第7章ActiveDirectory服务祥解.ppt

第7章 Active Directory服务 了解Active Directory的概念和功能以及Active Directory对象的类型，掌握如何配置网络中的域控制器，理解Active Directory的逻辑结构（域、组织单位、目录树、目录林和信任）、物理结构（域控制器、站点），掌握在Active Directory中发布资源的方法。 7.1 Active Directory概述 Active Directory服务构建了网络资源的架构，提供了组织、管理和访问这些网络资源（例如，用户、计算机、共享文件夹和打印机等）的功能，还提供了集中管理Windows 2003网络的功能，这意味着管理员可以在某个位置集中管理整个网络。 Active Directory还支持管理员对Active Directory对象进行控制委派管理，这使得管理员能将对Active Directory对象或属性的管理权限分配给某个特定的用户组。 Active Directory 存储了整个网络的资源信息，并简化了用户查找、管理和访问这些网络资源的操作，这些网络资源包括用户、计算机、共享文件夹和打印机等。 7.1.1 Active Directory概念 Windows 2003中的目录服务用于存储网络资源信息并使用户和应用程序能够访问这些资源。 目录服务提供了统一的命名、描述、查找、访问和管理网络资源的方法，还为网络资源提供了安全保障。 Active Directory使得网络的拓扑结构和协议对用户是透明的，从而使网络上的用户只需要一个单一的帐户就可以访问任何资源（例如，打印机），而无需知道该资源的位置以及它是如何连接到网络的。Active Directory允许用户只登录一次就能够访问在Active Directory上的所有资源。 Active Directory被划分成区域进行管理，这使其可以存储大量的对象。基于这种结构，Active Directory可以随着企业规模的扩大而进行扩展。 Active Directory支持集中式管理。可以将系统配置信息、应用程序信息和用户配置文件的位置信息存储在Active Directory中。当与组策略结合使用时，Active Directory使管理员能够从网络的核心位置使用统一的管理界面对分布于各处的成员计算机、网络服务和应用程序进行管理。 7.1.2 Active Directory对象 Active Directory对象表示网络中的资源，这些资源包括：用户（组）、计算机、共享文件夹和打印机等。网络中所有的服务器、域和站点也可以被看作为对象。 Active Directory中的某些特定对象（例如，域、容器和组织单位）可以包含其他对象。可以将这些域、容器和组织单位组织成一个结构层次，而那些代表网络资源的对象，例如用户、计算机、组、共享文件夹和打印机等，则根据其不同的管理方式放入相应的结构层次中。 常用的Active Directory对象，见表7-1 7.1.3轻量级目录访问协议 轻量级目录访问协议（Light Weight Directory Access Protocol,LDAP）是一种用于查询和更新Active Directory的目录服务协议。 Windows Server 2003 利用“LDAP命名路径”表示对象在Active Directory中的位置，也用于访问Active Directory中的对象。 “LDAP命名路径”包含：可分辨名称和相对可分辨名称。 1．可分辨名称（Distinguished Name,DN） Active Directory中的每个对象都有一个可分辨名称，该名称用于标识对象所在的完整路径，也可以理解为访问对象所需使用的完整路径。可分辨名称示例：CN=cjt,OU=Sales,DC=xyz,DC=net。 使用的关键字如表所示。 2．相对可分辨名称（Relative Distinguished Name,RDN） LDAP相对可分辨名称是LDAP可分辨名称的一部分，它在查询上下文中可以唯一标识所代表的对象。从域组件级别到通用名称级别存在着不同的查询上下文，如表所示。 7.2 配置域控制器 如果要构建域结构的Windows 2003网络，则网络上必须要有域控制器。域控制器是一台运行Windows Server 2003并存储Active Directory的计算机。域控制器通过Active Directory提供目录服务，例如，它负责维护Active Directory数据库、验证用户的帐户与密码是否正确、将Active Directory数据库复制到其他的域控制器。 一个域内可以有多台域控制器。多台域控制器可以提供足够的功能和容错功能，即使一