活动目录概述及设计.pptVIP

目录服务 什麽是活动目录？ Active Directory, AD 活动目录 是 Windows 2000 Server 提供的重要服务 管理中心：网络元素 (用户，应用，设备等) 安全中心: 身份认证 授权中心 桌面管理和控制 开放的平台 ：应用的开发，与其他系统集成 目录服务综述 实施AD带来的收益 实体管理的平台 用户身份管理： 每个员工访问办工网时出示唯一的一个ID标识 管理任务：开户，销户，禁用账号 安全的认证方式：Kerberos; 事实上的业届标准 集中的计算机桌面管理： Windows 2000 桌面版：通过组策略 集中的安全控制中心：通过组策略对于W2K Server, W2K Pro 实施AD带来的收益 应用开发系统将用户身份认证交给AD 企业内部一套用户数据库： 用户信息准确 降低管理成本 更能关注本应用本身的业务逻辑 减少工作量 更安全 用户使用的便利：只需记住一套用户名/口令 应用策略 应用发布 实施AD带来的收益 辅助其它网络应用的分布式实现 AD 集成的DNS AD集成的DFS(分布式文件系统) 打印服务的定位：有哪些信誉好的足球投注网站打印机的位置 MSMQ Exchange 2000 CA Service 实施AD带来的收益 构建一个企业目录系统的基础 从用户管理到各种其他实体的管理：计算机，网络设备，应用程序 Ecommerce 应用 Extranet 应用 AD 项目过程 现状分析-〉 需求分析-〉 设计-〉 测试-〉 试点-〉 大规模实施-〉 稳定阶段 现状分析 需求分析 设计 设计原则 简单是最好的投资 您的业务和单位会不断变化 理想设计的目标 研究设计替代的方案 活动目录的逻辑元素 活动目录的物理元素 森林 森林 森林是域的集合，是一套目录系统的边界。森林有两种主要用途：简化用户与目录的交互过程和简化对多个域的管理。 森林有这样一些特征： 共享一套 Schema(定义AD中对象的类型和相应对象的属性) 共享一套 Configuration (如Domain,Site,Site Link 信息) 共享一套 Global Catalog (GC,全局编录) 用户有哪些信誉好的足球投注网站 Global Catalog 用户用UPN名登录 (a@) 森林中的域之间互相信任 森林 建立多个森林的理由为： 不能信任其他的管理员 不能就Forest变化策略达成一致 Schema变化, Configuration变化,添加新域对整个Forest带来的影响。 共同决定Schema administrators, enterprise administrators 的成员 多个Forest带来的不好影响： 增加管理费用 域数目增多；各个森林分别管理森林级的服务 手工管理和维护森林之间的信任关系 有一些功能在多Forest的环境中失效 UPN logon (如huangsy@) Forest 设计选择 单一Forest 两个Forest 主要优点： 两个森林完全的管理边界，提供了完全的自治，双方拥有各自独立的Schemas，各自独立的全局编录, 各自管理自己的森林级管理任务（Schema, Enterprise ） 应用开发的便利：独立控制自己森林中的Schema，有利于目录集成的应用开发，扩展本森林的Schema不必影响其他森林的Schema。 目录集成应用项目的研究：作为一个独立的测试和试运行环境 独立的全局编录：外来人员很多，人员流动大，经常会建立临时账号，将森林独立出来有一套独立的全局编录，可以不影响人员相对固定的其他森林 主要缺点： 额外的森林根硬件(2-3台) 额外的森林级管理任务 有资源共享需要时，手工维护信任关系 现阶段不可以合并，域在森林之间不可以移动，用户可以在森林之间用工具移动 森林根域 森林中的根域是在森林中创建的第一个域，森林的名字就是这个域的名字。有两个森林级的组 enterprise administrators 和 schema administrators 就存在这个域中，他们的成员由森林根域的 Domain Admin 决定的。 无法重新安装森林的根域。如果森林根域的所有域控制器在一次灾难性事故中丧失，而且一个或多个域控制器无法从备份恢复，将永久丧失enterprise administrators 和 schema administrators组，造成灾难性事故，整个森林将面临重建。 森林根域 在森林根域中，有两个森林级的操作主机（FSMO）角色：Schema Master 和Domain Naming Master 。 Schema Master 控制对于Schema的更新和修改,更改Schema必须在Schema Master上。任何时候，森林中只能有一台Schema Mas