1、活动目录域服务概述,龚振梁 戴尔 (中国),议程,活动目录概述 活动目录逻辑组件 活动目录物理组件,活动目录概述,什么是活动目录 使用活动目录域集中的管理网络资源 账户验证 访问授权 活动目录组件概述,什么是活动目录?,活动目录包含以下功能:,集中式目录系统,单点登录和访问,集成的安全性,可扩展性,活动目录提供了一个中央系统用于管理用户、计算机和网络中的其他资源。,统一的管理接口,使用活动目录集中管理网络资源,活动目录集中管理网络资源:,单一的位置和工具集用于管理用户和组账户,单一位置用与指派对网络共享资源的访问,基于活动目录的应用程序,集中的配置安全策略管理所有的用户和计算机,组策略用于管理
2、用户桌面和安全设置,验证,两种类型的验证,本地登录 验证登录到本地计算机的账户身份,网络登录 验证对其他计算机资源的访问,验证是确认用户身份的过程,凭据: 至少由两个组件组成,用户名,安全信息,例如密码,访问令牌,用户的访问令牌,Other access information,Privileges (“user rights”),Member Group SIDs,User SID,ACL和ACE,Security Descriptor,Discretionary ACL (DACL or “ACL”),ACE Trustee (SID) Access Mask,ACE Trustee (S
3、ID) Access Mask,System ACL (SACL),授权,当用户被创建时,系统分配其SID,在验证过程中,检验用户访问令牌,包含了用户SID和组SID以及相关信息,网络中的共享资源包含了ACL,用户定义谁能够访问此资源,授权是授予一个经过身份验证的用户能够执行某些操作的过程,安全令牌将和网络资源的DACL进行对比,确定授予访问还是拒绝,授权,授权是授予一个经过身份验证的用户能够执行某些操作的过程,三个组件用于授权,资源,安全令牌,访问请求,工作组环境验证,身份信息存储在本地Windows系统的SAM数据库中 没有共享的身份存储机制 多个用户账户 密码更改的管理非常复杂,活动目录
4、域环境: 受信任的身份存储,所有域成员身份集中的存储在受信任的区域 集中的验证服务 存在独立的服务器用户执行活动目录验证和授权的过程(域控制器),活动目录组件概述,活动目录由逻辑组件和物理组件组成,活动目录逻辑组件,什么是活动目录架构,活动目录架构:,定义了存储在活动目录中的每种对象类型和属性,强制对象创建和配置的规则,域(Domain),域能够提供:,管理边界,应用策略到一组对象,复制边界,在域控制器中复制本域数据,验证和授权边界,提供方式限制资源访问的范围,域是一个逻辑目录组件,用于组织和管理企业中的活动目录对象,C,活动目录域信任,信任提供了一种机制,允许用户访问另外域中的资源,同一森林
5、中的域相互信任 信任可以被扩展到其他森林,Trust & Access,域树(Domain Tree),在域树中所有的域:,存在连续且相同的命名空间,可以添加额外的子域到此名称空间,存在双向的传递信任,域树在活动目录中是域的层次结构, 共享相同的命名空间,C,NA.C,EMEA.C,森林(Forest),森林:,共享相同的架构,共享相同的配置分区,共享相同的全局编录便于查找,森林是一个或多个域树的集合,实现森林中的所有域的信任,共享企业管理员组合架构管理员组,组织单位(OU),OU用于:,层次化、逻辑化表现企业的结构,管理对象集合,委派权限,OU是活动目录的容器,包含用户、组、计算机和其他OU
6、对象,应用策略,组织单位,活动目录对象,活动目录物理结构,域控制器,域控制器:,宿主活动目录数据存储的副本,提供验证和授权服务,在域和森林中复制更新到其他的域控制器,域控制器是安装活动目录角色的服务器,管理用户账户和网络资源的访问,Windows Server 2008 支持只读域控制器,DNS和活动目录,活动目录域控制器记录必须注册到DNS使得其他的域控制器和客户端能够定位,全局编录服务器,全局编录:,包含了森林中所有活动目录对象,但是仅包含对象的一些属性,避免不必要的查询提升了查询效率,用户登录到域需要全局编录,全局编录服务器是域控制器,它同时存储了全局编录的数据副本,活动目录数据存储,活
7、动目录数据存储:,包含Ntds.dit,存储在所有域控制器的%SystemRoot%NTDS文件夹中,仅仅能够被域控制器进程和协议访问,活动目录数据存储包含了数据库文件和其他信息。,活动目录复制,活动目录复制:,保证所有的域控制器有相同的信息,使用多主复制模型,被活动目录站点管理,活动目录复制将数据库中的所有更新复制到域或森林中的其他域控制器中,活动目录复制拓扑被自动的创建,当新的域控制器加入到域中,站点,站点:,与IP子网相关,用于管理复制通信,管理客户端登录通信,活动目录站点用于代表网络分区,在此分区中所有的域控制器通过高速的网络进行连接,被站点感知应用程序使用,例如Distributed File Systems (DFS) 和Exchange Server 2007,用户指派组策略到公司某个分支位置的所有用户和计算机,
