虽然使用活动目录都快两年了,从windwos2003AD升级到了windwos2008ADDS、从单域单站点到二级域树、从站点复制再到规划林间信任。这些让越发觉得对它的了解还远远不够,所以打算深入学习一下,希望能略窥AD精华之一二
 
文章主要参考微软官方资料,还有一些前辈的总结,如有引用不当请大家指正
 
首先是第一篇,通过活动目录的一些名词来认识AD
<?XML:NAMESPACE PREFIX = O />

 

1 AD

Active Directorywindwos2000windwos2003系统中的是一种网络服务,标识网络上所有资源,这些资源信息分散存放在一个树形结构数据库,用户可通过LDAP协议来访问、修改、配置目录中的资源。

 

v    网络服务——在网络内任何节点以统一的界面提供给用户整个域内可访问的一切资源和服务。

v    资源——包括用户账户、文件数据、打印机、服务器、数据库、组、计算机和安全策略等。

v    分散存放——AD中提供负载均衡和容错的机制,即允许在单个域中使用多主机模式,这些域控制器之间可以通过文件复制(FRS)服务同步AD的数据库

v    树形数据库——各种资源在域中都有一个唯一的标识名(Distinguished NameDN)它的命名方式是树状的,如elab.org域内hardware组织单元内AD01的计算机

“CN=AD01,OU=hardwareDC=elabDC=org”

v    LDAP—Light Directory Access Protocol轻量级目录访问协议,用于在活动目录中检索和查询信息。是一种工业标准协议,所以可以使用LDAP开发程序与同时支持LDAP的其他目录服务共享活动目录信息。例如活动目录对Microsoft Exchange的支持

 

活动目录的作用:简单来说,活动目录的首要任务或者说主要目标是 客户端的安全管理,然后是客户端的标准化管理。再对这两个概念进行一下扩展:

安全管理:说的形象一些,举个例子。你的用户使用计算机是不是经常的乱装软件,乱拷东西,然后病毒一堆,而这些破事儿却要怪罪到你的头上?
标转化管理:也举个例子。你的老板是不是曾经让你把所有计算机的软件或者桌面都统一一下,不要在桌面上放超级女生快乐男孩的图片?如果这两点完成了,那么再往高级了说,活动目录将成为企业基础架构的根本,所有的高级服务都会向活动目录整合,以利用其统一的身份验证、安全管理以及资源公用。

 

2 Builtin容器

主要存放域中本地安全组的对象,其中的账户是用来操作管理本地域和域控制器

 

3 Users容器

主要存放安装AD时系统自动创建的用户组和登录到当前域控制器的所有用户账户。

 

4 DnsAdmin\Domain Admin\Schema Admin

这些账户都是不同管理内容、不同权限级别的域默认账户,在跨地区的多级域架构时会用到,分配给据有不同操作权限的各地管理员

 

5DC

域控制器Domain Controller 用来承载AD不同服务角色的总称。

 

6 GC

全局编录Global Catalog.GC是除了5FSMO操作主机角色之外,一个很重要的域控。它包含一份整个森里全局目录拷贝,存储着本域所有对象的所有属性,同时会存储林中其他域中的所有对象的部分属性。

GC使用户不需要知道搜索对象所处林中的具体位置,通过对GC的检索就可定位到所要查找的对象,相对需要遍历整个林的查找节省大量时间。

举例,一个用户需要查看林中某台计算机的共享资源,但是他只知道这台计算机的名称是com01,而不知道com01是林中的那个域,该用户在查找过程中会向本地域的GC发送查找请求,在本地GC上查找整个林的属性复制,很快就会将com01定位。

在跨地区的单域多站点架构中,每个集中的地区保证建立一个GC,各地GC之间规划好复制拓扑。从而达到快速检索,快速登录。(一个域中允许多台GC存在)

参考信息:

[url]http://alligator.blog.51cto.com/36993/101190[/url]

 

 

7 FSMO

操作主控Flexible Single Master Operation灵活的单主机操作。

在多主机复制的模式下,不再区分PDCBDC,所有主机地位相同,任何DC上的更改都会复制到其他DC上。既然各域控地位相同,那么如何区分各域控所起的作用?这就要看FSMO5中角色在网络中的分配了。FSMO的五中角色可分为两类

森林级别(即一个森林只存在一台DC有这个 角色):
  (1)Schema Master           架构主机

(2)Domain Naming Master    域命名主机
  域级别(即一个域里面只存一台DC有这个 角色):
  (1)PDC Emulator <?XML:NAMESPACE PREFIX = V />
 
           PDC 仿真器
  (2)RID Master              RID主机
  (3)I nf rastructure Master    结构主机

架构主机 FSMO 角色

架构主机 FSMO 角色的拥有者是负责执行目录架构(即,命名上下文或 LDAP://cn=schema,cn=configuration,dc=<domain> 的架构)更新的 DC。该 DC 是唯一能够处理目录架构更新的域控制器。架构更新完成后,该更新将从架构主机复制到目录中所有其他 DC 上。每个目录中只有一台架构主机。

域命名主机 FSMO 角色

域命名主机 FSMO 角色的拥有者是负责对目录的林范围的域名空间(即,分区\配置命名上下文或 LDAP://CN=Partitions, CN=Configuration, DC=<domain>)进行更改的 DC。该 DC 是唯一能够在目录中添加或删除域的域控制器。它也可以添加或删除在外部目录中对域的交叉引用。

RID 主机 FSMO 角色

RID 主机 FSMO 角色的拥有者是负责处理来自某一给定域中的所有 DC “RID 请求的单个 DC。它还负责在对象移动过程中将对象从其域中删除并放在其他域中。
   如果 DC 创建诸如用户或组之类的安全主体对象,它会将唯一的安全 ID (SID) 附加到该对象上。此 SID 由域 SID(在一个域中创建的所有 SID 的域 SID 均相同)和相关 ID (RID)(在一个域中创建的每个安全主体 SID,其相关 ID 是唯一的)组成。
    为域中的每个 Windows 2000 DC 分配一个 RID 池,以允许将其分配给它所创建的安全主体。如果分配给某个 DC RID 池低于阈值,该 DC 将向域的 RID 主机发布请求以获取更多 RID。域 RID 主机通过从域的未分配 RID 池中检索 RID 来响应请求,并将这些 RID 分配给请求的 DC 的池。目录中的每个域中都有一台 RID 主机。

PDC 模拟器 FSMO 角色

PDC 模拟器对于在企业中同步时间是必需的。Windows 2000 包含 Kerberos 身份验证协议所需的 W32TimeWindows 时间)时间服务。企业中所有基于 Windows 2000 的计算机都使用公共的时间。时间服务的目的是确保 Windows 时间服务使用可以控制授权且不允许循环的层级关系来确保使用合适的公共时间。
    域中的 PDC 模拟器是域的权威。林根目录的 PDC 模拟器成为企业的权威,应配置其从外部源中收集时间。所有 PDC FSMO 角色拥有者都遵循域的层级来选择其入站时间伙伴。

结构主机 FSMO 角色

如果一个域中的对象被另一个域中的其他对象引用,它表示通过 GUIDSID(针对安全主体的引用),以及被引用对象的 DN 进行引用。结构主机 FSMO 角色的拥有者负责在一个跨域的对象引用中更新对象的 SID 和辨别名的 DC
注意:结构主机 (IM) 角色应由非全局编录 (GC) 服务器的域控制器担任。如果结构主机在全局编录服务器上运行,它将会停止更新对象信息,原因是它只包含对它所拥有的对象的引用。这是因为全局编录服务器拥有林中每个对象的部分副本。因此,不会更新域中的跨域对象引用,并且将向此 DC 的事件日志中写入该影响的警告。
    如果域中的所有域控制器同时也承载全局编录,则所有域控制器均拥有当前数据,此时哪个域控制器担任结构主机角色并不重要。

注:林中的每个域都必须具有下列角色:RID主机、PDC主机和基础架构主机。而且在每个域中,这些角色必须是唯一的。即一个域中只能有一台RID主机、PDC、机基础架构主机

参考信息:
[url]http://support.microsoft.com/kb/197132/zh-cn[/url]

[url]http://g.51cto.com/yibi/442[/url]

[url]http://gnaw0725.blogbus.com/logs/8104792.html[/url]
第一篇的介绍就到这里,以后遇到有用的东西,会随时更新。