13,636
次編輯
變更
活动目录
,無編輯摘要
{| class="wikitable" style="float:right; margin: -10px 0px 10px 20px; text-align:left"
|<center>'''XXX'''<br><img src="https:xxxxx//img0.baidu.jpgcom/it/u=3905767405,348612356&fm=253&fmt=auto&app=120&f=PNG?w=500&h=297" width="280"></center><small>[https://www....edu.51cto.com/lesson/140492.html 圖片來 自OOO自51CT0学堂]</small> |}'''活动目录'''(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的 [[ 目录服务 ]] 。 [[ 活动目录服务 ]] 是Windows Server 2000操作系统平台的中心组件之一。理解活动目录对于理解Windows Server 2000的整体价值是非常重要的。这篇关于活动目录服务所涉及概念和技术的介绍文章描述了活动目录的用途,提供了对其工作原理的概述,并概括了该服务为不同组织和机构提供的关键性商务及技术便利。
==简介==
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
目录 [[ 数据存储 ]] 在域控制器上的Ntds.dit文件中。我们建议将该文件存储在一个NTFS分区上。有些数据保存在目录数据库文件中,而有些数据则保存在一个被复制的文件系统上,例如登录脚本和 [[ 组策略 ]] 。
有三种类型的目录数据会在各台 [[ 域控制器 ]] 之间进行复制:
·域数据。域数据包含了与域中的对象有关的信息。一般来说,这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息,管理员和用户可能都会对这些信息感兴趣。
①服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
②用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件 [[ 系统集成 ]] )、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
③资源管理:管理打印机、文件共享服务等网络资源。
④桌面配置: [[ 系统管理员 ]] 可以集中的配置各种桌面配置策略,如:用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑤应用系统支撑:支持财务、人事、电子邮件、企业信息门户、 [[ 办公自动化 ]] 、补丁管理、防病毒系统等各种应用系统。
==升级方法==
在windows server上启用AD的方法:
2、在运行对话框里输入dcpromo,进入AD安装向导 (注:Windows Server 2012的版本以后均不支持该命令升级)
==安全性==
安全性通过登录 [[ 身份验证 ]] 以及目录对象的访问控制集成在Active Directory之中。通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理,即便是那些最复杂的网络也是如此。
Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为Active Directory不但可以保存用户凭据,而且可以保存访问控制信息,所以登录到网络上的用户既能够获得身份验证,也可以获得访问系统资源所需的权限。例如,在用户登录到网络上的时候,安全系统首先利用存储在Active Directory中的信息验证用户的身份。然后,在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表(DACL)中所定义的属性。
因为Active Directory允许管理员创建组帐户,管理员得以更加有效地管理系统的安全性。例如,通过调整文件的属性,管理员能够允许某个组中的所有用户读取该文件。通过这种办法,系统将根据用户的 [[ 组成员身份 ]] 控制其对Active Directory域中对象的访问操作。
==架构==
===分类===
===担当角色===
全局编录在森林中最初的一台域控制器上自动创建。您可以为任何一台域控制器添加全局编录功能,或者将全局编录的默认位置修改到另一台域控制器上。
· 查找对象全局编录允许用户搜索森林所有域的目录信息,而不管数据存储在何处。森林内部的搜索可以利用最快的速度和最小的网络流量得以执行。
在您从“开始”菜单搜索人员或打印机,或者在某个查询的内部选择了“整个目录”选项的时候,您就是在对全局编录进行搜索。在您输入搜索请求之后,请求便会被路由到默认的全局编录端口3268,以便发送到一个全局编录进行解析。
· 提供了根据用户主名的身份验证。在进行身份验证的域控制器不知道某个账户是否合法时,全局编录便可以对用户的主名进行解析。例如,如果用户的账户位于example1.域,而用户决定利用这个用户主名从位于example2的一台计算机上进行登录,那么example2.的域控制器将无法找到该用户的账户,然后,域控制器将于全局编录服务器联系,以完成整个登录过程。
· 在多域环境下提供通用组的成员身份信息。和存储在每个域的全局组成员身份不同,通用组成员身份仅仅保存在全局编录之中。例如,在属于一个通用组的用户登录到一个被设置为Windows 2000本机域功能级别或者更高功能级别的域的时候,全局组将为用户账户提供通用组的成员身份信息。
如果在用户登录到运行在Windows 2000本机或者更高级别中的域的时候,某个全局编录不可用并且用户先前曾经登录到该域,计算机将使用缓存下来的凭据让用户登录。如果用户以前没有在该域登录过,用户将仅仅能够登录到本地计算机。
说明:即便全局编录不可用,“Domain Administrators”(域管理员)组的成员也可以登录到网络中。
===查找目录信息===
正如前面所介绍的,Active Directory的设计目的在于为来自用户或应用程序的查询提供有关目录对象的信息。管理员和用户可以使用“开始”菜单中的“搜索”命令轻松对目录进行搜索和查找。客户端程序也可以使用Active Directory服务接口(ADSI)访问Active Directory中的信息。
Active Directory的主要益处就在于它能够存储有关网络对象的丰富信息。在Active Directory中发布的有关的用户、计算机、文件和打印机的信息可以被网络用户所使用。这种可用性能够通过查看信息所需的安全权限加以控制。
网络上的日常工作涉及用户彼此之间的通信,以及对已发布资源的连接和访问。 这些工作需要查找名称和地址,以便发送邮件或者连接到共享资源。在这方面,Active Directory就像是一个在企业中共享的地址簿 。例如,您可以按照姓、名、电子邮件地址、办公室位置或者其它用户账户属性查找用户。如前所述,信息的查找过程由于使用了全局编录而得到了优化。
==客户端==
利用Active Directory客户端,Windows 2000 Professional 或者 Windows XP Professional所拥有的众多Active Directory特性可以被运行Windows 95、Windows 98以及Windows NT ® 4.0操作系统的计算机所使用:
· 站点感知。您可以登录到网络中距离客户端最近的一台域控制器上。
· 编辑多个用户对象。 一次选择并编辑多个对象属性。
· 保存查询。将针对Active Directory服务的查询保存下载以便今后使用。结果可以用XML格式导出。
· 使用经过改进的对象选择工具组件快速选择对象。该组件经过重新设计并且得到了加强,能够改善工作流和提高在大目录中查找对象的效率,同时还提供了一种更灵活的查询功能。各种用户界面均可以使用该组件,并且可以为第三方开发人员所使用。
ACL 列表用户界面的修改 ACL用户界面已经得到了增强,以改善其易用性以及继承和特定的对象权限。
扩展性增强 那些拥有某个独立软件开发商(ISV)或者原始设备制造商(OEM)所开发的能够利用Active Directory的软件或设备的管理员拥有了更加出色的管理能力,并且可以添加任何对象分类作为组的成员。
来自其它LDAP目录的用户对象 在LDAP目录中定义的用户对象使用了RFC 2798中定义的inetOrgPerson类(例如Novell和Netscape),这些对象可以使用Active Directory用户界面进行定义。这个与Active Directory用户对象配合工作的用户界面可以处理inetOrgPerson对象。现在,任何需要使用inetOrgPerson类的应用程序或者客户都可以轻松实现它们的目的。
Passport 集成(通过IIS) Passport身份验证现在可以通过Internet Information Services (IIS) 6.0进行,而且允许Active Directory用户对象被映射到他们相应的Passport标识符上(如果存在该标识)。本地安全机构(Local Security Authority,LSA)将为用户创建一个令牌,然后IIS 6.0将根据HTTP请求对其加以设置。现在,拥有相应Passport 标识的Internet用户可以使用他们的Passport访问资源,就如同使用他们的Active Directory凭据一样。
利用ADSI使用终端服务器特定于终端服务器用户的属性可以通过使用Active Directory服务接口(ADSI)编写脚本进行设置。除了通过目录手动设置之外,用户属性可以利用脚本加以设定。这样做的一个好处就是:可以通过ADSI容易地实现属性的批量修改或编程修改。
复制和信任监视WMI提供者 Windows管理规范(WMI)类可以监视域控制器之间是否成功地对Active Directory信息进行了复制。因为众多的Windows 2000组件,例如Active Directory复制,都需要依赖于域间的相互信任,本特性还为监视信任关系是否能够正常工作提供了一种手段。管理员或者运营队伍可以通过WMI在发生复制问题时轻松获得报警。
MSMQ 分发列表消息队列(Message Queuing,MSMQ)现在支持向驻留在Active Directory中的分发列表(Distribution Lists)发送消息。MSMQ用户可以通过Active Directory轻松管理分发列表。
==配置管理==
===利用新的安装向导配置Active Directory===
新的“配置您的服务器”向导简化了设置Active Directory的过程,并且针对特定的服务器角色提供了经过预先定义的设置,它的优点之一便是:能够帮助管理员对服务器的初始化部署方式实施标准化。
在服务器安装期间,管理员可以获得帮助,通过帮助用户安装他们在Windows安装过程中选择需要的可选组件,服务器的安装过程变得更加便利。他们可以使用该向导执行以下工作:
· 通过使用基本的默认设置自动配置DHCP、DNS和Active Directory,建立网络中的第一台服务器。
· 在用户安装文件服务器、打印服务器、Web和媒体服务器、应用服务器、RAS和路由或者IP地址管理服务器的时候,为用户指出完成安装所需的特性,从而帮助用户在网络中配置成员服务器。
管理员可以使用本特性进行灾难恢复,将服务器配置复制到多台计算机上,完成安装,配置服务器角色,或者在网络中建立第一个配置或主服务器。
其它管理特性和改进
===特性 描述===
自动创建DNS区域 在运行Windows Server 2003操作系统时,DNS区域和服务器可以自动创建并配置。您可以在企业中创建它们以托管新的区域。本特定可以极大减少手动配置每台DNS服务器所需的时间。
得到改进的站点间复制拓扑生成过程 站点间拓扑生成器(ISTG)已经得到更新,不仅可以利用改进过的算法,而且能够支持比在Windows 2000下拥有更多数量站点的森林。因为森林中的所有运行ISTG角色的域控制器都必须在站点间复制拓扑方面取得一致,新的算法在森林被提升到Windows Server 2003森林本机模式之前不会被激活。新的ISTG算法跨越森林提供了得到改善的复制性能。
DNS 配置增强 本特性简化了DNS错误配置的调试和报告过程,有助于正确配置Active Directory部署所需要的DNS基础结构。
这包括了在一个现有森林中提升某个域控制器的情况,“Active Directory安装向导”会与现有的一台域控制器进行联系,以更新目录并从该域控制器复制必需的目录部分。如果向导由于不正确的DNS配置而无法找到域控制器,或者域控制器发生故障无法使用,它将执行调试过程,报告产生故障的原因,并指出解决该故障的方法。
为了能够找到网络中的域控制器,所有的域控制器都必须登记它的域控制器定位DNS记录。“Active Directory安装向导”会验证DNS基础结构是否得到了正确的配置,以便新的域控制器能够进行域控制器定位DNS记录的动态更新。如果此项检查发现了不正确的DNS基础结构配置,它将报告相关问题,并给出解释,告知修复该问题的方法。
通过媒介安装副本 和通过网络复制Active Directory数据库的完整副本不同,本特性允许管理员通过文件创建初始副本,这些文件是在对现有域控制器或者全局编录服务器进行备份的时候所生成的。任何具有Active Directory意识的备份工具所创建的备份文件都可以使用媒介(例如磁带、CD、VCD或者网络文件复制)传输到候选域控制器上。
迁移工具增强 Active Directory迁移工具(ADMT)在Windows Server 2003中得到了增强,它可以提供:
口令迁移。ADMT version 2 允许用户将口令从Windows NT 4.0 迁移到 Windows 2000 或 Windows Server 2003 域中,也可以将口令从Windows 2000域迁移到Windows Server 2003 域中。
新的脚本接口。对于大多数常见的迁移工作,例如用户迁移、组迁移和计算机迁移,我们提供了新的脚本接口。ADMT现在可以通过任何语言驱动,并且支持COM接口,例如Visual Basic ® Script、Visual Basic以及Visual C++ ®开发系统。
命令行支持。脚本接口已经得到了扩展,以支持命令行。所有可以通过编写脚本来完成的工作都可以直接通过命令行或者批处理文件完成。
安全性转换改进。安全性转换(例如在ACL内重新调配资源)得到了扩展。现在,源域可以在安全性转换运行的时候被脱离。ADMT还可以指定一个映射文件,并用该文件作为安全性转换的输入。
ADMT version 2 让用户向Active Directory的迁移工作变得简单了,而且提供了能够实现自动化迁移的更多选项。
===特性 描述===
得到改进的DirSync 控件 本特性改善了Active Directory对一个名为“DirSync”的LDAP控件的支持,该控件被用来从目录中获得发生了变化的信息。DirSync控件可以用来进行一些检查,这些检查类似于在正常的LDAP搜索上进行的检查。
功能级别 和Windows 2000的本机模式类似,本特性提供了一种版本控制机制,Active Directory的核心组件可以利用该机制确定域和森林中的每台域控制器都拥有那些功能特性。此外,本特性还可以用来防止Windows Server 2003以前的域控制器加入到一个全部使用Windows Server 2003的Active Directory特性的森林中。
取消架构属性和分类的激活状态 Active Directory已经得到了增强,以允许用户停用Active Directory架构中的某些属性和分类。如果原始定义中存在错误,属性和分类可以被重新定义。
在将属性或分类添加到架构中时,如果在设置一个永久性属性的时候发生了错误,停用操作将为用户提供了一种取代该定义的手段。本操作是可逆的,管理员可以撤销某个停用操作而不会产生任何不良的副作用。现在,管理员在管理Active Directory的架构方面拥有了更多的灵活性。
升级森林和域 Active Directory已经在安全性和应用程序支持方面添加了很多改进。在现有域或森林中运行Windows Server 2003操作系统的第一台域控制器得到升级之前,森林和域必须为这些新的功能特性做好准备。Adprep便是一个新的工具,用来帮助用户准备森林和域的升级。如果您是从Windows NT 4.0进行升级,或者在运行Windows Server 2003的服务器上执行Active Directory的全新安装,那么您不需要使用Adprep工具。
复制和信任监视 本功能允许管理员对域控制器之间是否成功地复制了信息加以监视。因为很多Windows组件(例如Active Directory复制)都依赖于域间的相互信任,本特性还为信任关系正确发挥作用提供了一种方法。
==遵循原则==
===域设计原则===
1、在管理任务明显由区域划分的环境中可以独立设置域,如某公司的亚洲分部和欧洲分部等,可以设立域对各自独立的资源进行统一管理。
2、 特殊情况下,如果域数据库中的对象(包括被管理的用户、计算机、打印机等)过多,超过100万时(对于中小型企业很难达到),需要考虑增加域。
===林设计原则===
公司由于业务等需求需要设定多个名字空间,如需要xxxx.xxx和xxxx.xx两个名字空间,则必须建立林,该林中包含以xxxx.xxx为根域和以xxxx.xx为根域的两棵树。并且,需根据实际情况为这2棵树之间确定好信任关系
===OU设计原则===
1、对于域安全准则一致的域,如果需要突出其中的某些业务和组织职能,则可以为域创建组织单元(OU),而没有必要重新创建单独的域。比如,对一个xxxx.xxx,底下划分为销售、人力等部门,可以创建sales、hr等等OU。
2、 在具体的OU设计中,微软给出了地理模型、对象模型、成本中心模型等7个基本模型供参考。
===站点设计原则===
站点设置的目的是控制网络产生的登录通信量和复制通信量。
(1)登录通信量:每次当用户登录网络时,Windows 2000/Windows Server 2003/Windows Server 2008都会试图查找与用户在同一站点的DC,产生登录通信量。
(2)复制通信量:将目录数据库的变动更新到多个DC,站点将控制该通信量如何以及何时产生。
===GC设计原则===
==总结==
在Windows 2000的原有基础之上,Windows Server 2003中的Active Directory将重心放在了管理工作的简化、通用性以及无可匹敌的可靠性上面。和以往相比,Active Directory已经成为了构建企业网络的坚实基础,因为它可以:
· 充分利用现有投资,以及对目录进行合并管理。
===重要性===
活动目录考虑你是否需要活动目录环境的向后兼容性。假设你决定创建一个新的Windows Server 2012 R2域控制器活动目录森林,并且将森林和域控制器功能级别设置在Windows Server 2012 R2级别。这样做的话将无法在森林中加入旧版本的域控制器。在全新部署时可能不是一个大问题,但最终会需要处理功能级别问题。
活动目录在微软发布Windows Server 2016之后,不得不提高活动目录功能级别以便使用新的活动目录功能。在此之前,活动目录组织将不得不升级域或者森林中的域控制器功能级别。活动目录域中同时包含Windows Server 2012 R2和Windows Server 2016域控制器是没有问题的,但是你将无法升级功能级别并且使用新的功能,直到所有遗留的域控制器得倒升级、替换或者退休。
活动目录还要考虑升级到更高功能级别后的好处。活动目录引入了大量的新功能是可以通过Windows 2000域控制器使用的。所以活动目录升级功能级别又有了新动力。
===基本原则===
活动目录最近几个版本引入了相对较少的改进,活动目录功能级别并不像以前那样重要了。但这一活动目录趋势可能在下一个Windows Server版本中发生逆转。
为活动目录的域和森林设置功能级别以便与最早的IT人员需要支持的域控制器版本相匹配。如果你所有的域控制器运行的是现代Windows版本,活动目录使用较低的功能级别并没有什么优势。 [5]
==备份和恢复==
===活动目录的备份和恢复选项===