【 服务器学院】活动目录是Windows 2000网络中目录服务的实现方式。目录服务是一种网络服务,它存储网络资源的信息并使得用户和应用程序能访问这些资源。
活动目录对象
主要包括用户、组、计算机和打印机,然而网络中的所有服务器、域和站点等也可认为是活动目录中的对象。
活动目录架构
◆ 含有活动目录中所有对象的定义;
◆ 用对象类和对象属性来描述每个对象;
◆ 在Windows 2000的网络中,整个森林只有一个架构;
◆ 架构保存在活动目录中。
活动目录的逻辑结构
活动目录的逻辑结构用来组织网络资源。
域(Domain)
◆ 域是Windows 2000 活动目录的核心单元,是共享同一活动目录的一组计算机集合;
◆ 域是安全的边界,在缺省的情况下,一个域的管理员只能管理他自己的域,一个域的管理员要管理其他的域,需要专门的授权;
◆ 域是复制单位,一个域可包含多个域控制器,当某个域控制器的活动目录数据库修改以后,会将此修改复制到其他所有域控制器。
组织单元(Organizational Units,OU)
◆ OU是域下面的容器对象,用于组织对活动目录对象的管理,是Windows 2000中最小的管理单元;
◆ OU可用来匹配一个企业的实际组织结构,域的管理员可以指定某个用户去管理某个OU;
◆ OU也可以像域一样做成树状的结构,即OU下面还可以有OU;
◆ 使用OU可取代Windows NT4.0的多域网络,参见图1。

2006101612619960.jpg
图1

树和森林(Trees and Forests)
树(Trees):由一个或多个域构成。Windows 2000中的树共享连续的名字空间;树具有双向、传递信任,即缺省情况下,Windows 2000中父域和子域、树和树之间的信任关系都是双向的,而且是可传递的。
森林(Forests):森林由一棵或多棵树组成。森林中的树不共享一个连续的名字空间,但共享一个普通架构和全局目录。
全局目录(Global Catalog)
Global Catalog(GC)是一个包含活动目录中所有对象的属性信息(不是完全信息,是常用属性的一个子集)的仓库,它为用户提供以下重要功能:
◆ 在整个森林中查找活动目录的信息;
◆ 使用通用组成员信息登录到网络;
◆ 活动目录中的第一个域控制器自动成为全局目录,为了平衡登录和查询流量,您可以设置额外的全局目录。
活动目录的物理结构
物理结构用来设置和管理网络流量。活动目录的物理结构由域控制器和站点组成。
域控制器(Domain Controller)
活动目录复制:多主复制模式(Multi-Master Replication Model)和活动目录的物理结构决定复制在什么时候发生和如何发生。
单主操作:对从森林中添加/删除域这样的操作,不适合用多主复制的模式,需要单主复制,执行单主操作的计算机称为操作主机。
站点(Sites)
◆ 站点由一个或多个高速连接的IP子网构成;
◆ 站点是网络的物理结构,站点和域没有必然联系,一个站点可包含多个域,一个域也可跨多个站点;
◆ 创建站点的主要理由是为了优化复制流量和使用户能够用可靠的高速线路连接到域控制器。
[NextPage]   活动目录集成区域
要实现活动目录集成区域, DNS Server必须装有活动目录的DC。因为集成后DNS的区域数据库文件变成了活动目录的一部分,它的复制被包含在活动目录的复制中,所以不会再发生DNS区域传输(Zone Transfer)。但仍然能向非活动目录集成的辅助服务器执行区域传输,避免了主服务器失败后,DNS记录无法被更新。
安装和设置DNS以支持活动目录
若在安装活动目录时同时安装DNS,操作系统会自动配置DNS,并创建与活动目录域同名的DNS正向查询区域、配置此正向查询区域与活动目录集成。
活动目录对DNS的要求
◆ 支持SRV记录(强制);
◆ 支持动态更新协议(推荐);
◆ 支持增量区域传输(推荐)。
活动目录的用户登录名
主用户名(User Principal Name)
主用户名的格式同E-mail地址,例如,john@cyc.com,john称为主用户名前缀,cyc.com称为主用户名后缀,一般为根域的域名。主用户名只能用于登录Windows 2000的网络。
用户登录名(User Logon Name)
用于Pre-Windows 2000的环境或Windows 2000;登录时需要用户名和域名。
用户名惟一性原则
◆ 全名在所属的容器内惟一;
◆ 用户登录名在所属的域内惟一;
◆ 主用户名在整个森林内惟一。
活动目录中的组
全局组(Global Groups);
域本地组(Domain Local Groups);
通用组(Universal Groups):通用组一般用于多域的情况,通用组的成员信息保存在GC中。尽量避免通用组直接包含用户账号成员,而使用全局组作为通用组的成员。
在域中使用组的策略
使用A-G-DL-P策略;
使用A-G-G-DL-P策略;
使用A-G-U-DL-P策略。
这里,A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。其余类推。
在活动目录中出版资源
所有Windows 2000的共享打印机都被自动出版在活动目录中;
删除打印机时也会自动删除活动目录中的打印机;
打印服务器负责在活动目录中出版打印机;
当修改打印机属性时,会自动更新活动目录中打印机的属性。
活动目录安全组件
安全主体(Security Principals)
安全主体是一个能够对它分配权限的对象,例如,用户、组和计算机;
每一个Windows 2000域中的安全主体都有一个惟一的安全标识符。
安全标识符(Security Identifier——SIDs)
安全标识符是用来标识一个安全主体的一个数值,它在这个主体被创建时产生,绝对不会重用。Windows 2000中的访问控制机制是基于SIDs,而不是基于名字。
安全描述符(Security Descriptors)
安全描述符是包含与一个可以设置安全对象相关的安全信息的数据结构,主要包括以下内容:
头部:安全描述符的版本信息和一组控制标志;
所有者:此对象所有者的SID;
主要组:所有者所属的主要组的SID;
DACL(Discretionary Access Control List):用户对此对象的访问控制列表;
SACL (System Access Control List):对用户进行审核的访问控制列表。
如果在一个对象上设置了权限,这个对象的安全描述符中将包含一个DACL。DACL中包含允许或拒绝访问这个对象的用户和组的SIDs;如果还对这个对象设置了审核,它的安全描述符中还包含一个SACL。
活动目录权限
权限是一种对象所有者的授权,通过授权,用户可以对特殊对象进行操作。如果对象是所有者,可以分派给其他用户或组部分或全部任务的权限,还可以分派所有权的权限。
◆ 允许权限或拒绝权限:拒绝权限比任何允许权限优先级高;
◆ 间接否定或直接否定(Implicitly Deny or Explicitly Deny):例如不是明确指定的操作权限是间接否定;
◆ 标准权限和特殊权限:标准权限是经常分派的权限,而特殊权限是对分派访问权限的更细致的控制:
◆ 完全控制;
◆ 读出:查看对象和对象属性;
◆ 写入:修改对象内容和属性;
◆ 创建所有子对象:向OU中添加对象;
◆ 删除所有子对象:从OU中删除对象。
[NextPage]   实验技术
安装活动目录
1.必备条件:计算机必须安装Windows 2000 Server, Advanced Server、Datacenter Server和最小250M的可用磁盘空间;必须有NTFS磁盘分区或卷用于保存SYSVOL文件夹;必须运行TCP/IP协议和DNS服务(可在安装活动目录的同时安装DNS),计算机须安装网卡。
2.在Windows 2000上使用dcpromo命令,将出现“AC安装向导”对话框,若在网络中第一次安装活动目录时,所创建的是森林的根域,此时选择“新域的域控制器”单选钮。
3.选择“创建一个新的目录树”和“创建新的域目录树”单选钮,输入新域的DNS全名,例如,cyc.com,输入NetBIOS名,它一般取DNS域名的第一部分或前15位,这里是cyc,然后指定AD数据库和SYSVOL保存的文件,后者必须位于NTFS分区。
4.最后指定权限和密码等,此时开始安装AD并创建一个Windows 2000的域cyc.com。活动目录安装后,将在“程序/管理下产生三项:Active Directory用户和计算机、Active Directory域和信任关系、Active Directory站点和服务。
5.若用无人值守的安装脚本去安装活动目录,则使用命令:dcpromo.exe /answer:answer_file。而应答文件answer_file内容的范例为:
[DCInstall]
AdministratorPassword abcd
AutoConfigDNS yes
CreateOrJoin create
DatabasePath c:\winnt\ntds
DNSOnNetwork no
DomainNetBiosName easthome
LogPath c:\winnt\ntds
NewDomainDNSName easthome.com
ParentDomainDNSName
RebootOnSuccess yes
ReplicaOrNewDomain domain
SiteName default-first-site-name
SysVolPath c:\winnt\sysvol
TreeOrChild tree
6.若要删除活动目录,则使用dcpromo /CA命令。
创建批量用户
批量倒入过程(The Bulk Import Process)
将用户信息事先创建到文本文件中,有两种类型的文本文件:用逗号分割的文件和用回车符分割的文件。用逗号分割的文件格式:
dn,objectclass,samaccountname,userprincipalname,displayname,useraccountcontrol
用回车符分割的文件格式:
#creat john(说明行)
dn:cn=john,ou=human resourses,dc=cyc,dc=com
Objectclass:user
Samaccountname:john
Userprincipalname:john@cyc.com
Displayname:john
Useraccountcontrol:512
用CSVDE创建多个用户账号
命令格式:csvde -i -f filename
其中:-i表示正在把一个文件导入活动目录;-f表示下一个参数是导入的文件名且是使用逗号分割的文件。CSVDE只能创建用户,不能修改和删除用户。
用LDIFDE创建多个用户账号
命令格式:ldifde -i -f filename
LDIFDE命令使用的文件是用回车符分割的文件,它不但能创建用户,而且能修改和删除用户。
在“Active Directory用户和计算机”窗口建立用户账号
1.从“开始”菜单,依次选择“程序”、“管理工具”与“Active Directory用户和计算机”命令,将打开“Active Directory用户和计算机”窗口。
2.展开要建立的域,使用鼠标右键单击要建立用户和组的文件夹,在弹出的快捷菜单上选择“新建”命令,再选择相应的下一级命令。
发布打印机
1.在“Active Directory用户和计算机”窗口上,右击需要发布打印机的OU。
2.选择“新建”,并选择“打印机”命令。
3.输入要在活动目录上发布的打印机的UNC(格式:\\servername\sharename )名字。或:使用Pubprn..vbs脚本文件(%systemroot%\system32\pubprn.vbs),其格式:pubprn.vbs \\instructor\canon LDAP://OU=Sales,DC=cyc,DC=com
发布共享文件夹
1.在“Active Directory用户和计算机”窗口上,右击需要发布打印机的OU。
2.选择“新建”,并选择“共享文件夹”命令。
3.输入要在活动目录上发布的共享文件夹的UNC名字。
设置活动目录权限
设置标准权限
1.从“开始”菜单,依次选择“程序”、“管理工具”与“Active Directory用户和计算机”命令。
2.在“Active Directory用户和计算机”窗口上单击“查看”菜单,选择“高级功能”命令。
3.右击要设置权限的对象,选择“属性”命令,将打开“属性”对话框,并单击“安全”标签。
4.要添加新权限,单击“添加”按钮,单击需要委派权限的用户账户或组,单击“添加”按钮,然后单击“确定”;若要删除权限,选择需要删除的用户账户或组,单击“删除”按钮,然后单击“确定”。
5.在“权限”栏目中,选择需要添加或改变权限的“允许”或“拒绝”复选框。
设置特殊权限
标准权限对于大多数管理任务来说已经足够,然而,也可以浏览一下标准权限中的特殊权限,这可以使访问权限的控制更加细致。按下列步骤浏览特殊权限:
1.在“属性”对话框,单击“安全”标签,单击“高级”按钮。
2.在“访问控制设置”对话框上,在“权限”标签上,单击需要浏览的项,然后单击“查看/编辑”按钮。
3.将打开“权限项目”对话框,实现相关设置。
委派管理控制
委派是将活动目录对象的管理责任分派给某用户、组或OU。
1.启动“控制委派向导”,在“Active Directory用户和计算机”窗口中,单击需要委派控制的OU,在快捷菜单上,单击“委派控制”菜单,将打开“控制委派向导”。
2.选择将要委派控制的用户或组。
3.指定委派的任务。
4.选择活动目录对象类型。
委派控制向导允许选择下列控制中的一种:
◆ 具体的OU。对具体OU的控制意味着可以管理OU内所有的对象,也可以在该OU中建立新的对象。
◆ OU内具体的对象。向导显示一系列可以委派控制的对象类型,例如,计算机对象、组对象和打印机对象。
5.把权限分给将要委派控制的用户或组。权限类型为:
◆ 常规:最常用的权限;
◆ 特殊属性:所有属性的权限;
◆ 特殊子对象的创建/删除:建立或删除新对象的权限。