休整了几天,今天继续
05.01.2006
目录服务:资源存放的内容,形式组织 放什么东西,怎么来放
目录:如何存取 服务:如何做出相应
AD
可扩展性,基于Internet标准,安全,方便升级,灵活的变化
新增:对于用户物理设备的管理
验证,授权
目录合并,接口
可以为每一个用户指定带宽
基于策略的应用程序配置
都基于Internet标准
AD逻辑结构
域Domains 树Trees 森林Forest 组织单元OU
域:安全边界 只有域上有安全性设计
一个域有若干域控制器,可复制(replication) 同一个域内,所有DC内容一致 域和域之间复制
域模式:混合域模式(包含nt4的BDC 和nt4兼容) ->单向 私有模式(完全Win2k)
域树:和根域有信任关系的n个域的集合(连续的命名空间)
信任关系:两个域之间安全信息的 通讯连接 (用户名口令等)
信任:双向(a-b ->b-a) 可传递(a-b b-c -> a-c) 使用kerboros
win2k AD中,由于双向可传递,任意创建两个域,都内置有信任关系,
能够创建的信任关系 show a card,加快访问速度,,,,,win2k域和winnt4域间需要手动创建信任关系(nt4信任关系 单向不可传递)
根域:提供连续命名空间开始(与DNS命名空间相同,对于Zone)
信任关系只提供管理信息交换的可能
森林:多个域树的集合(没有一个连续的命名空间)
构成:1同时种多棵树 2首先种一棵,在种其他 (根域间有信任关系)
为达到资源共享,把多棵树合并成一个森林(公司兼并) --->多树森林
森林中第一棵树的根域->森林的根域->森林管理员(有最大的权力)