Active Directory 基础 (2)

接前面Active Directory 基础 (1)

信任(Trust)

信任是在两个域之间建立的关系,可以使一个域中的用户在另一个域中进行身份验证和资源访问。(资源访问需要有该资源的相应权限。)可以发生在同一个域树之间、一个林之间和不同林之间。一个新的域被加入到域树后,这个域会自动信任其上一层的父域,同时这个父域也会自动信任信任这个子域。这种关系是双向的,并且是可以传递的。如图1-5所示,xuelan.local与shanghai.xuelan.local互相信任,xuelan.local与beijing.xuelan.local互相信任,那么shanghai.xuelan.local与beijing.xuelan.local也是互相信任的,我们称这种关系为双向可传递信任关系。

身份验证请求必须首先经过域树间的信任路径。在复杂的林中,此过程可能会花费一些时间,则你可以使用快捷方式信任减少该时间。快捷方式信任可以有效缩短身份验证请求经过两个单独域树中的域之间的路径。

Active Directory 林允许管理员在两个林的根域之间创建单向或双向传递信任。这种信任使得一个Active Directory 林中的所有域信任中另一个ActiveDirectory 林中的所有域,反之亦然。

有人会说,如果设置了域信任关系会不会影响安全?信任关系不会影响安全,只是允许对方访问,至于访问权限,仍然需要管理员授权;这也是为什么我们应该避免在资源上给每个人(everyone)允许权限,因为一旦建立信任,那么受信任的域中的每个人都将能够访问这些资源。

图 1-5

站点(Site)

Active Directory 中的站点代表网络的物理结构或拓扑,和域不同,域代表的是组织的逻辑结构。站点有助于简化 Active Directory 内的多种活动,其中包括:

复制:Active Directory 频繁的复制对于带宽的需求很高,您可以配置不同的站点来优化复制。

身份验证:站点信息有助于使身份验证更快更有效。通过建立多个站点,可确保客户端利用与它们最近的域控制器进行身份验证,从而减少了身份验证滞后时间。

启用 Active Directory 的服务:启用Active Directory 的服务可利用站点和子网信息,使客户端能够更方便地找到最近的服务器提供程序。

组织单位(Organizational Units,OU)

组织单位(OU)将是您在Active Directory中创建的最常见的一种容器,出于管理的目的,我们可以根据OU里的对象需求分组。常见的管理方法有:权限委派和组策略。

全局编录(Global Catalog,GC)

全局编录服务器是一个域控制器,它存储林中主持域的目录中所有对象的完全副本,以及所有其他域中所有对象的部分属性副本。是 Active Directory 非常重要的一部分,因为它用来执行ActiveDirectory 林范围的搜索。可以通过Active Directory 架构添加或删除属性到全局编录中。

操作主机角色(Flexible Single Master Operator ,FSMO)

Active Directory 中所有域控制器之间的目录数据存储的多主机复制,因此域中的所有域控制器实质上都是对等的。但是,某些更改不适合使用多主机复制执行,因此对于每一个此类更改,都有一个称为“操作主机”的域控制器接收此类更改的请求。

单主机复制:就是从一个地方向其他地方复制,主要应用在以前的NT4域内,在NT4域时代,于网络上分PDC和BDC,所有复制都是从PDC到BDC上进行的,所以在网络上对域修改必须要在PDC上进行。

多主机复制:相对单主机而言,它是指所有的域控制器之间进行相互复制,从windows开始不再网路上区分PDC和PDC,所有的域控制器都是等价的,在任意一台上修改,都会被复制到其他的域控制器上。

操作主机又分为林范围和域范围操作主机,林范围操作主机在林范围内只出现一次,域范围操作主机在每个域范围内要出现一次。

林范围操作主机:

  • 架构主机(Schema master )
  • 域命名主机(Domain naming master)

域范围操作主机:

  • RID 主机(RID master )
  • PDC 模拟器(PDC emulator )
  • 基础架构主机(Infrastructure master)

架构主机:

架构主机的所有者是负责对林架构进行更新和修改的域控制器,在林中只能有一个架构主机角色。默认的架构主机角色所有者是林中第一台域控制器。架构主机只有你需要对架构进行更改时才会用到,这些一般都是事先计划好的,因此,架构主机允许短时间的脱机;如果你的架构主机角色所有的者的域控制器出现故障,你可以等待修复后重新联机。

域命名主机:

域命名主机的所有者是负责添加或更改的服务器到林命名空间;如,在林中添加和删除域。同样在林中只能有一个域命名主机角色,默认的域命名主机角色所有者是林里的第一台域控制器。同样的域命名主机短时间脱机也没什么问题,你可以等待其重新联机。

RID主机:

每个域中有一个RID主机角色是用来管理RID池。那么RID有什么用处呢?当在域中新建一个对象时,域控制器必须给该对象指派一个唯一的安全标识符(SID),该对象的SID是由域SID和RID组成,但RID不是由域控制器自己产生的,它是由RID主机统一发放的。当域控制器的RID少于50%时,DC会向RID主机申请,获取新的一组RID。(一组RID为500个。)

PDC模拟器:

PDC模拟器用来模拟 Windows NT 的主域控制器,不过由于Windows Server 2008 不支持Windows Server 2000以前版本的域控制器并存,所以这个功能已经没什么用了。那么是不是PDC模拟器角色是一个没有用的角色吗?不是的,它还维护这域中所有账户密码的验证和更新,同时也是域中权威时间源。(林根域的PDC是整个森林中权威时间源。)

基础结构主机:

基础结构主机主要负责跨域对象的维护和更新,但要注意不能和GC放置在一起。(单域和所有的域控制器都是GC这两种情况例外。)

域和林功能级别:

功能级别决定可用的 Active Directory 域服务 (AD DS) 的域或林功能。它们还决定哪些 Windows Server 操作系统可以在域或林中的域控制器上运行。但是,功能级别不会影响哪些加入到域中的工作站和成员服务器的操作系统运行。

可以通过Active Directory Domainand Trusts Snap-in为 Windows Server 2003 和 Windows Server 2008 的功能级别,一旦功能级别"提升"到更高的地位,它不能回滚。Windows Server 2008 R2 推出了能够回滚操作。

图 1-6

时间: 2024-10-13 17:16:41

Active Directory 基础 (2)的相关文章

Active Directory 基础 (1)

在学习ActiveDirectory之前,我们应该了解Active Directory中的一些基本概念和属于,以便我们可以更加方便的学习它. 对象(object)是如何存储的 在Active Directory中数据以分层的方式展示给用户的,这点类似于文件系统.每个条目被称为对象,对象是Active Directory中最小的存储单元,而属性则是用来描述对象特征的.在结构上面来说,有两种类型的对象:容器(containers)和非容器(non-containers),非容器对象也被称为叶子节点.

Active Directory 活动目录(简称AD)的基础架构与使用(二)

在我们使用AD域服务的过程中,一定会遇到误删除用户,或者域控制器故障等等的突发状况,为了保证在遇到突发状况的时候,能最快的解决问题,就需要用到AD域服务的备份和还原,今天会给大家带来几种实例,让大家进一步了解AD域服务. 一:域的备份与还原 实例:域的备份与还原.Server01中已经安装了AD域服务,并且已经是域控制器,现在对其进行备份与还原. 准备工作:1)在备份之前,新建一个组织单位,用户等,主要是为了检测备份是否成功.(新建的组织单位是:IT,新建的用户是:zc) 2)添加一块单独的磁盘

Active Directory 活动目录(简称AD)的基础架构与使用(三)

在我们使用AD域服务的过程中,会遇到域控制器故障的突发状况,为了保证在遇到突发状况的时候,能最快的解决问题,就需要用到AD域服务的备份和还原,今天会给大家带来的几个案例,让大家进一步了解AD域服务. 模拟环境:服务器崩溃,利用备份的系统状态还原. 准备:1)重新安装过系统的服务器.(因为是模拟服务器崩溃,所以要重新给服务器装系统,这里就不详细介绍了.) 2)需要把过去的备份,导入到服务器中.(注意:无论用什么方法导入备份,一定不要放在系统盘!!) 步骤一:给重新安装过系统的服务器,重命名,(系统

Active Directory 活动目录(简称AD)的基础架构与使用(四)

在我们使用AD域服务的过程中,会遇到域控制器故障的突发状况,为了保证在遇到突发状况的时候,能最快的解决问题,就需要用到AD域服务的备份和还原,今天会给大家带来的几个案例,让大家进一步了解AD域服务. 模拟环境:服务器崩溃,利用备份的系统状态还原. 准备:1)重新安装过系统的服务器.(因为是模拟服务器崩溃,所以要重新给服务器装系统,这里就不详细介绍了.) 2)需要把过去的备份,导入到服务器中.(注意:无论用什么方法导入备份,一定不要放在系统盘!!) 步骤一:给重新安装过系统的服务器,重命名,(系统

Windows Azure Active Directory (2) Windows Azure AD基础

<Windows Azure Platform 系列文章目录> Windows Azure AD (WAAD)是Windows Azure提供的一个REST风格的服务,为您的云服务提供了身份管理和访问控制的功能.微软的很多在线服务,例如微软Office 365, Dynamics CRM Online, Windows Intune及Windows Azure自身都在使用Windows Azure AD作为身份的提供方.通过使用Windows Azure AD,您可以将用户的管理验证交给Win

Active Directory 活动目录(简称AD)的基础架构与使用(五)

模拟环境:利用介质文件创建额外域控制器. 北京有一个zxc.com的主域控制器,需要在上海创建额外域控制器,但北京和上海网络延迟较大,正常复制介质文件不成功. 思路:  在北京创建一个AD数据库介质文件,存放AD数据库内的数据,将此介质文件复制到上海服务器上.在上海利用介质文件创建额外域控制器. 准备环境:1)北京:Server01   192.168.10.101               2)上海:Server03   192.168.10.103 步骤一:在Server01生成数据库介质

通过迁移的方式解决Active Directory服务器问题之1-迁移前的准备工作

前言 "重装是最好.最快的解决方法".在使用Windows操作系统一段时间之后,尤其是经常频繁打补丁.升级.添加删除软件后,系统会比较慢,有的可能会出现一些"莫名其妙"的问题,这个时候,果断备份.重装.恢复系统,是我们经常做的方法.但是,企业网络中的服务器,如果使用几年之后出问题,你能下定决心重装吗?如果重装,怎么重装才能不丢失数据.在重装过程中不影响使用.本文通过一个具体的案例,介绍通过迁移的方法彻底解决Active Directory服务器存在问题的方法. 正文

Active Directory 健康检查

Active Directory是企业后端最重要的基础架构应用,没有之一.AD的安全与可靠几乎影响所有应用.除了符合微软最佳实践的设计以及标准化的运维之外,定期执行一次健康检查,并且在重大项目启动前也进行一次健康检查将会很好的保障整个活动目录持续可靠的为企业应用提供良好的支撑. 微软原厂可以提供专业的AD健康检查服务,使用ADRAP(Risk Assessment Program)程序,运行ADST(Active Directory Snapshot Tool)工具来抓取AD中的各种信息,并最终

Exchange Server 运维管理01:Exchange中Active Directory 有什么用?

近期,需要给客户进行一次Exchange Server 的运维普及培训,在前期博文的基础上,准备再梳理一下运维管理的思路,发几篇和运维管理相关的博文.本文,就介绍一下Exchange Server 2010中的Active Directory有什么用? 很多朋友都知道,安装Exchange 肯定需要在域环境里,活动目录很重要,但到底起到了哪些作用?我们来看一下.针对Exchange Server来说,活动目录主要起到两大作用:一是 Exchange Server 使用 Active Direct