没有合适的资源?快使用搜索试试~ 我知道了~
2003域控制器教程之漫游用户配置文件方法 漫游用户配置文件是非常方便的
资源推荐
资源详情
资源评论
第六章 活动目录的安装、校验与管理
Windows 2000 Server
的目录服务称作活动目录(
Active Directory
) 。它存储着网络上各种对象的有
关信息,并使该信息易于管理员和用户查找及使用。Active Directory使用结构化的数据存储作为目录信息
的逻辑层次结构的基础。
Active Directory
的优点:信息安全性 、基于策略的管理 、可扩展性 、可伸缩性 、信息的复制 、
与
DNS
集成 、与其他目录服务的互操作性、灵活的查询。
6.1
活动目录的概念
6.1.1
活动目录概念
1.
活动目录
Windows 2000
中的活动目录是一个目录服务,只要我们明白了目录服务也就明白了活动目录。
目录服务由两部分内容构成,一部分是目录;一部分是服务,在目录部分决定了我们的目录服务系统
里都能放那些东西、放那些对象,这些对象如何来进行存放等等。我们的目录决定了这样一些信息,就好
像你是一个库房管理员,由你决定库房里存放什么东西,如桌子、工具、及其零部件等等,作为库房管理
员来说你当然要合理的摆放这些东西,如果有人要求存放爆炸物品,你会说对不起我的库房不适合存放爆
炸物品。这就和我们的目录类似,目录决定了存储的问题。
服务(Service)是对我们提出要求的正确响应。活动目录的最终目的是方便用户使用其上的内容,目
录是放置存储信息,服务是按我们的要求来提取信息。
当前的操作系统中目录服务有多种,如
Netware
,
UNIX
等都有自己的目录服务,大型多用户操作系统
的特性之一是具有目录服务结构。活动目录是所有目录服务的一种,用它来对网络进行管理。
2.
对活动目录的要求
•
最简单的可扩展性
• 基于Internet标准
•
灵活并且足够的安全性
•
可以增加升级和迁移
•
更灵活的支持组织结构的变化
3.
活动目录的组件
(
1
)简单的用户管理
包括用户和组织的管理和用户设备管理,用户和组织管理是以前NT4中就有的,用户设备管理是
Windows 2000
新增加的,我们可以在活动目录中对打印机、共享文件夹等进行管理。这样的好处是在设备
和用户之间增加了一道墙,这道墙就是活动目录,使用户不知道、也不关心网络设备的运行情况,网络管
理员也不需要让用户知道这些情况。
(2)验证和授权服务
在活动目录中我们首先要实现的是对活动目录中数据的保护,在保护的前提下,使得数据易于我们访
问。
Windows 2000
的验证和授权服务是基于互联网标准。
(
3
)目录管理
包括目录合并和目 录同步问题,如我们在Windows 2000系统中安装了邮件系统(
Exchange Server
5.5
),我们希望在
Windows 2000
系统中创建一个用户的同时,自动在邮件系统中创建一个邮箱;在邮
件系
统创建一个邮箱的同时,自动在
Windows 2000
系统中创建一个用户。活动目录就可以帮助我们实现这一
点,因为它有接口可以供我们来用,因此我们才能实现这样的目标,这些接口都是由目录管理来负责的。
(4)结构服务
页码,1/29第一章
2007-2-3file://D:\网络操作系统优秀课\多用户操作系统打印稿20030325.htm
包括目录激活的网络和目录激活的服务。我们可以举一个简单的例子来说明,网络管理员可以为每一
个用户指定它可以使用的网络带宽,如网络管理员因为他的管理维护工作量较大,可以为自己保留一个1
兆的带宽,对普通用户可以指定
10K
或
50K
的带宽,这里注意除
Windows 2000
支持以外,还需网络硬件支
持。
(
5
)应用程序管理
主要是发布客户需要的应用程序和基于策略的应用程序配置,由于活动目录实现了对应用程序的管
理,对一个
Windows 2000
的网络管理员来说,如果用户应用程序发生故障,管理员可以把一个好的计算机
安装到用户那里,打开计算机电源开关后,管理员就可以走了,回去慢慢研究用户的计算机到底出了什么
故障,而用户只需要坐在那台新的计算机旁等待鼠标不再处于忙的状态的时候,就可以使用计算机了,
用
户会发现他以前存储的文件和数据及安装的应用程序都存在。这就是应用程序管理给我们带来的目标。当
我们的网络真正升级到
Windows 2000
并且部署完毕之后,一个管理员要做的日常工作时非常少的。
4.
活动目录支持的技术
活动目录支持的技术包括
TCP/IP
、
DHCP
、
DNS
、
X.509
(验证机制)、
Kerberos
(身份验证机制)、
LDIF
、
LDAP
等。
6.1.2
活动目录的逻辑结构
活动 目录 的逻 辑 结 构 包 括 域(Domain)、树(Trees)、森 林(Forests)和组 织 单 元(
Organization
Units
)。
1.
域(
Domain
)
域的概念是随着网络技术的发展而提出的一个新概念,最初的计算机是没有管理的,随着联网的计算
机数量越来越多,我们越来越需要对联网的计算机进行管理。我们可以使用“工作组”方式来对计算机进
行管理,一般情况下这种方法管理的计算机数少(不超过
10
台);对于一个企业或公司,随着它的发展和
信息化的普及,网络上的计算机会越来越多,这种“工作组”的管理方式渐渐的不再适应我们的需求,
于
是我们就开始使用域这样的概念。
域和工作组都是对计算机进行逻辑组织的方式,即都管理网络的方式。但是,实现的方法目的是不一
样的。
用域对计算机进行管理具有这样几个特点:
(
1
)域是一个安全的边界
其含义就是说在域中,所有的对象是处于一个安全的堡垒之内,域和域之间是不同的安全堡垒之间的
关系,任何一个对象都不可以穿越安全堡垒,这一点是和
Windows NT
是一样的。无论什么时候,我们都
是登录到域上,在域中进行身份验证,而不是在任何其他的地方。Windows 2000只在域中有安全性设计,
其它地方都没有,域是活动目录中最基本的组件和结构,域和域之间有信任关系。
(2)
域是一个复制的单元
在
Windows 2000
中,域控制器的地位基本上是平等的。如果一个域的内部有多个域控制器,在任何一
个域控制器上都可以进行用户的添加、修改和删除工作,因此我们就会有了这样的问题,如果在一个域控
制器上创建了用户账户的话,那么当这个用户登录时,经过其它域控制器进行身份验证是否能通过?当然
我们说它本来就属于这个域,无论找到域中的任何一个域控制器进行身份验证都是可以通过的。这
件事是
依赖于复制单元来实现的,活动目录的复制保证了同一个域内的所有域控制器上的内容完全一致。那么当
我们在一个域控制器上创建一个用户时,很快域内的所有域控制器都可以得到这个用户的信息,因此,当
这个用户登录域时,无论找到那一个域控制器都是没有问题的。这是复制单元的第一个方面。
复制单元的第二个方面是指在域和域之间进行复制。
(
3
)域的模型:
Windows 2000域的模型有二种:混合模式(Mix Mode)和私有模式(Native Mode)。
混合模式是指在
Windows 2000
的域中包含有
Windows NT
的备份域控制器(
BDC
)
,
这样的一个域我们
就称为混合域模式。换句话说就是,一个
Windows 2000
的域控制器不能在一个
NT4.0
中作备份域控制器,
意味着它必须做主域控制器。
页码,2/29第一章
2007-2-3file://D:\网络操作系统优秀课\多用户操作系统打印稿20030325\06.htm
混合模式从设置上,我们很容易想到是为了一步一步地从
Windows NT
升级到
Windows 2000
。当我们
需要将Windows NT升级到Windows 2000时,我们可以先将Windows NT的主域控制器升级到
Windows
2000
的域控制器,让
Windows NT
的域和
Windows 2000
的域共存一段时间,当我们感觉系统都很稳定、一
切都正常时,再将
Windows NT
的备份域控制器升级到
Windows 2000
,这时我们可以将混合模式转化为私
有模式。缺省情况的域模式是混合模式,
私有模式:Windows 2000域的默认模式是私有模式,当域中只有Windows 2000的域控制器时,我们可
以将域的混合模式转换为私有模式,注意这种转换是一个不可逆的过程。只有在私有模式才能全部发挥
Windows 2000
域的全部功能。
2.
域树(
Trees
)
域树是一个或多个与根域有信任关系的域的集合。在域树中我们首先要理解的是信任关系(
Trust
Relation Ship
)概念。
信任关系是两个域之间安全信息的通信连接。这里需要我们理解两层含义,一是信任关系是一个通信
连接,如果两个域之间没有信任关系,则这两个域之间是没有这种通信连接的,没有这种通信连接并不是
说这两个域之间不能拷贝数据;二是这个通信连接上传输的是安全信息,如用户名、口令等就是安全信
息,两个域之间拷贝数据是不需要信任关系的。
Windows 2000
中域的信任关系具有以下特点:
• 双向性:如果A域信任B,则B域就信任A域。
•
可传递性:如果
A
域信任
B
,
B
域信任
C
域,则
A
域就信任
C
域。
• Kerberos
:使用
Kerberos
作为身份验证的机制。
Kerberos
采用
DES
(数据加密标准)在网上保护由系
统和用户发送的信息。
信任关系是Windows 2000内置自动创建的,在安装活动目录时,如果含有多个域,那么系统会提示创
建信任关系。在
Windows 2000
的活动目录里,任何两个域之间都是信任的,任何两个域之间都可以创建信
任关系。我们手工建立的信任关系只是在已经信任的两个域上建立信任关系的快捷方式,有时我们称这种
信任关系为“快捷信任”(
Show a Card
)。
创建“快捷信任”的目的是为了提高访问速度。有时我们也需要在Windows 2000域和Windows NT域
之间手工创建信任关系,它完全符合
Windows NT
信任关系的特点(单向的、不可传递的信任),使用
NTLM
进行身份验证,而不是使用
Kerberos
。
3.
根域
每一个域树都有一个根域,根域的作用是为我们提供了一个连续命名空间的开始。也就是说,域树和
DNS
采用的是同一套命名空间,域树的根域定义了活动目录或者说
DNS
命名空间的开始。
根域下面的所有子域都从根域那里来继承名字。
图
6-1
域树结构
Windows 2000
所有域之间内置的信任关系提供了访问和控制资源的可能,这种可能的实现需要授权,
没有授权这种信任关系的建立也只是形式,达不到资源共享的目的。
4.
域林(
Forest
)
域树的集合称为域林。域林中可以有多棵域树的存在,域林中不会有一个共享的连续命名空间,域林
是将不共享连续命名空间的域树组合在一起。
域林的形成:从DNS的角度来说,任何一个域树都要有一个根域;Windows 2000的网络中也要先定义
页码,3/29第一章
2007-2-3file://D:\网络操作系统优秀课\多用户操作系统打印稿20030325\06.htm
根域再去定义其它的域。域林的最大特点是不连续的命名空间。
域林主要应用于公司合并的情况下,因为每一个公司的域树都有一个连续的命名空间,公司合并后,
为了达到资源共享的目的,需要把这几棵域树合并成域林。
域林的根域:域林中第一棵树的根域叫做域林的根域,这个根域的管理员叫做域林管理员。在域林
中,域林管理员的权利是最大的,他可以做任何事情,由域林管理员来实现公司的统一管理。
在域、域树和域林这三部分中,域和域林都有管理员,域树没有管理员。
6.1.3
域控制器
1.
域服务器
简单的说,活动目录存在的那台计算机就是域服务器,也叫域控制器(
DC
)。活动目录的全部内容
存放在域控制器上,它负责活动目录数据库的维护、用户身份的验证和活动目录的安全性。
Windows 2000域中的任何一台域控制器都有权决定用户是否可以登录到域和用户账户的创建等事情,
域控制器使用复制机制来维护活动目录的完整信息。
2.
域服务器(
DC
)和普通服务器(
Member Server
)的区别
域服务器和普通服务器最主要的区别是在计算机上是否存放了活动目录的数据库文件,如果是就称该
计算机为域服务器,如果不是,则该计算机就是普通服务器。普通服务器一般是为专门的功能而设的,如
数据库服务器、文件服务器、邮件服务器等等。域服务器的最主要的功能是对用户的身份验证并且维护整
个活动目录数据库和对外提供服务,由活动目录提出的服务都是由域服务器来完成。
6.2
活动目录的安装
6.2.1
安装的要求
(
1
)必须是安装了
Windows 2000 Server
或
Windows 2000 Advanced Server
和
Windows 2000 Datacenter
Server的计算机。
(
2
)要求硬盘上至少有
200
兆空间用来安装活动目录数据库,至少有
50
兆空间用来安装日志文件,这
里考虑了活动目录使用后数据的增长。
(
3
)必须要有
NTFS
文件系统,因为在安装时需要安装
Sysvol
目录,这个目录要求必须存放在
NTFS
5.0的分区上。建议安装完Windows 2000 系统后,最好用Windows 2000系统重新格式化一个NTFS分区。
Windows 2000
默认的协议是
TCP/IP
,在安装过程中不需要考虑安装
TCP/IP
协议,换句话说,只要安装
好了
Windows 2000
系统,
TCP/IP
协议就已经安装好了。
(
4
)必需是一个
DNS
的客户端
如果你不希望改变DHCP缺省配置的话,就必需由DHCP服务器把IP地址分发给要安装的域控制器,要
安装
DNS
是我们安装服务器时的必需要求;如果你不想使用
DHCP
,手动来配置
IP
地址,这是在必需配置
IP
地址、子网掩码、缺省网关的同时,还要配置
DNS
服务器的
IP
地址。也就是说域服务器的
DNS
必需指向
一个
DNS
服务器,安装活动目录的计算机必需是一个
DNS
的客户端。从前面我们对
DNS
的讨论可以知道,
如果你想安装一个域控制器的话,你会在DNS服务器上添加若干SRV记录,使用户通过DNS服务器来查找
域控制器的
SRV
记录来进行身份验证。
域控制器可以是
DNS
服务器,也可以不是,只要我们能访问到
DNS
服务器就可以了。也就是说你拿
DNS
服务器的
IP
地址可以
ping
的通就可以了。
(5)特殊的权限
如果安装的域控制器不是网络中的第一台域控制器,还需要相应的权限。
(
6
)统一的时钟
如果安装的域控制器不止一台,则需要域控制器具有统一的始终。这主要是
Kerberos
验证安全性的要
求,
Kerberos对身份验证数据包有5分钟的时间限制,即由客户端发出的数据包超过了5分钟的话,Kerberos
就认为是一个坏包或被人修改过的包,就将该包丢掉。在默认情况下,系统在安装域控制器时,会自动调
整时钟的一致性,包含时间上的一致和时区上的对应。如果你的网络上的计算机时间误差超过
10
分钟,网
页码,4/29第一章
2007-2-3file://D:\网络操作系统优秀课\多用户操作系统打印稿20030325\06.htm
络就会不正常;如果客户端的计算机和域控制器的时间误差超过
10
分钟,客户就无法进行登录验证。
6.2.2
安装
Active Directory
要创建
Windows 2000
域,必须在该域中至少创建一个域控制器。创建域控制器也将创建该域。不可
能有没有域控制器的域。如果确定用户的单位需要一个以上的域,则必须为每一个域至少创建一个
域控制
器。在安装
Active Directory
前首先确定
DNS
服务正常工作,下面我们来安装根域为
nt2000.com
的域中第
一台域控制器。
步骤
1
使用配置服务器启动位于
%Systemroot%\system32
中的
Active Directory
安装向导程序
DCPromo.exe
来安装活动目录。
步骤1
单击“开始→运行”菜单,输入“
Dcpromo
”命令,启动活动目录的安装,如图
6-2
所示。
图6-2 启动活动目录的安装
步骤
2
在出现的安装向导中单击“下一步”按钮。如图
6-3
所示:
图6-3 安装向导
步骤
3
由于用户所建立的是域中的第一台域控制器所以选择“新域的域控制器” 单击“下一步”。如图6-4
所示:
页码,5/29第一章
2007-2-3file://D:\网络操作系统优秀课\多用户操作系统打印稿20030325\06.htm
剩余28页未读,继续阅读
资源评论
xcw87
- 粉丝: 0
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功