活动目录查看源代码讨论查看历史
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。活动目录服务是Windows Server 2000操作系统平台的中心组件之一。[1]理解活动目录对于理解Windows Server 2000的整体价值是非常重要的。这篇关于活动目录服务所涉及概念和技术的介绍文章描述了活动目录的用途,提供了对其工作原理的概述,并概括了该服务为不同组织和机构提供的关键性商务及技术便利。
目录
简介
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
Microsoft Active Directory 服务是Windows 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。[2]
数据存储
人们经常将数据存储作为目录的代名词。目录包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位(OU)以及安全策略] 的信息。这些信息可以被发布出来,以供用户和管理员的使用。
目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
目录数据存储在域控制器上的Ntds.dit文件中。我们建议将该文件存储在一个NTFS分区上。有些数据保存在目录数据库文件中,而有些数据则保存在一个被复制的文件系统上,例如登录脚本和组策略。
有三种类型的目录数据会在各台域控制器之间进行复制:
·域数据。域数据包含了与域中的对象有关的信息。一般来说,这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息,管理员和用户可能都会对这些信息感兴趣。
例如,在向网络中添加了一个用户帐户的时候,用户帐户对象以及属性数据便被保存在域数据中。如果您修改了组织的目录对象,例如创建、删除对象或者修改了某个对象的属性,相关的数据都会被保存在域数据中。
·配置数据。 配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表,并且指出了域控制器和全局编录所处的位置。
·架构数据。架构是对目录中存储的所有对象和属性数据的正式定义。Windows Server 2003提供了一个默认架构,该架构定义了众多的对象类型,例如用户和计算机帐户、组、域、组织单位以及安全策略。管理员和程序开发人员可以通过定义新的对象类型和属性,或者为现有对象添加新的属性,从而对该架构进行扩展。架构对象受访问控制列表(ACL)的保护,这确保了只有经过授权的用户才能够改变架构。
功能介绍
活动目录(Active Directory)主要提供以下功能:
①服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
②用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
③资源管理:管理打印机、文件共享服务等网络资源。
④桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑤应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
升级方法
在windows server上启用AD的方法:
1、打开运行对话框
2、在运行对话框里输入dcpromo,进入AD安装向导 (注:Windows Server 2012的版本以后均不支持该命令升级)
安全性
安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理,即便是那些最复杂的网络也是如此。
Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为Active Directory不但可以保存用户凭据,而且可以保存访问控制信息,所以登录到网络上的用户既能够获得身份验证,也可以获得访问系统资源所需的权限。例如,在用户登录到网络上的时候,安全系统首先利用存储在Active Directory中的信息验证用户的身份。然后,在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表(DACL)中所定义的属性。
因为Active Directory允许管理员创建组帐户,管理员得以更加有效地管理系统的安全性。例如,通过调整文件的属性,管理员能够允许某个组中的所有用户读取该文件。通过这种办法,系统将根据用户的组成员身份控制其对Active Directory域中对象的访问操作。
架构
分类
分类,又称对象分类,描述了管理员所能够创建的目录对象。每一个分类都是一组对象的集合。在您创建某个对象时,属性便存储了用来描述对象的信息。例如,“用户”分类便由多个属性组成,其中包括网络地址、主目录等等。Active Directory中的所有对象都是某个对象分类的一个实例。
扩展
有经验的开发人员和网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。
架构的内容由充当架构操作主控角色的域控制器进行控制。架构的副本被复制到森林中的所有域控制器上。这种共用架构的使用方式确保了森林范围内的数据完整性和一致性。
此外,您还可以使用“Active Directory架构”管理单元对架构加以扩展。为了修改架构,您必须满足以下三个要求:
· 成为“Schema Administrators”(架构管理员)组的成员
· 在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元
· 拥有修改主控架构所需的管理员权限
在考虑对架构进行修改时,必须注意以下三个要点:
· 架构扩展是全局性的。 在您对架构进行扩展的时候,您实际上扩展了整个森林的架构,因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。
· 与系统有关的架构分类不能被修改。您不能修改Active Directory架构中的默认系统分类;但是,用来修改架构的应用程序可能会添加可选的系统分类,您可以对这些分类进行修改。
· 对架构的扩展不可撤销。某些属性或者分类的属性可以在创建后修改。在新的分类或者属性被添加到架构中之后,您可以将它置于非激活状态,但是不能删除它。但是,您可以废除相关定义并且重新使用对象标识符(OID)或者显示名称,您可以通过这种方式撤销一个架构定义。
有关架构修改的更多信息,请通过参阅 Microsoft Windows 资源工具包。
Active Directory不支持架构对象的删除;但是,对象可以被标记为“非激活”,以便实现与删除同等的诸多益处。
属性
属性和分类单独进行定义。每一个属性仅仅定义一次,但是可以在多个分类中使用。例如,“Description”(描述)属性可以使用在多个分类中,但是只需在架构中定义一次即可,以保持数据的一致性。
属性用来描述对象。每一个属性都拥有它自己的定义,定义则描述了特定于该属性的信息类型。架构中的每一个属性都可以在“Attribute-Schema”分类中指定,该分类决定了每一个属性定义所必须包含的信息。
能够应用到某个特殊对象上的属性列表由分类(对象是该分类的一个实例)以及对象分类的任何超类所决定。属性仅仅定义一次,但是可以多次使用。这确保了共享同一个属性的所有分类能够保持一致性。
多值属性
属性可以是单值的也可以是多值的。属性的架构定义指定了属性的实例是否必须是多值的。单值属性的实例可以为空,也可以包含一个单值。多值属性的实例可以为空,也可以包含一个单值或多值。多值属性的每一个值都必须是唯一的。
索引属性
索引应用于属性,而不是分类。对属性进行索引有助于更快地查询到拥有该属性的对象。当您将一个属性标记为“已索引”之后,该属性的所有实例都会被添加到该索引,而不是仅仅将作为某个特定分类成员的实例添加到索引。
添加经过索引的属性会影响Active Directory的复制时间、可用内存以及数据库大小。因为数据库变得更大了,所以需要花费更多的时间进行复制。
多值属性也可以被索引。同单值属性的索引相比,多值属性的索引进一步增加了Active Directory的大小,并且需要更多的时间来创建对象。在选择需要进行索引的属性时,请确信所选择的共用属性,而且能够在开销和性能之间取得平衡。 一个经过索引的架构属性还可以被用来存储属性的容器所搜索,从而避免了对整个Active Directory数据库进行搜索。这样不仅缩短了搜索所需花费的时间,而且减少了在搜索期间需要使用的资源数量。
担当角色
全局编录在森林中最初的一台域控制器上自动创建。您可以为任何一台域控制器添加全局编录功能,或者将全局编录的默认位置修改到另一台域控制器上。
· 查找对象全局编录允许用户搜索森林所有域的目录信息,而不管数据存储在何处。森林内部的搜索可以利用最快的速度和最小的网络流量得以执行。
在您从“开始”菜单搜索人员或打印机,或者在某个查询的内部选择了“整个目录”选项的时候,您就是在对全局编录进行搜索。在您输入搜索请求之后,请求便会被路由到默认的全局编录端口3268,以便发送到一个全局编录进行解析。
· 提供了根据用户主名的身份验证。在进行身份验证的域控制器不知道某个账户是否合法时,全局编录便可以对用户的主名进行解析。例如,如果用户的账户位于example1.域,而用户决定利用这个用户主名从位于example2的一台计算机上进行登录,那么example2.的域控制器将无法找到该用户的账户,然后,域控制器将于全局编录服务器联系,以完成整个登录过程。
· 在多域环境下提供通用组的成员身份信息。和存储在每个域的全局组成员身份不同,通用组成员身份仅仅保存在全局编录之中。例如,在属于一个通用组的用户登录到一个被设置为Windows 2000本机域功能级别或者更高功能级别的域的时候,全局组将为用户账户提供通用组的成员身份信息。
如果在用户登录到运行在Windows 2000本机或者更高级别中的域的时候,某个全局编录不可用并且用户先前曾经登录到该域,计算机将使用缓存下来的凭据让用户登录。如果用户以前没有在该域登录过,用户将仅仅能够登录到本地计算机。 说明:即便全局编录不可用,“Domain Administrators”(域管理员)组的成员也可以登录到网络中。
查找目录信息
正如前面所介绍的,Active Directory的设计目的在于为来自用户或应用程序的查询提供有关目录对象的信息。管理员和用户可以使用“开始”菜单中的“搜索”命令轻松对目录进行搜索和查找。客户端程序也可以使用Active Directory服务接口(ADSI)访问Active Directory中的信息。
Active Directory的主要益处就在于它能够存储有关网络对象的丰富信息。在Active Directory中发布的有关的用户、计算机、文件和打印机的信息可以被网络用户所使用。这种可用性能够通过查看信息所需的安全权限加以控制。
网络上的日常工作涉及用户彼此之间的通信,以及对已发布资源的连接和访问。
这些工作需要查找名称和地址,以便发送邮件或者连接到共享资源。在这方面,Active Directory就像是一个在企业中共享的地址簿 。例如,您可以按照姓、名、电子邮件地址、办公室位置或者其它用户账户属性查找用户。如前所述,信息的查找过程由于使用了全局编录而得到了优化。
客户端
利用Active Directory客户端,Windows 2000 Professional 或者 Windows XP Professional所拥有的众多Active Directory特性可以被运行Windows 95、Windows 98以及Windows NT ® 4.0操作系统的计算机所使用:
· 站点感知。您可以登录到网络中距离客户端最近的一台域控制器上。
· Active Directory 服务接口(ADSI)。您可以使用它为Active Directory编写脚本。ADSI还为Active Directory编程人员提供了一个公共的编程API。
·分布式文件系统(DFS)容错客户端。您可以访问Windows 2000 以及运行Windows DFS 容错和故障转移文件共享的服务器,这些文件共享在Active Directory中指定。
· NTLM version 2身份验证。您可以使用NT LanMan (NTLM) version 2中经过改进的身份验证特性。有关启用NTML version 2的更多信息,请参阅Microsoft 知识库文章Q,“如何启用NTLM 2身份验证” :http://support./.
· Active Directory Windows 地址簿(WAB)属性页。您可以修改用户对象页上的属性,例如电话号码和地址。
· Active Directory的搜索能力。您可以通过“开始”按钮,查找Windows 2000 Server 或者Windows 域中的打印机和人员。有关在Active Directory中发布打印机的更多信息,请参阅Microsoft 知识库文章在 Windows 2000 Active Directory中发布打印机”:http://support..
Windows 2000 Professional 和 Windows XP Professional 提供了Windows 95、Windows 98和Windows NT 4.0上的Active Directory客户端所没有的一些功能,例如:对Kerberos version 5的支持;对组策略或者IntelliMirror ® 管理技术的支持;以及服务主名或者相互验证。通过升级到Windows 2000 Professional或Windows XP Professional,您可以对这些附加特性加以充分利用。
为了安装Active Directory客户端,请参阅Active Directory 客户端页面。
生产力
作为管理企业标识、对象和关系的主要手段,Active Directory中的接口(包括编程接口和用户界面)已经得到了改进,以提高管理工作的效率和系统的集成能力。
让Active Directory更加易于使用和管理
Active Directory包含了众多增强特性,例如对MMC管理单元的改进以及对象选择工具组件等,它们让Active Directory变得更加易于使用。MMC插件方便了多个对象的管理。管理员可以:
· 编辑多个用户对象。 一次选择并编辑多个对象属性。
· 保存查询。将针对Active Directory服务的查询保存下载以便今后使用。结果可以用XML格式导出。
· 使用经过改进的对象选择工具组件快速选择对象。该组件经过重新设计并且得到了加强,能够改善工作流和提高在大目录中查找对象的效率,同时还提供了一种更灵活的查询功能。各种用户界面均可以使用该组件,并且可以为第三方开发人员所使用。
更多的集成和生产力特性和改进
特性 描述
ACL 列表用户界面的修改 ACL用户界面已经得到了增强,以改善其易用性以及继承和特定的对象权限。
扩展性增强 那些拥有某个独立软件开发商(ISV)或者原始设备制造商(OEM)所开发的能够利用Active Directory的软件或设备的管理员拥有了更加出色的管理能力,并且可以添加任何对象分类作为组的成员。
来自其它LDAP目录的用户对象 在LDAP目录中定义的用户对象使用了RFC 2798中定义的inetOrgPerson类(例如Novell和Netscape),这些对象可以使用Active Directory用户界面进行定义。这个与Active Directory用户对象配合工作的用户界面可以处理inetOrgPerson对象。现在,任何需要使用inetOrgPerson类的应用程序或者客户都可以轻松实现它们的目的。
Passport 集成(通过IIS) Passport身份验证现在可以通过Internet Information Services (IIS) 6.0进行,而且允许Active Directory用户对象被映射到他们相应的Passport标识符上(如果存在该标识)。本地安全机构(Local Security Authority,LSA)将为用户创建一个令牌,然后IIS 6.0将根据HTTP请求对其加以设置。现在,拥有相应Passport 标识的Internet用户可以使用他们的Passport访问资源,就如同使用他们的Active Directory凭据一样。
利用ADSI使用终端服务器特定于终端服务器用户的属性可以通过使用Active Directory服务接口(ADSI)编写脚本进行设置。除了通过目录手动设置之外,用户属性可以利用脚本加以设定。这样做的一个好处就是:可以通过ADSI容易地实现属性的批量修改或编程修改。
复制和信任监视WMI提供者 Windows管理规范(WMI)类可以监视域控制器之间是否成功地对Active Directory信息进行了复制。因为众多的Windows 2000组件,例如Active Directory复制,都需要依赖于域间的相互信任,本特性还为监视信任关系是否能够正常工作提供了一种手段。管理员或者运营队伍可以通过WMI在发生复制问题时轻松获得报警。
MSMQ 分发列表消息队列(Message Queuing,MSMQ)现在支持向驻留在Active Directory中的分发列表(Distribution Lists)发送消息。MSMQ用户可以通过Active Directory轻松管理分发列表。
配置管理
Windows Server 2003 增强了管理员有效配置和管理Active Directory的能力,即便是拥有多个森林、域和站点的超大型企业也可以得到轻松的管理。
利用新的安装向导配置Active Directory
新的“配置您的服务器”向导简化了设置Active Directory的过程,并且针对特定的服务器角色提供了经过预先定义的设置,它的优点之一便是:能够帮助管理员对服务器的初始化部署方式实施标准化。
在服务器安装期间,管理员可以获得帮助,通过帮助用户安装他们在Windows安装过程中选择需要的可选组件,服务器的安装过程变得更加便利。他们可以使用该向导执行以下工作:
· 通过使用基本的默认设置自动配置DHCP、DNS和Active Directory,建立网络中的第一台服务器。
· 在用户安装文件服务器、打印服务器、Web和媒体服务器、应用服务器、RAS和路由或者IP地址管理服务器的时候,为用户指出完成安装所需的特性,从而帮助用户在网络中配置成员服务器。
管理员可以使用本特性进行灾难恢复,将服务器配置复制到多台计算机上,完成安装,配置服务器角色,或者在网络中建立第一个配置或主服务器。
其它管理特性和改进
特性 描述
自动创建DNS区域 在运行Windows Server 2003操作系统时,DNS区域和服务器可以自动创建并配置。您可以在企业中创建它们以托管新的区域。本特定可以极大减少手动配置每台DNS服务器所需的时间。
得到改进的站点间复制拓扑生成过程 站点间拓扑生成器(ISTG)已经得到更新,不仅可以利用改进过的算法,而且能够支持比在Windows 2000下拥有更多数量站点的森林。因为森林中的所有运行ISTG角色的域控制器都必须在站点间复制拓扑方面取得一致,新的算法在森林被提升到Windows Server 2003森林本机模式之前不会被激活。新的ISTG算法跨越森林提供了得到改善的复制性能。
DNS 配置增强 本特性简化了DNS错误配置的调试和报告过程,有助于正确配置Active Directory部署所需要的DNS基础结构。
这包括了在一个现有森林中提升某个域控制器的情况,“Active Directory安装向导”会与现有的一台域控制器进行联系,以更新目录并从该域控制器复制必需的目录部分。如果向导由于不正确的DNS配置而无法找到域控制器,或者域控制器发生故障无法使用,它将执行调试过程,报告产生故障的原因,并指出解决该故障的方法。
为了能够找到网络中的域控制器,所有的域控制器都必须登记它的域控制器定位DNS记录。“Active Directory安装向导”会验证DNS基础结构是否得到了正确的配置,以便新的域控制器能够进行域控制器定位DNS记录的动态更新。如果此项检查发现了不正确的DNS基础结构配置,它将报告相关问题,并给出解释,告知修复该问题的方法。
通过媒介安装副本 和通过网络复制Active Directory数据库的完整副本不同,本特性允许管理员通过文件创建初始副本,这些文件是在对现有域控制器或者全局编录服务器进行备份的时候所生成的。任何具有Active Directory意识的备份工具所创建的备份文件都可以使用媒介(例如磁带、CD、VCD或者网络文件复制)传输到候选域控制器上。
迁移工具增强 Active Directory迁移工具(ADMT)在Windows Server 2003中得到了增强,它可以提供:
口令迁移。ADMT version 2 允许用户将口令从Windows NT 4.0 迁移到 Windows 2000 或 Windows Server 2003 域中,也可以将口令从Windows 2000域迁移到Windows Server 2003 域中。
新的脚本接口。对于大多数常见的迁移工作,例如用户迁移、组迁移和计算机迁移,我们提供了新的脚本接口。ADMT现在可以通过任何语言驱动,并且支持COM接口,例如Visual Basic ® Script、Visual Basic以及Visual C++ ®开发系统。
命令行支持。脚本接口已经得到了扩展,以支持命令行。所有可以通过编写脚本来完成的工作都可以直接通过命令行或者批处理文件完成。
安全性转换改进。安全性转换(例如在ACL内重新调配资源)得到了扩展。现在,源域可以在安全性转换运行的时候被脱离。ADMT还可以指定一个映射文件,并用该文件作为安全性转换的输入。
ADMT version 2 让用户向Active Directory的迁移工作变得简单了,而且提供了能够实现自动化迁移的更多选项。
特性 描述
应用程序目录分区Active Directory服务将允许用户创建新类型的命名上下文环境,或者分区(又称作应用程序分区)。该命名上下文环境可以包含除安全主体(用户、组和计算机)之外的各种类型对象的层次结构,而且能够被配置为复制森林中的任何域控制器集合,而不一定是相同域中的所有域控制器。
通过对复制范围和副本位置加以控制,本特性为用户提供了在Active Directory中托管动态数据的能力,而且不会对网络性能造成不利影响。
存储在应用程序分区中的集成化DNS区域 Active Directory 中的DNS区域可以在应用程序分区中存储和复制。通过使用应用程序分区存储DNS数据,减少了存储在全局编录中的对象数量。除此之外,当您在应用程序分区中存储DNS区域的时候,只有在应用程序分区中指定的部分域控制器会被复制。默认情况下,特定于DNS的应用程序分区仅仅包含那些运行DNS服务器的域控制器。此外,在应用程序分区中存储DNS区域使得DNS区域可以被复制到位于Active Directory森林其它域中充当DNS服务器的域控制器上。通过将DNS区域集成到应用程序分区中,我们可以限制需要复制的信息数量,并且降低复制所需的整体带宽。
得到改进的DirSync 控件 本特性改善了Active Directory对一个名为“DirSync”的LDAP控件的支持,该控件被用来从目录中获得发生了变化的信息。DirSync控件可以用来进行一些检查,这些检查类似于在正常的LDAP搜索上进行的检查。
功能级别 和Windows 2000的本机模式类似,本特性提供了一种版本控制机制,Active Directory的核心组件可以利用该机制确定域和森林中的每台域控制器都拥有那些功能特性。此外,本特性还可以用来防止Windows Server 2003以前的域控制器加入到一个全部使用Windows Server 2003的Active Directory特性的森林中。
取消架构属性和分类的激活状态 Active Directory已经得到了增强,以允许用户停用Active Directory架构中的某些属性和分类。如果原始定义中存在错误,属性和分类可以被重新定义。
在将属性或分类添加到架构中时,如果在设置一个永久性属性的时候发生了错误,停用操作将为用户提供了一种取代该定义的手段。本操作是可逆的,管理员可以撤销某个停用操作而不会产生任何不良的副作用。现在,管理员在管理Active Directory的架构方面拥有了更多的灵活性。
域的重命名本特性允许用户修改森林中现有域的DNS和(或)NetBIOS名称,同时保证经过修改的森林依然保持良好的组织结构。经过重新命名的域由它的域全局唯一ID(GUID)所代表,它的域安全ID(SID)并没有发生改变。此外,计算机的域成员关系也不会因为其所在域的名称发生变化而变化。
本特性没有包括对森林根域的修改。虽然森林的根域也可以被重命名,但是您不能指定一个其它的域来代替现有的根域而变成一个新的森林根。
域的重命名会导致服务中断,因为它要求重新启动所有的域控制器。域的重命名还需要被重命名域中的所有成员计算机都必须重新启动两次。虽然本特性为域的重命名提供了一种受支持的手段,但是它既没有被视作一种例行的IT操作,也没有成为例行操作的意图。
升级森林和域 Active Directory已经在安全性和应用程序支持方面添加了很多改进。在现有域或森林中运行Windows Server 2003操作系统的第一台域控制器得到升级之前,森林和域必须为这些新的功能特性做好准备。Adprep便是一个新的工具,用来帮助用户准备森林和域的升级。如果您是从Windows NT 4.0进行升级,或者在运行Windows Server 2003的服务器上执行Active Directory的全新安装,那么您不需要使用Adprep工具。
复制和信任监视 本功能允许管理员对域控制器之间是否成功地复制了信息加以监视。因为很多Windows组件(例如Active Directory复制)都依赖于域间的相互信任,本特性还为信任关系正确发挥作用提供了一种方法。
遵循原则
域设计原则
1、在管理任务明显由区域划分的环境中可以独立设置域,如某公司的亚洲分部和欧洲分部等,可以设立域对各自独立的资源进行统一管理。
2、 特殊情况下,如果域数据库中的对象(包括被管理的用户、计算机、打印机等)过多,超过100万时(对于中小型企业很难达到),需要考虑增加域。
林设计原则
公司由于业务等需求需要设定多个名字空间,如需要xxxx.xxx和xxxx.xx两个名字空间,则必须建立林,该林中包含以xxxx.xxx为根域和以xxxx.xx为根域的两棵树。并且,需根据实际情况为这2棵树之间确定好信任关系
OU设计原则
1、对于域安全准则一致的域,如果需要突出其中的某些业务和组织职能,则可以为域创建组织单元(OU),而没有必要重新创建单独的域。比如,对一个xxxx.xxx,底下划分为销售、人力等部门,可以创建sales、hr等等OU。
2、 在具体的OU设计中,微软给出了地理模型、对象模型、成本中心模型等7个基本模型供参考。
站点设计原则
站点设置的目的是控制网络产生的登录通信量和复制通信量。
(1)登录通信量:每次当用户登录网络时,Windows 2000/Windows Server 2003/Windows Server 2008都会试图查找与用户在同一站点的DC,产生登录通信量。
(2)复制通信量:将目录数据库的变动更新到多个DC,站点将控制该通信量如何以及何时产生。
GC设计原则
GC存储林中每个对象的一定数量的信息,这些信息通常是被频繁查询或者搜索的属性,当用户在域外查找对象时,使用GC可以避免调用目的地的DC,从而加快查询速度和减少网络流量。建议,每个site都配备一个GC。
DC设计原则
DC的设计与用户的数量有很大关系,如下表所示:
DNS设计原则
1、尽可能使用与AD集成的DNS,为客户端登录寻找DC、DC间寻找提供定位服务。
2、DNS服务器应支持SRV资源记录外,并建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器自动升级的协议,如果没有此协议,管理员不得不手动配置域控制器产生的新的记录。
总结
在Windows 2000的原有基础之上,Windows Server 2003中的Active Directory将重心放在了管理工作的简化、通用性以及无可匹敌的可靠性上面。和以往相比,Active Directory已经成为了构建企业网络的坚实基础,因为它可以:
· 充分利用现有投资,以及对目录进行合并管理。
· 扩展管理控制的范围,减少冗余的管理工作。
· 简化远程集成,更有效地使用网络资源。
· 为基于目录的应用提供了一个强大、可靠的开发和部署环境。
· 降低TCO并且改善IT资源的利用效率
活动目录分为目录和目录服务两部分
应用解释
实例
office添加打印机出现active directory 域服务当前不可用
解决方案
控制面板——网络和共享中心——文件共享 点启用
停止—— Print Spooler
启动类型:停止
控制面板——添加打印机
添加网络、无线或Bluetooth打印机(W)——选择要共享的打印机
连接打印机的那台电脑的账户要设置密码啊,默认的administrator没有密码可不行哦,防火墙要关的哈,打印机要设置为共享
目录密码
常见的一个问题是:对于那些并不关心活动目录安全的用户来说,应该如何去实施强化活动目录密码?毫无疑问,在广泛寻求利用不义之财的威胁中,弱活动目录密码是最大的漏洞之一。不幸的是,管理人员或其他员工设置的活动目录密码策略往往让许多人陷入困境。
查看Active Directory中一些长期存在的活动目录组策略对象(Group Policy Objects),很多人的活动目录设置都有问题。他们认为活动目录设置越严格越好,但情况并不总是这样。
对于在IT行业工作了几年的人来说,每个月设置活动目录复杂密码的工作量并不大。归根到底,我们(通常)知道如何创建牢固的活动目录密码并且常常使用活动目录密码管理器来保持活动目录的强度。将我们自己的活动目录个性设置强加给用户,这样的活动目录策略都是很荒谬的。最根本的问题是我们很容易认为用户知道该做什么并且放任他们去做,或者认为他们只能自己处理,毕竟这跟安全有关。 许多跟我交谈过的用户无法领悟有关如何创建复杂活动目录口令培训的第二重意义。没人会教给他们设置活动目录超级容易记住的口令,并且不需要每隔6-12个月进行更改活动目录。Active Directory活动目录密码策略设置和活动目录培训往往是后期才会想到的,因为许多人认为在活动目录基础之上需要更多的安全策略。我一直认为这不符合真实性并且越来越多的研究支持这一活动目录理论。
当你努力让你的企业活动目录密码更有弹性时,注意不要只关注域活动目录密码。Windows环境里还有其他值得关注的重要活动目录系统,这些系统往往没有强密码活动目录策略,最后,活动目录密码标准和策略应该全面标准化和策略化的应用。Windows Server或非Windows Server,所设置的较弱活动目录密码会在你的活动目录网络环境中制造麻烦。要制定出更好的活动目录密码。首先,确定风险在哪里,你可能已经知道了活动目录弱点在哪里,因此不必要执行正式的评估或审计。如果不是,你可以使用常用的活动目录漏洞扫描工具。
一旦决定你的活动目录密码标准,立刻调整活动目录标准和活动目录部署策略,使其能够正确按照你的想法来完成工作。最后,记住,在你的密码活动目录标准和活动目录策略的制定完成前,如果开始创建规则外的某个组成员和整个企业系统,那就是麻烦接踵而来的时刻。
功能
重要性
活动目录考虑你是否需要活动目录环境的向后兼容性。假设你决定创建一个新的Windows Server 2012 R2域控制器活动目录森林,并且将森林和域控制器功能级别设置在Windows Server 2012 R2级别。这样做的话将无法在森林中加入旧版本的域控制器。在全新部署时可能不是一个大问题,但最终会需要处理功能级别问题。
活动目录在微软发布Windows Server 2016之后,不得不提高活动目录功能级别以便使用新的活动目录功能。在此之前,活动目录组织将不得不升级域或者森林中的域控制器功能级别。活动目录域中同时包含Windows Server 2012 R2和Windows Server 2016域控制器是没有问题的,但是你将无法升级功能级别并且使用新的功能,直到所有遗留的域控制器得倒升级、替换或者退休。
活动目录还要考虑升级到更高功能级别后的好处。活动目录引入了大量的新功能是可以通过Windows 2000域控制器使用的。所以活动目录升级功能级别又有了新动力。
基本原则
活动目录最近几个版本引入了相对较少的改进,活动目录功能级别并不像以前那样重要了。但这一活动目录趋势可能在下一个Windows Server版本中发生逆转。 为活动目录的域和森林设置功能级别以便与最早的IT人员需要支持的域控制器版本相匹配。如果你所有的域控制器运行的是现代Windows版本,活动目录使用较低的功能级别并没有什么优势。
备份和恢复
活动目录的备份和恢复选项
活动目录备份工具支持使用不同的备份方法对数据进行保护,如正常、复制、增量、微分或每日备份。然而,活动目录具有特定的备份需求,活动目录需要一个“标准的”备份类型。
活动目录需要用户精心策划,因为活动目录不是一个单一的文件或文件夹,活动目录是服务器上的数据集合。活动目录包括系统启动文件、系统注册表文件、组件对象模型类注册数据库、覆盖组策略和脚本的系统卷数据,以及所有的活动目录数据库组件。综上所述,这些元素构成了活动目录域控制器的“系统状态”。
后来版本的Windows Server,如2008 R2,能够备份关键卷,活动目录备份所有包含状态文件的卷。活动目录包括卷与引导文件、Windows操作系统和注册表、SYSVOL、AD数据库或AD日志文件。除了活动目录备份系统状态或关键卷,活动目录管理员也可以选择执行一个完整的服务器备份,活动目录备份包括一个完整的图像,活动目录有便于服务器支持其他企业服务。
活动目录恢复有多个备选方案。活动目录最明显的选择是完全恢复——充分利用服务器备份执行域控制器裸机恢复,或活动目录使用系统状态备份恢复早期活动目录系统状态。活动目录管理员也可以决定恢复是否授权或非授权。活动目录对于非授权恢复,活动目录的恢复域控制器将自动查询并同步其他域控制器副本来确保恢复结果能够反映最新的活动目录状态。活动目录对于授权恢复,活动目录恢复的域控制器被认为是最新版本,活动目录将恢复服务器复制到其他域控制器。
活动目录回收站在Windows Server 2008 R2及以后的版本提供,活动目录保留数据对象并且允许快速恢复已删除的数据,活动目录不需要特意从备份进行恢复。
含义
活动目录并不是新的事物,活动目录早在Windows 2000 Server中就被引入了,活动目录是Windows Server OS中的一个主要产品。一些企业已经使用活动目录 长达15年甚至更久。随着活动目录数据库老化,活动目录系统会在局部删除用户账号、安装应用程序失败或者其他管理上的失误后积累乱七八糟的东西,以及出现崩溃现象。
Windows Server OS中自带的活动目录管理工具可以显示这些杂乱和崩溃信息,不过这些活动目录工具不能从活动目录中删除不想要的数据。这可能是因为担心相关联对象的断链,亦或是内部为了保护活动目录数据库所采取的的措施,以防止潜在的活动目录毁灭性的管理操作。
数据库的清理
活动目录数据库创建一个备份非常重要。如果使用不正确,可以摧毁整个Active Directory。
使用范围
活动目录存储用户身份,活动目录管理访问控制列表,活动目录执行政策和监控应用程序配置。活动目录有广泛的商业使用,因为活动目录是所有的微软应用程序的关键。
活动目录能够很好地与其他Windows产品协同工作。单点登录功能意味着用户登录一次就可获得支持活动目录的应用的许可。
活动目录服务产品还更好地集成了活动目录第三方工具。因为微软的活动目录服务是很早就出现的功能,能够与更多的管理工具集成。