Active Directory 域服务(一)

本文涉及的产品
.cn 域名,1个 12个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: Active Directory 域服务(一)

简介

       前面课程介绍的工作组网络模型只适合小型网络,当企业网络中计算机和用户账户数量较多时,我们可以通过使用Windows域,对网络资源进行集中管理,提高工作效率。另外,微软的很多服务都依赖域环境。本章主要介绍域的相关概念和一些基础的理论知识,理解这些理论知识对掌握后续课程意义重大。

本章重点

       域和活动目录的概念

       域的逻辑结构

       域功能级别和林功能级别

1. AD域服务概述

       在小型网络中,管理员通常单独管理每一台计算机,每台计算机都是一个独立的管理单元。例如,在每台计算机中都需要为访问它的用户创建用户账户,但当网络规模扩大到一定程度后,例如,超过10台计算机,每台计算机需要有10个用户访问,那么管理员就要创建100个以上的用户账户,相同的工作就要重复很多遍。虽然可以将用户需要访问的资源集中到某台服务器,但在实际中,并不是所有资源都可以很方便地集中在服务器上,此时可以将网络中的计算机逻辑上组织到一起,将其视为一个整体,进行集中管理,这种区别于工作组的逻辑环境称为Windows域。域是组织与存储资源的核心管理单元。

1.1 活动目录的相关概念

1.活动目录

       要创建Windows 域,首先必须理解活动目录(Active Directory,AD)的概念,因为域与活动目

录是密不可分的,严格来说,活动目录是Windows网络中的目录服务,对干活动目录域服务(Active

Directory Domain ServerAD DS)的概念,实际上包含两层含义;一是活动目录是一个目录;二是活动目录是一种服务。

       这里所说的目录不是一个普通的文件目录,而是一个目录数据库,它存储着整个Windows网络中的用户账号、组、计算机、共享文件夹等对象的相关信息,目录数据库使整个Windows网络中的配置信息集中存储,使管理员在管理这些信息时可以集中管理而不是分散管理。

       活动目录是一种服务,是指目录数据库所存储的信息都是经过事先整理的有组织、结构化的数据信息,这使得用户可以非常方便,快速地找到所需数据,也可以方便地对活动目录中的数据执行添加、删除、修改、查询等操作。所以说,活动目录也是一种服务。

       活动目录具有以下优点和特性。

1)集中管理

       活动目录集中组织和管理网络中的资源信息。它好比一个图书馆的图书目录,图书目录存放了这个图书馆的图书信息,便于管理,通过活动目录可以方便地管理各种网络资源。

2)便捷地访问网络资源

       活动目录允许用户一次登录网络就可以访问网络中的所有该用户有权限访问的资源。并且,用户访问网络资源时不必知道资源所在的物理位置,活动目录允许快速,方便地查找网络资源,如用户账户、组、计算机、共享文件夹等。

3)可扩展性

       活动目录具有强大的可扩展性,它可以随着公司或组织的增长而一同扩展,允许从一个网络对象较少的小型网络环境发展成大型网络环境。

2.域和域控制器

       域(Domain)是活动目录的一种实现形式,也是活动目录最核心的管理单位。在域中,可以将一组计算机作为一个管理单位,域管理员可以实现对整个域的管理和控制。例如,域管理员可以在

活动目录中为每个用户创建域用户账户,使他们可以登录到域并访问域的资源。域管理员也可以控

制每个域用户的行为,如控制用户能否登录,在什么时间登录,或登录后能执行哪些操作等。

       一个域由域控制器和成员计算机组成,域控制器(Domain ControllerDC)就是安装了活动目录

服务的一台计算机。活动目录的数据都存储在域控制器内。一个域可以有多台域控制器,它们都存

储着一份完全相同的活动目录,并会根据数据的变化同步更新,例如,当任意一台域控制器中添加

了一个用户后,这个用户的相关数据就会被复制到其他域控制器的活动目录中,以此来保持数据同

步;用户登录时,则由其中一台域控制器验证用户的身份,如果账户和密码正确,就允许登录,否

则就拒绝登录。

3.名称空间

       名称空间(Namespace)是一个区城的名称。在这个区域内,可以通过网络资源的名称找到其对应的信息。例如,BDQN学校就是一个名称空间,通过类似于“BDQN学校-3班-王小明”这样的描

述,就可以找到王小明同学的电话,地址,生日等相关信息。

       同样,为了快速定位活动目录中的网络资源的位置并查找其相关信息,活动目录也需要定义名称空间。在计算机网络环境中,使用DNS来解析主机名与P地址的对应关系,因此,活动目录也采用标准的DNS架构,如可以将域命名为benet.com等。

       域benet.com中的域控制器的计算机名决定了它在活动目录中的完全合格域名,当用户想要登

录域或者查找域内资源时,就要先定位域控制器的位置,而通过DNS服务器就可以将完全合格的域

名解析出域控制器的P地址。诸如此类的应用非常多,因此,DNS在域中的地位非常重要,如所示,可以看到在DNS服务器中注册的域名和DC的资源记录等信息。

4.对象和属性

       对象(Object)由一组属性组成,它代表的是具体的事物,如用户、打印机或计算机等。属性

(Attribute)就是用来描述对象的数据。例如,如果要为员工王逆天创建账户,就需要添加一个类型

为“用户”的对象,然后为其定义姓名,登录名、邮件地址、描述等信息,而姓名、登录名,邮件

地址,描述等就是该对象的属性,如图所示,

5.容器

       容器(Container)是一种特殊的活动目录对象,它与其他对象一样具有属性,但是不同的是它没有具体的表现形式,容器的作用是存放对象的空间,可以包含一组对象或其他容器,域和后面讲到的组织单元(Organizational UnitOU)都是容器。

6.组策略

       组策略可以针对计算机或用户进行很多种配置,包括安全配置和桌面工作环境的配置等。例如,可以定制桌面上的内容、“开始”菜单的选项,可以定制密码策略、账户锁定策略、审核策略等,还可以为用户或计算机推送安装应用程序。

       在工作组环境下,组策略只影响它所在的一台计算机及其用户,而在域环境中,组策略可以应用到容器上,进而影响容器内所有的计算机和用户。例如,把组策略应用到域上,则影响整个域的用户和计算机:把组策略应用到组织单元上,则影响整个OU内的用户和计算机。可以在组策略控制台中,对各种容器设置并应用组策略,如图所示。

1.2 域结构

       对于域的组成,需要从两个方面理解:逻辑结构和物理结构。所谓逻辑结构,和域中网络资源

(域控制器、成员计算机等)的物理位置无关;而物理结构则与网络资源的物理位置有关。

1.逻辑结构

       活动目录的逻辑结构非常灵活,有域,域树、域林和组织单元等,它们并不是真实存在的一种实体,而是代表了活动目录中的一些关系和范围。

1)单域

       我们在规划域结构时,应该从单域开始,这是最容易管理的域结构,只有在单域模式不能满足用户的要求时,才应该增加其他的域,如果网络中只建立了一个域,那么我们可以将其称为单域结构,这是一种最常见,也最易于管理的域结构,如图所示,通常,单域结构适用于中小规模的企业。

2)域树

       域树是具有连续的名称空间的多个域。域树是一种树形(Tree)结构,如图所示,在如图所示的域树中,最上层的域名为beijing.com,是这个域树的根域(Root),也称为父域。下面的两个域haidianbeijing.com和chaoyangbeijingcom是beijingcom域的子域,3个域共同构成了域树。

       两个子域的域名haidianbeijing.com和chaoyangbeijing.com中仍包含根域的域名beijing.com,

因此,它们的名称空间是连续的。这也是判断两个域是否属于同一个域树的先决条件。通常,单树

结构适用于有分公司的中大型企业。

3)域林

       域林由一个或多个没有形成连续名称空间的域树组成,也可称为林或森林(Forest)结构。林中的每个域树都有唯一的名称空间,它们之间并不是连续的,如图1.7所示的林中,其中一个域树的名称以beijing.com结尾,而另一个域树的名称以shanghaicom结尾。

       在整个林中也存在着一个根域,这个根域是林中最先安装的域。在如图 1.7 所示的林中,beijing.com是最先安装的,则这个域是林的根域,通常,多树的森林结构话用干大型企业或集团级

的企业。

4)组织单元

       组织单元(0U)是域内部的一种容器,可以包含域中的各种对象,如用户、组、计算机、打印

机和其他OU等,企业可以根据自身的管理需求,按照部门或者地理位置组织并管理OU。如图所示是一种按照部门划分OU的方法示意图。

        在实际操作中,可以在“AD用户和计算机”管理工具中管理组织单元。如图所示,就是创建一个名为“培训一部”的组织单元,并在其中添加用户,计算机、组等多个本部门的对象,

2.物理结构

       活动目录的物理结构与逻辑结构有很大的区别。逻辑结构侧重于网络资源的管理;而物理结构

则侧重于活动目录的配置和优化,如多个域之间信息的复制或者用户登录域时的性能优化。物理结

构的两个重要概念是站点和域控制器。

1)站点

       站点(Site)是一个物理范围,对应高速稳定的IP子网,如企业内部的局域网。站点在活动目录

复制中起着非常重要的作用,管理员可以管理活动目录的数据在多个域控制器之间的复制关系拓扑,以此来优化站点内复制(局域网)和站点间复制(跨广域网)的效率。

       一个站点中可以包含多个域,一个域也可以包含多个站点。

       通常,局域网(LAN)内部的链接满足高速,稳定的要求,所以可以将一个局域网划为一个站点,而在各个局域网之间的广域网(WAN)相对低速,不稳定,所以跨WAN的多个LAN应当划为不同的站点,如图所示,广州分公司,上海分公司和外部都通过低速的互联网相连,因此应该分别划为独立的站点:而北京总公司和天津分公司之间通过高速的专线连接,所以应该划为同一个站点。

2)域控制器

       这里需要再提一下域控制器(DC)强调在多域控环境下同步活动目录数据的功能,域控制器保

存了活动目录信息的副本,并负责把这些信息及其最新的变化复制到其他域控制器上,使各个DO

上的信息保持同步。

       主要有以下3种类型的活动目录数据会在域控制器之间进行复制。

               域数据。域数据包含了与域中的对象有关的信息。这些信息包括用户,计算机和电子邮件联系人等对象及他们的属性。

               配置数据。配置数据描述了目录的拓扑结构,包括所有域,域树和域林的列表,以及域控制器和全局编录服务器所处的位置。

               架构数据,架构是对活动目录中存储的所有对象和属性数据的正式定义。管理员可以通过定义新的对象类型和属性,或者为现有的对象添加新的属性,从而对架构进行扩展。

       一个域至少有一个域控制器,通常,规模较小的域需要两个域控制器,其中一个用干冗余;而

规模较大的域通常有多个域控制器。

相关文章
|
3月前
|
存储 网络协议 网络安全
什么是 Active Directory?
【8月更文挑战第4天】
176 10
|
6月前
|
存储 数据安全/隐私保护 开发者
LDAP 和 Active Directory 的区别
【4月更文挑战第10天】
696 4
|
存储 安全 数据库
Active Directory 域服务(二)
Active Directory 域服务(二)
233 0
|
负载均衡 安全 网络协议
Active Directory与域服务,介绍,安装(上)
Active Directory与域服务,介绍,安装
314 0
|
网络协议 安全 数据安全/隐私保护
Active Directory与域服务,介绍,安装(下)
Active Directory与域服务,介绍,安装
172 0
|
网络协议 Linux 文件存储
安装并启用Active Directory域服务与DNS服务
为了使用Windows AD/ACL,首先需要在VPC内创建一个Active Directory域服务控制器。本文分步骤说明了如何在Windows Server系统中从头开始安装与配置AD域服务和相应的DNS服务
7484 1
安装并启用Active Directory域服务与DNS服务
|
存储 数据安全/隐私保护 数据库