DNS(指向自己的IP地址)
•
单操作主机:
NT4环境 PDCBDC(单向) 无复制冲突 容错性差
•
多操作主机:
复制
2000/2003 AD DCDC 有复制冲突 容错性好
Windows 2003 AD
LDAP —轻型目录访问协议
•
•
•
活动目录访问使用LDAP协议(端口:TCP 389) LDAP协议中制定了严格的命名规范,可唯一定 位一个活动目录中的对象。 下表是LADP中关于DC、OU和CN的定义
• •
•
新建域简介 安装 Active Directory 检查Active Directory 默认结构 删除Active Directory
Windows 2003 活动目录
•
在一台WIN2003 SERVER上安装AD,则可创建域
New Forest
First Domain Controller
名字 DC OU 属性 域组件 组织单位 活动目录域的DNS名称 组织单位可以和现实中一个行政部门相对应,在组 织单元中可包括其他对象,如用户、计算机和打印 机等 除了域/组织单元外的所有对象,如用户和打印机 描述
CN
普通名字
可辨别名(DN)和相对辨别名(RDN)
辨别名DN标识对象所在的域,及找到它的路径 相对辨别名标识是指辨别名中唯一能标识这个对 象的部分,通常为辨别名中最前面的一个。
可伸缩性
简化的管理
活动目录对象
Objects Attributes Printer Name Printer Location Users Active Directory Printers Printer1 Printer2 Printer3 Attributes First Name Last Name Logon Name Attribute Value
Sales
Vancouver
Users
Computers
•
•
Sales
Repair
OU是活动目录中一个特殊容器,它可把用户、组、 计算机和打印机等对象组织起来。 OU是活动目录中最小的管理单元,它不仅可以包括 对象,而且可进行组策略设置和委派管理,这是其 他普通容器做不到的。
AD的物理结构
• • •
Printers
Don Hall
Suzan Fine
Users
活动目录对象代表域中的网络资源 活动目录对象是通过其“属性”来描述的
什么是架构( Schema)?
• • •
架构是活动目录的基本结构,是组成活动目录的规则。 活动目录架构包括两个方面内容:对象类和对象属性。 当在活动目录中创建对象时,就必须遵守这个架构规则,只有在活动 目录架构中定义了一个对象的属性才可以在活动目录中使用该属性。
什么是活动目录?
活动目录基于LDAP (Light Directory Access Protocol,轻 型目录访问协议) ,有效集中地组织查找和管理网络中的 资源(包括用户、计算机、共享文件夹和共享打印机等)
•
功能
集中管理
组织
管理
控制
单点管理
单一登陆,完全访问AD
资源
活动目录的优点
DNS
SYSVOL Database and Log Files
检查 Active Directory默认结 构
Active Directory Users and Computers Console Window Help
Active View
Tree contoso.msft 8 objects Active Directory Users and Co.. Name contoso.msft Builtin Builtin Computers Computers Domain Controllers Domain Controllers ForeignSecurityPrincipals LostAndFound ForeignSecurityPrincipals System LostAndFound Users
第五课
安装额外域控制器
本课概述
•
• •
安装额外域控制器的简介 安装额外域控制器--与主DC共用同一台DNS服务器 安装额外域控制器--与主DC使用不同的DNS服务器
额外域控制器简介
• • • •
容错 责载均衡 多个DC之间是平等的 多个DC之间要实现复制
安装额外域控制器
与主DC共用同一台DNS服务器
Examples of object class
User
Computer
Printer
Examples of attributes accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo firstName lastName
站点 域控制器 WAN连接
站点
WAN连接
站点
域控制器
AD的物理结构
• •
域控制器DC 站点(Site)
域控制器
• 具有存储活动目录数据功能
• 参与AD复制 • 在域中执行单主控操作角色
复制
域 控制器 域 控制器
域 = AD的数据库的可写副本
站点
西雅图 纽约 芝加哥
洛杉矶
IP子网
站点目的:
• •
Contoso.msft Finance Sales 相对可辨识名 Suzan Fine
CN=Suzan Fine,OU=Sales,OU=Finance,DC=contoso,DC=msft
什么是全局编录GC?
•
• •
•
包含有:AD中所有对象属性子集的仓库(包括安全权限) 作用:跨域访问、通用组信息、访问令牌(UPN) 确定GC位置:AD站点和服务 确定GC复制提升完成:注册表(延迟:5分钟)
删除 Active Directory
•
•
Active Directory 安装向导 要求有适当权限
Domain Controller (Windows server 2003) 企业管理员 域管理员
Remove Active Directory
总 结
•
• •
•
新建域简介 安装 Active Directory 检查Active Directory 默认结构 删除Active Directory
在欲安装的额外的域控制器上设置DNS地址(指向DNS服务器) 运行安装向导(Dcpromo)安装额外DC 选择“现有域的额外域控制器”
Lab A: 额外域控制器
安装额外域控制器
与主DC使用不同的DNS服务器
在欲安装的额外DC上安装DNS服务 建立DNS辅助区域 设置DNS地址(指向自己的IP) 运行安装向导(Dcpromo)安装额外DC 验证AD集成区域
存储着 Windows Server 2003 默认的安全组 默认本域中的计算机账户 默认本域中域控制器计算 机账户 存储着来自信任域中对象 的安全主体 Holds orphaned objects 存储着一些内置的系统设 置
System Users Infrastructure
默认本域中的用户和组账 户
Additional Domain Controller (Replica)
Forest Root ( First Domain )
安装 Active Directory
•
• •
•
•
Active Directory的安装准备 安装Active Directory 验证Active Directory的安装 验证”Active Directory用户和计算机”的完整性 将客户机或成员服务器加入现有的域
站点
IP子网
优化复制流量 使用户登录到DC,使用一个可靠的、高速的链接
总 结
活动目录的逻辑结构
林、树、域、OU 站点、DC、WAN链路
活动目录的物理结构
第三课
活动目录的概述(三)
本课概述
• • • •
活动目录的复制模式 LDAP协议 全局编录服务器 活动目录数据库的目录分区
单操作主机和多操作主机
存储本域内的对象,如 User/Group/compuer/OU等。复 制时只会复制到本域的DC上
域 Domain Directory 活动目录数据库
总 结
•
• •
•
活动目录的复制模式 LDAP协议 全局编录服务器 活动目录数据库的目录分区
第四课
创建Win server 2003的域
本课概述
•
只读
全局目录GC
HKLM\system\CurrentControlset\services\ntds\parameters DWORD: Global Catalog Promotion Complete = 1
目录分区
目录分区
树林
架构 配置
Application Direcotry
定义AD中的所有对象、属性 以及操作规则。树林共享同 一架构 包含树林的域结构、站点、 域控制器、服务信息 存储与应用程序有关的数据 ,它会复制到林中特定的域 控制器上。
•
• • • • •
集中存储用户和密码列表 提供一组服务器作为身份验证服务器 对域中的资源维护一个可供搜索的索引便于查找 允许创建带有不同权限的用户 能更好的做分层管理 AD为多厂商提供身份验证平台
减少 TCO 柔性管理
Sales
Paris
Repair
User1 Computer1 User2 Printer1
适当的权限(管理员的身份)
确认计算机名称 原安装光盘
TCP/IP
NTFS
安装Active Directory的过程
•
启动AD安装向导( DCPROMO)
Βιβλιοθήκη Baidu
验证 Active Directory 安装
验证 Active Directory 安装
验证SRV 记录
验证SYSVOL 验证AD日志 验证事件日志
总 结
• • • •
理解什么是活动目录 了解活动目录的优点 掌握活动目录的对象、属性、类 掌握活动目录架构的作用
第二课
活动目录概述(二)
本课概述
•
活动目录的逻辑结构
林、树、域、OU 站点、DC、WAN链路
•
活动目录的物理结构
AD的逻辑结构
域树
域
域
域
域 OU
域
域
对象
OU
OU
域 组织单位
林
AD的逻辑结构
域树和森林
双向可传递的信任关系
Bw.com
林 树
cc.net neimeng.Bw.com Changchun.bw.com
双向可传递的信任关系
树
域树具有连续的名称空间,而森林没有 林是活动目录实例的信息安全边界
Hebei.cc.net Henan.cc.net
组织单位OU
网络管理模型 OU结构
• • •
域 域树和森林 组织单元OU
域—活动目录的核心逻辑单元
•
•
域是出于管理而定义的对象集合 域是管理边界
域管理员仅仅能管理自己的域,除非在其它域被特别指派管理权 利,有其自己的安全策略(独立唯一) 域中的DC参与复制,并且包含自己域的目录信息的一个完整拷贝 复制
•
域是复制单元
Windows 2003 域
客户机加入域
前提条件 步骤
设置DNS地址 将计算机加入域
Lab A: 建立 Windows server 2003 域
先安装DNS再安装活动目录
•
• •
•
安装DNS服务 建立DNS辅助区域,实现区域复制 安装活动目录 验证DNS中的区域类型及动态更新
Lab b:先安装DNS再安装域
第一课
活动目录概述(一)
本课概述
• •
简介 理解什么是活动目录?
什么是目录 什么是活动目录
• • •
了解活动目录的优点 掌握活动目录的对象、属性、类 掌握活动目录架构的作用
什么是活动目录
•
•
什么是目录 什么是活动目录
什么是目录?
在一个组织中关于人和资源的信息的 一个存储仓库 •特点:用一致的方式命名、描述、定位、管理和保证这些 信息的安全