Active Diretory 全攻略
Active Diretory 全攻略(一)--目录服务。
首先先来学习几个重要的基本概念:
一、目录服务
目录是记载特定环境中一组对象的相关信息,比如电话号码簿记载一些地区的电话号码。
对象的命名方式:1、给每一对象以RDN(Relative Distinguished Name--相对识别名称),在目录树中各对象允许相同的RDN,但在同一容器中的对象,RDN不能相同。RDN加上上层一直到顶所有对象的RDN形成DN,最底层的RDN放在DN的最左边.例如,“C=US”表示此对象代表国家(COUNTRY)与对象名称(US);“O=FLAG”表示此对象代表机构组织(ORGANIZATION)与对象名“FLAG",若是RDN为"DC=US",DC表示DOMAIN COMPONENT,OU=PRODUCT表示此对象代表单位(ORGANIZATION UNIT),CN=FRANKIE KE表示对象代表一般名称(COMMON NAME).
在这里提一下:目录服务的主流标准---LDAP,即是目录服务遵循的公开标准,让不同的客户端可以访问目录中的信息。就如软考制定出来的报考条件,不同学历的人都可以报考。
二、Active Directory目录服务
AD是目录服务中的一种,也是以对象为单位,并采用层次式结构来组织对象。
AD中的对象有两项特性:1、GUID(GLOBALLY UNIQUE IDENTIFIER)--全域惟一识别单元:是一组数字来识别。2、ACL:各对象中都有一份ACL,ACL其实是记载着安全性主体(如用户、组、计算机)对对象的写入、读取、审核等的访问权限。就比如,系统管理员有完全控制的权限,A用户只有写入权限。在实际中,可根据需求,下层对象可继承上层的ACL。
下面来看下AD中对象的属性:对象的主要功能就是记载网络上各种资源的相关信息,各对象还具有多重的属性。比如一个用户对象的属性存储了USERPASSWORD,SAMACCOUNTNAME,OBJECTGUID,LASTLOGON。。。
AD schema (有AD结构的意思),把对象进行归类,便出现了不同类的对象具有不同的属性,即是对象类别定义了对象包含的属性。为什么要这样做呢?原因如下:通过已定义属性对象类别来建立对象,可确保应用这个对象类别所产生的对象皆有相同的属性。比如:先定义好USER类别包含属性为“可读”,然后所有用户对象都是根据类别USER建立,则这些用户对象便有一组想同“可读”属性。SCHEMA本身是由“类别”和“属性”两种对象组成,对象类别与对象属性的定义统称为AD SCHEMA。同一属性可以在许多类别中使用,同一类别也可包含许多不同的属性。就比如青蛙跟鸟这两类。同一属性都具有生命。同一鸟类有些会唱歌有些不会。
组织单位OU(ORGANIZATIONAL UNIT),AD层次式树状结构主要是由域组成的,其实为了方便管理区域划分为更小的组织单位OU。也即是组织单位是一个容器对象。看下图:
其实这样做有三个好处:1、将域内的资源层次化,2、方便设置委派控制,委派控制是指系统管理员可将某组织单位的管理工作委托给指定的用户或组。3方便应用组策略,组策略可以控制计算机与用户的环境,包括安全策略、桌面设置等等,系统管理员可以将组策略应用在个别的组织单位。
注:组策略不是应用于组的。能够应用于站点、域、和组织单位,就是不能应用于组!
用户RDN为:CN=FRANKIE KE。DN为:CN=FRANKIE KE,OU=SECT1。OU=PRODUCT,DC=MING,DC=COM,DC=TW。一般很少用DN访问对象。
标准名称:简化DN,如上例标准名称为:MING.COM.TW/PRODUCT/SECT1/FRANKIE KE
3.登录名称:用户一般使用两种:UPN(USER PRINCIPLE NAME)和SAN(SECURYTY ACCOUNT MANAGER)帐户名称。
UPN:在AD中,用户和组都可以有个UPN,格式与E-MAIL格式相同便于记忆。如MING@21CN.COM.用户利用这个来登录域。从中也可以看出缺点,管理员必需为每个用户一个独一无二的名称,可是UPN并不包含组织单位(OU)的名称,因此就无法使用域中的层次式管理了。
SAM:各用户对象都有一个SAM帐户名称,目的是为了与WINDOWS NT的域兼容,如SAM中名称如上例为MING。也可见其同样的缺点。
组在AD中的特性 :注意这里的组不是组织单位。有三个特性:1、组可以跨越组织单位:组与AD集成,提供更佳的管理弹性,系统管理员可以将隶属不同组织单位的用户加入同一个组,然后再依旧设置权限。
2、组为安全性主体:03只能够心用户、组、与计算机等三者作为安全性主体,注意,就是说AD对象只能针对用户、组、计算机来设置权限,无法针对组织单位来设置,可见组的作用是对AD的补充,呵呵,不错。
3、组为非容器对象:组竟然是AD中的非容器对象,那么就会有人问它是怎么包含用户、计算机或者其它对象的呢。事实上从03域内层次式结构中是看不出哪些用户隶属于什么组的,因此在AD中组与用户彼此间没有从属关系,但实际现实世界中却有,组与用户之间有从属关系,组之间也能够形成某种非层次式嵌套关系,为什么它能够包含用户对象呢?因为组有一项特别的属性MEMBER,其记录了某个用户对象的DN,就代表该用户是这个组的成员。
Active Diretory 全攻略(二)--AD与域
在03中域一直是最重要的核心地位,但很多人却没弄清楚何谓域。下个简单的定义便是:共享同一个AD数据库的电脑所构成的集合是一个域。
1、域与AD的关系:从域角度来看,AD是由至少一个域所构成的集合,若以AD为主角,从AD的角度来看,域则是AD的分区单位。
AD是域的集合:AD可由单一或多重域组成。
域为AD的分区单位:域各自存储本身所拥有的AD对象,因此域亦是AD中一组对象的集合,或这样说为AD的逻辑分区的单位。
域的功能:1、形成独立的管理单元:即是有独立的帐户、网管人员、安全设置、组策略等等,域之间可以通过信任关系结合起来。2、组策略与委派控制的应用单位:即委派控制与组策略也可应用于域或站点上。前面也提到组织单元(OU),它是将域划分为更小的单元进行管理。便可知其两的关系了吧。3、可跨越地域限制:其实域呢是一个逻辑概念,不同地区都可以加入同一个域中。
域名称:较常见的是DNS和LDAP两种格式。DNS这个大家非常熟悉了,在这里就不讲了,注意的是这里域只是命名方式与DNS相同,并非域的定义都和DNS相同。LDAP DN格式:由于域是构成AD层次的一部分,因此对象的DN必然会包含对象所在的域名称。AD利用DC(DOMAIN COMPONENT)来表示DNS名称中的层次。如上例可写成:CN=FRANKIE KE,OU=SECT1,OU=PRODUCT,DC=MING,DC=COM,DC=US。大家可以看到,实际上DNS域名称转换成对象DN最右边的三个元素。
多重域的结构:再重复说一下,域内可由组织单位来形成层次式结构,使域具有更好的可扩展性。多重域即是域树状目录或林两种结构。域树是由多个域组成,域之间是通过住处信任关系,以层次式加以组织的。特别注意:域树中的域虽然有层次关系,但这是仅限于命名方式,并不代表上层域对下层域具有管辖的权限。域树中各人域都是独立的管理个体,所以上层域的网管人员与下层域的网管人员基本上是处于平等地位,后面介绍过程中会体现。虽然在现实生活中可能有从属关系,AD中是没有的。域林:是多个域树的集合,通过信任关系通信。建立这样的关系是方便查找
下面作个域的简单规划,会对域加深了解,达到灵活运用。
1、单一域:微软的建议,企业应尽可能使用单一域结构,以简化管理的工作。
假如51CTO公司采用单一域结构。公司内各部门形成组织单位,以便管理。
域树:接上例,假如PRODUCT部门因为本身作业的机密性,需要有独立管理权,则可以将PRODUCT部门独立成域。因此该部门即可设置专用的用户帐户、安全设置、组策略等。
假设51CTO公司并购了POLICE公司,呵呵,并保留POLICE已有的POLICE。COM域名,且要将新公司加入现有的AD中,最理想的方式就是将域POLICE。COM与域51CTO。COM结合成林。
2、域控制器DC(DOMAIN CONTROLLER)
补充:同一个站点DC之间的复制是不压缩的,站点与站点之间的复制是经过压缩传输的,压缩到15%左右。所以要可靠的一组计算机组合才比较合适划站点。这是针对站内来说。但对于站点与站点之间的链路传输速度来讲,如果是低速那就站点作用起比较在作用了。KCC是保存着整个林的复制拓朴,当有其它服务器加入时会自动更新。
5、全局编录(GC-CLOBAL CATALOG)
能包含多个站点,若用户查询的对象位于远程站点时,必然会影响查询的效率。GC包含林中所有对象的部分信息,各站点至少应有一台GC服务器,用户AD所发出的信号,首先会送到就近的GC服务器。通常GC服务器即可满足绝大多数的查询。所以网管人员可设置经常访问的对象属性存储在GC中。实际上GC存储着两类信息:1、所在域中所有对象的完整信息,2、其它域中所有对象的部分信息(属性)。注意GC是最顶级,包含整个林中的对象。其实在我们创建的时候每一台DC会自动建立GC。
下一章来开始实践了,呵呵,看了这么多重要的概念,下面实践中就可以体会得到其中的道理,只有理解清楚了原理,一切都好办,不管出现什么问题。
Active Diretory 全攻略(三)--建立域(1)
一、 在规划03网络环境的时候,有“工作组”和“域”两种选择。下面先了解下这两个的特点:
点击下一步
下一步
先自定义配置
下一步
看图如示所选
其实还有另一种方法,就是打开运行,打上DCPROMO
接着下一步是
选择此项就是建立新的域的DC
设置域DNS名称
默认即可
可修改路径
提示先建立DNS,然后再建立域。其实也可以边建立域的同时会自动创建。
在AD数据损坏时,可以在开机时按F8,进入目录服务还原模式,这就要用到还原密码了,这样重建AD数据库,不一定能够成功的,但是却会覆盖原有的AD数据库。
下面便是插入光盘自动安装的过程,在这是就不讲了。后面即可顺利安装成功。
Active Diretory 全攻略(三)--建立域(2)
下面开始介绍“独立服务器加入域”
先建立DC,接上介绍的建立步骤。
首先看下面,刚建好的DC。也就是说第一台域服务器是DC,根域landon.com。计算机名为WIN2003。
建好后可打开用户和计算机,看得到主计算机WIN2003它是域控制器,在Domain Controlers下面
同时把这台服务器DNS指向自己。即为自己解析。IP为192.168.0.1.
DC建立好以后,我们来看另一台独立服务器了。
安装好03系统之后,看下面
点击属性
点属性
把DNS指向DC的DNS服务器的IP地址。即DC自己做为自己的DNS服务器。
可看看这台独立服务器计算机名为MING,它现在加入的工作组是WORKGROUP。点击更改,进入如下画面
填上要加入的域,即是加入前面建立的DC的域。
点击确定后出现要输入DC服务器的用户名跟密码。即是在DC开机登录时用的用户名跟密码。
点击确定,便加入了DC。
要重启。
重启后我们可以看到计算机名变为域的DNS名。它是属于LANDON。COM控制的一台服务器。不再是工作组了。
进入用户和计算机,去看下,在COMPUTERS里面便有了刚才加入的独立服务器。至此,完成。
Active Diretory 全攻略(三)--建立域(3)
建立子域:
假如北京51CTO总公司,建立了一台DC:域为landon.com,计算机名为WIN2003。在上海有个分公司,想让子公司有自己的管理方式,于是在上海建立一个子域:shanghai.landon.com.计算机名为51CTO。注总公司和子公司是两个域来的,不要认为一个域.同样如上例,总公司的DC,DNS指向自己。分公司DNS指向总公司的DNS服务器。下面便来建立子域。
首先看下总公司的DC,
然后来看建立另外一台DC,(即是作为子域里的服务器)
同样打开安装向导
点下一步
下一步
还是点第一个
在这里选择子域。
然后出现这个画面,如同上例,这里要填上北京那台DC登录的用户名和密码。即是有管理权限的。
下一步
这里是建立一个名为SHANGHAI的子域。
这里默认即可
这些都是熟悉的画面。可修改路径。
下一步
诊断成功便下一步
下一步
下一步
下一步
以下便是自动安装的过程了。我们来看看结果。
看上面,51CTO服务器便和WIN2003同一个站点下。先猜一猜,这两台哪台会是GC呢?呵呵。
点击51CTO里面域控制器设置,可以看到全局编录没有打上勾,说明它不是GC
点击WIN03的域控制器设置便可以看到它是GC。
浙公网安备 33010602011771号