中国德迷联盟 - GerFans.cn

 找回密码
 加入联盟

手机号码,快捷登录

Windows 活动目录(Active Directory)

[复制链接]
意志的胜利 发表于 2006-5-28 16:16:53 | 显示全部楼层 |阅读模式
<>活动目录是Windows 2000/2003网络中目录服务的实现方式。目录服务是一种网络服务,它存储网络资源的信息并使得用户和应用程序能访问这些资源。</P>
<><STRONG>活动目录对象<BR></STRONG>  <BR>  主要包括用户、组、计算机和打印机,然而网络中的所有服务器、域和站点等也可认为是活动目录中的对象。<BR><STRONG>活动目录架构<BR></STRONG>  <BR>  ◆ 含有活动目录中所有对象的定义;</P>
<>       ◆ 用对象类和对象属性来描述每个对象;<BR>  <BR>  ◆ 在Windows 2000的网络中,整个森林只有一个架构;<BR>  <BR>  ◆ 架构保存在活动目录中。</P>
<><STRONG>活动目录的逻辑结构<BR></STRONG>  <BR>  活动目录的逻辑结构用来组织网络资源。<BR>  <BR>  <B>域(Domain)</B><BR>  <BR>  ◆ 域是Windows 2000 活动目录的核心单元,是共享同一活动目录的一组计算机集合;<BR>  <BR>  ◆ 域是安全的边界,在缺省的情况下,一个域的管理员只能管理他自己的域,一个域的管理员要管理其他的域,需要专门的授权;<BR>  <BR>  ◆ 域是复制单位,一个域可包含多个域控制器,当某个域控制器的活动目录数据库修改以后,会将此修改复制到其他所有域控制器。<BR></P>
<><STRONG>组织单元(Organizational Units,OU)<BR></STRONG>  <BR>  ◆ OU是域下面的容器对象,用于组织对活动目录对象的管理,是Windows 2000中最小的管理单元;<BR>  <BR>  ◆ OU可用来匹配一个企业的实际组织结构,域的管理员可以指定某个用户去管理某个OU;<BR>  <BR>  ◆ OU也可以像域一样做成树状的结构,即OU下面还可以有OU;<BR>  <BR>  ◆ 使用OU可取代Windows NT4.0的多域网络</P>
<><BR> </P>
<><IMG src="http://windows.chinaitlab.com/imgfiles/2005.11.5.11.48.37.6.1.jpg" border=0></P>
<><STRONG>树和森林(Trees and Forests)<BR></STRONG>  <BR>  树(Trees):由一个或多个域构成。Windows 2000中的树共享连续的名字空间;树具有双向、传递信任,即缺省情况下,Windows 2000中父域和子域、树和树之间的信任关系都是双向的,而且是可传递的。<BR>  <BR>  森林(Forests):森林由一棵或多棵树组成。森林中的树不共享一个连续的名字空间,但共享一个普通架构和全局目录。<BR>  <BR>  <B>全局目录(Global Catalog)</B><BR>  <BR>  Global Catalog(GC)是一个包含活动目录中所有对象的属性信息(不是完全信息,是常用属性的一个子集)的仓库,它为用户提供以下重要功能:<BR>  <BR>  ◆ 在整个森林中查找活动目录的信息;<BR>  <BR>  ◆ 使用通用组成员信息登录到网络;<BR>  <BR>  ◆ 活动目录中的第一个域控制器自动成为全局目录,为了平衡登录和查询流量,您可以设置额外的全局目录。<BR>  <BR>  <B>活动目录的物理结构</B><BR>  <BR>  物理结构用来设置和管理网络流量。活动目录的物理结构由域控制器和站点组成。</P>
<><BR><STRONG>域控制器(Domain Controller)<BR></STRONG>  <BR>  活动目录复制:多主复制模式(Multi-Master Replication Model)和活动目录的物理结构决定复制在什么时候发生和如何发生。<BR>  <BR>  单主操作:对从森林中添加/删除域这样的操作,不适合用多主复制的模式,需要单主复制,执行单主操作的计算机称为操作主机。<BR>  <BR>  <B>站点(Sites)</B><BR>  <BR>  ◆ 站点由一个或多个高速连接的IP子网构成;<BR>  <BR>  ◆ 站点是网络的物理结构,站点和域没有必然联系,一个站点可包含多个域,一个域也可跨多个站点;<BR>  <BR>  ◆ 创建站点的主要理由是为了优化复制流量和使用户能够用可靠的高速线路连接到域控制器。<BR>  <BR>  <B>活动目录集成区域</B><BR>  <BR>  要实现活动目录集成区域, DNS Server必须装有活动目录的DC。因为集成后DNS的区域数据库文件变成了活动目录的一部分,它的复制被包含在活动目录的复制中,所以不会再发生DNS区域传输(Zone Transfer)。但仍然能向非活动目录集成的辅助服务器执行区域传输,避免了主服务器失败后,DNS记录无法被更新。<BR>  <BR>  安装和设置DNS以支持活动目录<BR>  <BR>  若在安装活动目录时同时安装DNS,操作系统会自动配置DNS,并创建与活动目录域同名的DNS正向查询区域、配置此正向查询区域与活动目录集成。<BR>  <BR>  <B>活动目录对DNS的要求</B><BR>  <BR>  ◆ 支持SRV记录(强制);<BR>  <BR>  ◆ 支持动态更新协议(推荐);<BR>  <BR>  ◆ 支持增量区域传输(推荐)。<BR>  <BR>  <B>活动目录的用户登录名</B><BR>  <BR>  主用户名(User Principal Name)<BR>  <BR>  主用户名的格式同E-mail地址,例如,john@cyc.com,john称为主用户名前缀,cyc.com称为主用户名后缀,一般为根域的域名。主用户名只能用于登录Windows 2000的网络。<BR>  <BR>  用户登录名(User Logon Name)<BR>  <BR>  用于Pre-Windows 2000的环境或Windows 2000;登录时需要用户名和域名。<BR>  <BR>  <B>用户名惟一性原则</B><BR>  <BR>  ◆ 全名在所属的容器内惟一;<BR>  <BR>  ◆ 用户登录名在所属的域内惟一;<BR>  <BR>  ◆ 主用户名在整个森林内惟一。<BR>  <BR>  <B>活动目录中的组</B><BR>  <BR>  全局组(Global Groups);<BR>  <BR>  域本地组(Domain Local Groups);<BR>  <BR>  通用组(Universal Groups):通用组一般用于多域的情况,通用组的成员信息保存在GC中。尽量避免通用组直接包含用户账号成员,而使用全局组作为通用组的成员。<BR>  <BR>  在域中使用组的策略<BR>  <BR>  使用A-G-DL-P策略;<BR>  <BR>  使用A-G-G-DL-P策略;<BR>  <BR>  使用A-G-U-DL-P策略。<BR>  <BR>  这里,A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。其余类推。<BR>  <BR>  <B>在活动目录中出版资源</B><BR>  <BR>  所有Windows 2000的共享打印机都被自动出版在活动目录中;<BR>  <BR>  删除打印机时也会自动删除活动目录中的打印机;<BR>  <BR>  打印服务器负责在活动目录中出版打印机;<BR>  <BR>  当修改打印机属性时,会自动更新活动目录中打印机的属性。<BR>  <BR>  活动目录安全组件<BR>  <BR>  安全主体(Security Principals)<BR>  <BR>  安全主体是一个能够对它分配权限的对象,例如,用户、组和计算机;<BR>  <BR>  每一个Windows 2000域中的安全主体都有一个惟一的安全标识符。<BR>  <BR>  安全标识符(Security Identifier——SIDs)<BR>  <BR>  安全标识符是用来标识一个安全主体的一个数值,它在这个主体被创建时产生,绝对不会重用。Windows 2000中的访问控制机制是基于SIDs,而不是基于名字。<BR>  <BR>  安全描述符(Security Descriptors)<BR>  <BR>  安全描述符是包含与一个可以设置安全对象相关的安全信息的数据结构,主要包括以下内容:<BR>  <BR>  头部:安全描述符的版本信息和一组控制标志;<BR>  <BR>  所有者:此对象所有者的SID;<BR>  <BR>  主要组:所有者所属的主要组的SID;<BR>  <BR>  DACL(Discretionary Access Control List):用户对此对象的访问控制列表;<BR>  <BR>  SACL (System Access Control List):对用户进行审核的访问控制列表。<BR>  <BR>  如果在一个对象上设置了权限,这个对象的安全描述符中将包含一个DACL。DACL中包含允许或拒绝访问这个对象的用户和组的SIDs;如果还对这个对象设置了审核,它的安全描述符中还包含一个SACL。<BR>  <BR>  <B>活动目录权限</B><BR>  <BR>  权限是一种对象所有者的授权,通过授权,用户可以对特殊对象进行操作。如果对象是所有者,可以分派给其他用户或组部分或全部任务的权限,还可以分派所有权的权限。<BR>  <BR>  ◆ 允许权限或拒绝权限:拒绝权限比任何允许权限优先级高;<BR>  <BR>  ◆ 间接否定或直接否定(Implicitly Deny or Explicitly Deny):例如不是明确指定的操作权限是间接否定;<BR>  <BR>  ◆ 标准权限和特殊权限:标准权限是经常分派的权限,而特殊权限是对分派访问权限的更细致的控制:<BR>  <BR>  ◆ 完全控制;<BR>  <BR>  ◆ 读出:查看对象和对象属性;<BR>  <BR>  ◆ 写入:修改对象内容和属性;<BR>  <BR>  ◆ 创建所有子对象:向OU中添加对象;<BR>  <BR>  ◆ 删除所有子对象:从OU中删除对象。<BR></P>
古道行客 发表于 2006-6-9 02:12:00 | 显示全部楼层
摆脱,要发就多发点,发详细点
您需要登录后才可以回帖 登录 | 加入联盟

本版积分规则

小黑屋|手机版|Archiver|中国德迷联盟 - GerFans.cn ( 辽ICP备17002255号 )|网站地图

GMT+8, 2024-11-16 03:23 , Processed in 0.024506 second(s), 13 queries , Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表