活動(dòng)目錄與域控制

1、1 1第第3 3章章 活動(dòng)目錄與域控制活動(dòng)目錄與域控制課程：網(wǎng)絡(luò)操作系統(tǒng)教材：網(wǎng)絡(luò)操作系統(tǒng)教程2 2n第第1 1章章 網(wǎng)絡(luò)操作系統(tǒng)概述網(wǎng)絡(luò)操作系統(tǒng)概述 n第第2 2章章 Windows Server 2003Windows Server 2003概述概述n第第3 3章章 活動(dòng)目錄與域控制活動(dòng)目錄與域控制n第第4 4章章 Windows Server 2003系統(tǒng)管理與系統(tǒng)服務(wù)系統(tǒng)管理與系統(tǒng)服務(wù)n第第5 5章章 Windows Server 2003網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)服務(wù)n第第6 6章章 Windows Server 2003操作系統(tǒng)安全操作系統(tǒng)安全 n第第7 7章章 UnixUnix操作系統(tǒng)概述操作

2、系統(tǒng)概述n第第8 8章章 shellshell工具及程序開發(fā)工具及程序開發(fā) n第第9 9章章 LinuxLinux概述概述 n第第1010章章 LinuxLinux內(nèi)核內(nèi)核 n第第1111章章 LinuxLinux系統(tǒng)服務(wù)系統(tǒng)服務(wù) n第第1212章章 LinuxLinux操作系統(tǒng)安全操作系統(tǒng)安全 3 3本章學(xué)習(xí)目標(biāo)理解理解Active Directory的概念的概念掌握掌握Active Directory的域和域目錄的域和域目錄正確理解正確理解Active Directory域的信任關(guān)系域的信任關(guān)系了解了解Active Directory中的對(duì)象中的對(duì)象第三章第三章 活動(dòng)目錄與域控制活動(dòng)目錄與

3、域控制4 4Active Directory的概念3.1 3.1 活動(dòng)目錄活動(dòng)目錄 Active Directory又稱活動(dòng)目錄，是Windows 2000 Server和Windows Server 2003系統(tǒng)中非常重要的目錄服務(wù)。Active Directory存儲(chǔ)網(wǎng)絡(luò)上各種對(duì)象的有關(guān)信息，包括用戶賬戶、組、打印機(jī)、共享文件夾等，并把這些數(shù)據(jù)存儲(chǔ)在目錄服務(wù)數(shù)據(jù)庫(kù)中，便于管理員和用戶查詢及使用。它有兩方面內(nèi)容，目錄和與目錄相關(guān)的服務(wù)。5 5Active Directory的特點(diǎn)Active Directory是一個(gè)完全可擴(kuò)展、可伸縮的目錄服務(wù)，方便了管理員在統(tǒng)一的環(huán)境下管理整個(gè)網(wǎng)絡(luò)的各種資

4、源。其主要特點(diǎn)如下：信息的安全性信息的安全性集成性集成性多主復(fù)制方式多主復(fù)制方式可擴(kuò)展性可擴(kuò)展性可伸縮性可伸縮性易用性易用性3.1 3.1 活動(dòng)目錄活動(dòng)目錄6 6 域和域控制器 域是在Windows Server 2003網(wǎng)絡(luò)環(huán)境中組建客戶/服務(wù)器網(wǎng)絡(luò)的實(shí)現(xiàn)方式。所謂域，是由網(wǎng)絡(luò)管理員定義的一組計(jì)算機(jī)的集合，實(shí)際上就是一個(gè)網(wǎng)絡(luò)。域具備多個(gè)優(yōu)點(diǎn)，能使得網(wǎng)絡(luò)管理變得十分簡(jiǎn)單。 組織對(duì)象 域中的組織單元用來管理域中的賬號(hào)和資源。依據(jù)企業(yè)內(nèi)部的組織結(jié)構(gòu)，通過設(shè)計(jì)、規(guī)劃域域中的組織單元用來管理域中的賬號(hào)和資源。依據(jù)企業(yè)內(nèi)部的組織結(jié)構(gòu)，通過設(shè)計(jì)、規(guī)劃域的組織結(jié)構(gòu)，有助于建立恰當(dāng)?shù)钠髽I(yè)網(wǎng)絡(luò)。的組織結(jié)構(gòu)，有助

5、于建立恰當(dāng)?shù)钠髽I(yè)網(wǎng)絡(luò)。 安全策略和設(shè)置 在一個(gè)域中的管理權(quán)利，或是對(duì)某一個(gè)網(wǎng)絡(luò)資源的訪問權(quán)利，不會(huì)因?yàn)榫W(wǎng)絡(luò)的連接而自動(dòng)在一個(gè)域中的管理權(quán)利，或是對(duì)某一個(gè)網(wǎng)絡(luò)資源的訪問權(quán)利，不會(huì)因?yàn)榫W(wǎng)絡(luò)的連接而自動(dòng)從一個(gè)域移動(dòng)到另外一個(gè)域。從一個(gè)域移動(dòng)到另外一個(gè)域。3.2 3.2 域、域目錄樹和域目錄林域、域目錄樹和域目錄林7 7 域和域控制器 將組策略對(duì)象應(yīng)用到域中 域定義了策略生效的基本單位。組策略對(duì)象確立了訪問、配置和使用域資源方法的規(guī)則。將組域定義了策略生效的基本單位。組策略對(duì)象確立了訪問、配置和使用域資源方法的規(guī)則。將組策略對(duì)象應(yīng)用到域中可以加強(qiáng)對(duì)資源的安全性管理。這些策略只在域中應(yīng)用，而不是跨域應(yīng)用

6、。策略對(duì)象應(yīng)用到域中可以加強(qiáng)對(duì)資源的安全性管理。這些策略只在域中應(yīng)用，而不是跨域應(yīng)用。 權(quán)利委派 理員可以將網(wǎng)絡(luò)管理權(quán)限委派給某些特殊用戶。使用組策略對(duì)象和組成員相互關(guān)聯(lián)作用的委派理員可以將網(wǎng)絡(luò)管理權(quán)限委派給某些特殊用戶。使用組策略對(duì)象和組成員相互關(guān)聯(lián)作用的委派授權(quán)，允許管理員派放管理權(quán)限，以管理整個(gè)域或者域中一個(gè)或多個(gè)組織單元的對(duì)象授權(quán)，允許管理員派放管理權(quán)限，以管理整個(gè)域或者域中一個(gè)或多個(gè)組織單元的對(duì)象3.2 3.2 域、域目錄樹和域目錄林域、域目錄樹和域目錄林8 8域目錄樹 當(dāng)要配置一個(gè)包含多個(gè)域的網(wǎng)絡(luò)時(shí)，應(yīng)該將網(wǎng)絡(luò)配置成域目錄樹結(jié)構(gòu)。一棵域目錄樹就是一個(gè)DNS名字空間。它有一個(gè)惟一的根

7、域并且是一個(gè)嚴(yán)格的層次結(jié)構(gòu)，根域以下的每個(gè)域都只有一個(gè)父域，父域則可以有多個(gè)同級(jí)的子域。因此，根據(jù)這種層次結(jié)構(gòu)所創(chuàng)建的名字空間是鄰接的。3.2 3.2 域、域目錄樹和域目錄林域、域目錄樹和域目錄林9 9 域目錄林 如果網(wǎng)絡(luò)的規(guī)模比前面提到的域目錄樹還要大，甚至包含了多個(gè)域目錄樹，這時(shí)可以將網(wǎng)絡(luò)配置為域目錄林(也稱森林)結(jié)構(gòu)。 各域目錄樹之間地位相當(dāng)，由雙向傳遞的信任關(guān)系相關(guān)聯(lián)。 單個(gè)域組成一棵單域的域目錄樹，單棵域目錄樹組成單樹的域目錄林。 域目錄林跟活動(dòng)目錄是同一個(gè)概念。 在同一片域目錄林中的多棵域目錄樹并不構(gòu)成一個(gè)鄰接的名字空間，而是構(gòu)成一個(gè)基于不同的DNS根域名的不鄰接的名字空間，但對(duì)象

8、的名字仍然可以由同一個(gè)活動(dòng)目錄所解析。 一片域目錄林就像一個(gè)由交叉引用的對(duì)象和成員樹之間信任關(guān)系所組成的集合而存在。 位于每個(gè)名字空間根域的傳遞信任提供了對(duì)資源的相互訪問。3.2 3.2 域、域目錄樹和域目錄林域、域目錄樹和域目錄林1010全局編錄 有了域目錄林之后，同一域目錄林中的域控制器共享一個(gè)活動(dòng)目錄，這個(gè)活動(dòng)目錄是分散存放在各個(gè)域的域控制器上的，每個(gè)域中的域控制器存有該域的對(duì)象的信息。 如果一個(gè)域的用戶要訪問另一個(gè)域中的資源，這個(gè)用戶要能夠查找到另一個(gè)域中的資源才行。為了讓每一個(gè)用戶都能夠快速查找到另一個(gè)域內(nèi)的對(duì)象，微軟設(shè)計(jì)了全局編錄(Global Catalog，GC)。 全局編錄包

9、含了整個(gè)活動(dòng)目錄中每一個(gè)對(duì)象的最重要的屬性(即部分屬性，而不是全部)，這使得用戶或者應(yīng)用程序即使不知道對(duì)象位于哪個(gè)域內(nèi)，也可以迅速找到被訪問的對(duì)象。3.2 3.2 域、域目錄樹和域目錄林域、域目錄樹和域目錄林1111 域信任關(guān)系是建立在兩個(gè)域之間的關(guān)系，一個(gè)域中的用戶可由另一個(gè)域中的域控制器驗(yàn)證。所有域的信任關(guān)系只能有兩個(gè)域：信任域和受信任域。 活動(dòng)目錄通過域間的信任關(guān)系提供跨域的安全。當(dāng)域之間有信任關(guān)系時(shí)，每個(gè)域的認(rèn)證機(jī)構(gòu)都信任其他所有它所信任的域的認(rèn)證機(jī)構(gòu)。如果一個(gè)用戶或應(yīng)用程序被一個(gè)域認(rèn)證后，所有信任這個(gè)認(rèn)證的域都認(rèn)可這種認(rèn)證。一個(gè)被信任域中的用戶可以訪問信任域中的資源，并由信任域上的訪

10、問控制所制約。 在Windows Server 2003中，所有信任關(guān)系都是可傳遞的而且是雙向的，信任關(guān)系中的兩個(gè)域自動(dòng)相互信任。3.3 3.3 域的信任關(guān)系域的信任關(guān)系1212信任路徑 信任路徑是身份驗(yàn)證請(qǐng)求在域之間必須遵循的一組信任關(guān)系。在用戶可以訪問另一個(gè)域中的資源之前，系統(tǒng)安全機(jī)制必須確定信任域(含有用戶試圖訪問的資源的域)和受信任域(用戶的登錄域)之間是否有信任關(guān)系，在計(jì)算信任域中的域控制器和受信任域的域控制器之間建立信任路徑。在圖3-5中，信任路徑由顯示信任方向的箭頭標(biāo)出，其中所有的域信任關(guān)系都只能有兩個(gè)域：信任域和受信任域。3.3 3.3 域的信任關(guān)系域的信任關(guān)系信任路徑1313

11、單向信任和雙向信任單向信任單向信任 單向信任是域單向信任是域1信任域信任域2的單一信任關(guān)系。所有的單向關(guān)系都是不可傳遞的，并且的單一信任關(guān)系。所有的單向關(guān)系都是不可傳遞的，并且所有的不可傳遞信任都是單向的。身份驗(yàn)證請(qǐng)求只能從信任域傳到受信任域。即如所有的不可傳遞信任都是單向的。身份驗(yàn)證請(qǐng)求只能從信任域傳到受信任域。即如果域果域1與域與域2有單向信任關(guān)系，域有單向信任關(guān)系，域2與域與域3有單向信任關(guān)系，則域有單向信任關(guān)系，則域1與域與域3之間沒有單向信之間沒有單向信任關(guān)系。任關(guān)系。雙向信任雙向信任 Windows Server 2003樹林中的所有域信任都是雙向可傳遞信任。建立新的子域時(shí)，雙樹林

12、中的所有域信任都是雙向可傳遞信任。建立新的子域時(shí)，雙向可傳遞信任在新的子域和父域之間自動(dòng)建立。在雙向信任中，域向可傳遞信任在新的子域和父域之間自動(dòng)建立。在雙向信任中，域1信任域信任域2，且域，且域2信任域信任域1。這意味著身份驗(yàn)證請(qǐng)求可在兩個(gè)目錄中的兩個(gè)域之間傳遞。這意味著身份驗(yàn)證請(qǐng)求可在兩個(gè)目錄中的兩個(gè)域之間傳遞。3.3 3.3 域的信任關(guān)系域的信任關(guān)系1414可傳遞信任 Windows Server 2003樹林中的所有域信任都是可傳遞的?？蓚鬟f信任始終為雙向的，即此關(guān)系中的每?jī)蓚€(gè)域相互信任。 可傳遞信任不受信任關(guān)系中兩個(gè)域的約束。每次當(dāng)建立新的子域時(shí)，在父域和新子域之間就隱含(自動(dòng))地建

13、立起雙向可傳遞信任關(guān)系。這樣，可傳遞信任關(guān)系在域樹中按其形成的方式向上流動(dòng)，并在樹林中的所有域之間建立起可傳遞信任。 因?yàn)橛?和域2有可傳遞信任關(guān)系，域2和域3有可傳遞信任關(guān)系，所以域3中的用戶(在獲得相應(yīng)權(quán)限時(shí))可訪問域1中的資源。因?yàn)橛?和域A具有可傳遞信任關(guān)系，并且域A的域樹中的其他域和域A具有可傳遞信任關(guān)系，所以域B中的用戶(當(dāng)授予適當(dāng)權(quán)限時(shí))可訪問域3中的資源。 可傳遞信任只能存在于相同樹林中的域之間。由于信任關(guān)系的流動(dòng)，在相同樹林中的域之間不可能有不可傳遞信任。3.3 3.3 域的信任關(guān)系域的信任關(guān)系1515信任協(xié)議 Windows通過使用Kerberos v5和NTLM認(rèn)證協(xié)議中

14、的一個(gè)，對(duì)用戶或應(yīng)用程序進(jìn)行認(rèn)證。對(duì)協(xié)議的選擇由客戶機(jī)與服務(wù)器的能力來決定。如果客戶機(jī)不識(shí)別Kerberos v5協(xié)議(比如一臺(tái)運(yùn)行Windows NT 4.0的計(jì)算機(jī))，則使用NTLM(ChallengeResponse)協(xié)議來進(jìn)行認(rèn)證；反之，如果資源服務(wù)器不支持Kerberos認(rèn)證，客戶機(jī)就應(yīng)使用NTLM來給服務(wù)器認(rèn)證。 在運(yùn)行Windows Server 2003的計(jì)算機(jī)上，Kerberos v5協(xié)議是用于網(wǎng)絡(luò)認(rèn)證的默認(rèn)協(xié)議。而在Windows NT 4.0和Windows 95/98的計(jì)算機(jī)中，NTLM是默認(rèn)的用于網(wǎng)絡(luò)認(rèn)證的協(xié)議。為了與這些版本兼容，Windows Server 200

15、3中保留了NTLM。3.3 3.3 域的信任關(guān)系域的信任關(guān)系1616樹、樹林信任關(guān)系 對(duì)于運(yùn)行Windows Server 2003的計(jì)算機(jī)，可以通過基于Kerberos v5安全協(xié)議的雙向可傳遞信任關(guān)系啟用域之間的賬戶驗(yàn)證。 在域樹中創(chuàng)建域時(shí)，相鄰域(父域和子域)之間自動(dòng)建立信任關(guān)系。樹林中，在樹林根域和添加到樹林的每個(gè)域樹的根域之間自動(dòng)建立信任關(guān)系。因?yàn)檫@些信任關(guān)系是可傳遞的，所以可以在域樹或樹林中的任何域之間進(jìn)行用戶和計(jì)算機(jī)的身份驗(yàn)證。 將Windows 2000 Server以前版本的Windows域升級(jí)為Windows Server 2003域時(shí)，保留域和任何其他域之間現(xiàn)有的單向信任

16、關(guān)系，包括Windows 2000 Server以前版本的Windows域的所有信任關(guān)系。如果要安裝新的Windows Server 2003域并且希望與任何Windows 2000 Server以前版本的域建立信任關(guān)系，則必須創(chuàng)建與那些域的外部信任關(guān)系。 外部信任創(chuàng)建了與樹林外部的域的信任關(guān)系。創(chuàng)建外部信任的優(yōu)點(diǎn)在于使用戶可以通過樹林的信任路徑不包含的域進(jìn)行身份驗(yàn)證。所有的外部驗(yàn)證都是單向非傳遞的信任，當(dāng)然，在需要時(shí)也可以將兩個(gè)單向信任合并為一個(gè)雙向信任關(guān)系。3.3 3.3 域的信任關(guān)系域的信任關(guān)系1717Active Directory是一個(gè)分布式目錄服務(wù)系統(tǒng)，目錄中的對(duì)象分布在一個(gè)域樹林

17、中是一個(gè)分布式目錄服務(wù)系統(tǒng)，目錄中的對(duì)象分布在一個(gè)域樹林中的域控制器中，同一個(gè)域中的所有域控制器可以被直接更新。的域控制器中，同一個(gè)域中的所有域控制器可以被直接更新。Active Directory的的復(fù)制，是一個(gè)使域控制器的改變與該域樹林中保存有信息副本的其他域控制器復(fù)制，是一個(gè)使域控制器的改變與該域樹林中保存有信息副本的其他域控制器同步的過程。通過跟蹤每個(gè)域控制器的改變并且有計(jì)劃地更新其他域控制器，同步的過程。通過跟蹤每個(gè)域控制器的改變并且有計(jì)劃地更新其他域控制器，可以保證整個(gè)目錄數(shù)據(jù)的完整性。可以保證整個(gè)目錄數(shù)據(jù)的完整性。3.4 Active Directory3.4 Active Di

18、rectory的復(fù)制的復(fù)制1818多主機(jī)復(fù)制方式 Active Directory的復(fù)制采用多主機(jī)復(fù)制方式，這樣可以迅速保持目錄信息的同步。多主機(jī)復(fù)制方式與Windows NT的主從復(fù)制方式有很大的不同。主從復(fù)制方式要求所有更新都必須對(duì)位于主域控制器的目錄的主副本進(jìn)行，然后復(fù)制到各個(gè)副本。這種方式在副本較少的目錄和所有變化較集中的應(yīng)用環(huán)境中適用，對(duì)于大規(guī)模組織或分布式組織則顯得效率低下。在Windows Server 2003的活動(dòng)目錄中，所有的域控制器都是平等的，無主域控制器和備份域控制器之分。任何域控制器的改變都會(huì)對(duì)目錄數(shù)據(jù)進(jìn)行更新。 在多主機(jī)復(fù)制方式中，一個(gè)域控制器不必對(duì)其他每一個(gè)域控制

19、器進(jìn)行復(fù)制。系統(tǒng)自動(dòng)設(shè)計(jì)了一套功能較好的連接，該連接決定從哪些域控制器復(fù)制到其他哪些域控制器中，以確保網(wǎng)絡(luò)不會(huì)因復(fù)制通信過載以及復(fù)制延遲而對(duì)網(wǎng)絡(luò)通信帶來影響。這組用于將變化復(fù)制給域控制器的連接稱為復(fù)制拓?fù)浣Y(jié)構(gòu)。這樣的自動(dòng)機(jī)制可大大減輕網(wǎng)絡(luò)管理員的負(fù)擔(dān)。3.4 Active Directory3.4 Active Directory的復(fù)制的復(fù)制1919站點(diǎn)間的復(fù)制 站點(diǎn)間的復(fù)制，主要是指發(fā)生在處于不同地理位置的主機(jī)之間的Active Directory站點(diǎn)復(fù)制。站點(diǎn)之間的目錄更新可根據(jù)配置的日程安排自動(dòng)進(jìn)行。在站點(diǎn)之間進(jìn)行的目錄更新被壓縮以節(jié)省帶寬。 Active Directory站點(diǎn)復(fù)制服務(wù)

20、，使用用戶提供的關(guān)于站點(diǎn)連接的信息，自動(dòng)建立最有效的站點(diǎn)間復(fù)制拓?fù)?。每個(gè)站點(diǎn)被指派一個(gè)域控制器(稱為站點(diǎn)間拓?fù)渖沙绦?以建立該拓?fù)洌褂米畹烷_銷跨越樹算法，以消除站點(diǎn)之間的冗余復(fù)制路徑。站點(diǎn)間復(fù)制拓?fù)鋵⒍ㄆ诟?，以響?yīng)網(wǎng)絡(luò)中發(fā)生的任何更改。 Active Directory站點(diǎn)復(fù)制服務(wù)，通過最小化復(fù)制的頻率，以及允許安排站點(diǎn)復(fù)制鏈接的可用性，來節(jié)省站點(diǎn)之間的帶寬。在默認(rèn)情況下，跨越每個(gè)站點(diǎn)鏈接的站點(diǎn)間每180分鐘(3小時(shí))進(jìn)行一次復(fù)制，可以通過調(diào)整該頻率來滿足自己的具體需求。但是，提高此頻率將增加復(fù)制所帶來的帶寬量。此外，還可以將復(fù)制限制在每周的特定日子和每天的具體時(shí)間。3.4 Active

21、 Directory3.4 Active Directory的復(fù)制的復(fù)制2020站點(diǎn)內(nèi)的復(fù)制 站內(nèi)復(fù)制可以實(shí)現(xiàn)速度優(yōu)化，站點(diǎn)內(nèi)的目錄更新根據(jù)更改通知自動(dòng)進(jìn)行。在站點(diǎn)內(nèi)復(fù)制的目錄更新并不壓縮。 每個(gè)域控制器上的知識(shí)一致性檢查(KCC)，使用雙向環(huán)式設(shè)計(jì)自動(dòng)建立站內(nèi)復(fù)制的最有效的復(fù)制拓?fù)洹＿@種雙向環(huán)式拓?fù)渲辽賹槊總€(gè)域控制器創(chuàng)建兩個(gè)鏈接(用于容錯(cuò))，任意兩個(gè)域控制器之間不多于3個(gè)躍點(diǎn)(以減少?gòu)?fù)制滯后時(shí)間)。為了避免出現(xiàn)多于3個(gè)躍點(diǎn)的連接，此拓?fù)淇梢园绛h(huán)的快捷連接。3.4 Active Directory3.4 Active Directory的復(fù)制的復(fù)制2121管理復(fù)制 ctive Direc

22、tory依靠站點(diǎn)配置信息來管理和優(yōu)化復(fù)制過程。在某些情況下，Active Directory可自動(dòng)配置這些設(shè)置。此外，用戶可以使用“Active Directory站點(diǎn)和服務(wù)”為自己的網(wǎng)絡(luò)配置與站點(diǎn)相關(guān)的信息，包括站點(diǎn)鏈接、站點(diǎn)鏈接橋和橋頭服務(wù)器的設(shè)置等。3.4 Active Directory3.4 Active Directory的復(fù)制的復(fù)制2222對(duì)象 活動(dòng)目錄對(duì)象代表組成一個(gè)網(wǎng)絡(luò)的物理實(shí)體。一個(gè)對(duì)象就是一個(gè)架構(gòu)的存儲(chǔ)實(shí)例，一個(gè)架構(gòu)在活動(dòng)目錄模式中定義為一個(gè)確定的、強(qiáng)制的和可選的屬性集合。架構(gòu)也包含一些確定哪些架構(gòu)的對(duì)象可以高于(作為其父親)該架構(gòu)特定對(duì)象的規(guī)則。每個(gè)屬性也在活動(dòng)目錄模式中定義。 當(dāng)用戶在活動(dòng)目錄中創(chuàng)建一個(gè)對(duì)象時(shí)，要為對(duì)象的屬性提供值，該值必須根據(jù)目錄模式中的規(guī)則提供。例如，當(dāng)創(chuàng)建一個(gè)用戶對(duì)象時(shí)，要提供用戶姓名