ActiveDirectory概述.doc

Active Directory 概述 一、工作组和域： Windows Server 2003 支持两种用户帐户：域帐户和本地帐户。域帐户可以登录到域上，并获得访问该网络的权限；本地帐户则只能登录到一台特定的计算机上，并访问该计算机上的资源。 在工作组模式的网络中，各服务器都是独立的，各服务器中的账户和资源也是各自进行管理的。所以，管理员需要为每台服务器建立账户。管理时也需要分别登录各服务器完成管理工作。授权用户访问不同的服务器时，也需要分别登录。 在域模式的网络中，服务器可以集中进行管理，域中的账户和资源也是集中管理的。所以，管理员登录一次就可以管理整个域。授权访问用户登录一次就可以访问所有共享资源。 在域结构的网络中，需要一个对账户和资源进行统一管理的机制，这个机制就是活动目录（Active Directory）。域中所有的账户和共享资源都需要在活动目录中进行登记。用户可以利用活动目录查找和使用这些资源。 基于域结构的网络可大大减轻管理的复杂度和工作量，通常用于结构较复杂的网络。 二、相关概念： 域(Domain)：一个域就是一系列的用户账户、访问权限和其他各种资源的集合。 域是网络的独立安全范围，是 Windows 的逻辑管理单位。一个网络可以建立一个或多个域。 活动目录(Active Directory)：活动目录是一个信息库，它用来存放域内的用户账户、组、网络打印机、共享文件夹等对象。 名字空间：每个域都必须命名，域的名字遵循 DNS 命名规则，并且通过 DNS 服务器解析域名。 信任关系：如果一个网络中建立了多个域，各个域之间可通过 Kerberos 协议建立信任关系，具有信任关系的各个域构成域群，它们的共享资源可以互相访问。域间的信任关系一般是双向的、可传递的。 系统定义了两种默认信任类型：父子、树根。使用“新建信任向导”还可以创建另外4种信任类型：外部、领域、林、快捷。 信任类型 传递性 方 向 说 明 父子 可传递 双向 用于构建具有层次结构的域树。当建立一个现有域的子域时，会建立父子信任。子域访问其它域时都需要通过其父域传递身份验证请求。 树根 可传递 双向 用于构建平行关系的域林。当在现有域林中建立新的域树时，会建立树根信任。它提供了域树间传递身份验证的通道。 外部 不可传递 单向或双向 可用于构建不对外开放的域 领域 可传递或不可传递 单向或双向 用于建立非 Kerberos 领域和 Kerberos 域间的信任关系 林 可传递 单向或双向 用于建立林之间的信任关系 快捷 可传递 单向或双向 当两个域被多个域隔开时，利用快捷信任可改善它们之间的登录时间 构建域群有两种方式：域树和域林 域树(Tree)：把多个域按“父子”信任关系构建成具有层次结构的域群。由于“父子”信任关系具有双向可传递性，所以一棵域树中的各个域间都是相互信任的。 域林(Forest)：如果域树的根域间建立了“树根”信任关系，它们就构成了域林。由于“树根”信任关系具有双向可传递性，所以域林中的各个域间都是相互信任的。 在域树中，父域和子域的名字必须是相邻接的，而域林的两棵域树间的名字不必邻接。如下图所示。 三、域控制器 域控制器是运行和存放 Active Directory 的服务器。 一个域可以有一个或多个域控制器，各域控制器是平等的，管理员可以在任一台域控制器上更新域中的信息，更新的信息会自动传递到网络中的其它域控制器中。 在一个域中创建第一个域控制器的过程就是创建域的过程，设置多个域控制器可以提高域的安全性。如果把域中的所有域控制器都删除，该域也就被删除了。 四、成员服务器 成员服务器是一台运行 Windows Server 2003 的服务器，它是域中的成员，但不是域控制器。 成员服务器不执行用户身份验证，也不存储安全策略信息，这些工作由域控制器完成，这样，可以让成员服务器有更高的处理能力来处理网络中的其他服务。 在域结构的网络中，身份验证与服务是分开的，这样可以提高服务器的效率。 五、域中的帐户 域中的帐户包括用户账户、计算机帐户、组帐户和共享资源帐户。所有帐户都存放在活动目录中，系统用安全标识符(SID)标识各个帐户。 1、用户账户：可作为用户身份的识别，它主要由用户名和密码组成，只有拥有了一个用户账户的人员才能通过计算机登录到域。在实际应用中，应该尽量保证一个用户账户由一个人使用，避免一个帐户供多人使用的情况出现。 2、计算机帐户：用来标识域中的计算机。一个拥有了用户账户的人并不能用任意的一台计算机登录到域，他只能在已加入域的计算机上才能登录域。每台加入到域的计算机（包括客户机和服务器）都会有一个计算机帐户。在实际应用中，应该只把那些工作用计算机加入域中，这样可保证人们只能在工作场所使用域。 3、组帐户：用