活動目錄的培訓(xùn)資料

活動目錄的培訓(xùn)資料活動目錄（ActiveDirectory）基礎(chǔ)活動目錄是Windows網(wǎng)絡(luò)中目錄服務(wù)的實(shí)現(xiàn)方式。目錄服務(wù)是一種網(wǎng)絡(luò)服務(wù)，它存儲網(wǎng)絡(luò)資源的信息并使得顧客和應(yīng)用程序能訪問這些資源?；顒幽夸泴ο笾匾櫩汀⒔M、計算機(jī)和打印機(jī)，然而網(wǎng)絡(luò)中的所有服務(wù)器、域和站點(diǎn)等也可認(rèn)為是活動目錄中的對象?；顒幽夸浖軜?gòu)◆具有活動目錄中所有對象的定義；◆用對象類和對象屬性來描述每個對象；◆在Windows的網(wǎng)絡(luò)中，整個森林只有一種架構(gòu)；◆架構(gòu)保留在活動目錄中?；顒幽夸浀倪壿嫎?gòu)造活動目錄的邏輯構(gòu)造用來組織網(wǎng)絡(luò)資源。域（Domain）◆域是Windows活動目錄的關(guān)鍵單元，是共享同一活動目錄的一組計算機(jī)集合；◆域是安全的邊界，在缺省的狀況下，一種域的管理員只能管理他自己的域，一種域的管理員要管理其他的域，需要專門的授權(quán)；◆域是復(fù)制單位，一種域可包括多種域控制器，當(dāng)某個域控制器的活動目錄數(shù)據(jù)庫修改后來，會將此修改復(fù)制到其他所有域控制器。組織單元（OrganizationalUnits，OU）◆OU是域下面的容器對象，用于組織對活動目錄對象的管理，是Windows中最小的管理單元；◆OU可用來匹配一種企業(yè)的實(shí)際組織構(gòu)造，域的管理員可以指定某個顧客去管理某個OU；◆OU也可以像域同樣做成樹狀的構(gòu)造，即OU下面還可以有OU；◆使用OU可取代WindowsNT4.0的多域網(wǎng)絡(luò)，參見圖1。圖1樹和森林（TreesandForests）樹（Trees）：由一種或多種域構(gòu)成。Windows中的樹共享持續(xù)的名字空間；樹具有雙向、傳遞信任，即缺省狀況下，Windows中父域和子域、樹和樹之間的信任關(guān)系都是雙向的，并且是可傳遞的。森林（Forests）：森林由一棵或多棵樹構(gòu)成。森林中的樹不共享一種持續(xù)的名字空間，但共享一種一般架構(gòu)和全局目錄。全局目錄（GlobalCatalog）GlobalCatalog（GC）是一種包括活動目錄中所有對象的屬性信息（不是完全信息，是常用屬性的一種子集）的倉庫，它為顧客提供如下重要功能：◆在整個森林中查找活動目錄的信息；◆使用通用組組員信息登錄到網(wǎng)絡(luò)；◆活動目錄中的第一種域控制器自動成為全局目錄，為了平衡登錄和查詢流量，您可以設(shè)置額外的全局目錄。活動目錄的物理構(gòu)造物理構(gòu)造用來設(shè)置和管理網(wǎng)絡(luò)流量?；顒幽夸浀奈锢順?gòu)造由域控制器和站點(diǎn)構(gòu)成。域控制器（DomainController）活動目錄復(fù)制：多主復(fù)制模式（Multi-MasterReplicationModel）和活動目錄的物理構(gòu)造決定復(fù)制在什么時候發(fā)生和怎樣發(fā)生。單主操作：對從森林中添加/刪除域這樣的操作，不適合用多主復(fù)制的模式，需要單主復(fù)制，執(zhí)行單主操作的計算機(jī)稱為操作主機(jī)。站點(diǎn)（Sites）◆站點(diǎn)由一種或多種高速連接的IP子網(wǎng)構(gòu)成；◆站點(diǎn)是網(wǎng)絡(luò)的物理構(gòu)造，站點(diǎn)和域沒有必然聯(lián)絡(luò)，一種站點(diǎn)可包括多種域，一種域也可跨多種站點(diǎn)；◆創(chuàng)立站點(diǎn)的重要理由是為了優(yōu)化復(fù)制流量和使顧客可以用可靠的高速線路連接到域控制器?；顒幽夸浖蓞^(qū)域要實(shí)現(xiàn)活動目錄集成區(qū)域，DNSServer必須裝有活動目錄的DC。由于集成后DNS的區(qū)域數(shù)據(jù)庫文獻(xiàn)變成了活動目錄的一部分，它的復(fù)制被包括在活動目錄的復(fù)制中，因此不會再發(fā)生DNS區(qū)域傳播（ZoneTransfer）。但仍然能向非活動目錄集成的輔助服務(wù)器執(zhí)行區(qū)域傳播，防止了主服務(wù)器失敗后，DNS記錄無法被更新。安裝和設(shè)置DNS以支持活動目錄若在安裝活動目錄時同步安裝DNS，操作系統(tǒng)會自動配置DNS，并創(chuàng)立與活動目錄域同名的DNS正向查詢區(qū)域、配置此正向查詢區(qū)域與活動目錄集成?；顒幽夸泴NS的規(guī)定◆支持SRV記錄（強(qiáng)制）；◆支持動態(tài)更新協(xié)議（推薦）；◆支持增量區(qū)域傳播（推薦）。活動目錄的顧客登錄名主顧客名（UserPrincipalName）主顧客名的格式同E-mail地址，例如，，john稱為主顧客名前綴，稱為主顧客名后綴，一般為根域的域名。主顧客名只能用于登錄Windows的網(wǎng)絡(luò)。顧客登錄名（UserLogonName）用于Pre-Windows的環(huán)境或Windows；登錄時需要顧客名和域名。顧客名惟一性原則◆全名在所屬的容器內(nèi)惟一；◆顧客登錄名在所屬的域內(nèi)惟一；◆主顧客名在整個森林內(nèi)惟一?；顒幽夸浿械慕M全局組（GlobalGroups）；域當(dāng)?shù)亟M（DomainLocalGroups）；通用組（UniversalGroups）：通用組一般用于多域的狀況，通用組的組員信息保留在GC中。盡量防止通用組直接包括顧客賬號組員，而使用全局組作為通用組的組員。在域中使用組的方略使用A-G-DL-P方略；使用A-G-G-DL-P方略；使用A-G-U-DL-P方略。這里，A表達(dá)顧客賬號，G表達(dá)全局組，U表達(dá)通用組，DL表達(dá)域當(dāng)?shù)亟M，P表達(dá)資源權(quán)限。A-G-DL-P方略是將顧客賬號添加到全局組中，將全局組添加到域當(dāng)?shù)亟M中，然后為域當(dāng)?shù)亟M分派資源權(quán)限。其他類推。在活動目錄中出版資源所有Windows的共享打印機(jī)都被自動出版在活動目錄中；刪除打印機(jī)時也會自動刪除活動目錄中的打印機(jī)；打印服務(wù)器負(fù)責(zé)在活動目錄中出版打印機(jī)；當(dāng)修改打印機(jī)屬性時，會自動更新活動目錄中打印機(jī)的屬性?；顒幽夸洶踩M件安全主體（SecurityPrincipals）安全主體是一種可以對它分派權(quán)限的對象，例如，顧客、組和計算機(jī)；每一種Windows域中的安全主體均有一種惟一的安全標(biāo)識符。安全標(biāo)識符（SecurityIdentifier——SIDs）安全標(biāo)識符是用來標(biāo)識一種安全主體的一種數(shù)值，它在這個主體被創(chuàng)立時產(chǎn)生，絕對不會重用。Windows中的訪問控制機(jī)制是基于SIDs，而不是基于名字。安全描述符（SecurityDescriptors）安全描述符是包括與一種可以設(shè)置安全對象有關(guān)的安全信息的數(shù)據(jù)構(gòu)造，重要包括如下內(nèi)容：頭部：安全描述符的版本信息和一組控制標(biāo)志；所有者：此對象所有者的SID；重要組：所有者所屬的重要組的SID；DACL（DiscretionaryAccessControlList）：顧客對此對象的訪問控制列表；SACL(SystemAccessControlList)：對顧客進(jìn)行審核的訪問控制列表。假如在一種對象上設(shè)置了權(quán)限，這個對象的安全描述符中將包括一種DACL。DACL中包括容許或拒絕訪問這個對象的顧客和組的SIDs；假如還對這個對象設(shè)置了審核，它的安全描述符中還包括一種SACL?；顒幽夸洐?quán)限權(quán)限是一種對象所有者的授權(quán)，通過授權(quán)，顧客可以對特殊對象進(jìn)行操作。假如對象是所有者，可以分派給其他顧客或組部分或所有任務(wù)的權(quán)限，還可以分派所有權(quán)的權(quán)限。◆容許權(quán)限或拒絕權(quán)限：拒絕權(quán)限比任何容許權(quán)限優(yōu)先級高；◆間接否認(rèn)或直接否認(rèn)（ImplicitlyDenyorExplicitlyDeny）：例如不是明確指定的操作權(quán)限是間接否認(rèn)；◆原則權(quán)限和特殊權(quán)限：原則權(quán)限是常常分派的權(quán)限，而特殊權(quán)限是對分派訪問權(quán)限的更細(xì)致的控制：◆完全控制；◆讀出：查看對象和對象屬性；◆寫入：修改對象內(nèi)容和屬性；◆創(chuàng)立所有子對象：向OU中添加對象；◆刪除所有子對象：從OU中刪除對象。試驗(yàn)技術(shù)安裝活動目錄1．必備條件：計算機(jī)必須安裝WindowsServer，AdvancedServer、DatacenterServer和最小250M的可用磁盤空間；必須有NTFS磁盤分區(qū)或卷用于保留SYSVOL文獻(xiàn)夾；必須運(yùn)行TCP/IP協(xié)議和DNS服務(wù)（可在安裝活動目錄的同步安裝DNS），計算機(jī)須安裝網(wǎng)卡。2．在Windows上使用dcpromo命令，將出現(xiàn)“AD安裝向?qū)А睂υ捒?，若在網(wǎng)絡(luò)中第一次安裝活動目錄時，所創(chuàng)立的是森林的根域，此時選擇“新域的域控制器”單項(xiàng)選擇鈕。3．選擇“創(chuàng)立一種新的目錄樹”和“創(chuàng)立新的域目錄樹”單項(xiàng)選擇鈕，輸入新域的DNS全名，例如，，輸入NetBIOS名，它一般取DNS域名的第一部分或前15位，這里是cyc，然后指定AD數(shù)據(jù)庫和SYSVOL保留的文獻(xiàn)，后者必須位于NTFS分區(qū)。4．最終指定權(quán)限和密碼等，此時開始安裝AD并創(chuàng)立一種Windows的域?；顒幽夸洶惭b后，將在“程序/管理下產(chǎn)生三項(xiàng)：ActiveDirectory顧客和計算機(jī)、ActiveDirectory域和信任關(guān)系、ActiveDirectory站點(diǎn)和服務(wù)。5．若用無人值守的安裝腳本去安裝活動目錄，則使用命令：dcpromo.exe/answer：answer_file。而應(yīng)答文獻(xiàn)answer_file內(nèi)容的范例為：[DCInstall]AdministratorPasswordabcdAutoConfigDNSyesCreateOrJoincreateDatabasePathc:\winnt\ntdsDNSOnNetworknoDomainNetBiosNameeasthomeLogPathc:\winnt\ntdsNewDomainDNSNParentDomainDNSNameRebootOnSuccessyesReplicaOrNewDomaindomainSiteNamedefault-first-site-nameSysVolPathc:\winnt\sysvolTreeOrChildtree6．若要刪除活動目錄，則使用dcpromo/CA命令。創(chuàng)立批量顧客批量倒入過程（TheBulkImportProcess）將顧客信息事先創(chuàng)立到文本文獻(xiàn)中，有兩種類型的文本文獻(xiàn)：用逗號分割的文獻(xiàn)和用回車符分割的文獻(xiàn)。用逗號分割的文獻(xiàn)格式：dn，objectclass，samaccountname，userprincipalname，displayname，useraccountcontrol用回車符分割的文獻(xiàn)格式：#creatjohn（闡明行）dn：cn=john，ou=humanresourses，dc=cyc，dc=comObjectclass：userSamaccountname：johnUserprincipalname：Displayname：johnUseraccountcontrol：512用CSVDE創(chuàng)立多種顧客賬號命令格式：csvde-i-ffilename其中：-i表達(dá)正在把一種文獻(xiàn)導(dǎo)入活動目錄；-f表達(dá)下一種參數(shù)是導(dǎo)入的文獻(xiàn)名且是使用逗號分割的文獻(xiàn)。CSVDE只能創(chuàng)立顧客，不能修改和刪除顧客。用LDIFDE創(chuàng)立多種顧客賬號命令格式：ldifde-i-ffilenameLDIFDE命令使用的文獻(xiàn)是用回車符分割的文獻(xiàn)，它不僅能創(chuàng)立顧客，并且能修改和刪除顧客。在“ActiveDirectory顧客和計算機(jī)”窗口建立顧客賬號1．從“開始”菜單，依次選擇“程序”、“管理工具”與“ActiveDirectory顧客和計算機(jī)”命令，將打開“ActiveDirectory顧客和計算機(jī)”窗口。2．展開要建立的域，使用鼠標(biāo)右鍵單擊要建立顧客和組的文獻(xiàn)夾，在彈出的快捷菜單上選擇“新建”命令，再選擇對應(yīng)的下一級命令。公布打印機(jī)1．在“ActiveDirectory顧客和計算機(jī)”窗口上，右擊需要公布打印機(jī)的OU。2．選擇“新建”，并選擇“打印機(jī)”命令。3．輸入要在活動目錄上公布的打印機(jī)的UNC（格式：\\servername\sharename）名字?；颍菏褂肞ubprn..vbs腳本文獻(xiàn)（%systemroot%\system32\pubprn.vbs），其格式：pubprn.vbs\\instructor\canonLDAP：//OU=Sales，DC=cyc，DC=com公布共享文獻(xiàn)夾1．在“ActiveDirectory顧客和計算機(jī)”窗口上，右擊需要公布打印機(jī)的OU。2．選擇“新建”，并選擇“共享文獻(xiàn)夾”命令。3．輸入要在活動目錄上公布的共享文獻(xiàn)夾的UNC名字。設(shè)置活動目錄權(quán)限設(shè)置原則權(quán)限1．從“開始”菜單，依次選擇“程序”、“管理工具”與“ActiveDirectory顧客和計算機(jī)”命令。2．在“ActiveDirectory顧客和計算機(jī)”窗口上單擊“查看”菜單，選擇“高級功能”命令。3．右擊要設(shè)置權(quán)限的對象，選擇“屬性”命令，將打開“屬性”對話框，并單擊“安全”標(biāo)簽。4．要添加新權(quán)限，單擊“添加”按鈕，單擊需要委派權(quán)限的顧客賬戶或組，單擊“添加”按鈕，然后單擊“確定”；若要刪除權(quán)限，選擇需要刪除的顧客賬戶或組，單擊“刪除”按鈕，然后單擊“確定”。5．在“權(quán)限”欄目中，選擇需要添加或變化權(quán)限的“容許”或“拒絕”復(fù)選框。設(shè)置特殊權(quán)限原則權(quán)限對于大多數(shù)管理任務(wù)來說已經(jīng)足夠，然而，也可以瀏覽一下原則權(quán)限中的特殊權(quán)限，這可以使訪問權(quán)限的控制愈加細(xì)致。按下列環(huán)節(jié)瀏覽特殊權(quán)限：1．在“屬性”對話框，單擊“安全”標(biāo)簽，單擊“高級”按鈕。2．在“訪問控制設(shè)置”對話框上，在“權(quán)限”標(biāo)簽上，單擊需要瀏覽的項(xiàng)，然后單擊“查看/編輯”按鈕。3．將打開“權(quán)限項(xiàng)目”對話框，實(shí)既有關(guān)設(shè)置。委派管理控制委派是將活動目錄對象的管理責(zé)任分派給某顧客、組或OU。1．啟動“控制委派向?qū)А?，在“ActiveDirectory顧客和計算機(jī)”窗口中，單擊需要委派控制的OU，在快捷菜單上，單擊“委派控制”菜單，將打開“控制委派向?qū)А薄?．選擇將要委派控制的顧客或組。3．指定委派的任務(wù)。4．選擇活動目錄對象類型。委派控制向?qū)菰S選擇下列控制中的一種：◆詳細(xì)的OU。對詳細(xì)OU的控制意味著可以管理OU內(nèi)所有的對象，也可以在該OU中建立新的對象?！鬙U內(nèi)詳細(xì)的對象。向?qū)э@示一系列可以委派控制的對象類型，例如，計算機(jī)對象、組對象和打印機(jī)對象。5．把權(quán)限分給將要委派控制的顧客或組。權(quán)限類型為：◆常規(guī)：最常用的權(quán)限；◆特殊屬性：所有屬性的權(quán)限；◆特殊子對象的創(chuàng)立/刪除：建立或刪除新對象的權(quán)限。結(jié)束語互聯(lián)網(wǎng)的發(fā)展速度舉世矚目，通過互聯(lián)網(wǎng)所帶來的經(jīng)濟(jì)效益更為人們所關(guān)注。在網(wǎng)絡(luò)日益普及的今天，