第3章 Windows Server 2003 域及其账户管理

Windows Server 2003课件

第三章

Windows Server 2003 域及其账户 管理

Windows Server 2003课件

内容提要 活动目录的概述 活动目录的组成 活动目录的安装 活动目录(Active Directory)是Windows 活动目录(Active Directory)是Windows Server 2003系统中提供的目录服务，用于存储网络上各种对 2003系统中提供的目录服务，用于存储网络上各种对 象的相关信息，以便于管理员查找和使用。活动目录 是企业IT管理的重要组成部分，掌握活动目录对提高 是企业IT管理的重要组成部分，掌握活动目录对提高 Windows Server 2003的管理技能具有非常重要的意 2003的管理技能具有非常重要的意 义。本章讨论活动目录的基本概念、结构元素和特性 ，并介绍有关活动目录服务的基本操作。

Windows Server 2003课件

3.1 活动目录的概述 活动目录(Active Directory)是Windows Server 活动目录(Active Directory)是Windows 2003操作系统提供的一种新的目录服务。所谓目录服 2003操作系统提供的一种新的目录服务。所谓目录服 务其实就是提供了一种按层次结构组织的信息，然后 按名称关联检索信息的服务方式。这种服务提供了一 个存储在目录中的各种资源的统一管理视图，从而减 轻了企业的管理负担。另外，它还为用户和应用程序 提供了对其所包含信息的安全访问。活动目录作为用 户、计算机和网络服务相关信息的中心，支持现有的 行业标准LDAP( 行业标准LDAP(Lightweight Directory Access Protocal,轻量目录访问协议)第3 Protocal,轻量目录访问协议)第3版，使任何兼容 LDAP的客户端都能与之相互协作，可访问存储在活动 LDAP的客户端都能与之相互协作，可访问存储在活动 目录中的信息，如Linux、Novell系统等。 目录中的信息，如Linux、Novell系统等。

Windows Server 2003课件

3.1.1 目录服务的含义 目录是一个用于存储用户感兴趣的对象信息的信息库。 活动目录(Active Directory)是用于Windows 活动目录(Active Directory)是用于Windows Server 2003 的目录服务。它存储着本网络上各种对 象的相关信息，并使用一种易于用户查找及使用的结 构化的数据存储方法来组织和保存数据。在整个目录 中，通过登录验证以及目录中对象的访问控制，将安 全性集成到 Active Directory中。通过一次登录 Directory中。通过一次登录 (Single Sign-On,SSO),管理员可管理整个网络 Sign-On,SSO),管理员可管理整个网络 中的目录数据和单位，而且获得授权的网络用户可访 问网络上所有的资源。这种基于策略的管理模式大大 地减轻了复杂网络的管理复杂度和工作量。

Windows Server 2003课件

3.1.2 需要目录服务的原因 目录服务可以实现如下的功能：(1)提高管理者定义的安全性来保证信息不受入侵者的破坏 ； (2)将目录分布在一个

网络中的多台计算机上，提高了整个 网络系统的可靠性； (3)复制目录可以使得更多用户获得它并且减少使用和管理 开销，提高效率； (4)分配一个目录于多个存储介质中使其可以存储规模非常 大的对象。

目录服务既是管理工具又是终端用户工具。当网络中 对象的数目增加时，目录服务变得很重要。因此，从 这一点上可以将目录服务看做是一个大的分布系统的 转换中心，用户可以利用该中心快捷的管理并使用其 中的资源。

Windows Server 2003课件

3.1.3 活动目录与域 Windows域(Domain)是基于NT技术构建的Windows Windows域(Domain)是基于NT技术构建的Windows 系统组成的计算机网络的独立安全范围，是 Windows的逻辑管理单位，也就是说一个域就是一 Windows的逻辑管理单位，也就是说一个域就是一 系列的用户账户、访问权限和其他的各种资源的集 合。 活动目录由一个或多个域构成，一个域可以跨越不 止一个物理地点。每一个域都有它自己的安全策略 和本域与其他域之间的安全关系。当多个域通过信 任关系连接起来并且拥有共同的模式、配置和全局 目录时，它们就构成了一个域树。多个域树可以连 接起来形成一个树林。

Windows Server 2003课件

活动目录的结构图

Windows Server 2003课件

对象 对象(Object)是对某具体事物的命名，如用户、 对象(Object)是对某具体事物的命名，如用户、 打印机或应用程序等。属性是对象用来识别主题 的描述性数据。一个用户的属性可能包括用户的 Name、Email和Phone等 Name、Email和Phone等

Windows Server 2003课件

域 域(Domain)是Windows Server 2003活动目录的 域(Domain)是Windows 2003活动目录的 核心单元，是共享同一活动目录的一组计算机集 合。域是安全的边界，在默认的情况下，一个域 的管理员只能管理自己的域，一个域的管理员要 管理其他的域需要专门的授权。域也是复制单位， 一个域可包含多个域控制器，当某个域控制器的 活动目录数据库修改以后，会将此修改复制到其 他所有域控制器。

Windows Server 2003课件

组织单元 组织单元(OU,Organizational Unit)是组织、管 组织单元(OU, Unit)是组织、管 理一个域内对象的容器，它能包容用户账户、用户组、 计算机、打印机和其他的组织单元。很明显，通过组 织单元的包容，组织单元具有很清楚的层次结构。使 用组织单位可帮助管理员将网络所需的域数量降到最 低，组织单位还可以创建缩放到任意规模的管理模型。 这种包容结构可以使管理者将组织单元切入到域中来 反映出企业的组织结构，同时管理者还可以委派任务 与授权。使用组织单位，可以在组织单位中代表逻辑 层次结构的域中创建容器，这样就可以根据实际的组 织模型管理账户和资源

的配置和使用。

Windows Server 2003课件

树 树(Tree),又称为域树，用来描述对象及容器的分 树(Tree),又称为域树，用来描述对象及容器的分 层结构关系。域树是由若干具有共同的模式、配置的 域构成的，形成了一个临近的名字空间。在树中的域 也是通过信任关系连接起来的。活动目录是一个或更 多树的集合。树可以通过两种途径表示，一种是域之 间的关系，另一种是域树的名字空间。

Windows Server 2003课件

域树名字空间的特点(1)一棵树只有一个名字，即位于树根处的域的 DNS名字； DNS名字； (2)在根域下面创建的域(子域)的名字总是与根 域的名字邻接； (3)一棵树子域的DNS名字是反映该组织机构的。 )一棵树子域的DNS名字是反映该组织机构的。

Windows Server 2003课件

树林 树林是一棵或多棵Windows Server 2003活动目录 树林是一棵或多棵Windows 2003活动目录 树的集合。各树之间地位相当，由双向传递的信 任关系相关联。单个域组成一棵单域的树，单棵 树组成单树的树林。树林与活动目录是同一个概 念，也就是说，一个特定的目录服务实例(包括 所有的域、所有的配置和模式信息)中的全部目 录分区集合组成一片树林。

Windows Server 2003课件

3.2 Active Directory的物理结构 Directory的物理结构 域控制器 站点

Windows Server 2003课件

3.2.1 域控制器 域控制器是运行Active Directory 的 Windows 域控制器是运行Active Server 2003服务器。由于在域控制器上，Active 2003服务器。由于在域控制器上，Active Directory 存储了所有的域范围内的账户和策略 信息，如系统的安全策略、用户身份验证数据和 目录搜索。账户信息可以属于用户、服务和计算 机账户。由于有Active 机账户。由于有Active Directory 的存在，域控 制器不需要本地安全账户管理器(SAM)。在域中 制器不需要本地安全账户管理器(SAM)。在域中 作为服务器的系统可以充当以下两种角色中的任 何一种：域控制器或成员服务器。

Windows Server 2003课件

1.域控制器 一个域可有一个或多个域控制器。通常单个局域 网(LAN)的用户可能只需要一个域就能够满足要 网(LAN)的用户可能只需要一个域就能够满足要 求。由于一个域比较简单，所以整个域也只要一 个域控制器。为了获得高可用性和较强的容错能 力，具有多个网络位置的大型网络或组织可能在 每个部分都需要一个或多个域控制器。这样的设 计，使得大型组织的管理非常的烦琐，而Active 计，使得大型组织的管理非常的烦琐，而Active Directory 支持域中所有域控制器之间目录数据 的多宿主复制，从而可以降低管理的复杂程度， 提高管理效率。

Windows Server 2003课件

2.成员服务器 一个成员服务器是一台运行Windows Server 2003 一个成员服务器是一台运行Windows 的域成员服

务器，由于不是域控制器，因此成员 服务器不执行用户身份验证并且不存储安全策略 信息，这样可以让成员服务器拥有更高的处理能 力来处理网络中的其他服务。所以在网络中，通 常使用成员服务器作为专用的文件服务器、应用 服务器、数据库服务器或者Web服务器，专门用于 服务器、数据库服务器或者Web服务器，专门用于 为网络中的用户提供一种或几种服务。由于将身 份认证和服务分开，这样可以获得较好的效率。

Windows Server 2003课件

3.2.2 站点 站点定义为由一个或多个 IP 子网的一组连接良 好的计算机集合。站点与域不同，站点代表网络 的物理结构，而域代表组织的逻辑结构。这样的 集合会提高工作效率，因为要确保站点内目录信 息的有效交换，站点中的计算机需要很好地连接， 尤其是不同子网内的计算机，通过站点可以简化 Active Directory内的站点之间的复制、身份验 Directory内的站点之间的复制、身份验 证等活动。

Windows Server 2003课件

站点 站点在概念上不同于Windows Server 2003 的域，因 站点在概念上不同于Windows 为一个站点可以跨越多个域，而一个域也可以跨越多 个站点。站点并不属于域名称空间的一部分，站点控 制域信息的复制，并可以帮助确定资源位置的远近。 站点反映网络的物理结构，而域通常反映组织的逻辑 结构。逻辑结构和物理结构相互独立，具有以下特点 ： (1)网络的物理结构及其域结构之间没有必要的相关 性。 (2)Active Directory 允许单个站点中有多个域，单 个域中有多个站点。 (3)站点和域名称空间之间没有必要的连接。

Windows Server 2003课件

3.3 域信任关系 信任是域之间建立的关系，它可使一个域中的用 户由处在另一个域中的域控制器来进行验证。 Windows Server 2003域之间信任关系建立在 2003域之间信任关系建立在 Kerberos安全协议上，Kerberos信任是可传递的、 Kerberos安全协议上，Kerberos信任是可传递的、 分层次和结构的。Windows 分层次和结构的。Windows Server 2003树林中的 2003树林中的 所有信任都是可传递的、双向信任的，因此，信 任关系中的两个域都是相互受信任的。如图3.4所 任关系中的两个域都是相互受信任的。如图3.4所 示，如果域A信任域B并且域B信任域C,则域C 示，如果域A信任域B并且域B信任域C,则域C中的 用户(授予适当权限时)可以访问域A 用户(授予适当权限时)可以访问域A中的资源。 只有Domain Admins组的成员可以管理信任关系。 只有Domain Admins组的成员可以管理信任关系。

Windows Server 2003课件

信任关系

本文来源：https://www.bwwdw.com/article/ofqm.html