网络工程规划与设计项目二-任务二微软AD活动目录介绍课件.ppt

1、活动目录概述活动目录概述 活动目录的基本概念活动目录的结构管理操作主机DNS 与活动目录如何建立活动目录活动目录概述 管理用户和组在活动目录中发布资源组策略常用工具Windows2003新特性活动目录的基本概念什么是活动目录活动目录的对象活动目录的架构（Schema）活动目录与LDAP什么是活动目录Printer1用户?目录目录服务器服务器 名称名称:Server1OS:Windows 2000Type:File ServerLocation:1st Floor 名称名称:Server2OS:Novell Netware 4.0Type:File ServerLocation:2nd Floo

2、r打印机打印机 名称名称:Printer1Type:HP4SiColor:NoDuplex:YesLocation:3rd FloorServer1Server2活动目录服务基于活动目录服务基于 X.500 数据库结构，用数据库结构，用于在一个层次结构中组于在一个层次结构中组织网络资源织网络资源目录目录服务器服务器 名称名称:Server1OS:Windows 2000Type:File ServerLocation:1st Floor 名称名称:Server2OS:Novell Netware 4.0Type:File ServerLocation:2nd Floor打印机打印机 名称名称:

3、Printer1Type:HP4SiColor:NoDuplex:YesLocation:3rd Floor为什么需要目录服务n组织组织n管理管理n控制控制资源资源n单入口的管理单入口的管理n一次登陆，可访问域中所有资源一次登陆，可访问域中所有资源活动目录的对象 对象代表网络资源 属性存储对象的信息 姓姓名名登录名打印机名称打印机名称打印机位置打印机Printer1Printer2Suzan Fine用户Don Hall打印机用户Printer3活动目录架构 Schema打印机打印机计算机计算机用户用户accountExpiresdepartmentdistinguishedNamemiddl

4、eNameaccountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName 活动目录活动目录 Schema:n随时可用的n可动态更新的n被 DACLs 保护轻量级目录访问协议(LDAP)LDAP提供通过制定唯一名字路径来访问活动目录的每一个对象 LDAP 名字路径包括:Distinguished names LDAP例子 LDAP:/DC=Microsoft,DC=COMCN=Suzan Fine,OU=Sales,DC=contoso,DC=msft

5、 Suzan Fine活动目录的结构活动目录逻辑结构活动目录物理结构Sites及活动目录的复制活动目录逻辑结构域 Domains组织单元 Organizational Units树和森林 Trees and Forests全局编录 Global CatalogDNS 与活动目录DNS在活动目录中的角色DNS 和活动目录的命名空间活动目录中的DNS名字解析SRV记录DNS在活动目录中的角色 名称解析 DNS translates computer names to IP addresses Computers use DNS to locate each other on the network

6、 Windows 2000/2003 域的名称 Windows 2000/2003 使用 DNS 命名标准 DNS 域和活动目录的域使用共同的名称层析结构 定位活动目录的物理组件 DNS根据域控制器提供的服务来确定它们 域中计算机使用DNS来定位域控制器何全局编录DNS 和活动目录的命名空间AmericamicrosoftDNS NamespaceActive Directory Namespace=DNS node(domain or computer)=Active Directory domainFareastcomputer1(DNS root domain)Internet活动目录中

7、的DNS名字解析SRV(Service)资源纪录SRV Records 由域控制器注册域中计算机用DNS 来定位域控制器由域控制器注册的SRV 记录nNetlogon 服务负责注册域控制器的所有DNS纪录ldap._tcp.DnsDomainName.LDAP服务器 _ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName.查找同Site的域控制器_gc._tcp.DnsForestName.GC_gc._tcp.SiteName._sites.DnsForestName.查找同Site的GC_kerberos._tcp.DnsDomainName.

8、KDC_kerberos._tcp.SiteName._sites.DnsDomainName.查找同Site的KDC活动目录中DNS的要求支持支持 SRV 记录记录支持动态更新协议支持动态更新协议支持支持AD集成复制集成复制域 Domains 域是一个安全边界 域管理员只能在本域中执行管理操作，除非他被明确地赋予其他域管理员身份 一个域是一个复制单元 域控制器包含域中信息的完整集合，并且参与域信息的复制Windows 2000DomainUser1User2User1User2能力复制单元大小命名管理委派域的性能域的层次结构组织单元用OU来给对象进行分组管理委派到OUSalesVancouv

9、erRepairUsersSalesComputers组织单元 用于结构化活动目录 公司的组织结构 公司的管理构架DomainParisSalesRepairUser1User2User3User4组织单元特性包含用户、组、打印机、计算机、联系人可应用组策略嵌套灵活 容易建立、删除、改变组织单元的划分原则基于部门 OUs基于项目 OUs基于业务功能 OUs基于管理 OUs基于对象 OUs地理位置 OUs树和森林contoso.msft(root)au.contoso.msftasia.contoso.msft树树au.nwtraders.msftasia.nwtraders.msftnwtra

10、ders.msft森林森林树树全局编录Global CatalogGlobal Catalog Server所有对象的所有对象的属性子集属性子集域域域域域域域域域域域域子域子域OUOUOUOUOUOUOUOUOU子域子域子域子域域域子域子域子域子域域域ForestDomain TreeDomain TreeDomain TreeGlobal CatalogENTERPRISE 活动目录物理结构域控制器Sites活动目录的复制域控制器域控制器域控制器域控制器域控制器域域User1User2User1User2=活动目录数据库的可写拷贝活动目录数据库的可写拷贝域控制器域控制器:l参与活动目录复制参

11、与活动目录复制l在域中作为单操作主机角色在域中作为单操作主机角色SitesSites:l优化复制通信量优化复制通信量l使用户可以通过可信赖的、高速的连接登录域使用户可以通过可信赖的、高速的连接登录域控制器控制器SiteLos AngelesSeattleChicagoNew York相关概念Site层次活动目录的复制多主机复制 所有域控制器参预复制，对等的 任何变化将从一台域控制器复制到所有域控制器 任何变化可从不同的域控制器上产生Sites 允许预定的复制 Schedule IntervalDirectory Partition 复制Domain ZDomain YDomain XConfi

12、gurationSchemaSchemaConfigurationDomainDomainConfigurationSchemaDomainConfigurationSchemaDomain ZDomain YDomain XConfigurationSchemaDirectory Partition也称为命名上下文命名上下文Naming Context or NC活动目录的复制用户DCDCDCDC2311被改编的信息送到被改编的信息送到DC2 DC将变化复制到其他将变化复制到其他DC3 其他其他DC将变化复制到更将变化复制到更多地多地DCSchema/Configuration NC T d

13、omain NC TopologyConnection ObjectReplication Topology GenerationWithin a SiteDC1DC2DC3DC4DC1DC2DC3DCReplication Topology GenerationTwo Domains Within a SiteDC1DC2DC3DC4Schema/Configuration NC T domain NC T domain NC TopologyConnection ODCADCBDC2DC4DC3DC1DCADCB复制协议Transport拓扑结构拓扑结构复制模型复制模型压缩压缩RPC ov

14、er IPRingNotify/PullNoneRPC or SMTP*Spanning TreeRequest/PullFullIntra-Site复制复制Inter-Site复制复制SMTP over IP is only supported for DC of different domains(i.e.Schema,Configuration and GC replication)Bridgehead Server ConfigurationSite间复制只在桥头堡服务器之间Domain A.B.comDomain B.com域控制器域控制器Site Link (Cost)(2)(1)

15、(4)L.A.(1)CHIN.Y.ATL.桥头堡服务器可以不止一个Bridgehead Server操作主机森林范围内：Schema Master Domain Naming Master域范围内：PDC Emulator RID Master Infrastructure Master操作主机介绍n只有只有作为操作主机的作为操作主机的域控制器才能对活动目录信息作相应改变域控制器才能对活动目录信息作相应改变n在操作主机上作的改变将会复制到其他的域控制器在操作主机上作的改变将会复制到其他的域控制器n任何域控制器可以作为操作主机任何域控制器可以作为操作主机n操作主机角色可以转移操作主机角色可以转移

16、复制复制单主机操作单主机操作操作主机操作主机操作主机的默认位置森林中的第一台域控制器森林中的第一台域控制器森林范围你的角色：森林范围你的角色：lSchema masterlDomain naming master域范围内角色：域范围内角色：lRID masterlPDC emulatorlInfrastructure masterSchema Master控制所有的Schema更新复制Schema更新到森林中所有的域控制器只有在 Schema Admin 组中的成员 才能更该Schema Schema Master复制复制Domain Naming Master 控制在森林中添加和删除域New

17、 DomainDomain Naming MasterGlobal Catalog ServerPDC Emulator n在在NT BDC和基于和基于Windows2000之前的客户端存在时之前的客户端存在时作为作为PDC n用于基于用于基于Windows2000之前的客户端更新密码之前的客户端更新密码n对于基于对于基于Windows2000的客户端，最小化复制密码的客户端，最小化复制密码更改的延迟更改的延迟n管理时间同步管理时间同步Client Computer Running Pre-Windows 2000 Version of WindowsPDC EmulatorWindows N

18、T BDCRID MasterMoven给域中其他的域控制器分配给域中其他的域控制器分配 RIDs块块Object SID=Domain SID+RIDRID Master Block of RIDsMoveRID AllocationInfrastructure MasternUpdates References to Objects and Group Memberships from Other DomainsInfrastructure MasterGlobal Group 嵌套到嵌套到 Domain Local GroupMove GUID SIDNew DN组成员列表组成员列表决定

19、操作主机的位置用用“Active Directory 用户和计算机用户和计算机”查找查找nRID masternPDC emulatornInfrastructure master用用“Active Directory 域和信任域和信任”查找查找nDomain naming master用用“Active Directory Schema”查找查找nSchema masternregsvr32 schmmgmt.dll其他方法：其他方法：nnetdom query FSMOndcdiag /test:KnowsOfRoleHolders /v转移操作主机角色 不丢失数据 方法：NTDSUtil

20、.exe 图形界面FunctioningOperations Master Transfer Role to Another Domain Controller抓取操作主机角色 当且仅当某个操作主机无法再使用 可能丢失数据 方法：NTDSUtilNon FunctioningOperations Master Seize a Role and Reassign to Another Functioning Domain ControllerPDC Emulator和Infrastructure Master不可用 PDC Emulator 不可用严重影响网络操作 NT BDC同步 基于Wind

21、ows2000之前客户端无法更新密码 时间无法同步 Infrastructure Master不可用并不会有严重影响，除非时间很长确认哪一个域控制器是操作主机确认哪一个域控制器是操作主机确定域控制器问题的严重程度确定域控制器问题的严重程度抓取操作主机到其他域控制器上抓取操作主机到其他域控制器上确定新的域控制器接受了操作主机角色确定新的域控制器接受了操作主机角色优化FSMORID和PDC 放在同一台域控制器Infrastructure master不要和Global Catalog放在一起Schema Master和Domain Naming Master 放在一起Domain Naming M

22、aster放在Global Catalog上文档 223346 FSMO Placement and Optimization on 223346 FSMO Placement and Optimization on Windows 2000 Domain ControllersWindows 2000 Domain Controllers http:/ 建立一个新域运行 dcpromo.exe 建立 root domain 建立 sub-domain 建立额外的 domain controller管理用户和组用户帐户和组的介绍Active Directory 用户和计算机建立大量用户帐户管理

23、用户帐户使用组用户帐户和组的介绍Permissions使用 CSVDE 使用LDIFDE使用脚本(VBScript)建立大量用户帐户使用组活动目录的组 使用 Global Groups 使用 Domain Local Groups 活动目录的组nGroups Can Be Nested Inside Other GroupsnUsers Can Be Members of Multiple GroupsGroupGroupnGroups Simplify Assigning Permission to ResourcesGroupGroupGroupGroupGroupGroupUsing G

24、lobal and Domain Local GroupsUser AccountsGlobal GroupsGlobal GroupDomain Local GroupPermissionsDLGAdd Domain User Accounts into Global Groups(Optional)Add Global Groups into Another Global GroupAdd Global Group into Domain Local GroupAssign Resource Permissions to the Domain Local Group组策略组策略介绍组策略设

25、置的类型组策略介绍组策略作用:设置集中或分散的策略 确保用户有他们需要的环境 通过控制用户和计算机环境来降低TCO 强制全体策略SiteDomainOUWindows 2000 Applies ContinuallyUsersComputersAdministrator Sets Group Policy OnceGroup Policy组策略设置的类型AdministrativeTemplates基于注册标的组策略设置Security本地、域、网络安全设置Software Installation软件安装的集中管理设置ScriptsStartup,shutdown,logon,and log

26、off 脚本Remote Installation Services 有关远程安装服务的设置Internet Explorer Maintenance设置和管理定制的IEFolder Redirection将用户文件夹存贮到网络服务器上的设置针对计算机和用户的组策略 Group Policy Settings for Computers:Group Policy Settings for Users:UsersComputers组策略对象和组策略容器GPO 设置应用于连接在一个Site、域、和OU中的用户和计算机 一个GPO可以连接在多个Site、域、和OU 上 一个Site、域、和OU 上可

27、以连接多个GPOSiteDomainOUOUOUOU GPOOU GPOSite GPODomain GPO组策略的继承 Windows 2008 以特定顺序应用GPO 设置SiteDomainOU 下一级容器结成上一级容器的GPO设置ComputersUsersPayrollDomainDomain GPO一个组策略应用的顺序Computer-Scripts-StartupComputer-Software InstallationUser-Software InstallationUser Profile Logon ScriptsUser-Scripts-LogonUser-Script

28、s-LogoffComputer-Scripts-Shutdown修改组策略继承阻止策略继承禁止替代过滤组策略设置阻止策略继承阻止策略继承:不从所有上层的容器上继承GPO 无法选择哪一个GPO不被阻止 无法阻止 No Override选项GPOs SalesProductionDomainNo GPO settings apply禁止替代禁止替代:不顾 Block Inheritance 和GPO 冲突 应该在更高级的容器上设置 应用于连接，而不是GPO 强制执行 corporate-wide 规则SalesProductionDomainDomain GPO settings applyCo

29、nflicting GPO SettingsNo Override GPO Settings过滤组策略设置DomainSalesMengphKimyoGroupDeny Apply Group PolicyAllow Read and Apply Group Policy:l明确地拒绝应用组策略组策略脚本设置组策略脚本设置允许你：组策略脚本设置允许你：n集中配置启动集中配置启动/关机脚本，用户登录关机脚本，用户登录/注销脚本注销脚本n管理和配置用户环境管理和配置用户环境脚本脚本Computer ConfigurationUser Configuration计算机用户设置组策略脚本Logon P

30、ropertiesScriptsLogon Scripts for Log On ScriptAUCKLAND.contoso.msftNameParametersDevelopment.vbsInformation Services.vbsUpDownAdd.Edit.RemoveShow Files.OKCancelApplyTo view the script files stores in this Group Policy Object,press the button below.Copy the script to the appropriate GPTAdd the scrip

31、t to the appropriate GPO使用文件夹重定向什么是文件夹重定向?选择重定向的文件夹将文件夹重定向到服务器什么是文件夹重定向?文件夹重定向:不管用户在那台计算机上登录，数据总是可用的。数据因为是集中存贮的，便于管理和备份 只当用户访问文件的时候才产生网络流量 文件不存在本地文件夹MyDocumentsMyDocuments将文件夹重定向到服务器When Redirecting User Folders:Desktop PropertiesTargetSettingsYou can specify the location of the Desktop folderNo adm

32、inistrative policy specifiedSetting:OKCancelApplyThe Group Policy Object will have no effect on the location of this folder.Desktop PropertiesTargetSettingsYou can specify the location of the Desktop folderBasic Redirect everyones folder to the dame locSetting:OKCancelApplyThis folder will be redire

33、cted to the specified location.An example target path is:servershare%username%.Target folder locationlondondesktops%username%BrowseDesktop PropertiesTargetSettingsYou can specify the location of the Desktop folderAdvanced Specify locations for various user grouSetting:OKCancelApplyThis folder will b

34、e redirected to different locations based on the security group membership of the users.An example target path is servershare%username%Security Group MembershipGroupCONTOSOacctlondonacct%username%CONTOSOsaleslondonsales%username%PathAddEditRemoveUse the%username%variable常用工具常用管理工具 AD用户和计算机 站点和服务 AD域信任 DNS管理器 Resource Kit/Support Tools 工具排错工具 事件察看器 MPS Report Network Monitor