6.1 活动目录的概念
6.1.1 域
域提供了多项优点:
§ 组织对象。
§ 发布有关域对象的资源和信息。
§ 将组策略对象应用到域可加强资源和安全性管理。
§ 委派授权使用户不再需要大量的具有广泛管理权利的管理员。 要创建域,用户必须将一个或更多的运行 Windows 2000 Server 的计算机升级为域控制器。域控制器为网络用户和计算机提供 Active Directory 目录服务、存储目录数据并管理用户和域之间的交互作用,包括用户登录过程、验证和目录搜索。每个域至少必须包含一个域控制器。
域树和域林
活动目录中的每个域利用 DNS 域名加以标识,并且需要一个或多个域控制器。如果用户的网络需要一个以上的域,则用户可以创建多个域。共享相同的公用架构和全局目录的一个或多个域称为域林。如图 6.1 中所示,如果树林中的多个域有连续的 DNS 域名,则该结构称为域树。
如果相关域树共享相同的 Active Directory 架构以及目录配置和复制信息,但不共享连续的 DNS 名称空间,则称之为域林。
域树和域林的组合为用户提供了灵活的域命名选项。连续和非连续的 DNS 名称空间都可加入到用户的目录中。
6.1.2. 域和帐户命名
Active Directory 域名通常是该域的完整 DNS 名称。但是,为确保向下兼容,每个域还有一个 Windows 2000 以前版本的名称,以便在运行 Windows 2000 以前版本的操作系统的计算机上使用。用户帐户
在 Active Directory 中,每个用户帐户都有一个用户登录名、一个 Windows 2000 以前版本的用户登录名(安全帐户管理器的帐户名)和一个用户主要名称后缀。在创建用户帐户时,管理员输入其登录名并选择用户主要名称。Active Directory 建议 Windows 2000 以前版本的用户登录名使用此用户登录名的前 20 个字节。
所谓用户主要名称是指由用户账户名称和表示用户账户所在的域的域名组成。这是登录到 Windows 2000 域的标准用法。表准格式为:
user@domain.com (类似个人的电子邮件地址)。但不要在用户登录名或用户主要名称中加入 @ 号。Active Directory 在创建用户主要名称时自动添加此符号。包含多个 @ 号的用户主要名称是无效的。
在 Active Directory 中,默认的用户主要名称后缀是域树中根域的 DNS 名。如果用户的单位使用由部gate和区域组成的多层域树,则对于底层用户的域名可能很长。对于该域中的用户,默认的用户主要名称可能是 grandchild.child.root.com。该域中用户默认的登录名可能是
user@grandchild.child.root.com 。创建主要名称后缀 - "root" 使同一用户使用更简单的登录名
user@root.com 就可以登录。
6.1.3 域间信任关系
对于 Windows 2000 计算机,通过基于 Kerberos V5 安全协议的双向、可传递信任关系启用域之间的帐户验证。
在域树中创建域时,相邻域(父域和子域)之间自动建立信任关系。如图 6.2 中的 root.com 和 child.root.com 之间自动建立信任关系。在域林中,在树林根域和添加到树林的每个域树的根域之间自动建立信任关系。因为这些信任关系是可传递的,所以可以在域树或域林中的任何域之间进行用户和计算机的身份验证。
如果将 Windows 2000 以前版本的 Windows 域升级为 Windows 2000 域时,Windows 2000 域将保留域和任何其他域之间现有的单向信任关系。包括 Windows 2000 以前版本的 Windows 域的所有信任关系。如果用户要安装新的 Windows 2000 域并且希望与任何 Windows 2000 以前版本的域建立信任关系,则必须创建与那些域的外部信任关系。
所有域信任关系都只能有两个域:信任域和受信任域。域信任关系按以下特征进行描述:
§ 单向
单向信任是域 A 信任域 B 的单一信任关系。所有的单向关系都是不可传递的,并且所有的不可传递信任都是单向的。身份验证请求只能从信任域传到受信任域。Windows 2000 的域可与以下域建立单向信任:不同树林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 领域。
§ 双向
Windows 2000 树林中的所有域信任都是双向可传递信任。建立新的子域时,双向可传递信任在新的子域和父域之间自动建立。
§ 可传递
Windows 2000 树林中的所有域信任都是可传递的。可传递信任始终为双向:此关系中的两个域相互信任。
可传递信任不受信任关系中的两个域的约束。每次当用户建立新的子域时,在父域和新子域之间就隐含地(自动)建立起双向可传递信任关系。这样,可传递信任关系在域树中按其形成的方式向上流动,并在域树中的所有域之间建立起可传递信任。
因为域 1 和域 2 有可传递信任关系,域 2 和域 3 有可传递信任关系,所以域 3 中的用户(在获得相应权限时)可访问域 1 中的资源。因为域 1 和域 A 具有可传递信任关系,并且域 A 的域树中的其他域和域 A 具有可传递信任关系,所以域 B 中的用户(当授与适当权限时)可访问域 3 中的资源。
§ 不可传递
不可传递信任受信任关系中的两个域的约束,并不流向树林中的任何其他域。在大多数情况下,用户必须明确建立不可传递信任。在 Windows 2000 域和 Windows NT 域之间的所有信任关系都是不可传递的。从 Windows NT 升级至 Windows 2000 时,目前所有的 Windows NT 信任都保持不动。在混和模式环境中,所有的 Windows NT 信任都是不可传递的。不可传递信任默认为单向信任关系。
§ 外部信任
外部信任创建了与树林外部的域的信任关系。创建外部信任的优点在于使用户可以通过树林的信任路径不包含的域进行身份验证。所有的外部验证都是单向非转移的信任
§ 快捷信任
快捷信任是双向可传递的信任,使用户可以缩短复杂树林中的路径。Windows 2000 同一树林中域之间的快捷信任是明确创建的。快捷信任具有优化的性能,能缩短与 Windows 2000 安全机制有关的信任路径以便进行身份验证。在树林中的两个域树之间使用快捷信任是最有效的。
6.1.4 站点
站点是由一个或多个 IP 子网中的一组计算机,确保目录信息的有效交换,站点中的计算机需要很好地连接,尤其是子网内的计算机。站点和域名称空间之间没有必要的连接。站点反映网络的物理结构,而域通常反映用户单位的逻辑结构。逻辑结构和物理结构相互[屏蔽],所以网络的物理结构及其域结构之间没有必要的相关性,Active Directory 允许单个站点中有多个域,单个域中有多个站点。
如果配置方案未组织成站点,则域和客户之间的信息交换可能非常混乱。站点能提高网络使用的效率。站点服务在以下两方面令网络操作更为有效:
§ 服务请求
当客户从域控制器请求服务时,只要相同域中的域控制器有一个可用,此请求就将会发给这个域控制器。选择与发出请求的客户连接良好的域控制器将使该请求的处理效率更高。
§ 复制
站点使目录信息以流水线的方式复制。目录架构和配置信息分布在整个树林中,而且域数据分布在域中的所有域控制器之间。通过有策略地减少复制,用户的网络拥塞也会同样减少。Active Directory 在一个站点内比在站点之间更频繁地复制目录信息。这样,连接最好的域控制器中,最可能需要特定目录信息的域控制器首先接收复制的内容。其他站点中的域控制器接收对目录所进行的更改,但不频繁,以降低网络带宽的消耗。
6.1.5 Active Directory 用户和计算机帐户
Active Directory 用户和计算机帐户代表物理实体,诸如计算机或人。用户帐户和计算机帐户(以及组)称为安全主体。安全主体是自动分配安全标识符的目录对象。带安全标识符的对象可登录到网络并访问域资源。用户或计算机帐户用于:
§ 验证用户或计算机的身份。
§ 授权或拒绝访问域资源。
§ 管理其他安全主体。
§ 审计使用用户或计算机帐户执行的操作。
Windows 2000 提供了可用于登录到运行 Windows 2000 的计算机的预定义用户帐户。这些预定义帐户为:
§ 管理员帐户
§ 来宾帐户
预定义帐户就是允许用户登录到本地计算机并访问本地计算机上资源的默认用户帐户。设计这些帐户的主要目的是本地计算机的初始登录和配置。每个预定义帐户均有不同的权利和权限组合。管理员帐户有最广泛的权利和权限,同时来宾帐户有受限制的权利和权限。
6.1.6组策略
组策略设置影响计算机或用户帐户并且可应用于站点、域或组织单位。它可用于配置安全选项、管理应用程序、管理桌面外观、指派脚本并将文件夹从本地计算机重新定向到网络位置。
6.1.7集成DNS
由于 Active Directory 与 DNS 集成而且共享相同的名称空间结构,因此注意两者之间的差异非常重要:
§ DNS 是一种名称解析服务。
DNS 客户机向配置的 DNS 服务器发送 DNS 名称查询。DNS 服务器接收名称查询,然后通过本地存储的文件解析名称查询,或者查询其他 DNS 服务器进行名称解析。DNS 不需要 Active Directory 就能运行。
§ Active Directory 是一种目录服务
Active Directory 提供信息储存库以及让用户和应用程序访问信息的服务。Active Directory 客户使用"轻量级目录访问协议 (LDAP)"向 Active Directory 服务器发送查询。要定位 Active Directory 服务器,Active Directory 客户机将查询 DNS。Active Directory 需要 DNS 才能工作。
即 Active Directory 用于组织资源,而 DNS 用于查找资源;只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。DNS 是 Active Directory 的关键组件,如果没有 DNS,Active Directory 就无法将用户的请求解析成资源的IP地址,因此在安装和配置 Active Directory 之前,用户必须对 DNS 有深入的理解。
6.1.8组织单位
包含在域中的特别有用的目录对象类型就是组织单位。组织单位是可将用户、组、计算机和其他单位放入其中的 Active Directory 容器。组织单位不能包括来自其他域的对象。组织单位是可以指派组策略设置或委派管理权限的最小作用域或单位。使用组织单位,用户可在组织单位中代表逻辑层次结构的域中创建容器。这样用户就可以根据用户的组织模型管理帐户和资源的配置和使用。
6.2 安装活动目录(ADS)
6.2.1 Active Directory 的规划
在安装 Active Directory 之前,用户首先要对 Active Directory 的结构进行细致的规划设计,让用户和管理员在使用时更为轻松。
§ 规划 DNS
如果用户准备使用 Active Directory,则需要先规划名称空间。当 DNS 域名称空间可在 Windows 2000 中正确执行之前,需要有可用的 Active Directory 结构。所以,从 Active Directory 设计着手并用适当的 DNS 名称空间支持它。经过审阅,如果检测到任何规划中有不可预见的或不合要求的结果,则根据需要进行修改。
在 Windows 2000 中,用 DNS 名称命名 Active Directory 域。选择 DNS 名称用于 Active Directory 域时,以单位保留在 Internet 上使用的已注册 DNS 域名后缀开始(如"root.com"),并将该名称和单位中使用的地理名称或部gate名称结合起来,组成 Active Directory 域的全名。
例如,root 的 sales 测试组可能称他们的域为"sales.child.root.com"。这种命名方法确保每个 Active Directory 域名是全球唯一的。而且,这种命名方法一旦被采用,使用现有名称作为创建其他子域的父名称以及进一步增大名称空间以供单位中的新部gate使用的过程将变得非常简单。对于仅使用单个域或小型多域模式的小型企业,可以直接进行规划并按照与以前范例相似的方法操作。在规划 DNS 和 Active Directory 名称空间时,建议使用不同组而且不重叠的可分辨名称作为内部和外部 DNS 使用的基础。例如,假定单位的父域名是"example.root.com"。对于内部 DNS 名称的使用,用户可以使用诸如"internal.root.microsoft.com"的名称 对于外部 DNS 名称的使用,用户可以使用诸如"external.example.microsoft.com"的名称 保持内部和外部名称空间始终是分离的而且截然不同,这样用户可以简化某些配置的维护工作,如域名筛选器或排除列表。
§ 规划用户的域结构
最容易管理的域结构就是单域。规划时,用户应从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。一个域可跨越多个站点并且包含数百万个对象。站点结构和域结构互相[屏蔽]而且非常灵活。单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。如果只是反映用户公司的部gate组织结构,则不必创建[屏蔽]的域树。在一个域中,可以使用组织单位来实现这个目标。然后,可以指定组策略设置并将用户、组和计算机放在组织单位中。
创建多个域的原因有:
§ 部gate之间不同的密码要求
§ 大量的对象
§ 不同的 Internet 域名
§ 对复制进行更多的控制
§ 分散的网络管理
§ 规划组织单位结构
可以在域中创建组织单位的层次结构。组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位是目录容器对象。它们表现为"Active Directory 用户和计算机"中的文件夹。组织单位简化了域中目录对象的视图以及这些对象的管理。可将每个组织单位的管理控制权委派给特定的人。这样,用户就可以在管理员中分配域的管理工作,以更接近指派的单位职责的方式来管理这些管理性职责工作。
通常,应该创建能反映组织单位的职能或商务结构的单位。例如,用户可以创建[屏蔽]单位,例如人事关系、设备管理和营销等部gate单位。在人事关系单位中,用户可以创建其他的嵌套组织单位,例如福利和招聘单位。在招聘单位中,也可以创建另一级的嵌套单位。例如,内部招聘和外部招聘单位。总之,组织单位可使用户以一种更有意义且易于管理的方式来模拟用户实际工作的单位,而且在任何一级指派一个适当的本地权利机构作为管理员。
每个域都可实现自己的组织单位层次结构。如果用户的企业包含多个域,则可以[屏蔽]于其他域中的结构在每个域中创建组织单位的结构。
§ 何时创建域控制器
将 Windows 2000 Server 计算机升级为域控制器会创建一个新域或者向现有的域添加其他域控制器。创建域控制器可以:
§ 创建网络中的第一个域。
§ 在树林中创建其他的域。
§ 提高网络可用性和可靠性。
§ 提高站点之间的网络性能。
要创建 Windows 2000 域,必须在该域中至少创建一个域控制器。创建域控制器也将创建该域。不可能有没有域控制器的域。如果确定用户的单位需要一个以上的域,则必须为每个附加的域至少创建一个域控制器。树林中的附加域可以是:新的子域、新域树的根。
§ 规划用户的委派模式
用户可以将权利下派给单位中最底层部gate,方法是在每个域中创建组织单位树,并将部分组织单位子树的权利委派给其他用户或组。通过委派管理权利,用户不再需要那些定期登录到特定帐户的人员,这些帐户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员帐户和域管理员器组,可以仍保留这些帐户以备少数高度信任的管理员偶尔使用。
最后在规划 Active Directory 结构时,除了需要认真考虑以上各项外,用户还要注意以下几点:
1.使用的域越少越好,因为在 Windows 2000 中已经大大扩展了单个域的容量。
2.限制组织单位的层次,在 Active Directory 搜索事物的层次越深则运行效率越低
3.限制组织单位中的对象个数,这样便于高效的查找特定资源
4.用户可以将管理权限分配到组织单位级,这样提高了管理效率,降低了管理员的负荷。
6.2.2 安装 Active Directory
运行 Active Directory 安装向导将 Windows 2000 Server 计算机升级为域控制器会创建一个新域或者向现有的域添加其他域控制器。创建域控制器可以:
§ 创建网络中的第一个域。
§ 在树林中创建其他的域。
§ 提高网络可用性和可靠性。
§ 提高站点之间的网络性能。
要创建 Windows 2000 域,必须在该域中至少创建一个域控制器。创建域控制器也将创建该域。不可能有没有域控制器的域。如果确定用户的单位需要一个以上的域,则必须为每个附加的域至少创建一个域控制器。树林中的附加域可以是:新的子域、新域树的根。