赞
踩
1工作场景导入
【工作场景】
XYZ公司是一家大型制造企业,公司有许多内设部门、车间和分厂,在全国各地有许多分公司。该公司总部信息中心有各类服务器30余台,各车间、分厂和分公司都有自己的服务器,客户机近千台。目前,该公司的各类应用大多基于Windows 平台开发,网络环境是工作组模式。随着企业的信息化发展,为方便用户快捷查找各类资源,需要将网络环境更改为域模式,将各类共享资源发布在 Active Directory 中。假设该公司的域名是xyz.com。
【引导问题】
(1) 如何创建 Active Directory?创建时对服务器有什么要求?创建完成后如何管理?
2.1 活动目录服务概述
目录服务用于存储网络中各种对象(如用户账户、组、计算机、打印机和共享资源等)的有关信息,并按照层次结构方式进行信息的组织,以方便用户的查找和使用,Active Directory(活动目录)是Windows Server 2019域环境中提供目录服务的组件。在微软平台上,目录服务从 Windows Server 2000就开始引入,所以可以把Active Directory 理解为目录服务在微软平台的一种实现方式,当然目录服务在非微软平台上也有相应的实现方式。
1.工作组和域
Windows 有两种网络环境:工作组和域,默认是工作组网络环境,如图所示。
工作组网络也称为“对等式”网络,因为网络中每台计算机的地位都是平等的,它们的资源以及管理分散在每台计算机上,所以工作组环境的特点就是分散管理。工作组环境中的每台计算机都有自己的“本机安全账户数据库”,称为SAM数据库。这个SAM数据库有何用处呢?平时在登录系统时,输入账户和密码后,系统就会检查这个SAM数据库,如果输入的账户存在于SAM 数据库中,同时密码也正确,系统就允许用户登录。而这个SAM数据库默认存储在%Systemroot%\syslem32\config文件夹中,这就是工作组环境中的登录验证过程。
例如,一家公司有200台计算机,希望某台计算机上的账户Bob可以访问每台计算机资源或者可以在每台计算机上登录。在工作组环境中,必须要在这200台计算机的各个SAM数据库中创建 Bob这个账户。一旦Bob更换密码,就必须更改200次。如果这家公司有5000台计算机或者上万台计算机,则更改密码的次数更多。那能否只需要改动一次呢,这时就要用到域环境了。
域环境与工作组环境最大的不同是,域内所有的计算机共享一个集中式的目录数据库(又称为活动目录数据库),它包含整个域内的对象(用户账户、计算机账户、打印机、共享文件等)和安全信息等,而活动目录负责目录数据库的添加、修改、更新和删除。所以要在Windows Server 2012 上实现域环境,就要安装活动目录。活动目录实现了目录服务,提供对企业网络环境的集中式管理。比如前面那个例子,在域环境中,只需要在活动目录中创建一次 Bob 账户,就可以在任意一台计算机上以Bob身份登录,如果要为Bob账户更改密码,只需要在活动目录中更改一次即可。
2.活动目录的特性
活动目录服务是一个完全可扩展、可伸缩的目录服务,系统管理员可在统一的系统环境下管理整个网络中的各种资源,与以往的应用相比较,Windows Server 2019有了更加突出的新特性。
1)服务的集成性
活动目录的集成性包括的内容更丰富,主要体现在3个方面:用户及资源的管理、基于目录的网络服务、网络应用管理。Windows Server 2019活动目录服务采用Intemet 标准协议,用户账户可以使用“用户名@域名”命名,以进行网络登录。单个域树中所有的域共享一个等级命名结构,与Internet的域名空间结构一致。一个子域的域名就是将该子域的名称添加到父域的名称中,例如,hf.xyz.com 就是xyz.com域的子域。DNS是Intemet的标准服务,主要用于将用户的主机名翻译成数字式的IP地址。活动目录使用DNS为域完成命名和定位服务,域名同时也是DNS名。
2)信息的安全性
Windows Server 2019系统支持多种网络安全协议,使用这些协议能够获得更强大、更有效的安全性。在活动目录数据库中存储了域安全策略的相关信息,如域用户口令的限制策略和系统访问权限等,由此可实施基于对象的安全模型和访问控制机制。在活动目录中的每个对象都有一个独有的安全性描述,主要是定义了浏览或更新对象属性所需要的访问权限。
3)管理的简易性
活动目录是以层次结构组织域中的资源。每个域中可有一台或多台域控制器,为了简化管理,用户可在任何域控制器上进行修改,这种更新能复制到所有其他域控制器中的活动目录数据库中。活动目录提供了对网络资源管理的单点登录,管理员可登录环境中的任意一台计算机进行管理。为了使域控制器实现更高的可用性,活动目录允许在线备份。系统管理员通过部署、安装活动目录服务,可以使网络系统环境的管理工作变得更加方便。
4)应用的灵活性
活动目录具有较强的、自动的可扩展性。系统管理员可以将新的对象添加到应用框架中,并将新的属性添加到现有对象上。活动目录中可实现一个域或多个域,每个域中有一个或多个域控制器,多个域可合并为域树,多个域树又可合并为域林。
Windows Server 2019中的活动目录不仅可以应用到局域网计算机系统环境中,还可以应用于跨地区的广域网系统环境中。
2.2 与活动目录相关的概念
活动目录是一个分布式的目录服务,其管理的信息可以分散在多台计算机上,保证各个用户迅速访问这些信息,在用户访问处理信息数据时,为用户提供统一的视图,以便于理解和掌握。
命名空间是一个界定好的区域,比如把电话簿看成一个“命名空间”,那么就可以通过电话薄这个界定好的区域,找到与有关人名相关的电话、地址以及其公司名称等信息。而 Windows Server 2019的活动目录就提供了一个这样的命名空间,通过活动目录里的对象名称就可以找到与这个对象相关的信息。活动目录的“命名空间”采用DNS的架构,所以活动目录的域名采用DNS的格式来命名。如把域名命名为contoso.com、xyz.com等。
2. 对象(Object)与属性(Attribute)
对象,是对某具体主题事物的命名,如用户、打印机或应用程序等。对象的相关属性,是用来识别对象的描述性数据。例如,一个用户的属性可能包括用户的Name、E-mail和Phone等。
3.容器(Container)
容器,是活动目录命名空间的一部分,其代表存放对象的空间,不代表有形的实体,仅限于对象本身所能提供的信息空间。
4.域、域树、域林和组织单位
活动目录的逻辑结构包括:域(Domain)、域树(Domain Tree)、域林(Forest)和组织单位(Organizational Unit,OU),如图所示。
(1)域。域(Domain)是 Windows Server 2019活动目录的核心逻辑单元,是共享同一活动目录的一组计算机集合。从安全管理角度讲,域是安全的边界,在默认情况下,一个域的管理员只能管理自己的域。一个域的管理员要管理其他的域需要专门的授权。同时域也是复制单位,一个域可包含多个域控制器。当某个域控制器的活动目录数据库被修改以后,其他所有域控制器中的活动目录数据库也将自动更新。
(2)域树。域树(Domain Tree)是由一组具有连续命名空间的域组成的。如图所示
,最上层的域名为xyz.com,这个域是这棵域树的根域(root domain),根域下面有两个子域,分别是 sales.xyz.com 和training.xyz.com。从图中可以看出它们的命名空间具有连续性。例如,域 sales.xyz.com的后缀名包含上一层父域的域名xyz.com。
如果多个域之间建立了关系,那么这些域就可以构成域树。域树由若干具有共同模式、配置的域构成,形成了一个相近的名字空间。树中的域通过自动建立的信任关系连接起来。域树可以通过两种途径表示,一种是域之间的关系,另一种是域树的名字空间。
(3)域林。域林(Forest)是由一棵或多棵域树组成的,每棵域树独享连续的命名空间,不同域树之间没有命名空间的连续性。域林中第一个创建的域称为域林根域,它不能被删除、更改或重命名。
(4)组织单位。组织单位(OU)是组织、管理一个域内对象的容器,它能包容用户账户、用户组、计算机、打印机和其他组织单位。组织单位具有很清楚的层次结构,系统管理员根据自身环境需求,可以定义不同的组织单位,帮助管理员将网络所需的域数量降到最低,可以创建任意规模的、具有伸缩性的管理模型。使用组织单位,可以根据实际组织模型来管理账户和资源的配置与使用,并在域中反映企业的组织结构,同时进行委派任务与授权等系统管理。
5.域控制器、站点和成员服务器
域是逻辑组织形式,它能够对网络中的资源进行统一管理。但在规划Windows Server2012域模式的网络环境时,需要具体部署各种角色计算机来组织,这称为活动目录的物理结构。活动目录的物理结构由域控制器、站点和成员服务器组成。
(1)域控制器。域控制器(Domain Controller)是安装、运行活动目录的 Windows Server2012 服务器。在域控制器上,活动目录存储域范围内的所有账户和策略信息(如系统的安全策略、用户身份验证数据和目录搜索)。账户信息可以是用户、服务器或计算机账户。
一个域中可以有一个或多个域控制器。通常单个域网络的用户只需要一个域就能够满足要求。而在具有多个网络位置的大型网络或组织中,为了获得高可用性和较强的容错能力,可能在每个部分都需要增加一个或多个域控制器。当一台域控制器的活动目录数据库发生改动时,其他域控制器的活动目录数据库也将自动更新。
(2)站点。站点(Site)在概念上不同于 Windows Server 2019的域,站点代表网络的物理结构,而域代表组织的逻辑结构。站点是一个或多个IP子网地址的计算机集合,往往用来描述域环境网络的物理结构或拓扑。为了确保域内目录信息的有效交换,需要连接域中的计算机,尤其是不同子网内的计算机,站点可以简化Active Directory 内的多种活动,如复制、身份验证等,提高工作效率。
(3)成员服务器。一个成员服务器就是一台在Windows Server 2019域环境中实现一定功能或提供某项服务的服务器,如通常使用的文件服务器、FTP应用服务器、数据库服务器或者Web 服务器。成员服务器不是域控制器,不执行用户身份验证且不存储安全策略信息,对网络中的其他服务具有更强的处理能力。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。