第5章Windows 2000 Server活动目录-new课件.pptVIP

第5章 Windows 2000 Server活动目录 ;5.1活动目录概述;5.1.1 Active Directory的概念;5.1.1 Active Directory的概念;Active Directory是一个完全可扩展、可伸缩的目录服务，方便了管理员在统一的环境下管理整个网络的各种资源。其主要特点如下。 1．信息的安全性 网络中的计算机安全性完全由Active Directory集成。访问控制不仅可在目录中的每个对象上定义，而且还可以在每个对象的属性上定义。 Active Directory和其安全性服务（如Kerberos、PKI和智能卡等）紧密结合，共同完成安全任务和协同管理。Active Directory存储了域安全策略的信息，如域用户口令的限制策略和系统访问权限等，实施了基于对象的安全模型和访问控制机制。在Active Directory中的每个对象都有一个独有的安全性描述，定义了浏览或更新对象属性所需要的访问权限。管理员可以通过组策略设置执行安全策略。 ;2．集成性 Active Directory的集成性主要体现在三个方面：用户和资源管理、基于目录的网络服务和基于网络的应用管理。而且，Active Directory还与Internet标准相结合，将很多Internet服务集成在一起，增强了自身网络管理功能。 Active Directory与Internet标准集成，例如，用户账号使用用户名@域名来表示和进行网络登录。Internet域名空间及其解析称为域名系统（DNS）。域名空间中，一个子域的域名就是将该子域的名称添加到父域的名称中。例如，web.bvtc.edu.cn是bvtc.edu.cn域的子域。 Active Directory具有基于标准的目录访问协议，如轻型目录访问协议（LDAP）和名称服务提供程序接口（NSPI），因此它可以与使用这些协议的其他目录服务相互操作。;3．多主复制方式 复制为目录提供了信息可用性、容错、负载平衡和性能优化等功能。Active Directory使用多主复制方式，即允许用户在任何域控制器上（而不是单个主域控制器上）同时更新目录。 Windows NT 4.0采用主域控制器和备份域控制器，进行目录复制时使用主从方式。Windows 2000 Server则采用了动态活动目录服务，域中所有域控制器之间都是平等的关系，不再区分主域控制器和备份域控制器。Windows 2000 Server在复制目录库时对各个对象的修改顺序数进行比较，判断他们被修改的先后顺序，必威体育精装版修改的对象属性被保留，旧的属性就被新的属性所取代，这就保证每一个域控制器上的目录服务的数据库都是必威体育精装版的。在这种机制下，任何一个域控制器上的目录库变更都会自动复制到其他域控制器上。 4．可扩展性 Active Directory可进行扩展，管理员可以将新的对象类添加到架构中，而且可以将新的属性添加到现有的对象类中。;5．可伸缩性 Active Directory包含一个或多个域，每个域具有一个或多个域控制器，以便调整目录的规模以满足任何网络的需要。多个域可合并为域树，多个域树可合并为树林。Active Directory允许用户组建单域来管理少量的网络对象，也允许用户通过域目录管理成千上万个对象。Active Directory的可伸缩性是通过为每个域创建一个目录存储的方法来获得的。 6．易用性 Active Directory的安装和管理较为简单。在Windows 2000 Server安装Active Directory时，第一个域服务器配置成为域控制器，而其他所有新安装的计算机将被提示作为额外域控制器。安装目录服务可以用Dcpromo命令来实现，若要取消目录服务也使用该命令来卸载。 ;5.2活动目录的结构;5.2.1活动目录的逻辑结构;5.2.1活动目录的逻辑结构;域的概念;域树;树林;树林;树林;5.2.1活动目录的逻辑结构;5.2.1活动目录的逻辑结构;域是安全界限，每个域都有自己的安全策略，以及它与其它域的安全信任关系。域信任关系是建立在两个域之间的关系，一个域中的用户通过另一域中的域控制器验证，才能使一个域中的用户访问另一个域中的资源。这些信任关系允许单一登录过程，但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限，必须在每个域的基础上为用户指派相应的权利和权限。 所有域信任关系在关系中只能有两个域：信任域和受信任域。如果域A信任域B，则域B中的用户可以通过域A中的域控制器进行身份验证后访问域A中的资源，称域A是信任域，域B是受信任域，域A与域B之间的关系就是信任关系。信任关系可以是单向的，也可以是双向的，即域A与域B之间可以单方面的信任关系，也可以是双方