1、微软系统工程师、微软企业架构专家课程(微软系统工程师、微软企业架构专家课程(13期)期)第十一次课程第十一次课程实现实现Active Directory森林和域森林和域结构结构Overview Active Directory介绍介绍 Active Directory的逻辑结构的逻辑结构 Active Directory的物理结构的物理结构 管理管理Windows2003网络的方法网络的方法Lesson1:Active Directory介绍介绍 Active Directory的概念的概念 Active Directory对象对象 Active Directory架构架构 轻量级目录访问协议
2、(轻量级目录访问协议(LDAP)Active Directory的概念的概念 AD存储着整个网络上的资源(用户、组、共享目存储着整个网络上的资源(用户、组、共享目录等)信息,并且可以很方便地让用户查找、管录等)信息,并且可以很方便地让用户查找、管理和使用这些资源。理和使用这些资源。AD是由多个组件组成的是由多个组件组成的AD的组件:对像架构LDAP AD提供目录服务提供目录服务 集中式管理集中式管理DomainOU1ComputersComputer1UsersUser1UsersUser2OU2PrintersPrinter1什么是目录服务?什么是目录服务?有关人员和组织中的资源的信息的结构
3、化存储库有关人员和组织中的资源的信息的结构化存储库KimYoshidaAttributesValuesNameBuildingFloorKim Yoshida1171Active Directory对象对象 AD存储着网络对象的信息。AD对象(Objects)代表着网络资源,例如:用户、组、计算机和打印机。而且网络中所有的服务器、域和站点都被表示为对象。当创建对象时,对象的属性或特性(Attributes)存储着用来描述对象的信息。用户可以在整个AD中通过搜索特定的属性来定位对像。例用户可以通过查找打印机的位置属性来确定打印机的确切位置。什么是架构?什么是架构?对象的类和可以扩展的属性的全林性
4、定义对象的类和可以扩展的属性的全林性定义 架构更改可以重新定义或停用架构更改可以重新定义或停用对像对像 类的示例类的示例UserComputerPrinter属性的示例属性的示例accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTofirstNamelastName轻量级目录访问协议(轻量级目录访问协议(LDAP)轻量级目录访问协议(LDAP,Lightweight Directory Access Protocol)是用于查询和更新AD的目录服务协议。LDAP
5、协议规范表明,AD对象可以由一系列域组件、组织单位(OU)和公用名来代表,它们在AD里创建了LDAP命名路径。LDAP命名路径被用于访问AD对象,并包括下面两类:可分辨的名称相对可分辨的名称可分辨的名称可分辨的名称 在AD中每一个对象都有一个可分辨的名称。可分辨的名称(distinguished name)用于标识对象所在的域和到达该对象完整路径。下面是可分辨的名称的典型例子CN=Sunzan Fine、OU=Sales、DC=contoso、DC=msft关键字关键字属性属性描述描述DC域组件域组件DNS名称的域组件,例如:comOU组织单位组织单位组织单位可以用来包含其他的对象CN公用名公
6、用名除了域组件和组织单位的所有对象,如用户和计算机对象什么是相对的可辨的名称?什么是相对的可辨的名称?可分辨的名称标识对象的域和路径到达它可分辨的名称标识对象的域和路径到达它Contoso.msftFinanceSalesSuzan FineCN=Suzan Fine,OU=Sales,OU=Finance,DC=contoso,DC=msft相对的可分辨的名相对的可分辨的名称称Lesson2:Active Directory的逻辑结构的逻辑结构 多媒体:多媒体:Active Directory 逻辑结构逻辑结构 域域 组织单位组织单位 树和树林树和树林 全局编录全局编录多媒体:多媒体:Act
7、ive Directory 逻辑结构逻辑结构DomainDomainDomainDomainDomainDomainOUOUOU域树域树Domain森林森林组织单位组织单位对像对像Active Directory 逻辑结构逻辑结构 AD的逻辑结构具有伸缩性,并且提供了一种在的逻辑结构具有伸缩性,并且提供了一种在AD中层次结构的方法,该方法对于用户和管理员中层次结构的方法,该方法对于用户和管理员来说是易于理解的。来说是易于理解的。AD结构的逻辑组件包括结构的逻辑组件包括 域 组织单位 树与树林 全局编录域域 域是域是AD中逻辑结构的核心单位。域是由管理员定中逻辑结构的核心单位。域是由管理员定义的
8、计算机集合,它共享一个公用的目录数据庫义的计算机集合,它共享一个公用的目录数据庫。域有惟一的名称,并提供对由域管理员集中维。域有惟一的名称,并提供对由域管理员集中维护的用户帐户和组账户的访问。护的用户帐户和组账户的访问。安全边界安全边界复制单位复制单位组织单位组织单位OU是一个容器对象,该容器对象用来在一个域中组织对象是一个容器对象,该容器对象用来在一个域中组织对象。OU可以包含的对象包括用户账户、组、计算机、打印机可以包含的对象包括用户账户、组、计算机、打印机和其他和其他OU。DomainOU1ComputersComputer1UsersUser1UsersUser2OU2Printers
9、Printer1(1)OU层次结构层次结构可以使用OU把对象分组成一个最适应公司需求的逻辑层次结构。(2)管理控制)管理控制可以把管理控制权委派给OU内的对象。要委派OU的管理控制权,必须把OU及OU包含的对象的特殊权限指派给一个或多个用户和组。对OU来说,既可以给它指派全部管理控制权。树和树林树和树林asia.Nwtraders.msftOUOUOUasa.conoso.msft(根根)conoso.msftau.conoso.msftnwtraders.msftau.Nwtraders.msft树林树林树树树树双向可传递信任双向可传递信任树树 树(树(tree)是)是Windows2003
10、域的层次结构排列,域的层次结构排列,这些域共享连续的名称空间。把一个域添加到现这些域共享连续的名称空间。把一个域添加到现存的树中时,这个新的域就是现存的父域的域名存的树中时,这个新的域就是现存的父域的域名相结合形成它的相结合形成它的DNS域名。每个域和父域之间都域名。每个域和父域之间都有一个双向,可传递的信任关系。有一个双向,可传递的信任关系。树具有以下共同特征 遵循DNS标准,子域的域名是子域附加其父域名的相对名 在一个树中所有的域共享一个公用的架构,它是可以存储在AD配置中的对象类型的正式定义 在一个树中的所有的域共享一个公用的全局编录,该全局编录是树中对象的中心信息庫。双向、可传递信任双
11、向、可传递信任 双向、可传递信任关系是双向、可传递信任关系是Windows2003域之间的域之间的默认信任关系。双向、可传递信任是可传递信任默认信任关系。双向、可传递信任是可传递信任和双向信任的结合。和双向信任的结合。可传递信息是指扩展到一个域的信任关系也会自可传递信息是指扩展到一个域的信任关系也会自动扩展到信任该域所有其他域。动扩展到信任该域所有其他域。双向信任是指在两个域之间存在着两条方向相反双向信任是指在两个域之间存在着两条方向相反的信任路径。的信任路径。在在Windows2003的域中,双向可传递信任的优点的域中,双向可传递信任的优点是在是在AD域层次结构的所有域之间存在着完全信任域层
12、次结构的所有域之间存在着完全信任关系。这样,由这种信任关系链接起来的树就形关系。这样,由这种信任关系链接起来的树就形成了树林。成了树林。树林(树林(forest)树林是一个或多个树,树林中的树并不共享连续树林是一个或多个树,树林中的树并不共享连续的名称空间,然而,树林中的树共享公共架构和的名称空间,然而,树林中的树共享公共架构和全局编录。一个不与其他树相关联的单一树组成全局编录。一个不与其他树相关联的单一树组成一个只有一个树的树林。这样,每个树的根域与一个只有一个树的树林。这样,每个树的根域与树林根域之间存在着可传递信任关系。树林根域树林根域之间存在着可传递信任关系。树林根域的名称用于表示给定
13、的树林。的名称用于表示给定的树林。树林中的每个树都有它自己惟一的名称空间树林中的每个树都有它自己惟一的名称空间 树林具有下列特点 树林中的所有树共享一个公共的架构 根据树林中树所在的域不同,树有不同的命名结构 树林中的所有域共享一个全局编录 虽然树林中的域是独立操作的,然而树林去能使通信遍布整个个公司 在域和域树之间存在隐含的双向、可传递信任什么是全局编录?什么是全局编录?全局编录(全局编录(Globalcatalog)是一个信息库,它包)是一个信息库,它包含的含的 Active Directory 中的所有对象的属性子集。中的所有对象的属性子集。Global CatalogRead Only
14、全局编录全局编录 全局编录使用户能够执行下列两种重要的功能:全局编录使用户能够执行下列两种重要的功能:无论数据在什么位置,都可以通过整个树林中AD信息进行查找 使用能用组成员身份登录网络 全局编录服务器是一个域控制器,可以存储查询的副本并奖其整理到全局编录中。在AD中建立的第一个域控制器会自动成为全局编录服务器。用户可以通过配置额外的全局编录服务器平衡来自于登录身份验证和查询的通信量 对于正在AD中搜索某个对像的用户来说,全局编录使树林内的目录结构变得透明 全局编录还包含存储在全局编录中每个对象和属性的访问权限。Lesson3:Active Directory的物理结构的物理结构 多媒体:多媒
15、体:Active Directory 物理结构物理结构 域控制器(域控制器(DC)站点站点多媒体:多媒体:Active Directory 物理结构物理结构站点站点域控制器域控制器WAN 链接链接SiteDomain ControllersWAN LinkSiteActive Directory 物理结构物理结构 在在AD中,逻辑结构与物理结构不,并且是相互中,逻辑结构与物理结构不,并且是相互独立的。逻辑结构一般用来组织网络资源,而独立的。逻辑结构一般用来组织网络资源,而物理结构一般用来配置和管理网络通信。域控物理结构一般用来配置和管理网络通信。域控A制器和站点构成了制器和站点构成了AD的物理
16、结构的物理结构 AD的物理结构定义了复制和登录发生的时间和的物理结构定义了复制和登录发生的时间和地点。理解地点。理解AD物理组件对于优化网络通信和登物理组件对于优化网络通信和登录处理是很重要的。同进,知道物理结构将有录处理是很重要的。同进,知道物理结构将有助于复制和登录问题的疑难解答助于复制和登录问题的疑难解答 组件包括:域控制器(DC)站点(site)域控制器(域控制器(DC)域控制器是一台运行域控制器是一台运行Windows2003server的计的计算机,用来存储目录的副本。同时,域控制器管算机,用来存储目录的副本。同时,域控制器管理目录信息的变化,并把这些变化自制给该域上理目录信息的变
17、化,并把这些变化自制给该域上的其他域控制器域控制器负责存储目录数据,管的其他域控制器域控制器负责存储目录数据,管理用户登录、验证和目录搜索。理用户登录、验证和目录搜索。一个域可以有一个或多个域控制器。使用单个局一个域可以有一个或多个域控制器。使用单个局域网(域网(LAN)的小公司只需要一个有两个域控制)的小公司只需要一个有两个域控制器的域来提供合适的有效性和容错性,而一个跨器的域来提供合适的有效性和容错性,而一个跨越许多地理位置的大公司在每个区域都需要一个越许多地理位置的大公司在每个区域都需要一个或多个域控制器来提供合适的有效性和容错性。或多个域控制器来提供合适的有效性和容错性。(续)域控制器
18、(续)域控制器(DC)(1)Active Directory复制复制 域或树林中的域控制器能够把AD数据庫的变化自动自制给对方。复制确保了AD中的所有信息对于整个网络上所有的域控制器和客户端计算机都是可用的。AD的物理结构决定了复制发生的时间和复制是如何发生的。AD使用的是多主机复制模型。在多主机复制模型中,每个windows2003域都有一个或多个域控制器。每个域控制器为该域存储着AD数据庫的可写副本,并管理目录副本的变化和更新。当用户或管理员执行了引起域控制器目录更新的操作时,这种更新将被复制到该域中有的域控制器上,然而在所有的域控制器把它们的变化都同步到AD中以前,域控制器在短时间内可能
19、有不同的信息(续)域控制器(续)域控制器(DC)(2)单主机操作)单主机操作 由于某些操作上可能潜在的冲突,一些AD的变化对于执行多主机方式复制来说是不可行的,因此出现了单主机操作,单主机操作(single master operations)就是只指派给特定的域控制器,在AD的域或树林中,已经被指派为一个或多个单主机操作角色原域控制器就是操作主机。被分派了这些角色的域控制器所执行的操作,不允许在网络中的其他域控制器上同时执行。例如:在树林中添加或删除一个域什么是操作主机?什么是操作主机?林根域中的第一个域林根域中的第一个域控制器控制器林范围的角色林范围的角色架构主机架构主机域命名主机域命名主
20、机PDC emulatorRID masterInfrastructure master域范围的角色域范围的角色PDC 模拟器模拟器RID 的主机的主机结构主机结构主机域范围的角色域范围的角色RID 的主机的主机PDC 模拟器模拟器结构主机结构主机站点(站点(site)站点由一个或多个通过高速链接的站点由一个或多个通过高速链接的IP子网组成。子网组成。通过定义站点,可以为通过定义站点,可以为AD配置访问和复制拓扑。配置访问和复制拓扑。这样,这样,Windows2003就可以为复制和登录通信使就可以为复制和登录通信使用最有效的链接和日程安排。用最有效的链接和日程安排。创建站点的两个主要原因:优化
21、复制 通过使用可靠的高速链接使用户能够连接到域控制器 站点映射网络的物理结构,而域映射公司的逻辑站点映射网络的物理结构,而域映射公司的逻辑结构。结构。AD逻辑结构和物理结构是彼此独立的,主逻辑结构和物理结构是彼此独立的,主要有下列特点:要有下列特点:在网络的物理结构和它的域结构之间没有必然的相互联系 AD允许在一个站点中有多个域,同时允许在一个域中有多个站点 在站点和域名称空间之间没有必然的联系SiteDomain ControllersWAN LinkSite多媒体:多媒体:如何如何 Active Directory 启用一个单一启用一个单一登录登录-onDomain ControllerS
22、erver XYZWindowsxpLog On to WindowsREDMONDLesson:管理管理Windows2003网络的方法网络的方法 使用使用Active Directory进行集中管理进行集中管理 管理用户环境管理用户环境 委派管理控制委派管理控制使用使用Active Directory进行集中管理进行集中管理 Active Directory:使单管理员能集中管理资源 允许管理员很容易地查找信息 允许管理员将对象分组到OU中 使用组策略来指定基于策略的设置DomainOU1ComputersComputer1UsersUser1UsersUser2OU2PrintersPr
23、inter1管理用户环境管理用户环境 组策略把组策略把Active Directory容器(站点、容器(站点、域和域和OU)作为管理单位。设置在容器上)作为管理单位。设置在容器上的组策略可以影响容器内所有的用户和计的组策略可以影响容器内所有的用户和计算机。算机。利用组策略管理用户环境,可以:控制用户登录时能执行的操作,锁定用户不可以访问的资源。集中管理应用程序的安装、服务包、操作系统更新和软件的修复、更新和删除。配置跟踪(follow)用户数据委派管理控制委派管理控制 指派权限:指派权限:为特定的OU指定其他的管理员 修改单个OU中对象的特定属性 在所有的OU中执行同一任务 自定义管理工具自定义管理工具 映射给委派的管理任务 简化界面设计DomainOU1OU3OU2
