數據存儲
人們經常將數據存儲作為目錄的代名詞。目錄包含了有關各種對象 [例如用戶、用戶組、計算機、域、組織單位(OU)以及安全策略] 的信息。這些信息可以被發布出來,以供用戶和管理員的使用。
目錄存儲在被稱為域控制器的伺服器上,並且可以被網路應用程式或者服務所訪問。一個域可能擁有一台以上的域控制器。每一台域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器複製到域、域樹或者森林中的其它域控制器上。由於目錄可以被複製,而且所有的域控制器都擁有目錄的一個可寫副本,所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。
目錄數據存儲在域控制器上的Ntds.dit檔案中。我們建議將該檔案存儲在一個NTFS分區上。有些數據保存在目錄資料庫檔案中,而有些數據則保存在一個被複製的檔案系統上,例如登錄腳本和組策略。
有三種類型的目錄數據會在各台域控制器之間進行複製:
·域數據。域數據包含了與域中的對象有關的信息。一般來說,這些信息可以是諸如電子郵件聯繫人、用戶和計算機帳戶屬性以及已發布資源這樣的目錄信息,管理員和用戶可能都會對這些信息感興趣。
例如,在向網路中添加了一個用戶帳戶的時候,用戶帳戶對象以及屬性數據便被保存在域數據中。如果您修改了組織的目錄對象,例如創建、刪除對象或者修改了某個對象的屬性,相關的數據都會被保存在域數據中。
·配置數據。 配置數據描述了目錄的拓撲結構。配置數據包括一個包含了所有域、域樹和森林的列表,並且指出了域控制器和全局編錄所處的位置。
·架構數據。架構是對目錄中存儲的所有對象和屬性數據的正式定義。Windows Server 2003提供了一個默認架構,該架構定義了眾多的對象類型,例如用戶和計算機帳戶、組、域、組織單位以及安全策略。管理員和程式開發人員可以通過定義新的對象類型和屬性,或者為現有對象添加新的屬性,從而對該架構進行擴展。架構對象受訪問控制列表(ACL)的保護,這確保了只有經過授權的用戶才能夠改變架構。
概念簡述
1.名稱空間。名稱空間是一種命名規則,通常用來定義網路資源的惟一名稱。活動目錄本質上就是一個名稱空間,包含了很多的對象,每個對象都有自己的名字。在這裡,可以把他們的關係形象地理解成是一種解析關係。如:通訊錄可以形成一個名稱空間,每個人的名字都可以被解析為對應的地址等信息。windows的檔案系統也可以形成一個名稱空間,每個檔案名稱都可以被解析為實際的某個檔案。
2.對象。對象是活動目錄中的信息實體。同時它也是一組屬性的集合。
3.容器。容器是邏輯上包含其他對象的對象,容器同樣也有屬性,但容器與對象不同,容器不代表有形的實體,形象地說,容器是其他對象或容器的容器。在windows server2003中的活動目錄中,可以將組、用戶、計算機作為容器來顯示。
4.目錄樹。目錄樹是指在名稱空間中,由容器和對象構成的層次結構。樹的末梢葉子結點是對象,而非葉子節點都是容器。目錄樹表達了對象的連線方式,也顯示了從一個對象到另一個對象的路徑。在活動目錄中,目錄樹是基本的結構。
5.組織單位。組織單位是容器的一種,它是windows server 2003中新增加的一類對象,可以用它來容納活動目錄中的其他對象。組織單位中可以包含其他組織單位。這樣,管理員可以根據需要來擴展容器層次而不需要建立新域。組織單元是可以指派組策略設定或委派管理許可權的最小作用單位。
使用組織單位可以將網路所需的域數量降到最低,用戶可以擁有對域中所有組織單位或對單個組織單位的管理許可權,而組織單位的管理員可以不具有域中任何其他組織單位的管理許可權。
6.組。組是可以包含用戶、計算機和其他組的活動目錄對象,windows server 2003可以通過組來管理用戶和計算機對網路共享資源的訪問,還可以通過組來為用戶和計算機指派統一的配額設定。
組織單位與組的不同之處在於:組織單位只是一個邏輯上的容器,用於在單個域中創建對象集,,但不授予成員身份;組則是用來管理其所包含的對象,組中的對象擁有該組定義的所有許可權。
7.用戶和計算機。它們是活動目錄的具體對象。用戶想要登錄到網路中,需要有自己唯一的賬戶和密碼。活動目錄允許經過授權用戶登錄到計算機或域。活動目錄中的計算機指加入域中的運行windows server2003、windows2000、windowsNT系統的計算機。
計算機與用戶類似,也需要通過審核驗證才能訪問域資源。
8.域。域是網路對象(用戶、組、計算機等)的分組,域中所有的對象都存儲在活動目錄中,活動目錄由一個或多個域組成。域是windows2000或server2003網路系統的一個安全界限,即安全策略和訪問控制設定等都不能跨越不同的域,每個域的管理員都有權設定屬於該域的策略。
9.域樹由多個域組成,這些域共享公共的架構、配置和全局編錄能力,形成一個連續的名稱空間,域樹中的域通過相互信任連線起來。活動目錄中可以包含一個或多個域樹。也可以從名稱空間解釋域樹的結構關係,域樹中的一個域稱為根域,其他或是根域中的子域。直接在一個域上層的域稱為子域的父域。這樣域樹中的域根據子域和父域形成層次結構命名。其中各自的命名關係如下:根域為:abc.r;直接下層子域:child.abc.r;在下一層:grandchild.child.abc.r。在域樹中的任何兩個域之間都是雙向可傳遞的信任關係。
10.林。一個或多個域樹可以組成林,同一個林中的域也可以共享相同類的架構、站點和複製以及全局編錄能力,但林中的域樹之間並不形成連續的名稱空間。在新林中創建的第一個域是該林的根域,林範圍的管理組都位於該域,為了方便管理,新創建的域最好都位於林根域或子域。同一個林內的域是按雙向可傳輸的信任關係進行連結的。而兩個windows server 2003林間的信任,可以形成兩個林內所有域間信任關係,林信任只能在每個林內的林根域間創建。林信任也是可以傳遞的,可以單向或雙向,但都需要管理員手動建立林信任。
11.架構:對可以存儲在目錄中的對象全體的一組定義,對於每個對象類,架構都定義了該類的實例所必須擁有的屬性和可能擁有的其他屬性,或者可以是其父類的其他對象類。每個新創建的目錄對象在寫入該目錄之前,都要針對架構中的相應對象定義進行驗證。架構由對象類和屬性組成,基礎(默認)架構包含一組豐富的對象類別和屬性以滿足大多數單位的需要,並且還遵循目錄服務國際標準組織X.500標準進行建模。架構是可以擴展的,因此可以在基礎架構中修改和添加類別屬性。
12.站點:活動目錄中的站點代表網路的物理結構。活動目錄使用拓撲信息(在目錄中存儲為站點和站點連結對象)來建立最有效的複製拓撲。可以在windows server2003域控制器上,使用活動目錄站點和服務定義站點和站點連結。站點和域不同,站點代表網路的物理結構,而域代表網路組織的邏輯結構。
13.複製:複製是將更新過的數據從源計算機上的數據存儲或檔案系統,複製到一個或多個目標計算機上匹配的數據存儲或檔案系統,從而同步這些數據的過程。在活動目錄中,通過複製可以同步域控制器之間的架構、配置、應用程式和域目錄分區。
14.全局編錄:應用程式和客戶能夠通過全局編錄資料庫,定位林內的任意對象。全局編錄位於林內的一個或多個域控制器上,它包含林內所有域目錄分區的部分副本,而這些部分副本是林內每一個對象的副本,通常這些部分副本是搜尋操作中最常用的屬性和定位對象的完全副本所需要的屬性。在全局編錄中存儲所有域對象的最常搜尋的屬性,可以為用戶提供高效的搜尋,而不會以不必要的域控制器參考而影響網路性能。
功能
活動目錄(Active Directory)主要提供以下功能:
①基礎網路服務:包括DNS、WINS、DHCP、證書服務等。
②伺服器及客戶端計算機管理:管理伺服器及客戶端計算機賬戶,所有伺服器及客戶端計算機加入域管理並實施組策略。
③用戶服務:管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵件系統集成)、用戶組管理、用戶身份認證、用戶授權管理等,按省實施組管理策略。
④資源管理:管理印表機、檔案共享服務等網路資源。
⑤桌面配置:系統管理員可以集中的配置各種桌面配置策略,如:用戶使用域中資源許可權限制、界面功能的限制、應用程式執行特徵限制、網路連線限制、安全配置限制等。
⑥套用系統支撐:支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種套用系統。
升級方法
在windows server上啟用AD的方法:
1、打開運行對話框
2、在運行對話框裡輸入dcpromo,進入AD安裝精靈 (註:Windows Server 2012的版本以後均不支持該命令升級)
架構
分類
分類,又稱對象分類,描述了管理員所能夠創建的目錄對象。每一個分類都是一組對象的集合。在您創建某個對象時,屬性便存儲了用來描述對象的信息。例如,“用戶”分類便由多個屬性組成,其中包括網路地址、主目錄等等。Active Directory中的所有對象都是某個對象分類的一個實例。
擴展
有經驗的開發人員和網路管理員可以通過為現有分類定義新的屬性或者定義新的分類來動態地擴展架構。
架構的內容由充當架構操作主控角色的域控制器進行控制。架構的副本被複製到森林中的所有域控制器上。這種共用架構的使用方式確保了森林範圍內的數據完整性和一致性。
此外,您還可以使用“Active Directory架構”管理單元對架構加以擴展。為了修改架構,您必須滿足以下三個要求:
· 成為“Schema Administrators”(架構管理員)組的成員
· 在充當架構操作主控角色的計算機上安裝“Active Directory架構”管理單元
· 擁有修改主控架構所需的管理員許可權
在考慮對架構進行修改時,必須注意以下三個要點:
· 架構擴展是全局性的。 在您對架構進行擴展的時候,您實際上擴展了整個森林的架構,因為對架構的任何修改都會被複製到森林中所有域的所有域控制器上。
· 與系統有關的架構分類不能被修改。您不能修改Active Directory架構中的默認系統分類;但是,用來修改架構的應用程式可能會添加可選的系統分類,您可以對這些分類進行修改。
· 對架構的擴展不可撤銷。某些屬性或者分類的屬性可以在創建後修改。在新的分類或者屬性被添加到架構中之後,您可以將它置於非激活狀態,但是不能刪除它。但是,您可以廢除相關定義並且重新使用對象標識符(OID)或者顯示名稱,您可以通過這種方式撤銷一個架構定義。
有關架構修改的更多信息,請通過參閱 Microsoft Windows 資源工具包 。
Active Directory不支持架構對象的刪除;但是,對象可以被標記為“非激活”,以便實現與刪除同等的諸多益處。
屬性
屬性和分類單獨進行定義。每一個屬性僅僅定義一次,但是可以在多個分類中使用。例如,“Description”(描述)屬性可以使用在多個分類中,但是只需在架構中定義一次即可,以保持數據的一致性。
屬性用來描述對象。每一個屬性都擁有它自己的定義,定義則描述了特定於該屬性的信息類型。架構中的每一個屬性都可以在“Attribute-Schema”分類中指定,該分類決定了每一個屬性定義所必須包含的信息。
能夠套用到某個特殊對象上的屬性列表由分類(對象是該分類的一個實例)以及對象分類的任何超類所決定。屬性僅僅定義一次,但是可以多次使用。這確保了共享同一個屬性的所有分類能夠保持一致性。
多值屬性
屬性可以是單值的也可以是多值的。屬性的架構定義指定了屬性的實例是否必須是多值的。單值屬性的實例可以為空,也可以包含一個單值。多值屬性的實例可以為空,也可以包含一個單值或多值。多值屬性的每一個值都必須是唯一的。
索引屬性
索引套用於屬性,而不是分類。對屬性進行索引有助於更快地查詢到擁有該屬性的對象。當您將一個屬性標記為“已索引”之後,該屬性的所有實例都會被添加到該索引,而不是僅僅將作為某個特定分類成員的實例添加到索引。
添加經過索引的屬性會影響Active Directory的複製時間、可用記憶體以及資料庫大小。因為資料庫變得更大了,所以需要花費更多的時間進行複製。
多值屬性也可以被索引。同單值屬性的索引相比,多值屬性的索引進一步增加了Active Directory的大小,並且需要更多的時間來創建對象。在選擇需要進行索引的屬性時,請確信所選擇的共用屬性,而且能夠在開銷和性能之間取得平衡。
一個經過索引的架構屬性還可以被用來存儲屬性的容器所搜尋,從而避免了對整個Active Directory資料庫進行搜尋。這樣不僅縮短了搜尋所需花費的時間,而且減少了在搜尋期間需要使用的資源數量。
全局編錄擔當角色
全局編錄在森林中最初的一台域控制器上自動創建。您可以為任何一台域控制器添加全局編錄功能,或者將全局編錄的默認位置修改到另一台域控制器上。
· 查找對象全局編錄允許用戶搜尋森林所有域的目錄信息,而不管數據存儲在何處。森林內部的搜尋可以利用最快的速度和最小的網路流量得以執行。
在您從“開始”選單搜尋人員或印表機,或者在某個查詢的內部選擇了“整個目錄”選項的時候,您就是在對全局編錄進行搜尋。在您輸入搜尋請求之後,請求便會被路由到默認的全局編錄連線埠3268,以便傳送到一個全局編錄進行解析。
· 提供了根據用戶主名的身份驗證。在進行身份驗證的域控制器不知道某個賬戶是否合法時,全局編錄便可以對用戶的主名進行解析。例如,如果用戶的賬戶位於example1.域,而用戶決定利用這個用戶主名從位於example2的一台計算機上進行登錄,那么example2.的域控制器將無法找到該用戶的賬戶,然後,域控制器將於全局編錄伺服器聯繫,以完成整個登錄過程。
· 在多域環境下提供通用組的成員身份信息。和存儲在每個域的全局組成員身份不同,通用組成員身份僅僅保存在全局編錄之中。例如,在屬於一個通用組的用戶登錄到一個被設定為Windows 2000本機域功能級別或者更高功能級別的域的時候,全局組將為用戶賬戶提供通用組的成員身份信息。
如果在用戶登錄到運行在Windows 2000本機或者更高級別中的域的時候,某個全局編錄不可用並且用戶先前曾經登錄到該域,計算機將使用快取下來的憑據讓用戶登錄。如果用戶以前沒有在該域登錄過,用戶將僅僅能夠登錄到本地計算機。
說明:即便全局編錄不可用,“Domain Administrators”(域管理員)組的成員也可以登錄到網路中。
查找目錄信息
正如前面所介紹的,Active Directory的設計目的在於為來自用戶或應用程式的查詢提供有關目錄對象的信息。管理員和用戶可以使用“開始”選單中的“搜尋”命令輕鬆對目錄進行搜尋和查找。客戶端程式也可以使用Active Directory服務接口(ADSI)訪問Active Directory中的信息。
Active Directory的主要益處就在於它能夠存儲有關網路對象的豐富信息。在Active Directory中發布的有關的用戶、計算機、檔案和印表機的信息可以被網路用戶所使用。這種可用性能夠通過查看信息所需的安全許可權加以控制。
網路上的日常工作涉及用戶彼此之間的通信,以及對已發布資源的連線和訪問。這些工作需要查找名稱和地址,以便傳送郵件或者連線到共享資源。在這方面,Active Directory就像是一個在企業中共享的地址簿 。例如,您可以按照姓、名、電子郵件地址、辦公室位置或者其它用戶賬戶屬性查找用戶。如前所述,信息的查找過程由於使用了全局編錄而得到了最佳化。
複製
複製為目錄信息提供了可用性、容錯能力、負載平衡以及性能優勢。Active Directory 使用多主控複製,您可以在任何一台域控制器上更新目錄,而不是只能在一台特定的主域控制器上進行更新。多主控模式具有更出色的容錯能力,因為使用了多台域控制器,即使在某一台域控制器停止工作的情況下,複製依然能夠繼續。
域控制器可以存儲和複製:
· 架構信息。架構信息定義了可以在目錄中創建的對象,以及每個對象所能夠擁有的屬性。這些信息是森林中所有域的共用信息。架構數據被複製到森林中的所有域控制器上。
· 配置信息。配置信息描述了您的部署的邏輯結構,其中包括諸如域結構或者複製拓撲這樣的信息。這些信息是森林中所有域的共用信息。配置數據被複製到森林中的所有域控制器上。
· 域信息。域信息描述了域中所有的對象。數據特定於具體的域,而且不會被分發到其它的任何域中。為了在整個域樹或者森林中查找信息,所有域中的所有對象的屬性的一個子集被保存在全局編錄中。域數據將被複製到域中的所有域控制器上。
·應用程式信息。存儲在應用程式目錄分區中的信息旨在滿足用戶對這些信息的複製需要,但是這些信息並不是在任何情況下都需要。應用程式數據可以被明確地重新路由到森林中特定於管理用途的域控制器上,以防止產生不必要的複製流量。或者,您可以進行設定,將這些信息複製到域中的所有域控制器上。
站點在複製過程中的角色
站點提高了目錄信息的複製效率。目錄架構和配置信息在整個森林範圍內進行複製,而域數據則在域的所有域控制器之間進行複製,並且會被部分地複製到全局編錄上。通過有策略地減少複製流量,網路的通信壓力也會得到相應的減輕。
域控制器使用站點和複製變化控制從以下方面對複製實施最佳化:
· 通過對所使用的連線不時進行重新評估,Active Directory可以始終使用最有效的網路連線。
· Active Directory使用多條路由複製發生變化的目錄數據,從而提供了容錯能力。
· 由於僅僅需要複製發生了變化的信息,複製開銷降到了最小。
如果某個部署沒有按照站點加以組織,域控制器以及客戶機之間的信息交換將是混亂和無序的。站點可以改善網路的利用效率。
Active Directory在站點內部複製目錄信息的頻度比在站點間的複製頻度要更高。這樣,擁有最佳連線條件的域控制器——它們很可能需要特殊的目錄信息——可以首先得到複製。其它站點中的域控制器則可以獲得所有發生了變化的目錄信息,但是它們進行複製的頻率要低一些,以便節省網路頻寬。另外,由於數據在站點間進行複製時經過了壓縮處理,所以複製操作所占用的頻寬進一步得到了降低。為了實現高效複製,只有在添加或修改了目錄信息之後才進行目錄的更新。
如果目錄更新始終被分發到域中的所有其它域控制器上,它們將占用大量的網路資源。雖然您可以手動添加或配置連線,或者強迫通過某條特定的連線進行複製,複製仍然可以根據您在“Active Directory Sites and Services”管理工具中提供的信息,通過Active Directory知識一致性檢查程式(Knowledge Consistency Checker,KCC)得到自動最佳化。KCC負責構建和維護Active Directory的複製拓撲。特別地,KCC可以決定何時進行複製,以及每台伺服器必須同哪些伺服器開展複製。
客戶端
利用Active Directory客戶端,Windows 2000 Professional 或者 Windows XP Professional所擁有的眾多Active Directory特性可以被運行Windows 95、Windows 98以及Windows NT® 4.0作業系統的計算機所使用:
· 站點感知。您可以登錄到網路中距離客戶端最近的一台域控制器上。
· Active Directory 服務接口(ADSI)。您可以使用它為Active Directory編寫腳本。ADSI還為Active Directory編程人員提供了一個公共的編程API。
·分散式檔案系統(DFS)容錯客戶端。您可以訪問Windows 2000 以及運行Windows DFS 容錯和故障轉移檔案共享的伺服器,這些檔案共享在Active Directory中指定。
· NTLM version 2身份驗證。您可以使用NT LanMan (NTLM) version 2中經過改進的身份驗證特性。有關啟用NTML version 2的更多信息,請參閱Microsoft 知識庫文章Q,“如何啟用NTLM 2身份驗證” :http://support./.
· Active Directory Windows 地址簿(WAB)屬性頁。您可以修改用戶對象頁上的屬性,例如電話號碼和地址。
· Active Directory的搜尋能力。您可以通過“開始”按鈕,查找Windows 2000 Server 或者Windows 域中的印表機和人員。有關在Active Directory中發布印表機的更多信息,請參閱Microsoft 知識庫文章在 Windows 2000 Active Directory中發布印表機”:http://support..
Windows 2000 Professional 和 Windows XP Professional 提供了Windows 95、Windows 98和Windows NT 4.0上的Active Directory客戶端所沒有的一些功能,例如:對Kerberos version 5的支持;對組策略或者IntelliMirror® 管理技術的支持;以及服務主名或者相互驗證。通過升級到Windows 2000 Professional或Windows XP Professional,您可以對這些附加特性加以充分利用。
為了安裝Active Directory客戶端,請參閱Active Directory 客戶端頁面。
生產力
作為管理企業標識、對象和關係的主要手段,Active Directory中的接口(包括編程接口和用戶界面)已經得到了改進,以提高管理工作的效率和系統的集成能力。
讓Active Directory更加易於使用和管理
Active Directory包含了眾多增強特性,例如對MMC管理單元的改進以及對象選擇工具組件等,它們讓Active Directory變得更加易於使用。MMC外掛程式方便了多個對象的管理。管理員可以:
· 編輯多個用戶對象。 一次選擇並編輯多個對象屬性。
· 保存查詢。將針對Active Directory服務的查詢保存下載以便今後使用。結果可以用XML格式導出。
· 使用經過改進的對象選擇工具組件快速選擇對象。該組件經過重新設計並且得到了加強,能夠改善工作流和提高在大目錄中查找對象的效率,同時還提供了一種更靈活的查詢功能。各種用戶界面均可以使用該組件,並且可以為第三方開發人員所使用。
更多的集成和生產力特性和改進
特性 描述
ACL 列表用戶界面的修改 ACL用戶界面已經得到了增強,以改善其易用性以及繼承和特定的對象許可權。
擴展性增強 那些擁有某個獨立軟體開發商(ISV)或者原始設備製造商(OEM)所開發的能夠利用Active Directory的軟體或設備的管理員擁有了更加出色的管理能力,並且可以添加任何對象分類作為組的成員。
來自其它LDAP目錄的用戶對象 在LDAP目錄中定義的用戶對象使用了RFC 2798中定義的inetOrgPerson類(例如Novell和Netscape),這些對象可以使用Active Directory用戶界面進行定義。這個與Active Directory用戶對象配合工作的用戶界面可以處理inetOrgPerson對象。現在,任何需要使用inetOrgPerson類的應用程式或者客戶都可以輕鬆實現它們的目的。
Passport 集成(通過IIS) Passport身份驗證現在可以通過Internet Information Services (IIS) 6.0進行,而且允許Active Directory用戶對象被映射到他們相應的Passport標識符上(如果存在該標識)。本地安全機構(Local Security Authority,LSA)將為用戶創建一個令牌,然後IIS 6.0將根據HTTP請求對其加以設定。現在,擁有相應Passport 標識的Internet用戶可以使用他們的Passport訪問資源,就如同使用他們的Active Directory憑據一樣。
利用ADSI使用終端伺服器特定於終端伺服器用戶的屬性可以通過使用Active Directory服務接口(ADSI)編寫腳本進行設定。除了通過目錄手動設定之外,用戶屬性可以利用腳本加以設定。這樣做的一個好處就是:可以通過ADSI容易地實現屬性的批量修改或編程修改。
複製和信任監視WMI提供者 Windows管理規範(WMI)類可以監視域控制器之間是否成功地對Active Directory信息進行了複製。因為眾多的Windows 2000組件,例如Active Directory複製,都需要依賴於域間的相互信任,本特性還為監視信任關係是否能夠正常工作提供了一種手段。管理員或者運營隊伍可以通過WMI在發生複製問題時輕鬆獲得報警。
MSMQ 分發列表訊息佇列(Message Queuing,MSMQ)現在支持向駐留在Active Directory中的分發列表(Distribution Lists)傳送訊息。MSMQ用戶可以通過Active Directory輕鬆管理分發列表。
配置管理
Windows Server 2003 增強了管理員有效配置和管理Active Directory的能力,即便是擁有多個森林、域和站點的超大型企業也可以得到輕鬆的管理。
利用新的安裝精靈配置Active Directory
新的“配置您的伺服器”嚮導簡化了設定Active Directory的過程,並且針對特定的伺服器角色提供了經過預先定義的設定,它的優點之一便是:能夠幫助管理員對伺服器的初始化部署方式實施標準化。
在伺服器安裝期間,管理員可以獲得幫助,通過幫助用戶安裝他們在Windows安裝過程中選擇需要的可選組件,伺服器的安裝過程變得更加便利。他們可以使用該嚮導執行以下工作:
· 通過使用基本的默認設定自動配置DHCP、DNS和Active Directory,建立網路中的第一台伺服器。
· 在用戶安裝檔案伺服器、列印伺服器、Web和媒體伺服器、套用伺服器、RAS和路由或者IP位址管理伺服器的時候,為用戶指出完成安裝所需的特性,從而幫助用戶在網路中配置成員伺服器。
管理員可以使用本特性進行災難恢復,將伺服器配置複製到多台計算機上,完成安裝,配置伺服器角色,或者在網路中建立第一個配置或主伺服器。
其它管理特性和改進
特性 描述
自動創建DNS區域 在運行Windows Server 2003作業系統時,DNS區域和伺服器可以自動創建並配置。您可以在企業中創建它們以託管新的區域。本特定可以極大減少手動配置每台DNS伺服器所需的時間。
得到改進的站點間複製拓撲生成過程 站點間拓撲生成器(ISTG)已經得到更新,不僅可以利用改進過的算法,而且能夠支持比在Windows 2000下擁有更多數量站點的森林。因為森林中的所有運行ISTG角色的域控制器都必須在站點間複製拓撲方面取得一致,新的算法在森林被提升到Windows Server 2003森林本機模式之前不會被激活。新的ISTG算法跨越森林提供了得到改善的複製性能。
DNS 配置增強 本特性簡化了DNS錯誤配置的調試和報告過程,有助於正確配置Active Directory部署所需要的DNS基礎結構。
這包括了在一個現有森林中提升某個域控制器的情況,“Active Directory安裝精靈”會與現有的一台域控制器進行聯繫,以更新目錄並從該域控制器複製必需的目錄部分。如果嚮導由於不正確的DNS配置而無法找到域控制器,或者域控制器發生故障無法使用,它將執行調試過程,報告產生故障的原因,並指出解決該故障的方法。
為了能夠找到網路中的域控制器,所有的域控制器都必須登記它的域控制器定位DNS記錄。“Active Directory安裝精靈”會驗證DNS基礎結構是否得到了正確的配置,以便新的域控制器能夠進行域控制器定位DNS記錄的動態更新。如果此項檢查發現了不正確的DNS基礎結構配置,它將報告相關問題,並給出解釋,告知修復該問題的方法。
通過媒介安裝副本 和通過網路複製Active Directory資料庫的完整副本不同,本特性允許管理員通過檔案創建初始副本,這些檔案是在對現有域控制器或者全局編錄伺服器進行備份的時候所生成的。任何具有Active Directory意識的備份工具所創建的備份檔案都可以使用媒介(例如磁帶、CD、VCD或者網路檔案複製)傳輸到候選域控制器上。
遷移工具增強 Active Directory遷移工具(ADMT)在Windows Server 2003中得到了增強,它可以提供:
口令遷移。ADMT version 2 允許用戶將口令從Windows NT 4.0 遷移到 Windows 2000 或 Windows Server 2003 域中,也可以將口令從Windows 2000域遷移到Windows Server 2003 域中。
新的腳本接口。對於大多數常見的遷移工作,例如用戶遷移、組遷移和計算機遷移,我們提供了新的腳本接口。ADMT現在可以通過任何語言驅動,並且支持COM接口,例如Visual Basic® Script、Visual Basic以及Visual C++®開發系統。
命令行支持。腳本接口已經得到了擴展,以支持命令行。所有可以通過編寫腳本來完成的工作都可以直接通過命令行或者批處理檔案完成。
安全性轉換改進。安全性轉換(例如在ACL內重新調配資源)得到了擴展。現在,源域可以在安全性轉換運行的時候被脫離。ADMT還可以指定一個映射檔案,並用該檔案作為安全性轉換的輸入。
ADMT version 2 讓用戶向Active Directory的遷移工作變得簡單了,而且提供了能夠實現自動化遷移的更多選項。
特性 描述
應用程式目錄分區Active Directory服務將允許用戶創建新類型的命名上下文環境,或者分區(又稱作應用程式分區)。該命名上下文環境可以包含除安全主體(用戶、組和計算機)之外的各種類型對象的層次結構,而且能夠被配置為複製森林中的任何域控制器集合,而不一定是相同域中的所有域控制器。
通過對複製範圍和副本位置加以控制,本特性為用戶提供了在Active Directory中託管動態數據的能力,而且不會對網路性能造成不利影響。
存儲在應用程式分區中的集成化DNS區域 Active Directory 中的DNS區域可以在應用程式分區中存儲和複製。通過使用應用程式分區存儲DNS數據,減少了存儲在全局編錄中的對象數量。除此之外,當您在應用程式分區中存儲DNS區域的時候,只有在應用程式分區中指定的部分域控制器會被複製。默認情況下,特定於DNS的應用程式分區僅僅包含那些運行DNS伺服器的域控制器。此外,在應用程式分區中存儲DNS區域使得DNS區域可以被複製到位於Active Directory森林其它域中充當DNS伺服器的域控制器上。通過將DNS區域集成到應用程式分區中,我們可以限制需要複製的信息數量,並且降低複製所需的整體頻寬。
得到改進的DirSync 控制項 本特性改善了Active Directory對一個名為“DirSync”的LDAP控制項的支持,該控制項被用來從目錄中獲得發生了變化的信息。DirSync控制項可以用來進行一些檢查,這些檢查類似於在正常的LDAP搜尋上進行的檢查。
功能級別 和Windows 2000的本機模式類似,本特性提供了一種版本控制機制,Active Directory的核心組件可以利用該機制確定域和森林中的每台域控制器都擁有那些功能特性。此外,本特性還可以用來防止Windows Server 2003以前的域控制器加入到一個全部使用Windows Server 2003的Active Directory特性的森林中。
取消架構屬性和分類的激活狀態 Active Directory已經得到了增強,以允許用戶停用Active Directory架構中的某些屬性和分類。如果原始定義中存在錯誤,屬性和分類可以被重新定義。
在將屬性或分類添加到架構中時,如果在設定一個永久性屬性的時候發生了錯誤,停用操作將為用戶提供了一種取代該定義的手段。本操作是可逆的,管理員可以撤銷某個停用操作而不會產生任何不良的副作用。現在,管理員在管理Active Directory的架構方面擁有了更多的靈活性。
域的重命名本特性允許用戶修改森林中現有域的DNS和(或)NetBIOS名稱,同時保證經過修改的森林依然保持良好的組織結構。經過重新命名的域由它的域全局唯一ID(GUID)所代表,它的域安全ID(SID)並沒有發生改變。此外,計算機的域成員關係也不會因為其所在域的名稱發生變化而變化。
本特性沒有包括對森林根域的修改。雖然森林的根域也可以被重命名,但是您不能指定一個其它的域來代替現有的根域而變成一個新的森林根。
域的重命名會導致服務中斷,因為它要求重新啟動所有的域控制器。域的重命名還需要被重命名域中的所有成員計算機都必須重新啟動兩次。雖然本特性為域的重命名提供了一種受支持的手段,但是它既沒有被視作一種例行的IT操作,也沒有成為例行操作的意圖。
升級森林和域 Active Directory已經在安全性和應用程式支持方面添加了很多改進。在現有域或森林中運行Windows Server 2003作業系統的第一台域控制器得到升級之前,森林和域必須為這些新的功能特性做好準備。Adprep便是一個新的工具,用來幫助用戶準備森林和域的升級。如果您是從Windows NT 4.0進行升級,或者在運行Windows Server 2003的伺服器上執行Active Directory的全新安裝,那么您不需要使用Adprep工具。
複製和信任監視 本功能允許管理員對域控制器之間是否成功地複製了信息加以監視。因為很多Windows組件(例如Active Directory複製)都依賴於域間的相互信任,本特性還為信任關係正確發揮作用提供了一種方法。
策略特性
組策略的管理
Microsoft組策略管理控制台(GPMC)是針對組策略管理的最新解決方案,它能夠幫助您更具成本效益地管理企業。該控制台由一個新的Microsoft 管理控制台(MMC)管理單元和一組編寫腳本的組策略管理接口組成。在Windows Server 2003發布之前,GPMC將作為一個單獨的組件提供給用戶。
GPMC的目的
GPMC的設計目標在於:
· 通過為組策略的核心要素提供一個單一的管理位置,簡化組策略的管理過程。您可以將GPMC 視作管理組策略的一個“一站式的購物場所”。
· 滿足客戶就組策略部署提出的主要要求,這主要通過以下手段得以實現:
· 一個能夠讓組策略變得更易於使用的用戶界面。
·組策略對象(GPO)的備份/恢復
· GPO的導入/導出和複製/貼上,以及Windows管理規範(WMI)過濾器。
· 基於組策略實現的、更簡單的安全性管理
· GPO設定的HTML報告
·組策略結果和組策略建模數據(以前被稱作策略結果集)的HTML報告
· 圍繞該工具內部所暴露的GPO操作編寫腳本——而不是圍繞GPO設定編寫腳本
在GPMC出現之前,管理員需要使用數個Microsoft工具來管理組策略。GPMC將這些工具所擁有的現有組策略功能以及上面所介紹的新增功能結合到了一個單一、統一的控制台中。
管理Windows 2000 和 Windows Server 2003 域
GPMC可以使用Active Directory 服務管理基於Windows 2000 和 Windows Server 2003的域。在這兩種域之中,用來運行工具並且用作管理目的的計算機必須安裝以下作業系統和組件之一:
· Windows Server 2003
· Windows XP Professional with Service Pack 1(SP1);SP1後的其它熱修補程式;以及Microsoft .NET Framework。
其它組策略特性和改進
特性 描述
重新定向默認的用戶和計算機容器 Windows Server 2003 提供的工具能夠自動將新的用戶和計算機對象重新定向到套用了組策略的指定組織單位中。
這種做法可以幫助管理員避免出現新添用戶和計算機對象出現在域的根級別的默認容器中這種情況。類似這樣的容器並不是為保存組策略連結而設計的,而且客戶端也不能從這些容器上讀取或套用組策略。本特性可以強迫使用這些容器的許多客戶引入域級別的組策略,而在很多情況下,這種策略是難於使用的。
實際上,Microsoft建議用戶創建一個富有邏輯層次的組織單位,並且使用它保存新近創建的用戶和計算機對象。管理員可以使用兩個新的資源工具包工具——RedirUsr 和 ReDirComp——為三個遺留的API(NetUserAdd()、NetGroupAdd()、NetJoinDomain() )指定一個備用的默認位置。這允許管理員重新將默認位置定向到更為適合的組織單位,然後直接在這些新的組織單位上套用組策略。
組策略結果 組策略結果(Group Policy Results)允許管理員確定並分析當前套用在某個特殊目標上的策略集合。通過組策略結果,管理員能夠查看目標計算機上現有的策略設定。組策略結果以前被稱作日誌模式的策略結果集(Resultant Set of Policy)。
組策略建模 組策略建模(Group Policy Modeling)意在幫助管理員規劃系統的增長和重新組織。它允許管理員挨個查看現有的策略設定、應用程式以及某個假設情境的安全性。在管理員決定必須對現有設定進行修改之後,他們可以進行一系列的測試,以查看在用戶或用戶組被移動到另一個位置、另一個安全組或者另一台計算機後,究竟會發生何種情況。這包括了在所做的修改生效之後,應該套用哪些策略設定或者自動載入哪些策略設定。
組策略建模為管理員帶來了極大的便利,因為在網路中真正實施修改之前,管理員能夠通過組策略建模對策略進行全面測試。
新的策略設定
Windows Server 2003 包括了超過150個的新的策略設定。這些策略設定為用戶定製和控制作業系統針對特定用戶組的行為提供了手段。這些新的策略設定可以影響到諸如錯誤報告、終端伺服器、網路和撥號連線、DNS、網路登錄請求、組策略以及漫遊配置檔案這樣的功能。
Web 視圖管理模板 該特性加強了“組策略管理模板”擴展管理單元,用戶可以通過它查看與不同策略設定有關的詳細信息。在選擇了某個策略設定之後,有關該設定的行為的詳細信息以及該項設定套用在何處的附加信息便顯示在“管理”模板用戶界面的“Web”視圖中。此外,這些信息也可以通過每個設定的“屬性”頁面上的“解釋”選項卡進行查看。
管理DNS客戶端管理員可以在Windows Server 2003上使用組策略配置DNS客戶端設定。在調整DNS客戶端設定時——例如啟用和禁用客戶端的DNS記錄的動態註冊,在名稱解析時使用主DNS後綴以及填充DNS後綴列表等,這種做法可以大大簡化域成員的配置過程。
“我的文檔” 資料夾的重定向管理員可以使用本特性將用戶從一個主目錄形式的舊有部署過渡到“我的文檔”模式,同時和現有的主目錄環境保持兼容性。
在登錄時完全安裝指派給用戶的應用程式應用程式部署編輯器(Application Deployment Editor)包含了一個新的選項,它允許一個指派給用戶的程式在用戶登錄時進行完全的安裝,而不是根據需要進行安裝。這樣,管理員便可以確保相應的應用程式能夠自動安裝在用戶的計算機上。
Netlogon 本特性能夠在基於Windows Server 2003的計算機上使用組策略配置Netlogon設定。在調整Netlogon設定(例如啟用和禁用特定於域控制器的定位DNS記錄的動態註冊,定期刷新這樣的記錄,啟用和禁用自動站點復蓋,以及其它許多Netlogon參數)的時候,它能夠簡化配置域成員所需的步驟。
網路和撥號連線 Windows Server 2003 網路配置用戶界面可以通過組策略被特定的(有限制的)用戶所使用。
分散式事件策略 WMI 事件基礎結構經過了擴展,可以運行在一個分散式的環境之中。該項增強由數個能夠完成WMI事件的訂閱配置、篩選、關聯、匯集和傳輸的組件組成。ISV 可以利用更多的用戶接口和策略類型定義實現健康狀況監視、事件日誌、通知、自動恢復以及計費等功能。
禁用憑據管理器作為Windows Server 2003擁有的一項新功能,憑據管理器(Credential Manager)簡化了用戶憑據的管理過程。組策略允許您禁用憑據管理器。
面向軟體部署的支持URL 本特性能夠為軟體包編輯和添加一個支持URL。在應用程式出現在目標計算機上的“添加/刪除程式”中時,用戶可以通過這個支持URL前往支持頁面。本特性有助於降低支持部門所接聽支持電話的數量。
WMI 篩選 Windows管理規範(WMI)能夠收集與計算機有關的大量數據,例如硬體和軟體清單、設定、和配置信息等。WMI從註冊表、驅動程式、檔案系統、Active Directory、簡單網路管理協定(SNMP)、Windows Installer服務、結構化查詢語言(SQL)、網路以及Exchange Server處收集這些信息。Windows Server 2003 中的WMI 篩選(WMI Filtering)允許您根據對WMI數據的查詢,動態地確定是否套用某個GPO。這些查詢(又稱作WMI過濾器)決定了哪些用戶和計算機能夠獲得在您用來創建過濾器的GPO中配置的策略設定。本功能讓您能夠根據本地計算機的屬性動態地套用組策略。
例如,某個GPO可能向特定組織單位中的用戶指派了Office XP。但是,管理員不能肯定是否組織中所有的舊桌面計算機都擁有足夠的硬碟空間來安裝該軟體。在這種情況下,管理員便可以結合使用WMI過濾器和GPO,只向擁有超過400MB以上剩餘硬碟空間的用戶指派Office XP。
終端伺服器管理員可以使用組策略管理用戶使用終端伺服器的方式,例如強制進行重定向,口令訪問以及牆紙設定。
安全性
在Windows Server 2003產品家族中,Active Directory已經得到了增強,具有了更多的安全特性,從而讓管理員管理多個森林和跨域信任的工作變得更輕鬆。此外,新的憑據管理器為用戶憑據和X.509證書提供了一個安全的存儲場所。
利用森林信任管理安全性
森林信任是一種新的Windows信任類型,可以對兩個森林之間的安全關係加以管理。該特性極大地簡化了跨森林的安全管理,並且允許信任森林在它信任的其它森林的安全主體名稱上套用約束,以執行身份驗證。本特性包括:
森林信任
· 通過在兩個森林的根域之間建立一條信任連結,新的信任類型允許一個森林中的所有域(可傳遞)地信任另一個森林中的所有域。
· 森林信任在森林級別不能跨越三個或者更多的森林進行傳遞。如果森林A 信任森林B,而且森林B 信任森林C,那么這並不表明森林A和森林C之間能夠建立任何信任關係。
· 森林信任可以是單向的,也可以是雙向的。
信任管理
· 新的嚮導簡化了所有類型的信任連結的創建過程,特別是森林信任。
· 新的屬性頁允許您管理與森林信任關聯的被信任名稱空間。
被信任的名稱空間
· 受信任的名稱空間用來路由針對特定安全主體的身份驗證和授權請求,這些主體的帳戶在被信任森林中進行維護。
· 一個森林所發布的域、用戶主體名稱(UPN)、服務主體名稱(SPN)以及安全標識符(SID)的名稱空間在森林信任創建之時會被自動收集,並且可以通過“Active Directory域和信任”用戶界面得到刷新。
· 森林在受到信任後,在“先到先服務”的基礎上,它便對它所發布的名稱空間擁有了權威性,只要它們與現有森林信任關係的被信任名稱空間不發生衝突。
被信任名稱空間的相互重疊現象會自動得到預防。管理員也可以手動禁用某個被信任的名稱空間。
其它安全特性和改進
特性 描述
跨森林身份驗證當用戶帳戶屬於一個森林,而計算機帳戶屬於另一個森林時,跨森林的身份驗證能夠實現對資源的安全訪問。本特性允許用戶使用Kerberos或NTLM驗證,安全地訪問其它森林中的資源,而不必犧牲由於只需在用戶的主森林中維護一個用戶ID和口令所帶來的單點登錄和其它管理方面的好處。跨森林身份驗證包括:
名稱解析
當Kerberos和NTLM 不能在本地域控制器上解析一個主體名稱時,它們會調用全局編錄。
當全局編錄無法解析該名稱時,它將調用一個新的跨森林名稱匹配功能。
該名稱匹配功能將安全主體名稱與來自所有被信任森林的被信任名稱空間進行比較。如果找到匹配的名稱空間,它便將被信任森林的名稱作為一個路由提示返回。
請求的路由
Kerberos和NTLM使用路由提示將身份驗證請求沿著信任路徑從源域傳送給可能的目標域。
對於Kerberos,密鑰頒發中心(Key Distribution Centers,KDC)會生成沿著信任路徑的引用,客戶機以標準的Kerberos方式跟蹤這些引用。
對於NTLM,域控制器使用pass-through身份驗證,沿著信任路徑穿過安全通道傳遞該請求。
受支持的身份驗證
Kerberos 和 NTLM 網路登錄,用來遠程訪問另一個森林中的伺服器。
Kerberos 和 NTLM互動式登錄,用來進行用戶主森林之外的物理登錄。
到另一個森林中的N層套用的Kerberos 委派。
完全支持用戶主體名稱(UPN)憑據
跨森林授權 跨森林授權讓管理員能夠輕鬆地從被信任森林中選擇用戶和組,以便將他們包括在本地組或者ACL之中。本特性維護了森林安全邊界的完整性,同時允許在森林之間建立信任關係。在來自被信任森林的用戶試圖訪問受保護的資源時,它能讓信任森林在它將要接受的安全標識符(SID)上施加某些約束和限制。
組成員關係和ACL管理
對象選取程式已經得到了增強,以便從被信任森林中選擇用戶或組。
名稱必須完整輸入。不支持枚舉和通配符搜尋。
名稱-SID 轉換
對象選取程式和ACL編輯器使用系統API存儲組成員和ACL項目的SID,並且將其轉換回友好名稱以便於顯示。
名稱-SID轉換API得到了增強,可以使用跨森林的路由提示,並且能夠沿著信任路徑充分利用域控制器之間的 NTLM安全通道,以解析來自被信任森林的安全主體名稱或SID。
SID過濾
在授權數據從受信任森林的根域傳遞到信任森林的根域時,SID將受到過濾。信任森林僅僅接受和它信任的域有關並且接受其它森林管理的SID。其它任何SID都回被自動丟棄。
SID過濾自動套用在Kerberos和NTLM身份驗證以及名稱-SID轉換上。
交叉證書增強 Windows Server 2003客戶端的交叉證書特性已經得到了加強,它現在擁有了部門級和全局級的交叉證書能力。例如,WinLogon現在可以執行對交叉證書的查詢,並且將它們下載到“企業信任/企業存儲”中。隨著鏈條的建立,所有的交叉證書都將被下載。
IAS 和跨森林身份驗證 如果Active Directory森林處於“跨森林”模式,並且建立了雙向信任,那么Internet身份驗證服務/遠程身份驗證撥入用戶伺服器(IAS/RADIUS)便可以通過本特性對另一個森林中的用戶進行身份驗證。這使得管理員可以輕鬆地將新的森林與森林中現有的IAS/RADIUS服務集成在一起。
憑據管理器憑據管理特性為用戶憑據(包括口令和X.509證書)的存儲提供了一個安全的場所。它還為包括漫遊用戶在內的用戶提供了連續一致的單點登錄體驗。例如,在用戶訪問公司網路內部的某個業務套用的時候,對該套用的首次嘗試需要身份驗證,用戶需要提供一個憑據。在用戶提供了該憑據之後,憑據便與被請求的應用程式建立了關聯。在用戶對該套用的後續訪問中,可以重複使用保存下來的憑據,而不會再次提示用戶提供憑據。
遵循原則
原則一、域設計原則
1、在管理任務明顯由區域劃分的環境中可以獨立設定域,如某公司的亞洲分部和歐洲分部等,可以設立域對各自獨立的資源進行統一管理。
2、 特殊情況下,如果域資料庫中的對象(包括被管理的用戶、計算機、印表機等)過多,超過100萬時(對於中小型企業很難達到),需要考慮增加域。
原則二、林設計原則
公司由於業務等需求需要設定多個名字空間,如需要xxxx.xxx和xxxx.xx兩個名字空間,則必須建立林,該林中包含以xxxx.xxx為根域和以xxxx.xx為根域的兩棵樹。並且,需根據實際情況為這2棵樹之間確定好信任關係
原則三、OU設計原則
1、對於域安全準則一致的域,如果需要突出其中的某些業務和組織職能,則可以為域創建組織單元(OU),而沒有必要重新創建單獨的域。比如,對一個xxxx.xxx,底下劃分為銷售、人力等部門,可以創建sales、hr等等OU。
2、 在具體的OU設計中,微軟給出了地理模型、對象模型、成本中心模型等7個基本模型供參考。
原則四、站點設計原則
站點設定的目的是控制網路產生的登錄通信量和複製通信量。
(1)登錄通信量:每次當用戶登錄網路時,Windows 2000/Windows Server 2003/Windows Server 2008都會試圖查找與用戶在同一站點的DC,產生登錄通信量。
(2)複製通信量:將目錄資料庫的變動更新到多個DC,站點將控制該通信量如何以及何時產生。
原則五、GC設計原則
GC存儲林中每個對象的一定數量的信息,這些信息通常是被頻繁查詢或者搜尋的屬性,當用戶在域外查找對象時,使用GC可以避免調用目的地的DC,從而加快查詢速度和減少網路流量。建議,每個site都配備一個GC。
原則六、DC設計原則
DC的設計與用戶的數量有很大關係,如下表所示:
活動目錄原則七、DNS設計原則
1、儘可能使用與AD集成的DNS,為客戶端登錄尋找DC、DC間尋找提供定位服務。
2、DNS伺服器應支持SRV資源記錄外,並建議DNS伺服器提供對DNS的動態升級。DNS動態升級定義了一個DNS伺服器自動升級的協定,如果沒有此協定,管理員不得不手動配置域控制器產生的新的記錄。
總結
在Windows 2000的原有基礎之上,Windows Server 2003中的Active Directory將重心放在了管理工作的簡化、通用性以及無可匹敵的可靠性上面。和以往相比,Active Directory已經成為了構建企業網路的堅實基礎,因為它可以:
· 充分利用現有投資,以及對目錄進行合併管理。
· 擴展管理控制的範圍,減少冗餘的管理工作。
· 簡化遠程集成,更有效地使用網路資源。
· 為基於目錄的套用提供了一個強大、可靠的開發和部署環境。
· 降低TCO並且改善IT資源的利用效率
活動目錄分為目錄和目錄服務兩部分
套用解釋
實例
活動目錄office添加印表機出現active directory 域服務當前不可用
解決方案
控制臺——網路和共享中心——檔案共享 點啟用
停止—— Print Spooler
啟動類型:停止
控制臺——添加印表機
添加網路、無線或Bluetooth印表機(W)——選擇要共享的印表機
連線印表機的那台電腦的賬戶要設定密碼啊,默認的administrator沒有密碼可不行喔,防火牆要關的哈,印表機要設定為共享
