返回
第3章 活动目录与域控制

第3章 活动目录与域控制

ID:21121905

大小:353.00 KB

页数:21页

时间:2018-10-19

第3章 活动目录与域控制_第1页
第3章 活动目录与域控制_第2页
第3章 活动目录与域控制_第3页
第3章 活动目录与域控制_第4页
第3章 活动目录与域控制_第5页
资源描述:

《第3章 活动目录与域控制》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、[本章学习目标]理解ActiveDirectory的概念掌握ActiveDirectory的域和域目录正确理解ActiveDirectory域的信任关系了解ActiveDirectory中的对象第三章活动目录与域控制ActiveDirectory的概念3.1活动目录ActiveDirectory又称活动目录,是Windows2000Server和WindowsServer2003系统中非常重要的目录服务。ActiveDirectory存储网络上各种对象的有关信息,包括用户账户、组、打印机、共享文件夹等,并把这些数据存储在目录服务数据库中

2、,便于管理员和用户查询及使用。它有两方面内容,目录和与目录相关的服务。ActiveDirectory的特点ActiveDirectory是一个完全可扩展、可伸缩的目录服务,方便了管理员在统一的环境下管理整个网络的各种资源。其主要特点如下:信息的安全性集成性多主复制方式可扩展性可伸缩性易用性3.1活动目录域和域控制器域是在WindowsServer2003网络环境中组建客户/服务器网络的实现方式。所谓域,是由网络管理员定义的一组计算机的集合,实际上就是一个网络。域具备多个优点,能使得网络管理变得十分简单。组织对象域中的组织单元用来管理域中

3、的账号和资源。依据企业内部的组织结构,通过设计、规划域的组织结构,有助于建立恰当的企业网络。安全策略和设置在一个域中的管理权利,或是对某一个网络资源的访问权利,不会因为网络的连接而自动从一个域移动到另外一个域。3.2域、域目录树和域目录林域和域控制器将组策略对象应用到域中域定义了策略生效的基本单位。组策略对象确立了访问、配置和使用域资源方法的规则。将组策略对象应用到域中可以加强对资源的安全性管理。这些策略只在域中应用,而不是跨域应用。权利委派理员可以将网络管理权限委派给某些特殊用户。使用组策略对象和组成员相互关联作用的委派授权,允许管理

4、员派放管理权限,以管理整个域或者域中一个或多个组织单元的对象3.2域、域目录树和域目录林域目录树当要配置一个包含多个域的网络时,应该将网络配置成域目录树结构。一棵域目录树就是一个DNS名字空间。它有一个惟一的根域并且是一个严格的层次结构,根域以下的每个域都只有一个父域,父域则可以有多个同级的子域。因此,根据这种层次结构所创建的名字空间是邻接的。3.2域、域目录树和域目录林域目录林如果网络的规模比前面提到的域目录树还要大,甚至包含了多个域目录树,这时可以将网络配置为域目录林(也称森林)结构。各域目录树之间地位相当,由双向传递的信任关系相关

5、联。单个域组成一棵单域的域目录树,单棵域目录树组成单树的域目录林。域目录林跟活动目录是同一个概念。在同一片域目录林中的多棵域目录树并不构成一个邻接的名字空间,而是构成一个基于不同的DNS根域名的不邻接的名字空间,但对象的名字仍然可以由同一个活动目录所解析。一片域目录林就像一个由交叉引用的对象和成员树之间信任关系所组成的集合而存在。位于每个名字空间根域的传递信任提供了对资源的相互访问。3.2域、域目录树和域目录林全局编录有了域目录林之后,同一域目录林中的域控制器共享一个活动目录,这个活动目录是分散存放在各个域的域控制器上的,每个域中的域控

6、制器存有该域的对象的信息。如果一个域的用户要访问另一个域中的资源,这个用户要能够查找到另一个域中的资源才行。为了让每一个用户都能够快速查找到另一个域内的对象,微软设计了全局编录(GlobalCatalog,GC)。全局编录包含了整个活动目录中每一个对象的最重要的属性(即部分属性,而不是全部),这使得用户或者应用程序即使不知道对象位于哪个域内,也可以迅速找到被访问的对象。3.2域、域目录树和域目录林域信任关系是建立在两个域之间的关系,一个域中的用户可由另一个域中的域控制器验证。所有域的信任关系只能有两个域:信任域和受信任域。活动目录通过域

7、间的信任关系提供跨域的安全。当域之间有信任关系时,每个域的认证机构都信任其他所有它所信任的域的认证机构。如果一个用户或应用程序被一个域认证后,所有信任这个认证的域都认可这种认证。一个被信任域中的用户可以访问信任域中的资源,并由信任域上的访问控制所制约。在WindowsServer2003中,所有信任关系都是可传递的而且是双向的,信任关系中的两个域自动相互信任。3.3域的信任关系信任路径信任路径是身份验证请求在域之间必须遵循的一组信任关系。在用户可以访问另一个域中的资源之前,系统安全机制必须确定信任域(含有用户试图访问的资源的域)和受信任

8、域(用户的登录域)之间是否有信任关系,在计算信任域中的域控制器和受信任域的域控制器之间建立信任路径。在图3-5中,信任路径由显示信任方向的箭头标出,其中所有的域信任关系都只能有两个域:信任域和受信任域。3.

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。