活动目录
活动目录英文全称为“Active Directory”,简称为AD。在windows系统组成的网络中,有服务器、客户机、用户账户、打印机、各种文件,这些资源都在各台计算机上,没有使用活动目录之前需要在各台计算机上单独管理这些资源。使用活动目录可以集中管理windows网络各类资源,"活动目录"就像一个数据库,存储着windows网络中的所有资源。
普通用户可以通过活动目录很容易的找到并且使用网络上的各种资源。
管理员可以通过活动目录对网络上的所有资源进行集中管理,可以控制用户在不同计算机上对不同资源的访问。
活动目录是按区域进行资源管理的,各区域的命名规则与DNS的命名规则相同,因此活动目录必须要有DNS服务的支持,借助DNS服务的域名解析,达到使用域名访问该域中计算机资源的目的。
活动目录使用域名主要是用于在进行网络管理时,使用名称来访问计算机资源,这些用于网络管理的计算机名称,只能在活动目录中使用,而不能够被Internet上的用户使用。活动目录和Internet都是用DNS域名服务,但是使用的目的不一样,活动目录使用域名仅在其管理区域有效。而Internet使用的域名在Internet上有效
活动目录负责集中式管理及身份验证,AD域服务器是每个windows域网络的基石,它负责存储域成员,包括设备和用户等的信息。验证其凭据并定义其访问权限。运行此服务的服务器称之为域控制器。活动目录构建常用对象包括:
组织单位(OU):它可以指派组策略设置或委派管理权限的最小单位
域(domain):它是网络对象用户、组、计算机等分组。域中的多有对象都存储在AD中。AD由一个或多个域构成。域是windows操作系统中的一个安全边界,安装策略和访问控制都不能跨越不同的域,每个域管理员有权限设置所属的域的策略
域树(domain tree):它由多个域构成,这些域共享公共的架构、配置和全局编录能力,形成一个连续的名称空间,域之间的通信通过信任关系进行(若域间没有信任关系,则域间无法传递信息)。域树中的任何两个域之间都是双向可传递信任关系。
林(forest):林有一个或多个域树组成,同一林中的域可以共享同类的构架、站点、复制及全局编录能力。在新林中创建的第一个域是该林的根域,林范围的管理组都位于该域中。在两个不同的林间建立信任关系(信任只能创建于根域),可以使得这两个林内内的所有域都具有信任关系。信任关系具有传递性,例如林A与林B有信任关系,林B与林C有信任关系,通过传递信任,林A与林C也有信任关系。
在一个区域中,用于安装活动目录的服务器叫做域控制器,负责该区域的资源管理和控制。子域负责子域内资源的管理与控制。子域下面还可以有很多子域,域树为最高一级域的名称,下面中域树分别为jenin.local和eve.local。
实验环境
计算机:dns1
域名:dns1.jenin.local
IP:192.168.1.201
dns服务器:192.168.1.201
最高一级的域。
计算机:dns2
域名:dns2.jenin.local
IP地址