本章主要內容:
1、活動目錄的基本概念及其作用
2、在安裝活動目錄前的目錄規劃
3、活動目錄工具
6.1 活動目錄的概念
6.1.1 域
域提供了多項優點:
§ 組織對象。
§ 發佈有關域對象的資源和信息。
§ 將組策略對象應用到域可加強資源和安全性管理。
§ 委派授權使用戶不再需要大量的具有廣泛管理權利的管理員。
要創建域,用戶必須將一個或更多的運行 Windows 2000 Server 的計算機升級爲域控制器。域控制器爲網絡用戶和計算機提供 Active Directory 目錄服務、存儲目錄數據並管理用戶和域之間的交互作用,包括用戶登錄過程、驗證和目錄搜索。每個域至少必須包含一個域控制器。
域樹和域林
活動目錄中的每個域利用 DNS 域名加以標識,並且需要一個或多個域控制器。如果用戶的網絡需要一個以上的域,則用戶可以創建多個域。共享相同的公用架構和全局目錄的一個或多個域稱爲域林。如圖 6.1 中所示,如果樹林中的多個域有連續的 DNS 域名,則該結構稱爲域樹。
如圖6.2所示如果相關域樹共享相同的 Active Directory 架構以及目錄配置和複製信息,但不共享連續的 DNS 名稱空間,則稱之爲域林。
域樹和域林的組合爲用戶提供了靈活的域命名選項。連續和非連續的 DNS 名稱空間都可加入到用戶的目錄中。
6.1.2. 域和帳戶命名
Active Directory 域名通常是該域的完整 DNS 名稱。但是,爲確保向下兼容,每個域還有一個 Windows 2000 以前版本的名稱,以便在運行 Windows 2000 以前版本的操作系統的計算機上使用。用戶帳戶
在 Active Directory 中,每個用戶帳戶都有一個用戶登錄名、一個 Windows 2000 以前版本的用戶登錄名(安全帳戶管理器的帳戶名)和一個用戶主要名稱後綴。在創建用戶帳戶時,管理員輸入其登錄名並選擇用戶主要名稱。Active Directory 建議 Windows 2000 以前版本的用戶登錄名使用此用戶登錄名的前 20 個字節。
所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 Windows 2000 域的標準用法。表準格式爲:[email][email protected][/email] (類似個人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號。Active Directory 在創建用戶主要名稱時自動添加此符號。包含多個 @ 號的用戶主要名稱是無效的。
在 Active Directory 中,默認的用戶主要名稱後綴是域樹中根域的 DNS 名。如果用戶的單位使用由部門和區域組成的多層域樹,則對於底層用戶的域名可能很長。對於該域中的用戶,默認的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認的登錄名可能是 [email][email protected][/email] 。創建主要名稱後綴 - "root" 使同一用戶使用更簡單的登錄名 [email][email protected][/email] 就可以登錄。
6.1.3 域間信任關係
對於 Windows 2000 計算機,通過基於 Kerberos V5 安全協議的雙向、可傳遞信任關係啓用域之間的帳戶驗證。
在域樹中創建域時,相鄰域(父域和子域)之間自動建立信任關係。如圖 6.2 中的 root.com 和 child.root.com 之間自動建立信任關係。在域林中,在樹林根域和添加到樹林的每個域樹的根域之間自動建立信任關係。因爲這些信任關係是可傳遞的,所以可以在域樹或域林中的任何域之間進行用戶和計算機的身份驗證。
如果將 Windows 2000 以前版本的 Windows 域升級爲 Windows 2000 域時,Windows 2000 域將保留域和任何其他域之間現有的單向信任關係。包括 Windows 2000 以前版本的 Windows 域的所有信任關係。如果用戶要安裝新的 Windows 2000 域並且希望與任何 Windows 2000 以前版本的域建立信任關係,則必須創建與那些域的外部信任關係。
所有域信任關係都只能有兩個域:信任域和受信任域。域信任關係按以下特徵進行描述:
§ 單向
單向信任是域 A 信任域 B 的單一信任關係。所有的單向關係都是不可傳遞的,並且所有的不可傳遞信任都是單向的。身份驗證請求只能從信任域傳到受信任域。Windows 2000 的域可與以下域建立單向信任:不同樹林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 領域。
§ 雙向
Windows 2000 樹林中的所有域信任都是雙向可傳遞信任。建立新的子域時,雙向可傳遞信任在新的子域和父域之間自動建立。
§ 可傳遞
Windows 2000 樹林中的所有域信任都是可傳遞的。可傳遞信任始終爲雙向:此關係中的兩個域相互信任。
可傳遞信任不受信任關係中的兩個域的約束。每次當用戶建立新的子域時,在父域和新子域之間就隱含地(自動)建立起雙向可傳遞信任關係。這樣,可傳遞信任關係在域樹中按其形成的方式向上流動,並在域樹中的所有域之間建立起可傳遞信任。
如圖6.3中因爲域 1 和域 2 有可傳遞信任關係,域 2 和域 3 有可傳遞信任關係,所以域 3 中的用戶(在獲得相應權限時)可訪問域 1 中的資源。因爲域 1 和域 A 具有可傳遞信任關係,
並且域 A 的域樹中的其他域和域 A 具有可傳遞信任關係,所以域 B 中的用戶(當授與適當權限時)可訪問域 3 中的資源。
§ 不可傳遞
不可傳遞信任受信任關係中的兩個域的約束,並不流向樹林中的任何其他域。在大多數情況下,用戶必須明確建立不可傳遞信任。在 Windows 2000 域和 Windows NT 域之間的所有信任關係都是不可傳遞的。從 Windows NT 升級至 Windows 2000 時,目前所有的 Windows NT 信任都保持不動。在混和模式環境中,所有的 Windows NT 信任都是不可傳遞的。不可傳遞信任默認爲單向信任關係。
§ 外部信任
外部信任創建了與樹林外部的域的信任關係。創建外部信任的優點在於使用戶可以通過樹林的信任路徑不包含的域進行身份驗證。所有的外部驗證都是單向非轉移的信任
§ 快捷信任
快捷信任是雙向可傳遞的信任,使用戶可以縮短複雜樹林中的路徑。Windows 2000 同一樹林中域之間的快捷信任是明確創建的。快捷信任具有優化的性能,能縮短與 Windows 2000 安全機制有關的信任路徑以便進行身份驗證。在樹林中的兩個域樹之間使用快捷信任是最有效的。
6.1.4 站點
站點是由一個或多個 IP 子網中的一組計算機,確保目錄信息的有效交換,站點中的計算機需要很好地連接,尤其是子網內的計算機。站點和域名稱空間之間沒有必要的連接。站點反映網絡的物理結構,而域通常反映用戶單位的邏輯結構。邏輯結構和物理結構相互獨立,所以網絡的物理結構及其域結構之間沒有必要的相關性,Active Directory 允許單個站點中有多個域,單個域中有多個站點。
如果配置方案未組織成站點,則域和客戶之間的信息交換可能非常混亂。站點能提高網絡使用的效率。站點服務在以下兩方面令網絡操作更爲有效:
§ 服務請求
當客戶從域控制器請求服務時,只要相同域中的域控制器有一個可用,此請求就將會發給這個域控制器。選擇與發出請求的客戶連接良好的域控制器將使該請求的處理效率更高。
§ 複製
站點使目錄信息以流水線的方式複製。目錄架構和配置信息分佈在整個樹林中,而且域數據分佈在域中的所有域控制器之間。通過有策略地減少複製,用戶的網絡擁塞也會同樣減少。Active Directory 在一個站點內比在站點之間更頻繁地複製目錄信息。這樣,連接最好的域控制器中,最可能需要特定目錄信息的域控制器首先接收復制的內容。其他站點中的域控制器接收對目錄所進行的更改,但不頻繁,以降低網絡帶寬的消耗。
6.1.5 Active Directory 用戶和計算機帳戶
Active Directory 用戶和計算機帳戶代表物理實體,諸如計算機或人。用戶帳戶和計算機帳戶(以及組)稱爲安全主體。安全主體是自動分配安全標識符的目錄對象。帶安全標識符的對象可登錄到網絡並訪問域資源。用戶或計算機帳戶用於:
§ 驗證用戶或計算機的身份。
§ 授權或拒絕訪問域資源。
§ 管理其他安全主體。
§ 審計使用用戶或計算機帳戶執行的操作。
Windows 2000 提供了可用於登錄到運行 Windows 2000 的計算機的預定義用戶帳戶。這些預定義帳戶爲:
§ 管理員帳戶
§ 來賓帳戶
預定義帳戶就是允許用戶登錄到本地計算機並訪問本地計算機上資源的默認用戶帳戶。設計這些帳戶的主要目的是本地計算機的初始登錄和配置。每個預定義帳戶均有不同的權利和權限組合。管理員帳戶有最廣泛的權利和權限,同時來賓帳戶有受限制的權利和權限。
6.1.6組策略
組策略設置影響計算機或用戶帳戶並且可應用於站點、域或組織單位。它可用於配置安全選項、管理應用程序、管理桌面外觀、指派腳本並將文件夾從本地計算機重新定向到網絡位置。
6.1.7集成DNS
由於 Active Directory 與 DNS 集成而且共享相同的名稱空間結構,因此注意兩者之間的差異非常重要:
§ DNS 是一種名稱解析服務。
DNS 客戶機向配置的 DNS 服務器發送 DNS 名稱查詢。DNS 服務器接收名稱查詢,然後通過本地存儲的文件解析名稱查詢,或者查詢其他 DNS 服務器進行名稱解析。DNS 不需要 Active Directory 就能運行。
§ Active Directory 是一種目錄服務
Active Directory 提供信息儲存庫以及讓用戶和應用程序訪問信息的服務。Active Directory 客戶使用"輕量級目錄訪問協議 (LDAP)"向 Active Directory 服務器發送查詢。要定位 Active Directory 服務器,Active Directory 客戶機將查詢 DNS。Active Directory 需要 DNS 才能工作。
即 Active Directory 用於組織資源,而 DNS 用於查找資源;只有它們共同工作才能爲用戶或其他請求類似信息的過程返回信息。DNS 是 Active Directory 的關鍵組件,如果沒有 DNS,Active Directory 就無法將用戶的請求解析成資源的IP地址,因此在安裝和配置 Active Directory 之前,用戶必須對 DNS 有深入的理解。
6.1.8組織單位
包含在域中的特別有用的目錄對象類型就是組織單位。組織單位是可將用戶、組、計算機和其他單位放入其中的 Active Directory 容器。組織單位不能包括來自其他域的對象。組織單位是可以指派組策略設置或委派管理權限的最小作用域或單位。使用組織單位,用戶可在組織單位中代表邏輯層次結構的域中創建容器。這樣用戶就可以根據用戶的組織模型管理帳戶和資源的配置和使用。
6.2 安裝活動目錄(ADS)
6.2.1 Active Directory 的規劃
在安裝 Active Directory 之前,用戶首先要對 Active Directory 的結構進行細緻的規劃設計,讓用戶和管理員在使用時更爲輕鬆。
§ 規劃 DNS
如果用戶準備使用 Active Directory,則需要先規劃名稱空間。當 DNS 域名稱空間可在 Windows 2000 中正確執行之前,需要有可用的 Active Directory 結構。所以,從 Active Directory 設計着手並用適當的 DNS 名稱空間支持它。經過審閱,如果檢測到任何規劃中有不可預見的或不合要求的結果,則根據需要進行修改。
在 Windows 2000 中,用 DNS 名稱命名 Active Directory 域。選擇 DNS 名稱用於 Active Directory 域時,以單位保留在 Internet 上使用的已註冊 DNS 域名後綴開始(如"root.com"),並將該名稱和單位中使用的地理名稱或部門名稱結合起來,組成 Active Directory 域的全名。
例如,root 的 sales 測試組可能稱他們的域爲"sales.child.root.com"。這種命名方法確保每個 Active Directory 域名是全球唯一的。而且,這種命名方法一旦被採用,使用現有名稱作爲創建其他子域的父名稱以及進一步增大名稱空間以供單位中的新部門使用的過程將變得非常簡單。對於僅使用單個域或小型多域模式的小型企業,可以直接進行規劃並按照與以前範例相似的方法操作。在規劃 DNS 和 Active Directory 名稱空間時,建議使用不同組而且不重疊的可分辨名稱作爲內部和外部 DNS 使用的基礎。例如,假定單位的父域名是"example.root.com"。對於內部 DNS 名稱的使用,用戶可以使用諸如"internal.root.microsoft.com"的名稱 對於外部 DNS 名稱的使用,用戶可以使用諸如"external.example.microsoft.com"的名稱 保持內部和外部名稱空間始終是分離的而且截然不同,這樣用戶可以簡化某些配置的維護工作,如域名篩選器或排除列表。
§ 規劃用戶的域結構
最容易管理的域結構就是單域。規劃時,用戶應從單域開始,並且只有在單域模式不能滿足用戶的要求時,才增加其他的域。一個域可跨越多個站點並且包含數百萬個對象。站點結構和域結構互相獨立而且非常靈活。單域可跨越多個地理站點,並且單個站點可包含屬於多個域的用戶和計算機。如果只是反映用戶公司的部門組織結構,則不必創建獨立的域樹。在一個域中,可以使用組織單位來實現這個目標。然後,可以指定組策略設置並將用戶、組和計算機放在組織單位中。
創建多個域的原因有:
§ 部門之間不同的密碼要求
§ 大量的對象
§ 不同的 Internet 域名
§ 對複製進行更多的控制
§ 分散的網絡管理
§ 規劃組織單位結構
可以在域中創建組織單位的層次結構。組織單位可包含用戶、組、計算機、打印機、共享文件夾以及其他組織單位。組織單位是目錄容器對象。它們表現爲"Active Directory 用戶和計算機"中的文件夾。組織單位簡化了域中目錄對象的視圖以及這些對象的管理。可將每個組織單位的管理控制權委派給特定的人。這樣,用戶就可以在管理員中分配域的管理工作,以更接近指派的單位職責的方式來管理這些管理性職責工作。
通常,應該創建能反映組織單位的職能或商務結構的單位。例如,用戶可以創建頂級單位,例如人事關係、設備管理和營銷等部門單位。在人事關係單位中,用戶可以創建其他的嵌套組織單位,例如福利和招聘單位。在招聘單位中,也可以創建另一級的嵌套單位。例如,內部招聘和外部招聘單位。總之,組織單位可使用戶以一種更有意義且易於管理的方式來模擬用戶實際工作的單位,而且在任何一級指派一個適當的本地權利機構作爲管理員。
每個域都可實現自己的組織單位層次結構。如果用戶的企業包含多個域,則可以獨立於其他域中的結構在每個域中創建組織單位的結構。
§ 何時創建域控制器
將 Windows 2000 Server 計算機升級爲域控制器會創建一個新域或者向現有的域添加其他域控制器。創建域控制器可以:
§ 創建網絡中的第一個域。
§ 在樹林中創建其他的域。
§ 提高網絡可用性和可靠性。
§ 提高站點之間的網絡性能。
要創建 Windows 2000 域,必須在該域中至少創建一個域控制器。創建域控制器也將創建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域,則必須爲每個附加的域至少創建一個域控制器。樹林中的附加域可以是:新的子域、新域樹的根。
§ 規劃用戶的委派模式
用戶可以將權利下派給單位中最底層部門,方法是在每個域中創建組織單位樹,並將部分組織單位子樹的權利委派給其他用戶或組。通過委派管理權利,用戶不再需要那些定期登錄到特定帳戶的人員,這些帳戶具有對整個域的管理權。儘管用戶還擁有帶整個域的管理授權的管理員帳戶和域管理員器組,可以仍保留這些帳戶以備少數高度信任的管理員偶爾使用。
最後在規劃 Active Directory 結構時,除了需要認真考慮以上各項外,用戶還要注意以下幾點:
1.使用的域越少越好,因爲在 Windows 2000 中已經大大擴展了單個域的容量。
2.限制組織單位的層次,在 Active Directory 搜索事物的層次越深則運行效率越低
3.限制組織單位中的對象個數,這樣便於高效的查找特定資源
4.用戶可以將管理權限分配到組織單位級,這樣提高了管理效率,降低了管理員的負荷。
6.2.2 安裝 Active Directory
運行 Active Directory 安裝嚮導將 Windows 2000 Server 計算機升級爲域控制器會創建一個新域或者向現有的域添加其他域控制器。創建域控制器可以:
§ 創建網絡中的第一個域。
§ 在樹林中創建其他的域。
§ 提高網絡可用性和可靠性。
§ 提高站點之間的網絡性能。
要創建 Windows 2000 域,必須在該域中至少創建一個域控制器。創建域控制器也將創建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域,則必須爲每個附加的域至少創建一個域控制器。樹林中的附加域可以是:新的子域、新域樹的根。
在安裝 Active Directory 前首先確定DNS服務正常工作,下面用戶來安裝根域爲 nt2000.com 的域中第一臺域控制器。
步驟1 利用配置服務器啓動位於 %Systemroot%\system32 中的 Active Directory 安裝嚮導程序 DCPromo.exe。
如圖 6.4,單擊"下一步"
步驟2 由於用戶所建立的是域中的第一臺域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"創建一個新域的域目錄樹" ,單擊"下一步"
步驟4 選擇"創建一個新域的域目錄林", 單擊"下一步"
步驟5 在"新域的 DNS 全名"中輸入要創建得域名,nt2000.com
如圖 6.5,單擊"下一步"
步驟6 安裝嚮導自動將域控制器的 NetBIOS 名設置爲 "nt2000" ,單擊"下一步"
步驟7 顯示數據庫、目錄文件 及Sysvol 文件的保存位置,一般不必作修改。單擊"下一步"
步驟8 配置 DNS 服務,單擊"下一步",(如果在安裝 Active Directory 之前未配置 DNS 服務器可以在此讓安裝嚮導配置 DNS ,推薦使用這種方法。)
步驟9 爲用戶和組選擇默認權限,考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本,所以選擇"與 Windows 2000 服務器之前版本相兼容的權限"
如圖 6.6,單擊"下一步"
步驟10 輸入以目錄恢復模式下的管理員密碼,單擊"下一步"
步驟11 安裝嚮導顯示摘要信息,單擊"下一步"開始安裝如圖6.7
步驟12 安裝完成之後,重新啓動計算機。
檢驗安裝結果
在安裝完成後,可以通過以下方法檢驗 Active Directory 安裝正確,在安裝過程中一項最重要的工作是在 DNS 數據庫中添加服務記錄( SRV 記錄)。
1.檢查 DNS 文件的SRV記錄
用文本編輯器打開 %systemroot%/system32/config/ 中的 Netlogon.dns 文件,察看 LDAP 服務記錄,在本例中爲
_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
2.驗證 SRV 記錄在 NSLOOKUP 命令工具中運行正常
步驟1 在命令提示行下,輸入 NSLOOKUP
步驟2 輸入 set type=srv
步驟3 輸入 _ldap._tcp.nt2000.com
如果返回了服務器名和 IP 地址,說明 SRV 記錄工作正常
6.2.3 安裝第二臺域控制器
在安裝完第一臺域控制器後其域名爲 nt2000.com ,在上例中該服務器用於總公司,如果由於公司擴展的需要爲其新建的工廠建立自己的域名和域控制器,則用戶將工廠的域名定義爲 man.nt2000.com ,由於此域名與 nt2000.com 是連續的域名,所以他們組成了一個目錄樹,今後隨着工廠的發展用戶還可以在這個目錄樹下繼續逐級添加子域(如:accounting.man.nt2000.com),如果需要添加的域名與該目錄樹不連續(如:nt3000.com)則用戶就需要建立一個新的目錄樹,這樣由多個目錄樹組成了域目錄林。
在安裝第二臺域控制器之前,首先檢驗它的IP設置和DNS設置,以保證可以訪問域控制器(n2k_server.nt2000.com)。
步驟1 利用配置服務器啓動位於 %Systemroot%\system32 中的 Active Directory 安裝嚮導程序 DCPromo.exe 。如圖6.4,單擊"下一步"
步驟2 由於用戶所建立的是域中的一臺域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"在現有域目錄樹中創建一個新的子域" ,單擊"下一步"
步驟4 在"網絡憑據"對話框中輸入上一級域的域名及具有管理員權限的用戶名和密碼, 單擊"下一步"
步驟5 在"子域安裝"對話框中輸入父域域名(nt2000.com)和子域域名(man),在下方的子域完整域名中會自動顯示 man.nt2000.com,單擊"下一步"
步驟6 安裝嚮導自動將域控制器的 NetBIOS 名設置爲"man",用戶也可以進行修改 ,單擊"下一步"
步驟7 顯示數據庫、目錄文件及 Sysvol 文件的保存位置,一般不必作修改。單擊"下一步"
步驟8 爲用戶和組選擇默認權限,考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本,所以選擇"與 Windows 2000 服務器之前版本相兼容的權限",單擊"下一步"
步驟9 單擊"下一步"開始安裝,在重新啓動後,在 n2k_server.nt2000.com 的" Active Directory 域和信任關係"中將顯示新建的子域 man.nt2000.com 如圖6.8
6.3 活動目錄工具
在安裝完畢後,在管理工具中提供了三個工具
§ Active Directory 用戶和計算機
如圖 6.9
§ Active Directory 域和信任關係
如圖 6.10
§ Active Directory 站點和服務
如圖 6.11
系統還提供了 Active DirectorySchema 和 ADSI 主要用於 Active Direttory 開發的工具。Active Directory 域和信任關係、Active Directory 站點和服務工具主要用於管理多個服務器或多個域之間的關係,這不是本書的重點;Active Directory 用戶和計算機工具是配置互動目錄最常用的工具,在後續章節中用戶將詳細介紹它的使用方法。
當用戶登陸到網絡上,用戶可以看到活動目錄,
如圖 6.12
