Active Directory 是用于 Windows 2000 Server 的目錄服務(wù)。它存儲(chǔ)著網(wǎng)絡(luò)上各種對(duì)象的有關(guān)信息,并使該信息易于管理員和用戶查找及使用。Active Directory 目錄服務(wù)使用結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)作為目錄信息的邏輯層次結(jié)構(gòu)的基礎(chǔ)。Active Directory 的優(yōu)點(diǎn):信息安全性 、基于策略的管理 、可擴(kuò)展性 、可伸縮性 、信息的復(fù)制 、與 DNS 集成 、與其他目錄服務(wù)的互操作性、靈活的查詢。
本章主要內(nèi)容:
1、活動(dòng)目錄的基本概念及其作用
2、在安裝活動(dòng)目錄前的目錄規(guī)劃
3、活動(dòng)目錄工具
6.1 活動(dòng)目錄的概念
6.1.1 域
域提供了多項(xiàng)優(yōu)點(diǎn):
§ 組織對(duì)象。
§ 發(fā)布有關(guān)域?qū)ο蟮馁Y源和信息。
§ 將組策略對(duì)象應(yīng)用到域可加強(qiáng)資源和安全性管理。
§ 委派授權(quán)使用戶不再需要大量的具有廣泛管理權(quán)利的管理員。
要?jiǎng)?chuàng)建域,用戶必須將一個(gè)或更多的運(yùn)行 Windows 2000 Server 的計(jì)算機(jī)升級(jí)為域控制器。域控制器為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供 Active Directory 目錄服務(wù)、存儲(chǔ)目錄數(shù)據(jù)并管理用戶和域之間的交互作用,包括用戶登錄過(guò)程、驗(yàn)證和目錄搜索。每個(gè)域至少必須包含一個(gè)域控制器。
域樹(shù)和域林
活動(dòng)目錄中的每個(gè)域利用 DNS 域名加以標(biāo)識(shí),并且需要一個(gè)或多個(gè)域控制器。如果用戶的網(wǎng)絡(luò)需要一個(gè)以上的域,則用戶可以創(chuàng)建多個(gè)域。共享相同的公用架構(gòu)和全局目錄的一個(gè)或多個(gè)域稱(chēng)為域林。如圖 6.1 中所示,如果樹(shù)林中的多個(gè)域有連續(xù)的 DNS 域名,則該結(jié)構(gòu)稱(chēng)為域樹(shù)。
如圖6.2所示如果相關(guān)域樹(shù)共享相同的 Active Directory 架構(gòu)以及目錄配置和復(fù)制信息,但不共享連續(xù)的 DNS 名稱(chēng)空間,則稱(chēng)之為域林。
域樹(shù)和域林的組合為用戶提供了靈活的域命名選項(xiàng)。連續(xù)和非連續(xù)的 DNS 名稱(chēng)空間都可加入到用戶的目錄中。
6.1.2. 域和帳戶命名
Active Directory 域名通常是該域的完整 DNS 名稱(chēng)。但是,為確保向下兼容,每個(gè)域還有一個(gè) Windows 2000 以前版本的名稱(chēng),以便在運(yùn)行 Windows 2000 以前版本的操作系統(tǒng)的計(jì)算機(jī)上使用。用戶帳戶
在 Active Directory 中,每個(gè)用戶帳戶都有一個(gè)用戶登錄名、一個(gè) Windows 2000 以前版本的用戶登錄名(安全帳戶管理器的帳戶名)和一個(gè)用戶主要名稱(chēng)后綴。在創(chuàng)建用戶帳戶時(shí),管理員輸入其登錄名并選擇用戶主要名稱(chēng)。Active Directory 建議 Windows 2000 以前版本的用戶登錄名使用此用戶登錄名的前 20 個(gè)字節(jié)。
所謂用戶主要名稱(chēng)是指由用戶賬戶名稱(chēng)和表示用戶賬戶所在的域的域名組成。這是登錄到 Windows 2000 域的標(biāo)準(zhǔn)用法。表準(zhǔn)格式為:user@domain.com (類(lèi)似個(gè)人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱(chēng)中加入 @ 號(hào)。Active Directory 在創(chuàng)建用戶主要名稱(chēng)時(shí)自動(dòng)添加此符號(hào)。包含多個(gè) @ 號(hào)的用戶主要名稱(chēng)是無(wú)效的。
在 Active Directory 中,默認(rèn)的用戶主要名稱(chēng)后綴是域樹(shù)中根域的 DNS 名。如果用戶的單位使用由部門(mén)和區(qū)域組成的多層域樹(shù),則對(duì)于底層用戶的域名可能很長(zhǎng)。對(duì)于該域中的用戶,默認(rèn)的用戶主要名稱(chēng)可能是 grandchild.child.root.com。該域中用戶默認(rèn)的登錄名可能是 user@grandchild.child.root.com 。創(chuàng)建主要名稱(chēng)后綴 - "root" 使同一用戶使用更簡(jiǎn)單的登錄名 user@root.com 就可以登錄。
6.1.3 域間信任關(guān)系
對(duì)于 Windows 2000 計(jì)算機(jī),通過(guò)基于 Kerberos V5 安全協(xié)議的雙向、可傳遞信任關(guān)系啟用域之間的帳戶驗(yàn)證。
在域樹(shù)中創(chuàng)建域時(shí),相鄰域(父域和子域)之間自動(dòng)建立信任關(guān)系。如圖 6.2 中的 root.com 和 child.root.com 之間自動(dòng)建立信任關(guān)系。在域林中,在樹(shù)林根域和添加到樹(shù)林的每個(gè)域樹(shù)的根域之間自動(dòng)建立信任關(guān)系。因?yàn)檫@些信任關(guān)系是可傳遞的,所以可以在域樹(shù)或域林中的任何域之間進(jìn)行用戶和計(jì)算機(jī)的身份驗(yàn)證。
如果將 Windows 2000 以前版本的 Windows 域升級(jí)為 Windows 2000 域時(shí),Windows 2000 域?qū)⒈A粲蚝腿魏纹渌蛑g現(xiàn)有的單向信任關(guān)系。包括 Windows 2000 以前版本的 Windows 域的所有信任關(guān)系。如果用戶要安裝新的 Windows 2000 域并且希望與任何 Windows 2000 以前版本的域建立信任關(guān)系,則必須創(chuàng)建與那些域的外部信任關(guān)系。
所有域信任關(guān)系都只能有兩個(gè)域:信任域和受信任域。域信任關(guān)系按以下特征進(jìn)行描述:
§ 單向
單向信任是域 A 信任域 B 的單一信任關(guān)系。所有的單向關(guān)系都是不可傳遞的,并且所有的不可傳遞信任都是單向的。身份驗(yàn)證請(qǐng)求只能從信任域傳到受信任域。Windows 2000 的域可與以下域建立單向信任:不同樹(shù)林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 領(lǐng)域。
§ 雙向
Windows 2000 樹(shù)林中的所有域信任都是雙向可傳遞信任。建立新的子域時(shí),雙向可傳遞信任在新的子域和父域之間自動(dòng)建立。
§ 可傳遞
Windows 2000 樹(shù)林中的所有域信任都是可傳遞的。可傳遞信任始終為雙向:此關(guān)系中的兩個(gè)域相互信任。
可傳遞信任不受信任關(guān)系中的兩個(gè)域的約束。每次當(dāng)用戶建立新的子域時(shí),在父域和新子域之間就隱含地(自動(dòng))建立起雙向可傳遞信任關(guān)系。這樣,可傳遞信任關(guān)系在域樹(shù)中按其形成的方式向上流動(dòng),并在域樹(shù)中的所有域之間建立起可傳遞信任。
如圖6.3中因?yàn)橛?1 和域 2 有可傳遞信任關(guān)系,域 2 和域 3 有可傳遞信任關(guān)系,所以域 3 中的用戶(在獲得相應(yīng)權(quán)限時(shí))可訪問(wèn)域 1 中的資源。因?yàn)橛?1 和域 A 具有可傳遞信任關(guān)系,
并且域 A 的域樹(shù)中的其他域和域 A 具有可傳遞信任關(guān)系,所以域 B 中的用戶(當(dāng)授與適當(dāng)權(quán)限時(shí))可訪問(wèn)域 3 中的資源。
§ 不可傳遞
不可傳遞信任受信任關(guān)系中的兩個(gè)域的約束,并不流向樹(shù)林中的任何其他域。在大多數(shù)情況下,用戶必須明確建立不可傳遞信任。在 Windows 2000 域和 Windows NT 域之間的所有信任關(guān)系都是不可傳遞的。從 Windows NT 升級(jí)至 Windows 2000 時(shí),目前所有的 Windows NT 信任都保持不動(dòng)。在混和模式環(huán)境中,所有的 Windows NT 信任都是不可傳遞的。不可傳遞信任默認(rèn)為單向信任關(guān)系。
§ 外部信任
外部信任創(chuàng)建了與樹(shù)林外部的域的信任關(guān)系。創(chuàng)建外部信任的優(yōu)點(diǎn)在于使用戶可以通過(guò)樹(shù)林的信任路徑不包含的域進(jìn)行身份驗(yàn)證。所有的外部驗(yàn)證都是單向非轉(zhuǎn)移的信任
§ 快捷信任
快捷信任是雙向可傳遞的信任,使用戶可以縮短復(fù)雜樹(shù)林中的路徑。Windows 2000 同一樹(shù)林中域之間的快捷信任是明確創(chuàng)建的。快捷信任具有優(yōu)化的性能,能縮短與 Windows 2000 安全機(jī)制有關(guān)的信任路徑以便進(jìn)行身份驗(yàn)證。在樹(shù)林中的兩個(gè)域樹(shù)之間使用快捷信任是最有效的。
6.1.4 站點(diǎn)
站點(diǎn)是由一個(gè)或多個(gè) IP 子網(wǎng)中的一組計(jì)算機(jī),確保目錄信息的有效交換,站點(diǎn)中的計(jì)算機(jī)需要很好地連接,尤其是子網(wǎng)內(nèi)的計(jì)算機(jī)。站點(diǎn)和域名稱(chēng)空間之間沒(méi)有必要的連接。站點(diǎn)反映網(wǎng)絡(luò)的物理結(jié)構(gòu),而域通常反映用戶單位的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨(dú)立,所以網(wǎng)絡(luò)的物理結(jié)構(gòu)及其域結(jié)構(gòu)之間沒(méi)有必要的相關(guān)性,Active Directory 允許單個(gè)站點(diǎn)中有多個(gè)域,單個(gè)域中有多個(gè)站點(diǎn)。
如果配置方案未組織成站點(diǎn),則域和客戶之間的信息交換可能非常混亂。站點(diǎn)能提高網(wǎng)絡(luò)使用的效率。站點(diǎn)服務(wù)在以下兩方面令網(wǎng)絡(luò)操作更為有效:
§ 服務(wù)請(qǐng)求
當(dāng)客戶從域控制器請(qǐng)求服務(wù)時(shí),只要相同域中的域控制器有一個(gè)可用,此請(qǐng)求就將會(huì)發(fā)給這個(gè)域控制器。選擇與發(fā)出請(qǐng)求的客戶連接良好的域控制器將使該請(qǐng)求的處理效率更高。
§ 復(fù)制
站點(diǎn)使目錄信息以流水線的方式復(fù)制。目錄架構(gòu)和配置信息分布在整個(gè)樹(shù)林中,而且域數(shù)據(jù)分布在域中的所有域控制器之間。通過(guò)有策略地減少?gòu)?fù)制,用戶的網(wǎng)絡(luò)擁塞也會(huì)同樣減少。Active Directory 在一個(gè)站點(diǎn)內(nèi)比在站點(diǎn)之間更頻繁地復(fù)制目錄信息。這樣,連接最好的域控制器中,最可能需要特定目錄信息的域控制器首先接收復(fù)制的內(nèi)容。其他站點(diǎn)中的域控制器接收對(duì)目錄所進(jìn)行的更改,但不頻繁,以降低網(wǎng)絡(luò)帶寬的消耗。
6.1.5 Active Directory 用戶和計(jì)算機(jī)帳戶
Active Directory 用戶和計(jì)算機(jī)帳戶代表物理實(shí)體,諸如計(jì)算機(jī)或人。用戶帳戶和計(jì)算機(jī)帳戶(以及組)稱(chēng)為安全主體。安全主體是自動(dòng)分配安全標(biāo)識(shí)符的目錄對(duì)象。帶安全標(biāo)識(shí)符的對(duì)象可登錄到網(wǎng)絡(luò)并訪問(wèn)域資源。用戶或計(jì)算機(jī)帳戶用于:
§ 驗(yàn)證用戶或計(jì)算機(jī)的身份。
§ 授權(quán)或拒絕訪問(wèn)域資源。
§ 管理其他安全主體。
§ 審計(jì)使用用戶或計(jì)算機(jī)帳戶執(zhí)行的操作。
Windows 2000 提供了可用于登錄到運(yùn)行 Windows 2000 的計(jì)算機(jī)的預(yù)定義用戶帳戶。這些預(yù)定義帳戶為:
§ 管理員帳戶
§ 來(lái)賓帳戶
預(yù)定義帳戶就是允許用戶登錄到本地計(jì)算機(jī)并訪問(wèn)本地計(jì)算機(jī)上資源的默認(rèn)用戶帳戶。設(shè)計(jì)這些帳戶的主要目的是本地計(jì)算機(jī)的初始登錄和配置。每個(gè)預(yù)定義帳戶均有不同的權(quán)利和權(quán)限組合。管理員帳戶有最廣泛的權(quán)利和權(quán)限,同時(shí)來(lái)賓帳戶有受限制的權(quán)利和權(quán)限。
6.1.6組策略
組策略設(shè)置影響計(jì)算機(jī)或用戶帳戶并且可應(yīng)用于站點(diǎn)、域或組織單位。它可用于配置安全選項(xiàng)、管理應(yīng)用程序、管理桌面外觀、指派腳本并將文件夾從本地計(jì)算機(jī)重新定向到網(wǎng)絡(luò)位置。
6.1.7集成DNS
由于 Active Directory 與 DNS 集成而且共享相同的名稱(chēng)空間結(jié)構(gòu),因此注意兩者之間的差異非常重要:
§ DNS 是一種名稱(chēng)解析服務(wù)。
DNS 客戶機(jī)向配置的 DNS 服務(wù)器發(fā)送 DNS 名稱(chēng)查詢。DNS 服務(wù)器接收名稱(chēng)查詢,然后通過(guò)本地存儲(chǔ)的文件解析名稱(chēng)查詢,或者查詢其他 DNS 服務(wù)器進(jìn)行名稱(chēng)解析。DNS 不需要 Active Directory 就能運(yùn)行。
§ Active Directory 是一種目錄服務(wù)
Active Directory 提供信息儲(chǔ)存庫(kù)以及讓用戶和應(yīng)用程序訪問(wèn)信息的服務(wù)。Active Directory 客戶使用"輕量級(jí)目錄訪問(wèn)協(xié)議 (LDAP)"向 Active Directory 服務(wù)器發(fā)送查詢。要定位 Active Directory 服務(wù)器,Active Directory 客戶機(jī)將查詢 DNS。Active Directory 需要 DNS 才能工作。
即 Active Directory 用于組織資源,而 DNS 用于查找資源;只有它們共同工作才能為用戶或其他請(qǐng)求類(lèi)似信息的過(guò)程返回信息。DNS 是 Active Directory 的關(guān)鍵組件,如果沒(méi)有 DNS,Active Directory 就無(wú)法將用戶的請(qǐng)求解析成資源的IP地址,因此在安裝和配置 Active Directory 之前,用戶必須對(duì) DNS 有深入的理解。
6.1.8組織單位
包含在域中的特別有用的目錄對(duì)象類(lèi)型就是組織單位。組織單位是可將用戶、組、計(jì)算機(jī)和其他單位放入其中的 Active Directory 容器。組織單位不能包括來(lái)自其他域的對(duì)象。組織單位是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單位。使用組織單位,用戶可在組織單位中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器。這樣用戶就可以根據(jù)用戶的組織模型管理帳戶和資源的配置和使用。
6.2 安裝活動(dòng)目錄(ADS)
6.2.1 Active Directory 的規(guī)劃
在安裝 Active Directory 之前,用戶首先要對(duì) Active Directory 的結(jié)構(gòu)進(jìn)行細(xì)致的規(guī)劃設(shè)計(jì),讓用戶和管理員在使用時(shí)更為輕松。
§ 規(guī)劃 DNS
如果用戶準(zhǔn)備使用 Active Directory,則需要先規(guī)劃名稱(chēng)空間。當(dāng) DNS 域名稱(chēng)空間可在 Windows 2000 中正確執(zhí)行之前,需要有可用的 Active Directory 結(jié)構(gòu)。所以,從 Active Directory 設(shè)計(jì)著手并用適當(dāng)?shù)?DNS 名稱(chēng)空間支持它。經(jīng)過(guò)審閱,如果檢測(cè)到任何規(guī)劃中有不可預(yù)見(jiàn)的或不合要求的結(jié)果,則根據(jù)需要進(jìn)行修改。
在 Windows 2000 中,用 DNS 名稱(chēng)命名 Active Directory 域。選擇 DNS 名稱(chēng)用于 Active Directory 域時(shí),以單位保留在 Internet 上使用的已注冊(cè) DNS 域名后綴開(kāi)始(如"root.com"),并將該名稱(chēng)和單位中使用的地理名稱(chēng)或部門(mén)名稱(chēng)結(jié)合起來(lái),組成 Active Directory 域的全名。
例如,root 的 sales 測(cè)試組可能稱(chēng)他們的域?yàn)?sales.child.root.com"。這種命名方法確保每個(gè) Active Directory 域名是全球唯一的。而且,這種命名方法一旦被采用,使用現(xiàn)有名稱(chēng)作為創(chuàng)建其他子域的父名稱(chēng)以及進(jìn)一步增大名稱(chēng)空間以供單位中的新部門(mén)使用的過(guò)程將變得非常簡(jiǎn)單。對(duì)于僅使用單個(gè)域或小型多域模式的小型企業(yè),可以直接進(jìn)行規(guī)劃并按照與以前范例相似的方法操作。在規(guī)劃 DNS 和 Active Directory 名稱(chēng)空間時(shí),建議使用不同組而且不重疊的可分辨名稱(chēng)作為內(nèi)部和外部 DNS 使用的基礎(chǔ)。例如,假定單位的父域名是"example.root.com"。對(duì)于內(nèi)部 DNS 名稱(chēng)的使用,用戶可以使用諸如"internal.root.microsoft.com"的名稱(chēng) 對(duì)于外部 DNS 名稱(chēng)的使用,用戶可以使用諸如"external.example.microsoft.com"的名稱(chēng) 保持內(nèi)部和外部名稱(chēng)空間始終是分離的而且截然不同,這樣用戶可以簡(jiǎn)化某些配置的維護(hù)工作,如域名篩選器或排除列表。
§ 規(guī)劃用戶的域結(jié)構(gòu)
最容易管理的域結(jié)構(gòu)就是單域。規(guī)劃時(shí),用戶應(yīng)從單域開(kāi)始,并且只有在單域模式不能滿足用戶的要求時(shí),才增加其他的域。一個(gè)域可跨越多個(gè)站點(diǎn)并且包含數(shù)百萬(wàn)個(gè)對(duì)象。站點(diǎn)結(jié)構(gòu)和域結(jié)構(gòu)互相獨(dú)立而且非常靈活。單域可跨越多個(gè)地理站點(diǎn),并且單個(gè)站點(diǎn)可包含屬于多個(gè)域的用戶和計(jì)算機(jī)。如果只是反映用戶公司的部門(mén)組織結(jié)構(gòu),則不必創(chuàng)建獨(dú)立的域樹(shù)。在一個(gè)域中,可以使用組織單位來(lái)實(shí)現(xiàn)這個(gè)目標(biāo)。然后,可以指定組策略設(shè)置并將用戶、組和計(jì)算機(jī)放在組織單位中。
創(chuàng)建多個(gè)域的原因有:
§ 部門(mén)之間不同的密碼要求
§ 大量的對(duì)象
§ 不同的 Internet 域名
§ 對(duì)復(fù)制進(jìn)行更多的控制
§ 分散的網(wǎng)絡(luò)管理
§ 規(guī)劃組織單位結(jié)構(gòu)
可以在域中創(chuàng)建組織單位的層次結(jié)構(gòu)。組織單位可包含用戶、組、計(jì)算機(jī)、打印機(jī)、共享文件夾以及其他組織單位。組織單位是目錄容器對(duì)象。它們表現(xiàn)為"Active Directory 用戶和計(jì)算機(jī)"中的文件夾。組織單位簡(jiǎn)化了域中目錄對(duì)象的視圖以及這些對(duì)象的管理。可將每個(gè)組織單位的管理控制權(quán)委派給特定的人。這樣,用戶就可以在管理員中分配域的管理工作,以更接近指派的單位職責(zé)的方式來(lái)管理這些管理性職責(zé)工作。
通常,應(yīng)該創(chuàng)建能反映組織單位的職能或商務(wù)結(jié)構(gòu)的單位。例如,用戶可以創(chuàng)建頂級(jí)單位,例如人事關(guān)系、設(shè)備管理和營(yíng)銷(xiāo)等部門(mén)單位。在人事關(guān)系單位中,用戶可以創(chuàng)建其他的嵌套組織單位,例如福利和招聘單位。在招聘單位中,也可以創(chuàng)建另一級(jí)的嵌套單位。例如,內(nèi)部招聘和外部招聘單位。總之,組織單位可使用戶以一種更有意義且易于管理的方式來(lái)模擬用戶實(shí)際工作的單位,而且在任何一級(jí)指派一個(gè)適當(dāng)?shù)谋镜貦?quán)利機(jī)構(gòu)作為管理員。
每個(gè)域都可實(shí)現(xiàn)自己的組織單位層次結(jié)構(gòu)。如果用戶的企業(yè)包含多個(gè)域,則可以獨(dú)立于其他域中的結(jié)構(gòu)在每個(gè)域中創(chuàng)建組織單位的結(jié)構(gòu)。
§ 何時(shí)創(chuàng)建域控制器
將 Windows 2000 Server 計(jì)算機(jī)升級(jí)為域控制器會(huì)創(chuàng)建一個(gè)新域或者向現(xiàn)有的域添加其他域控制器。創(chuàng)建域控制器可以:
§ 創(chuàng)建網(wǎng)絡(luò)中的第一個(gè)域。
§ 在樹(shù)林中創(chuàng)建其他的域。
§ 提高網(wǎng)絡(luò)可用性和可靠性。
§ 提高站點(diǎn)之間的網(wǎng)絡(luò)性能。
要?jiǎng)?chuàng)建 Windows 2000 域,必須在該域中至少創(chuàng)建一個(gè)域控制器。創(chuàng)建域控制器也將創(chuàng)建該域。不可能有沒(méi)有域控制器的域。如果確定用戶的單位需要一個(gè)以上的域,則必須為每個(gè)附加的域至少創(chuàng)建一個(gè)域控制器。樹(shù)林中的附加域可以是:新的子域、新域樹(shù)的根。
§ 規(guī)劃用戶的委派模式
用戶可以將權(quán)利下派給單位中最底層部門(mén),方法是在每個(gè)域中創(chuàng)建組織單位樹(shù),并將部分組織單位子樹(shù)的權(quán)利委派給其他用戶或組。通過(guò)委派管理權(quán)利,用戶不再需要那些定期登錄到特定帳戶的人員,這些帳戶具有對(duì)整個(gè)域的管理權(quán)。盡管用戶還擁有帶整個(gè)域的管理授權(quán)的管理員帳戶和域管理員器組,可以仍保留這些帳戶以備少數(shù)高度信任的管理員偶爾使用。
最后在規(guī)劃 Active Directory 結(jié)構(gòu)時(shí),除了需要認(rèn)真考慮以上各項(xiàng)外,用戶還要注意以下幾點(diǎn):
1.使用的域越少越好,因?yàn)樵?Windows 2000 中已經(jīng)大大擴(kuò)展了單個(gè)域的容量。
2.限制組織單位的層次,在 Active Directory 搜索事物的層次越深則運(yùn)行效率越低
3.限制組織單位中的對(duì)象個(gè)數(shù),這樣便于高效的查找特定資源
4.用戶可以將管理權(quán)限分配到組織單位級(jí),這樣提高了管理效率,降低了管理員的負(fù)荷。
6.2.2 安裝 Active Directory
運(yùn)行 Active Directory 安裝向?qū)?Windows 2000 Server 計(jì)算機(jī)升級(jí)為域控制器會(huì)創(chuàng)建一個(gè)新域或者向現(xiàn)有的域添加其他域控制器。創(chuàng)建域控制器可以:
§ 創(chuàng)建網(wǎng)絡(luò)中的第一個(gè)域。
§ 在樹(shù)林中創(chuàng)建其他的域。
§ 提高網(wǎng)絡(luò)可用性和可靠性。
§ 提高站點(diǎn)之間的網(wǎng)絡(luò)性能。
要?jiǎng)?chuàng)建 Windows 2000 域,必須在該域中至少創(chuàng)建一個(gè)域控制器。創(chuàng)建域控制器也將創(chuàng)建該域。不可能有沒(méi)有域控制器的域。如果確定用戶的單位需要一個(gè)以上的域,則必須為每個(gè)附加的域至少創(chuàng)建一個(gè)域控制器。樹(shù)林中的附加域可以是:新的子域、新域樹(shù)的根。
在安裝 Active Directory 前首先確定DNS服務(wù)正常工作,下面用戶來(lái)安裝根域?yàn)?nt2000.com 的域中第一臺(tái)域控制器。
步驟1 利用配置服務(wù)器啟動(dòng)位于 %Systemroot%/system32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe。
如圖 6.4,單擊"下一步"
步驟2 由于用戶所建立的是域中的第一臺(tái)域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"創(chuàng)建一個(gè)新域的域目錄樹(shù)" ,單擊"下一步"
步驟4 選擇"創(chuàng)建一個(gè)新域的域目錄林", 單擊"下一步"
步驟5 在"新域的 DNS 全名"中輸入要?jiǎng)?chuàng)建得域名,nt2000.com
如圖 6.5,單擊"下一步"
步驟6 安裝向?qū)ё詣?dòng)將域控制器的 NetBIOS 名設(shè)置為 "nt2000" ,單擊"下一步"
步驟7 顯示數(shù)據(jù)庫(kù)、目錄文件 及Sysvol 文件的保存位置,一般不必作修改。單擊"下一步"
步驟8 配置 DNS 服務(wù),單擊"下一步",(如果在安裝 Active Directory 之前未配置 DNS 服務(wù)器可以在此讓安裝向?qū)渲?DNS ,推薦使用這種方法。)
步驟9 為用戶和組選擇默認(rèn)權(quán)限,考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本,所以選擇"與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限"
如圖 6.6,單擊"下一步"
步驟10 輸入以目錄恢復(fù)模式下的管理員密碼,單擊"下一步"
步驟11 安裝向?qū)э@示摘要信息,單擊"下一步"開(kāi)始安裝如圖6.7
步驟12 安裝完成之后,重新啟動(dòng)計(jì)算機(jī)。
檢驗(yàn)安裝結(jié)果
在安裝完成后,可以通過(guò)以下方法檢驗(yàn) Active Directory 安裝正確,在安裝過(guò)程中一項(xiàng)最重要的工作是在 DNS 數(shù)據(jù)庫(kù)中添加服務(wù)記錄( SRV 記錄)。
1.檢查 DNS 文件的SRV記錄
用文本編輯器打開(kāi) %systemroot%/system32/config/ 中的 Netlogon.dns 文件,察看 LDAP 服務(wù)記錄,在本例中為
_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
2.驗(yàn)證 SRV 記錄在 NSLOOKUP 命令工具中運(yùn)行正常
步驟1 在命令提示行下,輸入 NSLOOKUP
步驟2 輸入 set type=srv
步驟3 輸入 _ldap._tcp.nt2000.com
如果返回了服務(wù)器名和 IP 地址,說(shuō)明 SRV 記錄工作正常
6.2.3 安裝第二臺(tái)域控制器
在安裝完第一臺(tái)域控制器后其域名為 nt2000.com ,在上例中該服務(wù)器用于總公司,如果由于公司擴(kuò)展的需要為其新建的工廠建立自己的域名和域控制器,則用戶將工廠的域名定義為 man.nt2000.com ,由于此域名與 nt2000.com 是連續(xù)的域名,所以他們組成了一個(gè)目錄樹(shù),今后隨著工廠的發(fā)展用戶還可以在這個(gè)目錄樹(shù)下繼續(xù)逐級(jí)添加子域(如:accounting.man.nt2000.com),如果需要添加的域名與該目錄樹(shù)不連續(xù)(如:nt3000.com)則用戶就需要建立一個(gè)新的目錄樹(shù),這樣由多個(gè)目錄樹(shù)組成了域目錄林。
在安裝第二臺(tái)域控制器之前,首先檢驗(yàn)它的IP設(shè)置和DNS設(shè)置,以保證可以訪問(wèn)域控制器(n2k_server.nt2000.com)。
步驟1 利用配置服務(wù)器啟動(dòng)位于 %Systemroot%/system32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe 。如圖6.4,單擊"下一步"
步驟2 由于用戶所建立的是域中的一臺(tái)域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"在現(xiàn)有域目錄樹(shù)中創(chuàng)建一個(gè)新的子域" ,單擊"下一步"
步驟4 在"網(wǎng)絡(luò)憑據(jù)"對(duì)話框中輸入上一級(jí)域的域名及具有管理員權(quán)限的用戶名和密碼, 單擊"下一步"
步驟5 在"子域安裝"對(duì)話框中輸入父域域名(nt2000.com)和子域域名(man),在下方的子域完整域名中會(huì)自動(dòng)顯示 man.nt2000.com,單擊"下一步"
步驟6 安裝向?qū)ё詣?dòng)將域控制器的 NetBIOS 名設(shè)置為"man",用戶也可以進(jìn)行修改 ,單擊"下一步"
步驟7 顯示數(shù)據(jù)庫(kù)、目錄文件及 Sysvol 文件的保存位置,一般不必作修改。單擊"下一步"
步驟8 為用戶和組選擇默認(rèn)權(quán)限,考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本,所以選擇"與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限",單擊"下一步"
步驟9 單擊"下一步"開(kāi)始安裝,在重新啟動(dòng)后,在 n2k_server.nt2000.com 的" Active Directory 域和信任關(guān)系"中將顯示新建的子域 man.nt2000.com 如圖6.8
6.3 活動(dòng)目錄工具
在安裝完畢后,在管理工具中提供了三個(gè)工具
§ Active Directory 用戶和計(jì)算機(jī)
如圖 6.9
§ Active Directory 域和信任關(guān)系
如圖 6.10
§ Active Directory 站點(diǎn)和服務(wù)
如圖 6.11
系統(tǒng)還提供了 Active DirectorySchema 和 ADSI 主要用于 Active Direttory 開(kāi)發(fā)的工具。Active Directory 域和信任關(guān)系、Active Directory 站點(diǎn)和服務(wù)工具主要用于管理多個(gè)服務(wù)器或多個(gè)域之間的關(guān)系,這不是本書(shū)的重點(diǎn);Active Directory 用戶和計(jì)算機(jī)工具是配置互動(dòng)目錄最常用的工具,在后續(xù)章節(jié)中用戶將詳細(xì)介紹它的使用方法。
當(dāng)用戶登陸到網(wǎng)絡(luò)上,用戶可以看到活動(dòng)目錄,
如圖 6.12
本章主要內(nèi)容:
1、活動(dòng)目錄的基本概念及其作用
2、在安裝活動(dòng)目錄前的目錄規(guī)劃
3、活動(dòng)目錄工具
6.1 活動(dòng)目錄的概念
6.1.1 域
域提供了多項(xiàng)優(yōu)點(diǎn):
§ 組織對(duì)象。
§ 發(fā)布有關(guān)域?qū)ο蟮馁Y源和信息。
§ 將組策略對(duì)象應(yīng)用到域可加強(qiáng)資源和安全性管理。
§ 委派授權(quán)使用戶不再需要大量的具有廣泛管理權(quán)利的管理員。
要?jiǎng)?chuàng)建域,用戶必須將一個(gè)或更多的運(yùn)行 Windows 2000 Server 的計(jì)算機(jī)升級(jí)為域控制器。域控制器為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供 Active Directory 目錄服務(wù)、存儲(chǔ)目錄數(shù)據(jù)并管理用戶和域之間的交互作用,包括用戶登錄過(guò)程、驗(yàn)證和目錄搜索。每個(gè)域至少必須包含一個(gè)域控制器。
域樹(shù)和域林
活動(dòng)目錄中的每個(gè)域利用 DNS 域名加以標(biāo)識(shí),并且需要一個(gè)或多個(gè)域控制器。如果用戶的網(wǎng)絡(luò)需要一個(gè)以上的域,則用戶可以創(chuàng)建多個(gè)域。共享相同的公用架構(gòu)和全局目錄的一個(gè)或多個(gè)域稱(chēng)為域林。如圖 6.1 中所示,如果樹(shù)林中的多個(gè)域有連續(xù)的 DNS 域名,則該結(jié)構(gòu)稱(chēng)為域樹(shù)。
如圖6.2所示如果相關(guān)域樹(shù)共享相同的 Active Directory 架構(gòu)以及目錄配置和復(fù)制信息,但不共享連續(xù)的 DNS 名稱(chēng)空間,則稱(chēng)之為域林。
域樹(shù)和域林的組合為用戶提供了靈活的域命名選項(xiàng)。連續(xù)和非連續(xù)的 DNS 名稱(chēng)空間都可加入到用戶的目錄中。
6.1.2. 域和帳戶命名
Active Directory 域名通常是該域的完整 DNS 名稱(chēng)。但是,為確保向下兼容,每個(gè)域還有一個(gè) Windows 2000 以前版本的名稱(chēng),以便在運(yùn)行 Windows 2000 以前版本的操作系統(tǒng)的計(jì)算機(jī)上使用。用戶帳戶
在 Active Directory 中,每個(gè)用戶帳戶都有一個(gè)用戶登錄名、一個(gè) Windows 2000 以前版本的用戶登錄名(安全帳戶管理器的帳戶名)和一個(gè)用戶主要名稱(chēng)后綴。在創(chuàng)建用戶帳戶時(shí),管理員輸入其登錄名并選擇用戶主要名稱(chēng)。Active Directory 建議 Windows 2000 以前版本的用戶登錄名使用此用戶登錄名的前 20 個(gè)字節(jié)。
所謂用戶主要名稱(chēng)是指由用戶賬戶名稱(chēng)和表示用戶賬戶所在的域的域名組成。這是登錄到 Windows 2000 域的標(biāo)準(zhǔn)用法。表準(zhǔn)格式為:user@domain.com (類(lèi)似個(gè)人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱(chēng)中加入 @ 號(hào)。Active Directory 在創(chuàng)建用戶主要名稱(chēng)時(shí)自動(dòng)添加此符號(hào)。包含多個(gè) @ 號(hào)的用戶主要名稱(chēng)是無(wú)效的。
在 Active Directory 中,默認(rèn)的用戶主要名稱(chēng)后綴是域樹(shù)中根域的 DNS 名。如果用戶的單位使用由部門(mén)和區(qū)域組成的多層域樹(shù),則對(duì)于底層用戶的域名可能很長(zhǎng)。對(duì)于該域中的用戶,默認(rèn)的用戶主要名稱(chēng)可能是 grandchild.child.root.com。該域中用戶默認(rèn)的登錄名可能是 user@grandchild.child.root.com 。創(chuàng)建主要名稱(chēng)后綴 - "root" 使同一用戶使用更簡(jiǎn)單的登錄名 user@root.com 就可以登錄。
6.1.3 域間信任關(guān)系
對(duì)于 Windows 2000 計(jì)算機(jī),通過(guò)基于 Kerberos V5 安全協(xié)議的雙向、可傳遞信任關(guān)系啟用域之間的帳戶驗(yàn)證。
在域樹(shù)中創(chuàng)建域時(shí),相鄰域(父域和子域)之間自動(dòng)建立信任關(guān)系。如圖 6.2 中的 root.com 和 child.root.com 之間自動(dòng)建立信任關(guān)系。在域林中,在樹(shù)林根域和添加到樹(shù)林的每個(gè)域樹(shù)的根域之間自動(dòng)建立信任關(guān)系。因?yàn)檫@些信任關(guān)系是可傳遞的,所以可以在域樹(shù)或域林中的任何域之間進(jìn)行用戶和計(jì)算機(jī)的身份驗(yàn)證。
如果將 Windows 2000 以前版本的 Windows 域升級(jí)為 Windows 2000 域時(shí),Windows 2000 域?qū)⒈A粲蚝腿魏纹渌蛑g現(xiàn)有的單向信任關(guān)系。包括 Windows 2000 以前版本的 Windows 域的所有信任關(guān)系。如果用戶要安裝新的 Windows 2000 域并且希望與任何 Windows 2000 以前版本的域建立信任關(guān)系,則必須創(chuàng)建與那些域的外部信任關(guān)系。
所有域信任關(guān)系都只能有兩個(gè)域:信任域和受信任域。域信任關(guān)系按以下特征進(jìn)行描述:
§ 單向
單向信任是域 A 信任域 B 的單一信任關(guān)系。所有的單向關(guān)系都是不可傳遞的,并且所有的不可傳遞信任都是單向的。身份驗(yàn)證請(qǐng)求只能從信任域傳到受信任域。Windows 2000 的域可與以下域建立單向信任:不同樹(shù)林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 領(lǐng)域。
§ 雙向
Windows 2000 樹(shù)林中的所有域信任都是雙向可傳遞信任。建立新的子域時(shí),雙向可傳遞信任在新的子域和父域之間自動(dòng)建立。
§ 可傳遞
Windows 2000 樹(shù)林中的所有域信任都是可傳遞的。可傳遞信任始終為雙向:此關(guān)系中的兩個(gè)域相互信任。
可傳遞信任不受信任關(guān)系中的兩個(gè)域的約束。每次當(dāng)用戶建立新的子域時(shí),在父域和新子域之間就隱含地(自動(dòng))建立起雙向可傳遞信任關(guān)系。這樣,可傳遞信任關(guān)系在域樹(shù)中按其形成的方式向上流動(dòng),并在域樹(shù)中的所有域之間建立起可傳遞信任。
如圖6.3中因?yàn)橛?1 和域 2 有可傳遞信任關(guān)系,域 2 和域 3 有可傳遞信任關(guān)系,所以域 3 中的用戶(在獲得相應(yīng)權(quán)限時(shí))可訪問(wèn)域 1 中的資源。因?yàn)橛?1 和域 A 具有可傳遞信任關(guān)系,
并且域 A 的域樹(shù)中的其他域和域 A 具有可傳遞信任關(guān)系,所以域 B 中的用戶(當(dāng)授與適當(dāng)權(quán)限時(shí))可訪問(wèn)域 3 中的資源。
§ 不可傳遞
不可傳遞信任受信任關(guān)系中的兩個(gè)域的約束,并不流向樹(shù)林中的任何其他域。在大多數(shù)情況下,用戶必須明確建立不可傳遞信任。在 Windows 2000 域和 Windows NT 域之間的所有信任關(guān)系都是不可傳遞的。從 Windows NT 升級(jí)至 Windows 2000 時(shí),目前所有的 Windows NT 信任都保持不動(dòng)。在混和模式環(huán)境中,所有的 Windows NT 信任都是不可傳遞的。不可傳遞信任默認(rèn)為單向信任關(guān)系。
§ 外部信任
外部信任創(chuàng)建了與樹(shù)林外部的域的信任關(guān)系。創(chuàng)建外部信任的優(yōu)點(diǎn)在于使用戶可以通過(guò)樹(shù)林的信任路徑不包含的域進(jìn)行身份驗(yàn)證。所有的外部驗(yàn)證都是單向非轉(zhuǎn)移的信任
§ 快捷信任
快捷信任是雙向可傳遞的信任,使用戶可以縮短復(fù)雜樹(shù)林中的路徑。Windows 2000 同一樹(shù)林中域之間的快捷信任是明確創(chuàng)建的。快捷信任具有優(yōu)化的性能,能縮短與 Windows 2000 安全機(jī)制有關(guān)的信任路徑以便進(jìn)行身份驗(yàn)證。在樹(shù)林中的兩個(gè)域樹(shù)之間使用快捷信任是最有效的。
6.1.4 站點(diǎn)
站點(diǎn)是由一個(gè)或多個(gè) IP 子網(wǎng)中的一組計(jì)算機(jī),確保目錄信息的有效交換,站點(diǎn)中的計(jì)算機(jī)需要很好地連接,尤其是子網(wǎng)內(nèi)的計(jì)算機(jī)。站點(diǎn)和域名稱(chēng)空間之間沒(méi)有必要的連接。站點(diǎn)反映網(wǎng)絡(luò)的物理結(jié)構(gòu),而域通常反映用戶單位的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨(dú)立,所以網(wǎng)絡(luò)的物理結(jié)構(gòu)及其域結(jié)構(gòu)之間沒(méi)有必要的相關(guān)性,Active Directory 允許單個(gè)站點(diǎn)中有多個(gè)域,單個(gè)域中有多個(gè)站點(diǎn)。
如果配置方案未組織成站點(diǎn),則域和客戶之間的信息交換可能非常混亂。站點(diǎn)能提高網(wǎng)絡(luò)使用的效率。站點(diǎn)服務(wù)在以下兩方面令網(wǎng)絡(luò)操作更為有效:
§ 服務(wù)請(qǐng)求
當(dāng)客戶從域控制器請(qǐng)求服務(wù)時(shí),只要相同域中的域控制器有一個(gè)可用,此請(qǐng)求就將會(huì)發(fā)給這個(gè)域控制器。選擇與發(fā)出請(qǐng)求的客戶連接良好的域控制器將使該請(qǐng)求的處理效率更高。
§ 復(fù)制
站點(diǎn)使目錄信息以流水線的方式復(fù)制。目錄架構(gòu)和配置信息分布在整個(gè)樹(shù)林中,而且域數(shù)據(jù)分布在域中的所有域控制器之間。通過(guò)有策略地減少?gòu)?fù)制,用戶的網(wǎng)絡(luò)擁塞也會(huì)同樣減少。Active Directory 在一個(gè)站點(diǎn)內(nèi)比在站點(diǎn)之間更頻繁地復(fù)制目錄信息。這樣,連接最好的域控制器中,最可能需要特定目錄信息的域控制器首先接收復(fù)制的內(nèi)容。其他站點(diǎn)中的域控制器接收對(duì)目錄所進(jìn)行的更改,但不頻繁,以降低網(wǎng)絡(luò)帶寬的消耗。
6.1.5 Active Directory 用戶和計(jì)算機(jī)帳戶
Active Directory 用戶和計(jì)算機(jī)帳戶代表物理實(shí)體,諸如計(jì)算機(jī)或人。用戶帳戶和計(jì)算機(jī)帳戶(以及組)稱(chēng)為安全主體。安全主體是自動(dòng)分配安全標(biāo)識(shí)符的目錄對(duì)象。帶安全標(biāo)識(shí)符的對(duì)象可登錄到網(wǎng)絡(luò)并訪問(wèn)域資源。用戶或計(jì)算機(jī)帳戶用于:
§ 驗(yàn)證用戶或計(jì)算機(jī)的身份。
§ 授權(quán)或拒絕訪問(wèn)域資源。
§ 管理其他安全主體。
§ 審計(jì)使用用戶或計(jì)算機(jī)帳戶執(zhí)行的操作。
Windows 2000 提供了可用于登錄到運(yùn)行 Windows 2000 的計(jì)算機(jī)的預(yù)定義用戶帳戶。這些預(yù)定義帳戶為:
§ 管理員帳戶
§ 來(lái)賓帳戶
預(yù)定義帳戶就是允許用戶登錄到本地計(jì)算機(jī)并訪問(wèn)本地計(jì)算機(jī)上資源的默認(rèn)用戶帳戶。設(shè)計(jì)這些帳戶的主要目的是本地計(jì)算機(jī)的初始登錄和配置。每個(gè)預(yù)定義帳戶均有不同的權(quán)利和權(quán)限組合。管理員帳戶有最廣泛的權(quán)利和權(quán)限,同時(shí)來(lái)賓帳戶有受限制的權(quán)利和權(quán)限。
6.1.6組策略
組策略設(shè)置影響計(jì)算機(jī)或用戶帳戶并且可應(yīng)用于站點(diǎn)、域或組織單位。它可用于配置安全選項(xiàng)、管理應(yīng)用程序、管理桌面外觀、指派腳本并將文件夾從本地計(jì)算機(jī)重新定向到網(wǎng)絡(luò)位置。
6.1.7集成DNS
由于 Active Directory 與 DNS 集成而且共享相同的名稱(chēng)空間結(jié)構(gòu),因此注意兩者之間的差異非常重要:
§ DNS 是一種名稱(chēng)解析服務(wù)。
DNS 客戶機(jī)向配置的 DNS 服務(wù)器發(fā)送 DNS 名稱(chēng)查詢。DNS 服務(wù)器接收名稱(chēng)查詢,然后通過(guò)本地存儲(chǔ)的文件解析名稱(chēng)查詢,或者查詢其他 DNS 服務(wù)器進(jìn)行名稱(chēng)解析。DNS 不需要 Active Directory 就能運(yùn)行。
§ Active Directory 是一種目錄服務(wù)
Active Directory 提供信息儲(chǔ)存庫(kù)以及讓用戶和應(yīng)用程序訪問(wèn)信息的服務(wù)。Active Directory 客戶使用"輕量級(jí)目錄訪問(wèn)協(xié)議 (LDAP)"向 Active Directory 服務(wù)器發(fā)送查詢。要定位 Active Directory 服務(wù)器,Active Directory 客戶機(jī)將查詢 DNS。Active Directory 需要 DNS 才能工作。
即 Active Directory 用于組織資源,而 DNS 用于查找資源;只有它們共同工作才能為用戶或其他請(qǐng)求類(lèi)似信息的過(guò)程返回信息。DNS 是 Active Directory 的關(guān)鍵組件,如果沒(méi)有 DNS,Active Directory 就無(wú)法將用戶的請(qǐng)求解析成資源的IP地址,因此在安裝和配置 Active Directory 之前,用戶必須對(duì) DNS 有深入的理解。
6.1.8組織單位
包含在域中的特別有用的目錄對(duì)象類(lèi)型就是組織單位。組織單位是可將用戶、組、計(jì)算機(jī)和其他單位放入其中的 Active Directory 容器。組織單位不能包括來(lái)自其他域的對(duì)象。組織單位是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單位。使用組織單位,用戶可在組織單位中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器。這樣用戶就可以根據(jù)用戶的組織模型管理帳戶和資源的配置和使用。
6.2 安裝活動(dòng)目錄(ADS)
6.2.1 Active Directory 的規(guī)劃
在安裝 Active Directory 之前,用戶首先要對(duì) Active Directory 的結(jié)構(gòu)進(jìn)行細(xì)致的規(guī)劃設(shè)計(jì),讓用戶和管理員在使用時(shí)更為輕松。
§ 規(guī)劃 DNS
如果用戶準(zhǔn)備使用 Active Directory,則需要先規(guī)劃名稱(chēng)空間。當(dāng) DNS 域名稱(chēng)空間可在 Windows 2000 中正確執(zhí)行之前,需要有可用的 Active Directory 結(jié)構(gòu)。所以,從 Active Directory 設(shè)計(jì)著手并用適當(dāng)?shù)?DNS 名稱(chēng)空間支持它。經(jīng)過(guò)審閱,如果檢測(cè)到任何規(guī)劃中有不可預(yù)見(jiàn)的或不合要求的結(jié)果,則根據(jù)需要進(jìn)行修改。
在 Windows 2000 中,用 DNS 名稱(chēng)命名 Active Directory 域。選擇 DNS 名稱(chēng)用于 Active Directory 域時(shí),以單位保留在 Internet 上使用的已注冊(cè) DNS 域名后綴開(kāi)始(如"root.com"),并將該名稱(chēng)和單位中使用的地理名稱(chēng)或部門(mén)名稱(chēng)結(jié)合起來(lái),組成 Active Directory 域的全名。
例如,root 的 sales 測(cè)試組可能稱(chēng)他們的域?yàn)?sales.child.root.com"。這種命名方法確保每個(gè) Active Directory 域名是全球唯一的。而且,這種命名方法一旦被采用,使用現(xiàn)有名稱(chēng)作為創(chuàng)建其他子域的父名稱(chēng)以及進(jìn)一步增大名稱(chēng)空間以供單位中的新部門(mén)使用的過(guò)程將變得非常簡(jiǎn)單。對(duì)于僅使用單個(gè)域或小型多域模式的小型企業(yè),可以直接進(jìn)行規(guī)劃并按照與以前范例相似的方法操作。在規(guī)劃 DNS 和 Active Directory 名稱(chēng)空間時(shí),建議使用不同組而且不重疊的可分辨名稱(chēng)作為內(nèi)部和外部 DNS 使用的基礎(chǔ)。例如,假定單位的父域名是"example.root.com"。對(duì)于內(nèi)部 DNS 名稱(chēng)的使用,用戶可以使用諸如"internal.root.microsoft.com"的名稱(chēng) 對(duì)于外部 DNS 名稱(chēng)的使用,用戶可以使用諸如"external.example.microsoft.com"的名稱(chēng) 保持內(nèi)部和外部名稱(chēng)空間始終是分離的而且截然不同,這樣用戶可以簡(jiǎn)化某些配置的維護(hù)工作,如域名篩選器或排除列表。
§ 規(guī)劃用戶的域結(jié)構(gòu)
最容易管理的域結(jié)構(gòu)就是單域。規(guī)劃時(shí),用戶應(yīng)從單域開(kāi)始,并且只有在單域模式不能滿足用戶的要求時(shí),才增加其他的域。一個(gè)域可跨越多個(gè)站點(diǎn)并且包含數(shù)百萬(wàn)個(gè)對(duì)象。站點(diǎn)結(jié)構(gòu)和域結(jié)構(gòu)互相獨(dú)立而且非常靈活。單域可跨越多個(gè)地理站點(diǎn),并且單個(gè)站點(diǎn)可包含屬于多個(gè)域的用戶和計(jì)算機(jī)。如果只是反映用戶公司的部門(mén)組織結(jié)構(gòu),則不必創(chuàng)建獨(dú)立的域樹(shù)。在一個(gè)域中,可以使用組織單位來(lái)實(shí)現(xiàn)這個(gè)目標(biāo)。然后,可以指定組策略設(shè)置并將用戶、組和計(jì)算機(jī)放在組織單位中。
創(chuàng)建多個(gè)域的原因有:
§ 部門(mén)之間不同的密碼要求
§ 大量的對(duì)象
§ 不同的 Internet 域名
§ 對(duì)復(fù)制進(jìn)行更多的控制
§ 分散的網(wǎng)絡(luò)管理
§ 規(guī)劃組織單位結(jié)構(gòu)
可以在域中創(chuàng)建組織單位的層次結(jié)構(gòu)。組織單位可包含用戶、組、計(jì)算機(jī)、打印機(jī)、共享文件夾以及其他組織單位。組織單位是目錄容器對(duì)象。它們表現(xiàn)為"Active Directory 用戶和計(jì)算機(jī)"中的文件夾。組織單位簡(jiǎn)化了域中目錄對(duì)象的視圖以及這些對(duì)象的管理。可將每個(gè)組織單位的管理控制權(quán)委派給特定的人。這樣,用戶就可以在管理員中分配域的管理工作,以更接近指派的單位職責(zé)的方式來(lái)管理這些管理性職責(zé)工作。
通常,應(yīng)該創(chuàng)建能反映組織單位的職能或商務(wù)結(jié)構(gòu)的單位。例如,用戶可以創(chuàng)建頂級(jí)單位,例如人事關(guān)系、設(shè)備管理和營(yíng)銷(xiāo)等部門(mén)單位。在人事關(guān)系單位中,用戶可以創(chuàng)建其他的嵌套組織單位,例如福利和招聘單位。在招聘單位中,也可以創(chuàng)建另一級(jí)的嵌套單位。例如,內(nèi)部招聘和外部招聘單位。總之,組織單位可使用戶以一種更有意義且易于管理的方式來(lái)模擬用戶實(shí)際工作的單位,而且在任何一級(jí)指派一個(gè)適當(dāng)?shù)谋镜貦?quán)利機(jī)構(gòu)作為管理員。
每個(gè)域都可實(shí)現(xiàn)自己的組織單位層次結(jié)構(gòu)。如果用戶的企業(yè)包含多個(gè)域,則可以獨(dú)立于其他域中的結(jié)構(gòu)在每個(gè)域中創(chuàng)建組織單位的結(jié)構(gòu)。
§ 何時(shí)創(chuàng)建域控制器
將 Windows 2000 Server 計(jì)算機(jī)升級(jí)為域控制器會(huì)創(chuàng)建一個(gè)新域或者向現(xiàn)有的域添加其他域控制器。創(chuàng)建域控制器可以:
§ 創(chuàng)建網(wǎng)絡(luò)中的第一個(gè)域。
§ 在樹(shù)林中創(chuàng)建其他的域。
§ 提高網(wǎng)絡(luò)可用性和可靠性。
§ 提高站點(diǎn)之間的網(wǎng)絡(luò)性能。
要?jiǎng)?chuàng)建 Windows 2000 域,必須在該域中至少創(chuàng)建一個(gè)域控制器。創(chuàng)建域控制器也將創(chuàng)建該域。不可能有沒(méi)有域控制器的域。如果確定用戶的單位需要一個(gè)以上的域,則必須為每個(gè)附加的域至少創(chuàng)建一個(gè)域控制器。樹(shù)林中的附加域可以是:新的子域、新域樹(shù)的根。
§ 規(guī)劃用戶的委派模式
用戶可以將權(quán)利下派給單位中最底層部門(mén),方法是在每個(gè)域中創(chuàng)建組織單位樹(shù),并將部分組織單位子樹(shù)的權(quán)利委派給其他用戶或組。通過(guò)委派管理權(quán)利,用戶不再需要那些定期登錄到特定帳戶的人員,這些帳戶具有對(duì)整個(gè)域的管理權(quán)。盡管用戶還擁有帶整個(gè)域的管理授權(quán)的管理員帳戶和域管理員器組,可以仍保留這些帳戶以備少數(shù)高度信任的管理員偶爾使用。
最后在規(guī)劃 Active Directory 結(jié)構(gòu)時(shí),除了需要認(rèn)真考慮以上各項(xiàng)外,用戶還要注意以下幾點(diǎn):
1.使用的域越少越好,因?yàn)樵?Windows 2000 中已經(jīng)大大擴(kuò)展了單個(gè)域的容量。
2.限制組織單位的層次,在 Active Directory 搜索事物的層次越深則運(yùn)行效率越低
3.限制組織單位中的對(duì)象個(gè)數(shù),這樣便于高效的查找特定資源
4.用戶可以將管理權(quán)限分配到組織單位級(jí),這樣提高了管理效率,降低了管理員的負(fù)荷。
6.2.2 安裝 Active Directory
運(yùn)行 Active Directory 安裝向?qū)?Windows 2000 Server 計(jì)算機(jī)升級(jí)為域控制器會(huì)創(chuàng)建一個(gè)新域或者向現(xiàn)有的域添加其他域控制器。創(chuàng)建域控制器可以:
§ 創(chuàng)建網(wǎng)絡(luò)中的第一個(gè)域。
§ 在樹(shù)林中創(chuàng)建其他的域。
§ 提高網(wǎng)絡(luò)可用性和可靠性。
§ 提高站點(diǎn)之間的網(wǎng)絡(luò)性能。
要?jiǎng)?chuàng)建 Windows 2000 域,必須在該域中至少創(chuàng)建一個(gè)域控制器。創(chuàng)建域控制器也將創(chuàng)建該域。不可能有沒(méi)有域控制器的域。如果確定用戶的單位需要一個(gè)以上的域,則必須為每個(gè)附加的域至少創(chuàng)建一個(gè)域控制器。樹(shù)林中的附加域可以是:新的子域、新域樹(shù)的根。
在安裝 Active Directory 前首先確定DNS服務(wù)正常工作,下面用戶來(lái)安裝根域?yàn)?nt2000.com 的域中第一臺(tái)域控制器。
步驟1 利用配置服務(wù)器啟動(dòng)位于 %Systemroot%/system32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe。
如圖 6.4,單擊"下一步"
步驟2 由于用戶所建立的是域中的第一臺(tái)域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"創(chuàng)建一個(gè)新域的域目錄樹(shù)" ,單擊"下一步"
步驟4 選擇"創(chuàng)建一個(gè)新域的域目錄林", 單擊"下一步"
步驟5 在"新域的 DNS 全名"中輸入要?jiǎng)?chuàng)建得域名,nt2000.com
如圖 6.5,單擊"下一步"
步驟6 安裝向?qū)ё詣?dòng)將域控制器的 NetBIOS 名設(shè)置為 "nt2000" ,單擊"下一步"
步驟7 顯示數(shù)據(jù)庫(kù)、目錄文件 及Sysvol 文件的保存位置,一般不必作修改。單擊"下一步"
步驟8 配置 DNS 服務(wù),單擊"下一步",(如果在安裝 Active Directory 之前未配置 DNS 服務(wù)器可以在此讓安裝向?qū)渲?DNS ,推薦使用這種方法。)
步驟9 為用戶和組選擇默認(rèn)權(quán)限,考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本,所以選擇"與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限"
如圖 6.6,單擊"下一步"
步驟10 輸入以目錄恢復(fù)模式下的管理員密碼,單擊"下一步"
步驟11 安裝向?qū)э@示摘要信息,單擊"下一步"開(kāi)始安裝如圖6.7
步驟12 安裝完成之后,重新啟動(dòng)計(jì)算機(jī)。
檢驗(yàn)安裝結(jié)果
在安裝完成后,可以通過(guò)以下方法檢驗(yàn) Active Directory 安裝正確,在安裝過(guò)程中一項(xiàng)最重要的工作是在 DNS 數(shù)據(jù)庫(kù)中添加服務(wù)記錄( SRV 記錄)。
1.檢查 DNS 文件的SRV記錄
用文本編輯器打開(kāi) %systemroot%/system32/config/ 中的 Netlogon.dns 文件,察看 LDAP 服務(wù)記錄,在本例中為
_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
2.驗(yàn)證 SRV 記錄在 NSLOOKUP 命令工具中運(yùn)行正常
步驟1 在命令提示行下,輸入 NSLOOKUP
步驟2 輸入 set type=srv
步驟3 輸入 _ldap._tcp.nt2000.com
如果返回了服務(wù)器名和 IP 地址,說(shuō)明 SRV 記錄工作正常
6.2.3 安裝第二臺(tái)域控制器
在安裝完第一臺(tái)域控制器后其域名為 nt2000.com ,在上例中該服務(wù)器用于總公司,如果由于公司擴(kuò)展的需要為其新建的工廠建立自己的域名和域控制器,則用戶將工廠的域名定義為 man.nt2000.com ,由于此域名與 nt2000.com 是連續(xù)的域名,所以他們組成了一個(gè)目錄樹(shù),今后隨著工廠的發(fā)展用戶還可以在這個(gè)目錄樹(shù)下繼續(xù)逐級(jí)添加子域(如:accounting.man.nt2000.com),如果需要添加的域名與該目錄樹(shù)不連續(xù)(如:nt3000.com)則用戶就需要建立一個(gè)新的目錄樹(shù),這樣由多個(gè)目錄樹(shù)組成了域目錄林。
在安裝第二臺(tái)域控制器之前,首先檢驗(yàn)它的IP設(shè)置和DNS設(shè)置,以保證可以訪問(wèn)域控制器(n2k_server.nt2000.com)。
步驟1 利用配置服務(wù)器啟動(dòng)位于 %Systemroot%/system32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe 。如圖6.4,單擊"下一步"
步驟2 由于用戶所建立的是域中的一臺(tái)域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"在現(xiàn)有域目錄樹(shù)中創(chuàng)建一個(gè)新的子域" ,單擊"下一步"
步驟4 在"網(wǎng)絡(luò)憑據(jù)"對(duì)話框中輸入上一級(jí)域的域名及具有管理員權(quán)限的用戶名和密碼, 單擊"下一步"
步驟5 在"子域安裝"對(duì)話框中輸入父域域名(nt2000.com)和子域域名(man),在下方的子域完整域名中會(huì)自動(dòng)顯示 man.nt2000.com,單擊"下一步"
步驟6 安裝向?qū)ё詣?dòng)將域控制器的 NetBIOS 名設(shè)置為"man",用戶也可以進(jìn)行修改 ,單擊"下一步"
步驟7 顯示數(shù)據(jù)庫(kù)、目錄文件及 Sysvol 文件的保存位置,一般不必作修改。單擊"下一步"
步驟8 為用戶和組選擇默認(rèn)權(quán)限,考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本,所以選擇"與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限",單擊"下一步"
步驟9 單擊"下一步"開(kāi)始安裝,在重新啟動(dòng)后,在 n2k_server.nt2000.com 的" Active Directory 域和信任關(guān)系"中將顯示新建的子域 man.nt2000.com 如圖6.8
6.3 活動(dòng)目錄工具
在安裝完畢后,在管理工具中提供了三個(gè)工具
§ Active Directory 用戶和計(jì)算機(jī)
如圖 6.9
§ Active Directory 域和信任關(guān)系
如圖 6.10
§ Active Directory 站點(diǎn)和服務(wù)
如圖 6.11
系統(tǒng)還提供了 Active DirectorySchema 和 ADSI 主要用于 Active Direttory 開(kāi)發(fā)的工具。Active Directory 域和信任關(guān)系、Active Directory 站點(diǎn)和服務(wù)工具主要用于管理多個(gè)服務(wù)器或多個(gè)域之間的關(guān)系,這不是本書(shū)的重點(diǎn);Active Directory 用戶和計(jì)算機(jī)工具是配置互動(dòng)目錄最常用的工具,在后續(xù)章節(jié)中用戶將詳細(xì)介紹它的使用方法。
當(dāng)用戶登陸到網(wǎng)絡(luò)上,用戶可以看到活動(dòng)目錄,
如圖 6.12
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫(xiě)作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
