Active Directory 是用于 Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。Active Directory 的优点:信息安全性 、基于策略的管理 、可扩展性 、可伸缩性 、信息的复制 、与 DNS 集成 、与其他目录服务的互操作性、灵活的查询。
本章主要内容:
1、活动目录的基本概念及其作用
2、在安装活动目录前的目录规划
3、活动目录工具
6.1 活动目录的概念
6.1.1 域
域提供了多项优点:
§
组织对象。
§
发布有关域对象的资源和信息。
§
将组策略对象应用到域可加强资源和安全性管理。
§
委派授权使用户不再需要大量的具有广泛管理权利的管理员。
要创建域,用户必须将一个或更多的运行 Windows 2000 Server 的计算机升级为域控制器。域控制器为网络用户和计算机提供 Active Directory 目录服务、存储目录数据并管理用户和域之间的交互作用,包括用户登录过程、验证和目录搜索。每个域至少必须包含一个域控制器。
域树和域林
活动目录中的每个域利用 DNS 域名加以标识,并且需要一个或多个域控制器。如果用户的网络需要一个以上的域,则用户可以创建多个域。共享相同的公用架构和全局目录的一个或多个域称为域林。如图 6.1 中所示,如果树林中的多个域有连续的 DNS 域名,则该结构称为域树。
如图6.2所示如果相关域树共享相同的 Active Directory 架构以及目录配置和复制信息,但不共享连续的 DNS 名称空间,则称之为域林。
域树和域林的组合为用户提供了灵活的域命名选项。连续和非连续的 DNS 名称空间都可加入到用户的目录中。
6.1.2. 域和帐户命名
Active Directory 域名通常是该域的完整 DNS 名称。但是,为确保向下兼容,每个域还有一个 Windows 2000 以前版本的名称,以便在运行 Windows 2000 以前版本的操作系统的计算机上使用。用户帐户
在 Active Directory 中,每个用户帐户都有一个用户登录名、一个 Windows 2000 以前版本的用户登录名(安全帐户管理器的帐户名)和一个用户主要名称后缀。在创建用户帐户时,管理员输入其登录名并选择用户主要名称。Active Directory 建议 Windows 2000 以前版本的用户登录名使用此用户登录名的前 20 个字节。
所谓用户主要名称是指由用户账户名称和表示用户账户所在的域的域名组成。这是登录到 Windows 2000 域的标准用法。表准格式为:user@domain.com (类似个人的电子邮件地址)。但不要在用户登录名或用户主要名称中加入 @ 号。Active Directory 在创建用户主要名称时自动添加此符号。包含多个 @ 号的用户主要名称是无效的。
在 Active Directory 中,默认的用户主要名称后缀是域树中根域的 DNS 名。如果用户的单位使用由部门和区域组成的多层域树,则对于底层用户的域名可能很长。对于该域中的用户,默认的用户主要名称可能是 grandchild.child.root.com。该域中用户默认的登录名可能是 user@grandchild.child.root.com 。创建主要名称后缀 - "root" 使同一用户使用更简单的登录名 user@root.com 就可以登录。
6.1.3 域间信任关系
对于 Windows 2000 计算机,通过基于 Kerberos V5 安全协议的双向、可传递信任关系启用域之间的帐户验证。
在域树中创建域时,相邻域(父域和子域)之间自动建立信任关系。如图 6.2 中的 root.com 和 child.root.com 之间自动建立信任关系。在域林中,在树林根域和添加到树林的每个域树的根域之间自动建立信任关系。因为这些信任关系是可传递的,所以可以在域树或域林中的任何域之间进行用户和计算机的身份验证。
如果将 Windows 2000 以前版本的 Windows 域升级为 Windows 2000 域时,Windows 2000 域将保留域和任何其他域之间现有的单向信任关系。包括 Windows 2000 以前版本的 Windows 域的所有信任关系。如果用户要安装新的 Windows 2000 域并且希望与任何 Windows 2000 以前版本的域建立信任关系,则必须创建与那些域的外部信任关系。
所有域信任关系都只能有两个域:信任域和受信任域。域信任关系按以下特征进行描述:
§
单向
单向信任是域 A 信任域 B 的单一信任关系。所有的单向关系都是不可传递的,并且所有的不可传递信任都是单向的。身份验证请求只能从信任域传到受信任域。Windows 2000 的域可与以下域建立单向信任:不同树林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 领域。
§
双向
Windows 2000 树林中的所有域信任都是双向可传递信任。建立新的子域时,双向可传递信任在新的子域和父域之间自动建立。
§
可传递
Windows 2000 树林中的所有域信任都是可传递的。可传递信任始终为双向:此关系中的两个域相互信任。
可传递信任不受信任关系中的两个域的约束。每次当用户建立新的子域时,在父域和新子域之间就隐含地(自动)建立起双向可传递信任关系。这样,可传递信任关系在域树中按其形成的方式向上流动,并在域树中的所有域之间建立起可传递信任。
如图6.3中因为域 1 和域 2 有可传递信任关系,域 2 和域 3 有可传递信任关系,所以域 3 中的用户(在获得相应权限时)可访问域 1 中的资源。因为域 1 和域 A 具有可传递信任关系,
并且域 A 的域树中的其他域和域 A 具有可传递信任关系,所以域 B 中的用户(当授与适当权限时)可访问域 3 中的资源。
§
不可传递
不可传递信任受信任关系中的两个域的约束,并不流向树林中的任何其他域。在大多数情况下,用户必须明确建立不可传递信任。在 Windows 2000 域和 Windows NT 域之间的所有信任关系都是不可传递的。从 Windows NT 升级至 Windows 2000 时,目前所有的 Windows NT 信任都保持不动。在混和模式环境中,所有的 Windows NT 信任都是不可传递的。不可传递信任默认为单向信任关系。
§
外部信任
外部信任创建了与树林外部的域的信任关系。创建外部信任的优点在于使用户可以通过树林的信任路径不包含的域进行身份验证。所有的外部验证都是单向非转移的信任
§
快捷信任
快捷信任是双向可传递的信任,使用户可以缩短复杂树林中的路径。Windows 2000 同一树林中域之间的快捷信任是明确创建的。快捷信任具有优化的性能,能缩短与 Windows 2000 安全机制有关的信任路径以便进行身份验证。在树林中的两个域树之间使用快捷信任是最有效的。
6.1.4 站点
站点是由一个或多个 IP 子网中的一组计算机,确保目录信息的有效交换,站点中的计算机需要很好地连接,尤其是子网内的计算机。站点和域名称空间之间没有必要的连接。站点反映网络的物理结构,而域通常反映用户单位的逻辑结构。逻辑结构和物理结构相互独立,所以网络的物理结构及其域结构之间没有必要的相关性,Active Directory 允许单个站点中有多个域,单个域中有多个站点。
如果配置方案未组织成站点,则域和客户之间的信息交换可能非常混乱。站点能提高网络使用的效率。站点服务在以下两方面令网络操作更为有效:
§
服务请求
当客户从域控制器请求服务时,只要相同域中的域控制器有一个可用,此请求就将会发给这个域控制器。选择与发出请求的客户连接良好的域控制器将使该请求的处理效率更高。
§
复制
站点使目录信息以流水线的方式复制。目录架构和配置信息分布在整个树林中,而且域数据分布在域中的所有域控制器之间。通过有策略地减少复制,用户的网络拥塞也会同样减少。Active Directory 在一个站点内比在站点之间更频繁地复制目录信息。这样,连接最好的域控制器中,最可能需要特定目录信息的域控制器首先接收复制的内容。其他站点中的域控制器接收对目录所进行的更改,但不频繁,以降低网络带宽的消耗。
6.1.5 Active Directory 用户和计算机帐户
Active Directory 用户和计算机帐户代表物理实体,诸如计算机或人。用户帐户和计算机帐户(以及组)称为安全主体。安全主体是自动分配安全标识符的目录对象。带安全标识符的对象可登录到网络并访问域资源。用户或计算机帐户用于:
§
验证用户或计算机的身份。
§
授权或拒绝访问域资源。
§
管理其他安全主体。
§
审计使用用户或计算机帐户执行的操作。
Windows 2000 提供了可用于登录到运行 Windows 2000 的计算机的预定义用户帐户。这些预定义帐户为:
§
管理员帐户
§
来宾帐户
预定义帐户就是允许用户登录到本地计算机并访问本地计算机上资源的默认用户帐户。设计这些帐户的主要目的是本地计算机的初始登录和配置。每个预定义帐户均有不同的权利和权限组合。管理员帐户有最广泛的权利和权限,同时来宾帐户有受限制的权利和权限。
6.1.6组策略
组策略设置影响计算机或用户帐户并且可应用于站点、域或组织单位。它可用于配置安全选项、管理应用程序、管理桌面外观、指派脚本并将文件夹从本地计算机重新定向到网络位置。
6.1.7集成DNS
由于 Active Directory 与 DNS 集成而且共享相同的名称空间结构,因此注意两者之间的差异非常重要:
§
DNS 是一种名称解析服务。