1、Windows Server Windows Server 20122012活动目录项目教程活动目录项目教程项目项目2 2 部署部署与管理与管理Active DirectoryActive Directory域服务域服务杨云杨云 编著编著人民邮电出版社人民邮电出版社一、认识活动目录及意义一、认识活动目录及意义什么是活动目录呢?活动目录就是Windows网络中的目录服务(Directory Service),也即活活动目录域服务(动目录域服务(AD DS)。所谓目录服务,有两方面内容:目录目录和与目录目录相关的服务相关的服务。Active Directory域服务相关知识域服务相关知识一、认识活
2、动目录及意义一、认识活动目录及意义活动目录负责目录数据库的保存、新建、删除保存、新建、删除、修改与查询、修改与查询等服务,用户能很容易地在目录内寻找所需要的数据。Active Directory域服务相关知识域服务相关知识一、认识活动目录及意义一、认识活动目录及意义1简化管理2提高安全性3改进性能4 增强可靠性Active Directory域服务相关知识域服务相关知识二、名称空间二、名称空间Active Directory域服务(AD DS)也是一个名称空间。利用AD DS,我们可以通过对象名称来找到与此对象有关的所有信息。Active Directory域服务相关知识域服务相关知识三、对象
3、(三、对象(Object)和属性()和属性(Atribute)AD DS内的资源以对象的形式存在,例如用户、计算机等都是对象,而对象是通过属性来描述其特征的,也就是对象本身是一些属性的集合。Active Directory域服务相关知识域服务相关知识Active Directory域服务相关知识域服务相关知识活动目录对象及属性活动目录对象及属性活动目录存储网络对象的信息。活动目录存储网络对象的信息。对象及属性存储在活动目录里对象及属性存储在活动目录里活动目录的对象是组成活动目录的基本元素活动目录的对象是组成活动目录的基本元素First NameLast NameLogon NamePrinte
4、r NamePrinter LocationPrintersPrinter1Printer2Suzan FineUsersDon HallPrintersUsersPrinter3 四、容器(四、容器(Container)容器与对象类似,它也有自己的名称,也是一些属性的集合,不过容器内可以包含其他对象(例如用户、计算机等),也可以包含其他容器。组织单位组织单位是一个比较特殊的容器,其内可以包含其他对象与组织单位。组织单位也是应用组策略应用组策略(group policy)和委委派责任派责任的最小单位。Active Directory域服务相关知识域服务相关知识五、可重新启动的五、可重新启动的A
5、D DS(Restartable AD DS)除了进入目录服务还原模式之外,Windows Server 2012(R2)域控制器还提供可重新启动的AD DS功能:若要执行AD DS数据库维护工作,只需将AD DS服务停止即可,不需要重新启动计算机来进入目录服务还原模式。可重新启动的可重新启动的AD DS不但可以让AD DS数据库的维护工作更容易、更快速地完成,而且其他服务也不会被中断。Active Directory域服务相关知识域服务相关知识六、六、Active Directory回收站回收站Windows Server 2012(R2)具备Active Directory回收站功能,它让
6、系统管理员不需要进入目录服务还原模式,就可以快速恢复被删除的对象。Active Directory域服务相关知识域服务相关知识七、七、AD DS的复制模式的复制模式多主机复制模式(multi-master replication model):AD DS数据库内的大部分数据是利用此模式进行复制操作的。单主机复制模式(single-master replication model):AD DS数椐库内少部分数据是采用单主机复制模式进行复制的。Active Directory域服务相关知识域服务相关知识八、架构(八、架构(Schema)AD DS对象类型与属性数据是定义在架构内的,例如它定义了用户
7、对象类型内包含哪些属性 (姓、名、电话等)、每一个属性的数据类型等信息。隶属于Schema Admins组的用户可以修改架构内的数据,应用程序也可以自行在架构内添加其所需的对象类型或属性。在一个林内的所有域树共享相同的架构。Active Directory域服务相关知识域服务相关知识九、域(九、域(Domain)域域是由网络管理员定义的一组计算机集合计算机集合,实际上就是一个网络。在这个网络中,至少有一台称为域控制器域控制器的计算机,充当服务器角色。在域控制器中保存着整个网络的用户账户及目录数据库,即活动目录活动目录。构建域后,管理员可以对整个网络实施集中控集中控制和管理制和管理。Active
8、 Directory域服务相关知识域服务相关知识十、组织单位十、组织单位组织单位组织单位是包含在活动目录中的容器容器对象,是可以指派组策略设置或委派管理权限的最小作用单位。组织单位可以将用户、组、计算机用户、组、计算机和其他单元放入活动目录的容器。组织单位不能包括来自其他域的对象。Active Directory域服务相关知识域服务相关知识Active Directory域服务相关知识域服务相关知识SalesVancouverRepairUsersSalesComputers 利用OU可以把对象组织到一个逻辑结构中使其最适应你的组织 需求。可以把管理控制权委派给OU中的对象。要委派的管理控制权
9、,必须把OU及OU包含的对象的具体的权限指给一个或几个用户和组。组织单位组织单位 十、组织单位十、组织单位创建组织单位有如下好处:创建组织单位有如下好处:可以分类组织对象,使所有对象结构更清晰。可以对某些对象配置组策略组策略,实现对这些对象的管理和控制。可以委派管理控制权委派管理控制权,如管理员可以给不同部门的网络主管授权,让他们管理本部门的账户。Active Directory域服务相关知识域服务相关知识十一、域目录树十一、域目录树当要配置一个包含多个域的网络时,应该将网络配置成域目录树结构。活动目录的域名仍然采用DNS域名域名的命名规则进行命名。Active Directory域服务相关知
10、识域服务相关知识十二、域目录林十二、域目录林Active Directory域服务相关知识域服务相关知识目录林是一个或多个目录树的集合。目录林中的目录树并不共用相同的连续的名字空间。整个域目录林中也存在一个根域,这个根域是域目录林中最先安装的域。十三、十三、站点站点Active Directory域服务相关知识域服务相关知识Sites:l站点由一个或多个站点由一个或多个IP子网组成,这些子子网组成,这些子网通过高速网络设备连接在一起。网通过高速网络设备连接在一起。l优化复制流量优化复制流量l使用户能够使用可靠、高速的连接登录使用户能够使用可靠、高速的连接登录到域控制器上到域控制器上 SiteL
11、os AngelesSeattleChicagoNew York Active Directory域服务相关知识域服务相关知识站点站点SitesDomain controllersWAN linksSiteDomain ControllersWAN LinkSite十四、十四、目录分区(目录分区(Directory Partition)Active Directory域服务相关知识域服务相关知识AD DS数据库被逻辑地分为下面数据库被逻辑地分为下面4个目录分区。个目录分区。l架构目录分区架构目录分区(Schema DireCtory Partition):它存储着整个林中所有对象与属性的定义数
12、据,也存储着如何建立新对象与属性的规则。l配置目录分区配置目录分区(Configuration Directory Partition):其内存储着整个AD DS的结构,例如有哪些域、哪些站点、哪些域控制器等数据。十四、十四、目录分区(目录分区(Directory Partition)Active Directory域服务相关知识域服务相关知识AD DS数据库被逻辑地分为下面数据库被逻辑地分为下面4个目录分区。个目录分区。l域目录分区域目录分区(Domain Directory Partition):每一个域各有一个域目录分区,其内存储着与该域有关的对象,例如用户、组与计算机等对象。l应用程序
13、目录分区应用程序目录分区(Application Directory Partition):一般来说,应用程序目录分区是由应用程序所建立的,其内存储着与该应用程序有关的数据。十五、十五、域控制器域控制器Active Directory域服务相关知识域服务相关知识域控制器:域控制器:承载承载 AD DS 目录存储的副本目录存储的副本 提供身份验证和授权服务提供身份验证和授权服务 将更新复制到域和林中的其他域控制器将更新复制到域和林中的其他域控制器域控制器是安装了域控制器是安装了 AD DS 服务器角色的服务器。服务器角色的服务器。允许在服务器上管理用户账户和网络资源允许在服务器上管理用户账户和网
14、络资源Windows Server 2012 AD DS 支持支持 RODCActive Directory域服务相关知识域服务相关知识域控制器域控制器Domain ControllerDomain ControllerDomain=A Writeable Copy of the Active Directory DatabaseDomain Controllers:l参与活动目录的复制参与活动目录的复制l是单主控操作是单主控操作 十六、十六、只读域控制器(只读域控制器(RODC)Active Directory域服务相关知识域服务相关知识RODC主要是设计给远程分公司网络来使用的,因为一般来
15、说远程分公司的网络规模比较小、用户人数比较少,此网络的安全措施或许并不如总公司完备,也可能缺乏IT技术人员。因此采用RODC可避免因其因其AD DS数据库被破坏数据库被破坏而影响到整个而影响到整个AD DS环境环境。十六、十六、只读域控制器(只读域控制器(RODC)Active Directory域服务相关知识域服务相关知识(1)RODC的的AD DS数据库内容数据库内容除了账户的密码之外,RODC的AD DS数据库内会存储AD DS域内的所有对象与属性。(2)单向复制(单向复制(Unidirectional Replication)只能单向复制:即总公司的可写域控制器的AD DS数据库有变动
16、时,此变动数据会被复制到RODC,反之不然。因而可以降低网络负担。十六、十六、只读域控制器(只读域控制器(RODC)Active Directory域服务相关知识域服务相关知识(3)认证缓存()认证缓存(Credential Caching)RODC在验证用户的密码时,仍然需要总公司的可写域控制器来验证,若希望提高验证速度,可以选择将用户的密码存储到RODC的认证缓存区。您需要通过密码复制策略密码复制策略(Password Replication Policy)来选择可以被RODC缓存的账户。基于安全考虑,建议不要缓存太多不要缓存太多。十六、十六、只读域控制器(只读域控制器(RODC)Acti
17、ve Directory域服务相关知识域服务相关知识(4)系统管理员角色隔离)系统管理员角色隔离(Administrator Role Separation)通过系统管理员角色隔离功能将域用户指定为RODC的本机系统管理员,从而可以在RODC这台域控制器上登录并执行管理工作,例如更新驱动程序等,但他却无法登录其他域控制器,也无法执行其他域管理工作。十六、十六、只读域控制器(只读域控制器(RODC)Active Directory域服务相关知识域服务相关知识(5)只读域名系统)只读域名系统(Read-Only Domain Name System)您可以在您可以在RODC上架设上架设DNS服务器
18、,服务器,RODC会复会复制制DNS服务器的服务器的所有应用程序目录分区所有应用程序目录分区。客户端可。客户端可向此向此DNS服务器提出服务器提出DNS查询查询要求。要求。Active Directory域服务相关知识域服务相关知识全局编录:全局编录:包含林中所有包含林中所有 AD DS 对象的副本,但是该副本仅包含林中每个对象的部对象的副本,但是该副本仅包含林中每个对象的部分属性分属性 提高搜索对象的效率,因为它避免了不必要地引用域控制器提高搜索对象的效率,因为它避免了不必要地引用域控制器 是用户登录到域中所必需的是用户登录到域中所必需的全局编录服务器是存储了全局编录的副本的域控制器。全局编录服务器是存储了全局编录的副本的域控制器。十七、十七、全局编录全局编录
