活動(dòng)目錄的培訓(xùn)資料

活動(dòng)目錄的培訓(xùn)資料活動(dòng)目錄（ActiveDirectory）基礎(chǔ)活動(dòng)目錄是Windows網(wǎng)絡(luò)中目錄服務(wù)的實(shí)現(xiàn)方式。目錄服務(wù)是一種網(wǎng)絡(luò)服務(wù)，它存儲(chǔ)網(wǎng)絡(luò)資源的信息并使得顧客和應(yīng)用程序能訪問(wèn)這些資源?；顒?dòng)目錄對(duì)象重要包括顧客、組、計(jì)算機(jī)和打印機(jī)，然而網(wǎng)絡(luò)中的所有服務(wù)器、域和站點(diǎn)等也可認(rèn)為是活動(dòng)目錄中的對(duì)象。活動(dòng)目錄架構(gòu)◆具有活動(dòng)目錄中所有對(duì)象的定義；◆用對(duì)象類和對(duì)象屬性來(lái)描述每個(gè)對(duì)象；◆在Windows的網(wǎng)絡(luò)中，整個(gè)森林只有一種架構(gòu)；◆架構(gòu)保留在活動(dòng)目錄中。活動(dòng)目錄的邏輯構(gòu)造活動(dòng)目錄的邏輯構(gòu)造用來(lái)組織網(wǎng)絡(luò)資源。域（Domain）◆域是Windows活動(dòng)目錄的關(guān)鍵單元，是共享同一活動(dòng)目錄的一組計(jì)算機(jī)集合；◆域是安全的邊界，在缺省的狀況下，一種域的管理員只能管理他自己的域，一種域的管理員要管理其他的域，需要專門的授權(quán)；◆域是復(fù)制單位，一種域可包括多種域控制器，當(dāng)某個(gè)域控制器的活動(dòng)目錄數(shù)據(jù)庫(kù)修改后來(lái)，會(huì)將此修改復(fù)制到其他所有域控制器。組織單元（OrganizationalUnits，OU）◆OU是域下面的容器對(duì)象，用于組織對(duì)活動(dòng)目錄對(duì)象的管理，是Windows中最小的管理單元；◆OU可用來(lái)匹配一種企業(yè)的實(shí)際組織構(gòu)造，域的管理員可以指定某個(gè)顧客去管理某個(gè)OU；◆OU也可以像域同樣做成樹狀的構(gòu)造，即OU下面還可以有OU；◆使用OU可取代WindowsNT4.0的多域網(wǎng)絡(luò)，參見圖1。圖1樹和森林（TreesandForests）樹（Trees）：由一種或多種域構(gòu)成。Windows中的樹共享持續(xù)的名字空間；樹具有雙向、傳遞信任，即缺省狀況下，Windows中父域和子域、樹和樹之間的信任關(guān)系都是雙向的，并且是可傳遞的。森林（Forests）：森林由一棵或多棵樹構(gòu)成。森林中的樹不共享一種持續(xù)的名字空間，但共享一種一般架構(gòu)和全局目錄。全局目錄（GlobalCatalog）GlobalCatalog（GC）是一種包括活動(dòng)目錄中所有對(duì)象的屬性信息（不是完全信息，是常用屬性的一種子集）的倉(cāng)庫(kù)，它為顧客提供如下重要功能：◆在整個(gè)森林中查找活動(dòng)目錄的信息；◆使用通用組組員信息登錄到網(wǎng)絡(luò)；◆活動(dòng)目錄中的第一種域控制器自動(dòng)成為全局目錄，為了平衡登錄和查詢流量，您可以設(shè)置額外的全局目錄?；顒?dòng)目錄的物理構(gòu)造物理構(gòu)造用來(lái)設(shè)置和管理網(wǎng)絡(luò)流量。活動(dòng)目錄的物理構(gòu)造由域控制器和站點(diǎn)構(gòu)成。域控制器（DomainController）活動(dòng)目錄復(fù)制：多主復(fù)制模式（Multi-MasterReplicationModel）和活動(dòng)目錄的物理構(gòu)造決定復(fù)制在什么時(shí)候發(fā)生和怎樣發(fā)生。單主操作：對(duì)從森林中添加/刪除域這樣的操作，不適合用多主復(fù)制的模式，需要單主復(fù)制，執(zhí)行單主操作的計(jì)算機(jī)稱為操作主機(jī)。站點(diǎn)（Sites）◆站點(diǎn)由一種或多種高速連接的IP子網(wǎng)構(gòu)成；◆站點(diǎn)是網(wǎng)絡(luò)的物理構(gòu)造，站點(diǎn)和域沒有必然聯(lián)絡(luò)，一種站點(diǎn)可包括多種域，一種域也可跨多種站點(diǎn)；◆創(chuàng)立站點(diǎn)的重要理由是為了優(yōu)化復(fù)制流量和使顧客可以用可靠的高速線路連接到域控制器?；顒?dòng)目錄集成區(qū)域要實(shí)現(xiàn)活動(dòng)目錄集成區(qū)域，DNSServer必須裝有活動(dòng)目錄的DC。由于集成后DNS的區(qū)域數(shù)據(jù)庫(kù)文獻(xiàn)變成了活動(dòng)目錄的一部分，它的復(fù)制被包括在活動(dòng)目錄的復(fù)制中，因此不會(huì)再發(fā)生DNS區(qū)域傳播（ZoneTransfer）。但仍然能向非活動(dòng)目錄集成的輔助服務(wù)器執(zhí)行區(qū)域傳播，防止了主服務(wù)器失敗后，DNS記錄無(wú)法被更新。安裝和設(shè)置DNS以支持活動(dòng)目錄若在安裝活動(dòng)目錄時(shí)同步安裝DNS，操作系統(tǒng)會(huì)自動(dòng)配置DNS，并創(chuàng)立與活動(dòng)目錄域同名的DNS正向查詢區(qū)域、配置此正向查詢區(qū)域與活動(dòng)目錄集成?；顒?dòng)目錄對(duì)DNS的規(guī)定◆支持SRV記錄（強(qiáng)制）；◆支持動(dòng)態(tài)更新協(xié)議（推薦）；◆支持增量區(qū)域傳播（推薦）?；顒?dòng)目錄的顧客登錄名主顧客名（UserPrincipalName）主顧客名的格式同E-mail地址，例如，，john稱為主顧客名前綴，稱為主顧客名后綴，一般為根域的域名。主顧客名只能用于登錄Windows的網(wǎng)絡(luò)。顧客登錄名（UserLogonName）用于Pre-Windows的環(huán)境或Windows；登錄時(shí)需要顧客名和域名。顧客名惟一性原則◆全名在所屬的容器內(nèi)惟一；◆顧客登錄名在所屬的域內(nèi)惟一；◆主顧客名在整個(gè)森林內(nèi)惟一?；顒?dòng)目錄中的組全局組（GlobalGroups）；域當(dāng)?shù)亟M（DomainLocalGroups）；通用組（UniversalGroups）：通用組一般用于多域的狀況，通用組的組員信息保留在GC中。盡量防止通用組直接包括顧客賬號(hào)組員，而使用全局組作為通用組的組員。在域中使用組的方略使用A-G-DL-P方略；使用A-G-G-DL-P方略；使用A-G-U-DL-P方略。這里，A表達(dá)顧客賬號(hào)，G表達(dá)全局組，U表達(dá)通用組，DL表達(dá)域當(dāng)?shù)亟M，P表達(dá)資源權(quán)限。A-G-DL-P方略是將顧客賬號(hào)添加到全局組中，將全局組添加到域當(dāng)?shù)亟M中，然后為域當(dāng)?shù)亟M分派資源權(quán)限。其他類推。在活動(dòng)目錄中出版資源所有Windows的共享打印機(jī)都被自動(dòng)出版在活動(dòng)目錄中；刪除打印機(jī)時(shí)也會(huì)自動(dòng)刪除活動(dòng)目錄中的打印機(jī)；打印服務(wù)器負(fù)責(zé)在活動(dòng)目錄中出版打印機(jī)；當(dāng)修改打印機(jī)屬性時(shí)，會(huì)自動(dòng)更新活動(dòng)目錄中打印機(jī)的屬性?；顒?dòng)目錄安全組件安全主體（SecurityPrincipals）安全主體是一種可以對(duì)它分派權(quán)限的對(duì)象，例如，顧客、組和計(jì)算機(jī)；每一種Windows域中的安全主體均有一種惟一的安全標(biāo)識(shí)符。安全標(biāo)識(shí)符（SecurityIdentifier——SIDs）安全標(biāo)識(shí)符是用來(lái)標(biāo)識(shí)一種安全主體的一種數(shù)值，它在這個(gè)主體被創(chuàng)立時(shí)產(chǎn)生，絕對(duì)不會(huì)重用。Windows中的訪問(wèn)控制機(jī)制是基于SIDs，而不是基于名字。安全描述符（SecurityDescriptors）安全描述符是包括與一種可以設(shè)置安全對(duì)象有關(guān)的安全信息的數(shù)據(jù)構(gòu)造，重要包括如下內(nèi)容：頭部：安全描述符的版本信息和一組控制標(biāo)志；所有者：此對(duì)象所有者的SID；重要組：所有者所屬的重要組的SID；DACL（DiscretionaryAccessControlList）：顧客對(duì)此對(duì)象的訪問(wèn)控制列表；SACL(SystemAccessControlList)：對(duì)顧客進(jìn)行審核的訪問(wèn)控制列表。假如在一種對(duì)象上設(shè)置了權(quán)限，這個(gè)對(duì)象的安全描述符中將包括一種DACL。DACL中包括容許或拒絕訪問(wèn)這個(gè)對(duì)象的顧客和組的SIDs；假如還對(duì)這個(gè)對(duì)象設(shè)置了審核，它的安全描述符中還包括一種SACL?；顒?dòng)目錄權(quán)限權(quán)限是一種對(duì)象所有者的授權(quán)，通過(guò)授權(quán)，顧客可以對(duì)特殊對(duì)象進(jìn)行操作。假如對(duì)象是所有者，可以分派給其他顧客或組部分或所有任務(wù)的權(quán)限，還可以分派所有權(quán)的權(quán)限?！羧菰S權(quán)限或拒絕權(quán)限：拒絕權(quán)限比任何容許權(quán)限優(yōu)先級(jí)高；◆間接否認(rèn)或直接否認(rèn)（ImplicitlyDenyorExplicitlyDeny）：例如不是明確指定的操作權(quán)限是間接否認(rèn)；◆原則權(quán)限和特殊權(quán)限：原則權(quán)限是常常分派的權(quán)限，而特殊權(quán)限是對(duì)分派訪問(wèn)權(quán)限的更細(xì)致的控制：◆完全控制；◆讀出：查看對(duì)象和對(duì)象屬性；◆寫入：修改對(duì)象內(nèi)容和屬性；◆創(chuàng)立所有子對(duì)象：向OU中添加對(duì)象；◆刪除所有子對(duì)象：從OU中刪除對(duì)象。試驗(yàn)技術(shù)安裝活動(dòng)目錄1．必備條件：計(jì)算機(jī)必須安裝WindowsServer，AdvancedServer、DatacenterServer和最小250M的可用磁盤空間；必須有NTFS磁盤分區(qū)或卷用于保留SYSVOL文獻(xiàn)夾；必須運(yùn)行TCP/IP協(xié)議和DNS服務(wù)（可在安裝活動(dòng)目錄的同步安裝DNS），計(jì)算機(jī)須安裝網(wǎng)卡。2．在Windows上使用dcpromo命令，將出現(xiàn)“AD安裝向?qū)А睂?duì)話框，若在網(wǎng)絡(luò)中第一次安裝活動(dòng)目錄時(shí)，所創(chuàng)立的是森林的根域，此時(shí)選擇“新域的域控制器”單項(xiàng)選擇鈕。3．選擇“創(chuàng)立一種新的目錄樹”和“創(chuàng)立新的域目錄樹”單項(xiàng)選擇鈕，輸入新域的DNS全名，例如，，輸入NetBIOS名，它一般取DNS域名的第一部分或前15位，這里是cyc，然后指定AD數(shù)據(jù)庫(kù)和SYSVOL保留的文獻(xiàn)，后者必須位于NTFS分區(qū)。4．最終指定權(quán)限和密碼等，此時(shí)開始安裝AD并創(chuàng)立一種Windows的域?；顒?dòng)目錄安裝后，將在“程序/管理下產(chǎn)生三項(xiàng)：ActiveDirectory顧客和計(jì)算機(jī)、ActiveDirectory域和信任關(guān)系、ActiveDirectory站點(diǎn)和服務(wù)。5．若用無(wú)人值守的安裝腳本去安裝活動(dòng)目錄，則使用命令：dcpromo.exe/answer：answer_file。而應(yīng)答文獻(xiàn)answer_file內(nèi)容的范例為：[DCInstall]AdministratorPasswordabcdAutoConfigDNSyesCreateOrJoincreateDatabasePathc:\winnt\ntdsDNSOnNetworknoDomainNetBiosNameeasthomeLogPathc:\winnt\ntdsNewDomainDNSNParentDomainDNSNameRebootOnSuccessyesReplicaOrNewDomaindomainSiteNamedefault-first-site-nameSysVolPathc:\winnt\sysvolTreeOrChildtree6．若要?jiǎng)h除活動(dòng)目錄，則使用dcpromo/CA命令。創(chuàng)立批量顧客批量倒入過(guò)程（TheBulkImportProcess）將顧客信息事先創(chuàng)立到文本文獻(xiàn)中，有兩種類型的文本文獻(xiàn)：用逗號(hào)分割的文獻(xiàn)和用回車符分割的文獻(xiàn)。用逗號(hào)分割的文獻(xiàn)格式：dn，objectclass，samaccountname，userprincipalname，displayname，useraccountcontrol用回車符分割的文獻(xiàn)格式：#creatjohn（闡明行）dn：cn=john，ou=humanresourses，dc=cyc，dc=comObjectclass：userSamaccountname：johnUserprincipalname：Displayname：johnUseraccountcontrol：512用CSVDE創(chuàng)立多種顧客賬號(hào)命令格式：csvde-i-ffilename其中：-i表達(dá)正在把一種文獻(xiàn)導(dǎo)入活動(dòng)目錄；-f表達(dá)下一種參數(shù)是導(dǎo)入的文獻(xiàn)名且是使用逗號(hào)分割的文獻(xiàn)。CSVDE只能創(chuàng)立顧客，不能修改和刪除顧客。用LDIFDE創(chuàng)立多種顧客賬號(hào)命令格式：ldifde-i-ffilenameLDIFDE命令使用的文獻(xiàn)是用回車符分割的文獻(xiàn)，它不僅能創(chuàng)立顧客，并且能修改和刪除顧客。在“ActiveDirectory顧客和計(jì)算機(jī)”窗口建立顧客賬號(hào)1．從“開始”菜單，依次選擇“程序”、“管理工具”與“ActiveDirectory顧客和計(jì)算機(jī)”命令，將打開“ActiveDirectory顧客和計(jì)算機(jī)”窗口。2．展開要建立的域，使用鼠標(biāo)右鍵單擊要建立顧客和組的文獻(xiàn)夾，在彈出的快捷菜單上選擇“新建”命令，再選擇對(duì)應(yīng)的下一級(jí)命令。公布打印機(jī)1．在“ActiveDirectory顧客和計(jì)算機(jī)”窗口上，右擊需要公布打印機(jī)的OU。2．選擇“新建”，并選擇“打印機(jī)”命令。3．輸入要在活動(dòng)目錄上公布的打印機(jī)的UNC（格式：\\servername\sharename）名字?；颍菏褂肞ubprn..vbs腳本文獻(xiàn)（%systemroot%\system32\pubprn.vbs），其格式：pubprn.vbs\\instructor\canonLDAP：//OU=Sales，DC=cyc，DC=com公布共享文獻(xiàn)夾1．在“ActiveDirectory顧客和計(jì)算機(jī)”窗口上，右擊需要公布打印機(jī)的OU。2．選擇“新建”，并選擇“共享文獻(xiàn)夾”命令。3．輸入要在活動(dòng)目錄上公布的共享文獻(xiàn)夾的UNC名字。設(shè)置活動(dòng)目錄權(quán)限設(shè)置原則權(quán)限1．從“開始”菜單，依次選擇“程序”、“管理工具”與“ActiveDirectory顧客和計(jì)算機(jī)”命令。2．在“ActiveDirectory顧客和計(jì)算機(jī)”窗口上單擊“查看”菜單，選擇“高級(jí)功能”命令。3．右擊要設(shè)置權(quán)限的對(duì)象，選擇“屬性”命令，將打開“屬性”對(duì)話框，并單擊“安全”標(biāo)簽。4．要添加新權(quán)限，單擊“添加”按鈕，單擊需要委派權(quán)限的顧客賬戶或組，單擊“添加”按鈕，然后單擊“確定”；若要?jiǎng)h除權(quán)限，選擇需要?jiǎng)h除的顧客賬戶或組，單擊“刪除”按鈕，然后單擊“確定”。5．在“權(quán)限”欄目中，選擇需要添加或變化權(quán)限的“容許”或“拒絕”復(fù)選框。設(shè)置特殊權(quán)限原則權(quán)限對(duì)于大多數(shù)管理任務(wù)來(lái)說(shuō)已經(jīng)足夠，然而，也可以瀏覽一下原則權(quán)限中的特殊權(quán)限，這可以使訪問(wèn)權(quán)限的控制愈加細(xì)致。按下列環(huán)節(jié)瀏覽特殊權(quán)限：1．在“屬性”對(duì)話框，單擊“安全”標(biāo)簽，單擊“高級(jí)”按鈕。2．在“訪問(wèn)控制設(shè)置”對(duì)話框上，在“權(quán)限”標(biāo)簽上，單擊需要瀏覽的項(xiàng)，然后單擊“查看/編輯”按鈕。3．將打開“權(quán)限項(xiàng)目”對(duì)話框，實(shí)既有關(guān)設(shè)置。委派管理控制委派是將活動(dòng)目錄對(duì)象的管理責(zé)任分派給某顧客、組或OU。1．啟動(dòng)“控制委派向?qū)А?，在“ActiveDirectory顧客和計(jì)算機(jī)”窗口中，單擊需要委派控制的OU，在快捷菜單上，單擊“委派控制”菜單，將打開“控制委派向?qū)А薄?．選擇將要委派控制的顧客或組。3．指定委派的任務(wù)。4．選擇活動(dòng)目錄對(duì)象類型。委派控制向?qū)菰S選擇下列控制中的一種：◆詳細(xì)的OU。對(duì)詳細(xì)OU的控制意味著可以管理OU內(nèi)所有的對(duì)象，也可以在該OU中建立新的對(duì)象?！鬙U內(nèi)詳細(xì)的對(duì)象。向?qū)э@示一系列可以委派控制的對(duì)象類型，例如，計(jì)算機(jī)對(duì)象、組對(duì)象和打印機(jī)對(duì)象。5．把權(quán)限分給將要委派控制的顧客或組。權(quán)限類型為：◆常規(guī)：最常用的權(quán)限；◆特殊屬性：所有屬性的權(quán)限；◆特殊子對(duì)象的創(chuàng)立/刪除：建立或刪除新對(duì)象的權(quán)限。結(jié)束語(yǔ)互聯(lián)網(wǎng)的發(fā)展速度舉世矚目，通過(guò)互聯(lián)網(wǎng)所帶來(lái)的經(jīng)濟(jì)效益更為人們所關(guān)注。在網(wǎng)絡(luò)日益普及的今天，