Introduction_ActiveDirectory

《Introduction_ActiveDirectory》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、活动目录域服务概述议程•活动目录概述•活动目录逻辑组件•活动目录物理组件活动目录概述•什么是活动目录•使用活动目录域集中的管理网络资源•账户验证•访问授权•活动目录组件概述什么是活动目录？活动目录提供了一个中央系统用于管理用户、计算机和网络中的其他资源。活动目录包含以下功能:•集中式目录系统•单点登录和访问•集成的安全性•可扩展性•统一的管理接口使用活动目录集中管理网络资源活动目录集中管理网络资源:•单一的位置和工具集用于管理用户和组账户•单一位置用与指派对网络共享资源的访问•基于活动目录的应用程

2、序•集中的配置安全策略管理所有的用户和计算机•组策略用于管理用户桌面和安全设置验证验证是确认用户身份的过程凭据:至少由两个组件组成•用户名•安全信息，例如密码两种类型的验证•本地登录–验证登录到本地计算机•网络登录–验证对其他计算机资源的账户身份的访问访问令牌用户的访问令牌UserSIDMemberGroupSIDsPrivileges(“userrights”)OtheraccessinformationACL和ACESecurityDescriptorSystemACL(SACL)Discre

3、tionaryACL(DACLor“ACL”)ACETrustee(SID)AccessMaskACETrustee(SID)AccessMask授权授权是授予一个经过身份验证的用户能够执行某些操作的过程当用户被创建时，系统分配其在验证过程中，颁发给用户访问SID令牌，包含了用户SID和组SID以及相关信息网络中的共享资源包含了ACL安全令牌将和网络资源的DACL，用户定义谁能够访问此资源进行对比，确定授予访问还是拒绝授权授权是授予一个经过身份验证的用户能够执行某些操作的过程三个组件用于授权•资源

4、•访问请求•安全令牌User’sAccessTokenSecurityDescriptorSystemACLUserSID(SACL)DiscretionaryACLGroupSID(DACLor“ACL”)ACEListofuserTrustee(SID)rightsAccessMaskOtheraccessACETrustee(SID)informationAccessMask工作组环境验证•身份信息存储在本地Windows系统的SAM数据库中•没有共享的身份存储机制•多个用户账户•密码更改的

5、管理非常复杂活动目录域环境:受信任的身份存储•所有域成员身份集中的存储在受信任的区域•集中的验证服务•存在独立的服务器用户执行活动目录验证和授权的过程（域控制器）活动目录组件概述活动目录由逻辑组件和物理组件组成物理组件逻辑组件•数据存储•分区•域控制器•架构•全局编录服务器•域•只读域控制器•域树•森林•站点•组织结构活动目录逻辑组件什么是活动目录架构活动目录架构:•定义了存储在活动目录中的每种对象类型和属性•强制对象创建和配置的规则类型功能示例•用户对象类对象定义了什么对象能存储在活动目录中•计

6、算机对象属性对象定义了每个对象能存储什么信息•显示名域（Domain）域是一个逻辑目录组件，用于组织和管理企业中的活动目录对象Contoso.com域能够提供:•管理边界，应用策略到一组对象•复制边界，在域控制器中复制本域数据•验证和授权边界，提供方式限制资源访问的范围活动目录域信任信任提供了一种机制，允许用户访问另外域中的资源信任类型描述图示Access直接信任从一个域直接信任另外一个域TRUSTTrust&信任关系从两个域之间的信任扩展Access传递信任到多个域•同一森林中的域相互信任•信任

7、可以被扩展到其他森林域树（DomainTree）Contoso.com域树在活动目录中是域的层次结构，共享相同的命名空间EMEA.Contoso.NA.Contoso.cocomm在域树中所有的域:•存在连续且相同的命名空间•可以添加额外的子域到此名称空间•存在双向的传递信任森林（Forest）森林是一个或多个域树的集合森林:•共享相同的架构•共享相同的配置分区•共享相同的全局编录便于查找•实现森林中的所有域的信任•共享企业管理员组合架构管理员组组织单位（OU）OU是活动目录的容器，包含用户、组、

8、计算机和其他OU对象OU用于:•层次化、逻辑化表现企业的结构•管理对象集合•委派权限•应用策略组织单位活动目录对象对象描述用户•代表企业用户，每个用户对象存在用户名和密码•类似于用户账户InetOrgPerson•用于与其他的目录服务兼容•主要用于给外部用户指定邮件地址联系人•不能实现网络资源访问•用户或其他组的集合组•用于简化访问资源的管理控制计算机•代表计算机操作系统，实现验证和资源访问打印机•用于简化打印机定位和连接的过程共享文件夹•使得用户能够基于属性搜索共享文件夹活动目录