活動目錄檢視原始碼討論檢視歷史
 |
活動目錄(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。活動目錄服務是Windows Server 2000操作系統平台的中心組件之一。[1]理解活動目錄對於理解Windows Server 2000的整體價值是非常重要的。這篇關於活動目錄服務所涉及概念和技術的介紹文章描述了活動目錄的用途,提供了對其工作原理的概述,並概括了該服務為不同組織和機構提供的關鍵性商務及技術便利。
目錄
簡介
活動目錄(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。(Active Directory不能運行在Windows Web Server上,但是可以通過它對運行Windows Web Server的計算機進行管理。)Active Directory存儲了有關網絡對象的信息,並且讓管理員和用戶能夠輕鬆地查找和使用這些信息。Active Directory使用了一種結構化的數據存儲方式,並以此作為基礎對目錄信息進行合乎邏輯的分層組織。
Microsoft Active Directory 服務是Windows 平台的核心組件,它為用戶管理網絡環境各個組成要素的標識和關係提供了一種有力的手段。[2]
數據存儲
人們經常將數據存儲作為目錄的代名詞。目錄包含了有關各種對象 [例如用戶、用戶組、計算機、域、組織單位(OU)以及安全策略] 的信息。這些信息可以被發布出來,以供用戶和管理員的使用。
目錄存儲在被稱為域控制器的服務器上,並且可以被網絡應用程序或者服務所訪問。一個域可能擁有一台以上的域控制器。每一台域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器複製到域、域樹或者森林中的其它域控制器上。由於目錄可以被複製,而且所有的域控制器都擁有目錄的一個可寫副本,所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。
目錄數據存儲在域控制器上的Ntds.dit文件中。我們建議將該文件存儲在一個NTFS分區上。有些數據保存在目錄數據庫文件中,而有些數據則保存在一個被複製的文件系統上,例如登錄腳本和組策略。
有三種類型的目錄數據會在各台域控制器之間進行複製:
·域數據。域數據包含了與域中的對象有關的信息。一般來說,這些信息可以是諸如電子郵件聯繫人、用戶和計算機帳戶屬性以及已發布資源這樣的目錄信息,管理員和用戶可能都會對這些信息感興趣。
例如,在向網絡中添加了一個用戶帳戶的時候,用戶帳戶對象以及屬性數據便被保存在域數據中。如果您修改了組織的目錄對象,例如創建、刪除對象或者修改了某個對象的屬性,相關的數據都會被保存在域數據中。
·配置數據。 配置數據描述了目錄的拓撲結構。配置數據包括一個包含了所有域、域樹和森林的列表,並且指出了域控制器和全局編錄所處的位置。
·架構數據。架構是對目錄中存儲的所有對象和屬性數據的正式定義。Windows Server 2003提供了一個默認架構,該架構定義了眾多的對象類型,例如用戶和計算機帳戶、組、域、組織單位以及安全策略。管理員和程序開發人員可以通過定義新的對象類型和屬性,或者為現有對象添加新的屬性,從而對該架構進行擴展。架構對象受訪問控制列表(ACL)的保護,這確保了只有經過授權的用戶才能夠改變架構。
功能介紹
活動目錄(Active Directory)主要提供以下功能:
①服務器及客戶端計算機管理:管理服務器及客戶端計算機賬戶,所有服務器及客戶端計算機加入域管理並實施組策略。
②用戶服務:管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵件系統集成)、用戶組管理、用戶身份認證、用戶授權管理等,按省實施組管理策略。
③資源管理:管理打印機、文件共享服務等網絡資源。
④桌面配置:系統管理員可以集中的配置各種桌面配置策略,如:用戶使用域中資源權限限制、界面功能的限制、應用程序執行特徵限制、網絡連接限制、安全配置限制等。
⑤應用系統支撐:支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。
升級方法
在windows server上啟用AD的方法:
1、打開運行對話框
2、在運行對話框裡輸入dcpromo,進入AD安裝嚮導 (註:Windows Server 2012的版本以後均不支持該命令升級)
安全性
安全性通過登錄身份驗證以及目錄對象的訪問控制集成在Active Directory之中。通過單點網絡登錄,管理員可以管理分散在網絡各處的目錄數據和組織單位,經過授權的網絡用戶可以訪問網絡任意位置的資源。基於策略的管理則簡化了網絡的管理,即便是那些最複雜的網絡也是如此。
Active Directory通過對象訪問控制列表以及用戶憑據保護其存儲的用戶帳戶和組信息。因為Active Directory不但可以保存用戶憑據,而且可以保存訪問控制信息,所以登錄到網絡上的用戶既能夠獲得身份驗證,也可以獲得訪問系統資源所需的權限。例如,在用戶登錄到網絡上的時候,安全系統首先利用存儲在Active Directory中的信息驗證用戶的身份。然後,在用戶試圖訪問網絡服務的時候,系統會檢查在服務的自由訪問控制列表(DACL)中所定義的屬性。
因為Active Directory允許管理員創建組帳戶,管理員得以更加有效地管理系統的安全性。例如,通過調整文件的屬性,管理員能夠允許某個組中的所有用戶讀取該文件。通過這種辦法,系統將根據用戶的組成員身份控制其對Active Directory域中對象的訪問操作。
架構
分類
分類,又稱對象分類,描述了管理員所能夠創建的目錄對象。每一個分類都是一組對象的集合。在您創建某個對象時,屬性便存儲了用來描述對象的信息。例如,「用戶」分類便由多個屬性組成,其中包括網絡地址、主目錄等等。Active Directory中的所有對象都是某個對象分類的一個實例。
擴展
有經驗的開發人員和網絡管理員可以通過為現有分類定義新的屬性或者定義新的分類來動態地擴展架構。
架構的內容由充當架構操作主控角色的域控制器進行控制。架構的副本被複製到森林中的所有域控制器上。這種共用架構的使用方式確保了森林範圍內的數據完整性和一致性。
此外,您還可以使用「Active Directory架構」管理單元對架構加以擴展。為了修改架構,您必須滿足以下三個要求:
· 成為「Schema Administrators」(架構管理員)組的成員
· 在充當架構操作主控角色的計算機上安裝「Active Directory架構」管理單元
· 擁有修改主控架構所需的管理員權限
在考慮對架構進行修改時,必須注意以下三個要點:
· 架構擴展是全局性的。 在您對架構進行擴展的時候,您實際上擴展了整個森林的架構,因為對架構的任何修改都會被複製到森林中所有域的所有域控制器上。
· 與系統有關的架構分類不能被修改。您不能修改Active Directory架構中的默認系統分類;但是,用來修改架構的應用程序可能會添加可選的系統分類,您可以對這些分類進行修改。
· 對架構的擴展不可撤銷。某些屬性或者分類的屬性可以在創建後修改。在新的分類或者屬性被添加到架構中之後,您可以將它置於非激活狀態,但是不能刪除它。但是,您可以廢除相關定義並且重新使用對象標識符(OID)或者顯示名稱,您可以通過這種方式撤銷一個架構定義。
有關架構修改的更多信息,請通過參閱 Microsoft Windows 資源工具包。
Active Directory不支持架構對象的刪除;但是,對象可以被標記為「非激活」,以便實現與刪除同等的諸多益處。
屬性
屬性和分類單獨進行定義。每一個屬性僅僅定義一次,但是可以在多個分類中使用。例如,「Description」(描述)屬性可以使用在多個分類中,但是只需在架構中定義一次即可,以保持數據的一致性。
屬性用來描述對象。每一個屬性都擁有它自己的定義,定義則描述了特定於該屬性的信息類型。架構中的每一個屬性都可以在「Attribute-Schema」分類中指定,該分類決定了每一個屬性定義所必須包含的信息。
能夠應用到某個特殊對象上的屬性列表由分類(對象是該分類的一個實例)以及對象分類的任何超類所決定。屬性僅僅定義一次,但是可以多次使用。這確保了共享同一個屬性的所有分類能夠保持一致性。
多值屬性
屬性可以是單值的也可以是多值的。屬性的架構定義指定了屬性的實例是否必須是多值的。單值屬性的實例可以為空,也可以包含一個單值。多值屬性的實例可以為空,也可以包含一個單值或多值。多值屬性的每一個值都必須是唯一的。
索引屬性
索引應用於屬性,而不是分類。對屬性進行索引有助於更快地查詢到擁有該屬性的對象。當您將一個屬性標記為「已索引」之後,該屬性的所有實例都會被添加到該索引,而不是僅僅將作為某個特定分類成員的實例添加到索引。
添加經過索引的屬性會影響Active Directory的複製時間、可用內存以及數據庫大小。因為數據庫變得更大了,所以需要花費更多的時間進行複製。
多值屬性也可以被索引。同單值屬性的索引相比,多值屬性的索引進一步增加了Active Directory的大小,並且需要更多的時間來創建對象。在選擇需要進行索引的屬性時,請確信所選擇的共用屬性,而且能夠在開銷和性能之間取得平衡。 一個經過索引的架構屬性還可以被用來存儲屬性的容器所搜索,從而避免了對整個Active Directory數據庫進行搜索。這樣不僅縮短了搜索所需花費的時間,而且減少了在搜索期間需要使用的資源數量。
擔當角色
全局編錄在森林中最初的一台域控制器上自動創建。您可以為任何一台域控制器添加全局編錄功能,或者將全局編錄的默認位置修改到另一台域控制器上。
· 查找對象全局編錄允許用戶搜索森林所有域的目錄信息,而不管數據存儲在何處。森林內部的搜索可以利用最快的速度和最小的網絡流量得以執行。
在您從「開始」菜單搜索人員或打印機,或者在某個查詢的內部選擇了「整個目錄」選項的時候,您就是在對全局編錄進行搜索。在您輸入搜索請求之後,請求便會被路由到默認的全局編錄端口3268,以便發送到一個全局編錄進行解析。
· 提供了根據用戶主名的身份驗證。在進行身份驗證的域控制器不知道某個賬戶是否合法時,全局編錄便可以對用戶的主名進行解析。例如,如果用戶的賬戶位於example1.域,而用戶決定利用這個用戶主名從位於example2的一台計算機上進行登錄,那麼example2.的域控制器將無法找到該用戶的賬戶,然後,域控制器將於全局編錄服務器聯繫,以完成整個登錄過程。
· 在多域環境下提供通用組的成員身份信息。和存儲在每個域的全局組成員身份不同,通用組成員身份僅僅保存在全局編錄之中。例如,在屬於一個通用組的用戶登錄到一個被設置為Windows 2000本機域功能級別或者更高功能級別的域的時候,全局組將為用戶賬戶提供通用組的成員身份信息。
如果在用戶登錄到運行在Windows 2000本機或者更高級別中的域的時候,某個全局編錄不可用並且用戶先前曾經登錄到該域,計算機將使用緩存下來的憑據讓用戶登錄。如果用戶以前沒有在該域登錄過,用戶將僅僅能夠登錄到本地計算機。 說明:即便全局編錄不可用,「Domain Administrators」(域管理員)組的成員也可以登錄到網絡中。
查找目錄信息
正如前面所介紹的,Active Directory的設計目的在於為來自用戶或應用程序的查詢提供有關目錄對象的信息。管理員和用戶可以使用「開始」菜單中的「搜索」命令輕鬆對目錄進行搜索和查找。客戶端程序也可以使用Active Directory服務接口(ADSI)訪問Active Directory中的信息。
Active Directory的主要益處就在於它能夠存儲有關網絡對象的豐富信息。在Active Directory中發布的有關的用戶、計算機、文件和打印機的信息可以被網絡用戶所使用。這種可用性能夠通過查看信息所需的安全權限加以控制。
網絡上的日常工作涉及用戶彼此之間的通信,以及對已發布資源的連接和訪問。
這些工作需要查找名稱和地址,以便發送郵件或者連接到共享資源。在這方面,Active Directory就像是一個在企業中共享的地址簿 。例如,您可以按照姓、名、電子郵件地址、辦公室位置或者其它用戶賬戶屬性查找用戶。如前所述,信息的查找過程由於使用了全局編錄而得到了優化。
客戶端
利用Active Directory客戶端,Windows 2000 Professional 或者 Windows XP Professional所擁有的眾多Active Directory特性可以被運行Windows 95、Windows 98以及Windows NT ® 4.0操作系統的計算機所使用:
· 站點感知。您可以登錄到網絡中距離客戶端最近的一台域控制器上。
· Active Directory 服務接口(ADSI)。您可以使用它為Active Directory編寫腳本。ADSI還為Active Directory編程人員提供了一個公共的編程API。
·分布式文件系統(DFS)容錯客戶端。您可以訪問Windows 2000 以及運行Windows DFS 容錯和故障轉移文件共享的服務器,這些文件共享在Active Directory中指定。
· NTLM version 2身份驗證。您可以使用NT LanMan (NTLM) version 2中經過改進的身份驗證特性。有關啟用NTML version 2的更多信息,請參閱Microsoft 知識庫文章Q,「如何啟用NTLM 2身份驗證」 :http://support./.
· Active Directory Windows 地址簿(WAB)屬性頁。您可以修改用戶對象頁上的屬性,例如電話號碼和地址。
· Active Directory的搜索能力。您可以通過「開始」按鈕,查找Windows 2000 Server 或者Windows 域中的打印機和人員。有關在Active Directory中發布打印機的更多信息,請參閱Microsoft 知識庫文章在 Windows 2000 Active Directory中發布打印機」:http://support..
Windows 2000 Professional 和 Windows XP Professional 提供了Windows 95、Windows 98和Windows NT 4.0上的Active Directory客戶端所沒有的一些功能,例如:對Kerberos version 5的支持;對組策略或者IntelliMirror ® 管理技術的支持;以及服務主名或者相互驗證。通過升級到Windows 2000 Professional或Windows XP Professional,您可以對這些附加特性加以充分利用。
為了安裝Active Directory客戶端,請參閱Active Directory 客戶端頁面。
生產力
作為管理企業標識、對象和關係的主要手段,Active Directory中的接口(包括編程接口和用戶界面)已經得到了改進,以提高管理工作的效率和系統的集成能力。
讓Active Directory更加易於使用和管理
Active Directory包含了眾多增強特性,例如對MMC管理單元的改進以及對象選擇工具組件等,它們讓Active Directory變得更加易於使用。MMC插件方便了多個對象的管理。管理員可以:
· 編輯多個用戶對象。 一次選擇並編輯多個對象屬性。
· 保存查詢。將針對Active Directory服務的查詢保存下載以便今後使用。結果可以用XML格式導出。
· 使用經過改進的對象選擇工具組件快速選擇對象。該組件經過重新設計並且得到了加強,能夠改善工作流和提高在大目錄中查找對象的效率,同時還提供了一種更靈活的查詢功能。各種用戶界面均可以使用該組件,並且可以為第三方開發人員所使用。
更多的集成和生產力特性和改進
特性 描述
ACL 列表用戶界面的修改 ACL用戶界面已經得到了增強,以改善其易用性以及繼承和特定的對象權限。
擴展性增強 那些擁有某個獨立軟件開發商(ISV)或者原始設備製造商(OEM)所開發的能夠利用Active Directory的軟件或設備的管理員擁有了更加出色的管理能力,並且可以添加任何對象分類作為組的成員。
來自其它LDAP目錄的用戶對象 在LDAP目錄中定義的用戶對象使用了RFC 2798中定義的inetOrgPerson類(例如Novell和Netscape),這些對象可以使用Active Directory用戶界面進行定義。這個與Active Directory用戶對象配合工作的用戶界面可以處理inetOrgPerson對象。現在,任何需要使用inetOrgPerson類的應用程序或者客戶都可以輕鬆實現它們的目的。
Passport 集成(通過IIS) Passport身份驗證現在可以通過Internet Information Services (IIS) 6.0進行,而且允許Active Directory用戶對象被映射到他們相應的Passport標識符上(如果存在該標識)。本地安全機構(Local Security Authority,LSA)將為用戶創建一個令牌,然後IIS 6.0將根據HTTP請求對其加以設置。現在,擁有相應Passport 標識的Internet用戶可以使用他們的Passport訪問資源,就如同使用他們的Active Directory憑據一樣。
利用ADSI使用終端服務器特定於終端服務器用戶的屬性可以通過使用Active Directory服務接口(ADSI)編寫腳本進行設置。除了通過目錄手動設置之外,用戶屬性可以利用腳本加以設定。這樣做的一個好處就是:可以通過ADSI容易地實現屬性的批量修改或編程修改。
複製和信任監視WMI提供者 Windows管理規範(WMI)類可以監視域控制器之間是否成功地對Active Directory信息進行了複製。因為眾多的Windows 2000組件,例如Active Directory複製,都需要依賴於域間的相互信任,本特性還為監視信任關係是否能夠正常工作提供了一種手段。管理員或者運營隊伍可以通過WMI在發生複製問題時輕鬆獲得報警。
MSMQ 分發列表消息隊列(Message Queuing,MSMQ)現在支持向駐留在Active Directory中的分發列表(Distribution Lists)發送消息。MSMQ用戶可以通過Active Directory輕鬆管理分發列表。
配置管理
Windows Server 2003 增強了管理員有效配置和管理Active Directory的能力,即便是擁有多個森林、域和站點的超大型企業也可以得到輕鬆的管理。
利用新的安裝嚮導配置Active Directory
新的「配置您的服務器」嚮導簡化了設置Active Directory的過程,並且針對特定的服務器角色提供了經過預先定義的設置,它的優點之一便是:能夠幫助管理員對服務器的初始化部署方式實施標準化。
在服務器安裝期間,管理員可以獲得幫助,通過幫助用戶安裝他們在Windows安裝過程中選擇需要的可選組件,服務器的安裝過程變得更加便利。他們可以使用該嚮導執行以下工作:
· 通過使用基本的默認設置自動配置DHCP、DNS和Active Directory,建立網絡中的第一台服務器。
· 在用戶安裝文件服務器、打印服務器、Web和媒體服務器、應用服務器、RAS和路由或者IP地址管理服務器的時候,為用戶指出完成安裝所需的特性,從而幫助用戶在網絡中配置成員服務器。
管理員可以使用本特性進行災難恢復,將服務器配置複製到多台計算機上,完成安裝,配置服務器角色,或者在網絡中建立第一個配置或主服務器。
其它管理特性和改進
特性 描述
自動創建DNS區域 在運行Windows Server 2003操作系統時,DNS區域和服務器可以自動創建並配置。您可以在企業中創建它們以託管新的區域。本特定可以極大減少手動配置每台DNS服務器所需的時間。
得到改進的站點間複製拓撲生成過程 站點間拓撲生成器(ISTG)已經得到更新,不僅可以利用改進過的算法,而且能夠支持比在Windows 2000下擁有更多數量站點的森林。因為森林中的所有運行ISTG角色的域控制器都必須在站點間複製拓撲方面取得一致,新的算法在森林被提升到Windows Server 2003森林本機模式之前不會被激活。新的ISTG算法跨越森林提供了得到改善的複製性能。
DNS 配置增強 本特性簡化了DNS錯誤配置的調試和報告過程,有助於正確配置Active Directory部署所需要的DNS基礎結構。
這包括了在一個現有森林中提升某個域控制器的情況,「Active Directory安裝嚮導」會與現有的一台域控制器進行聯繫,以更新目錄並從該域控制器複製必需的目錄部分。如果嚮導由於不正確的DNS配置而無法找到域控制器,或者域控制器發生故障無法使用,它將執行調試過程,報告產生故障的原因,並指出解決該故障的方法。
為了能夠找到網絡中的域控制器,所有的域控制器都必須登記它的域控制器定位DNS記錄。「Active Directory安裝嚮導」會驗證DNS基礎結構是否得到了正確的配置,以便新的域控制器能夠進行域控制器定位DNS記錄的動態更新。如果此項檢查發現了不正確的DNS基礎結構配置,它將報告相關問題,並給出解釋,告知修復該問題的方法。
通過媒介安裝副本 和通過網絡複製Active Directory數據庫的完整副本不同,本特性允許管理員通過文件創建初始副本,這些文件是在對現有域控制器或者全局編錄服務器進行備份的時候所生成的。任何具有Active Directory意識的備份工具所創建的備份文件都可以使用媒介(例如磁帶、CD、VCD或者網絡文件複製)傳輸到候選域控制器上。
遷移工具增強 Active Directory遷移工具(ADMT)在Windows Server 2003中得到了增強,它可以提供:
口令遷移。ADMT version 2 允許用戶將口令從Windows NT 4.0 遷移到 Windows 2000 或 Windows Server 2003 域中,也可以將口令從Windows 2000域遷移到Windows Server 2003 域中。
新的腳本接口。對於大多數常見的遷移工作,例如用戶遷移、組遷移和計算機遷移,我們提供了新的腳本接口。ADMT現在可以通過任何語言驅動,並且支持COM接口,例如Visual Basic ® Script、Visual Basic以及Visual C++ ®開發系統。
命令行支持。腳本接口已經得到了擴展,以支持命令行。所有可以通過編寫腳本來完成的工作都可以直接通過命令行或者批處理文件完成。
安全性轉換改進。安全性轉換(例如在ACL內重新調配資源)得到了擴展。現在,源域可以在安全性轉換運行的時候被脫離。ADMT還可以指定一個映射文件,並用該文件作為安全性轉換的輸入。
ADMT version 2 讓用戶向Active Directory的遷移工作變得簡單了,而且提供了能夠實現自動化遷移的更多選項。
特性 描述
應用程序目錄分區Active Directory服務將允許用戶創建新類型的命名上下文環境,或者分區(又稱作應用程序分區)。該命名上下文環境可以包含除安全主體(用戶、組和計算機)之外的各種類型對象的層次結構,而且能夠被配置為複製森林中的任何域控制器集合,而不一定是相同域中的所有域控制器。
通過對複製範圍和副本位置加以控制,本特性為用戶提供了在Active Directory中託管動態數據的能力,而且不會對網絡性能造成不利影響。
存儲在應用程序分區中的集成化DNS區域 Active Directory 中的DNS區域可以在應用程序分區中存儲和複製。通過使用應用程序分區存儲DNS數據,減少了存儲在全局編錄中的對象數量。除此之外,當您在應用程序分區中存儲DNS區域的時候,只有在應用程序分區中指定的部分域控制器會被複製。默認情況下,特定於DNS的應用程序分區僅僅包含那些運行DNS服務器的域控制器。此外,在應用程序分區中存儲DNS區域使得DNS區域可以被複製到位於Active Directory森林其它域中充當DNS服務器的域控制器上。通過將DNS區域集成到應用程序分區中,我們可以限制需要複製的信息數量,並且降低複製所需的整體帶寬。
得到改進的DirSync 控件 本特性改善了Active Directory對一個名為「DirSync」的LDAP控件的支持,該控件被用來從目錄中獲得發生了變化的信息。DirSync控件可以用來進行一些檢查,這些檢查類似於在正常的LDAP搜索上進行的檢查。
功能級別 和Windows 2000的本機模式類似,本特性提供了一種版本控制機制,Active Directory的核心組件可以利用該機制確定域和森林中的每台域控制器都擁有那些功能特性。此外,本特性還可以用來防止Windows Server 2003以前的域控制器加入到一個全部使用Windows Server 2003的Active Directory特性的森林中。
取消架構屬性和分類的激活狀態 Active Directory已經得到了增強,以允許用戶停用Active Directory架構中的某些屬性和分類。如果原始定義中存在錯誤,屬性和分類可以被重新定義。
在將屬性或分類添加到架構中時,如果在設置一個永久性屬性的時候發生了錯誤,停用操作將為用戶提供了一種取代該定義的手段。本操作是可逆的,管理員可以撤銷某個停用操作而不會產生任何不良的副作用。現在,管理員在管理Active Directory的架構方面擁有了更多的靈活性。
域的重命名本特性允許用戶修改森林中現有域的DNS和(或)NetBIOS名稱,同時保證經過修改的森林依然保持良好的組織結構。經過重新命名的域由它的域全局唯一ID(GUID)所代表,它的域安全ID(SID)並沒有發生改變。此外,計算機的域成員關係也不會因為其所在域的名稱發生變化而變化。
本特性沒有包括對森林根域的修改。雖然森林的根域也可以被重命名,但是您不能指定一個其它的域來代替現有的根域而變成一個新的森林根。
域的重命名會導致服務中斷,因為它要求重新啟動所有的域控制器。域的重命名還需要被重命名域中的所有成員計算機都必須重新啟動兩次。雖然本特性為域的重命名提供了一種受支持的手段,但是它既沒有被視作一種例行的IT操作,也沒有成為例行操作的意圖。
升級森林和域 Active Directory已經在安全性和應用程序支持方面添加了很多改進。在現有域或森林中運行Windows Server 2003操作系統的第一台域控制器得到升級之前,森林和域必須為這些新的功能特性做好準備。Adprep便是一個新的工具,用來幫助用戶準備森林和域的升級。如果您是從Windows NT 4.0進行升級,或者在運行Windows Server 2003的服務器上執行Active Directory的全新安裝,那麼您不需要使用Adprep工具。
複製和信任監視 本功能允許管理員對域控制器之間是否成功地複製了信息加以監視。因為很多Windows組件(例如Active Directory複製)都依賴於域間的相互信任,本特性還為信任關係正確發揮作用提供了一種方法。
遵循原則
域設計原則
1、在管理任務明顯由區域劃分的環境中可以獨立設置域,如某公司的亞洲分部和歐洲分部等,可以設立域對各自獨立的資源進行統一管理。
2、 特殊情況下,如果域數據庫中的對象(包括被管理的用戶、計算機、打印機等)過多,超過100萬時(對於中小型企業很難達到),需要考慮增加域。
林設計原則
公司由於業務等需求需要設定多個名字空間,如需要xxxx.xxx和xxxx.xx兩個名字空間,則必須建立林,該林中包含以xxxx.xxx為根域和以xxxx.xx為根域的兩棵樹。並且,需根據實際情況為這2棵樹之間確定好信任關係
OU設計原則
1、對於域安全準則一致的域,如果需要突出其中的某些業務和組織職能,則可以為域創建組織單元(OU),而沒有必要重新創建單獨的域。比如,對一個xxxx.xxx,底下劃分為銷售、人力等部門,可以創建sales、hr等等OU。
2、 在具體的OU設計中,微軟給出了地理模型、對象模型、成本中心模型等7個基本模型供參考。
站點設計原則
站點設置的目的是控制網絡產生的登錄通信量和複製通信量。
(1)登錄通信量:每次當用戶登錄網絡時,Windows 2000/Windows Server 2003/Windows Server 2008都會試圖查找與用戶在同一站點的DC,產生登錄通信量。
(2)複製通信量:將目錄數據庫的變動更新到多個DC,站點將控制該通信量如何以及何時產生。
GC設計原則
GC存儲林中每個對象的一定數量的信息,這些信息通常是被頻繁查詢或者搜索的屬性,當用戶在域外查找對象時,使用GC可以避免調用目的地的DC,從而加快查詢速度和減少網絡流量。建議,每個site都配備一個GC。
DC設計原則
DC的設計與用戶的數量有很大關係,如下表所示:
DNS設計原則
1、儘可能使用與AD集成的DNS,為客戶端登錄尋找DC、DC間尋找提供定位服務。
2、DNS服務器應支持SRV資源記錄外,並建議DNS服務器提供對DNS的動態升級。DNS動態升級定義了一個DNS服務器自動升級的協議,如果沒有此協議,管理員不得不手動配置域控制器產生的新的記錄。
總結
在Windows 2000的原有基礎之上,Windows Server 2003中的Active Directory將重心放在了管理工作的簡化、通用性以及無可匹敵的可靠性上面。和以往相比,Active Directory已經成為了構建企業網絡的堅實基礎,因為它可以:
· 充分利用現有投資,以及對目錄進行合併管理。
· 擴展管理控制的範圍,減少冗餘的管理工作。
· 簡化遠程集成,更有效地使用網絡資源。
· 為基於目錄的應用提供了一個強大、可靠的開發和部署環境。
· 降低TCO並且改善IT資源的利用效率
活動目錄分為目錄和目錄服務兩部分
應用解釋
實例
office添加打印機出現active directory 域服務當前不可用
解決方案
控制面板——網絡和共享中心——文件共享 點啟用
停止—— Print Spooler
啟動類型:停止
控制面板——添加打印機
添加網絡、無線或Bluetooth打印機(W)——選擇要共享的打印機
連接打印機的那台電腦的賬戶要設置密碼啊,默認的administrator沒有密碼可不行哦,防火牆要關的哈,打印機要設置為共享
目錄密碼
常見的一個問題是:對於那些並不關心活動目錄安全的用戶來說,應該如何去實施強化活動目錄密碼?毫無疑問,在廣泛尋求利用不義之財的威脅中,弱活動目錄密碼是最大的漏洞之一。不幸的是,管理人員或其他員工設置的活動目錄密碼策略往往讓許多人陷入困境。
查看Active Directory中一些長期存在的活動目錄組策略對象(Group Policy Objects),很多人的活動目錄設置都有問題。他們認為活動目錄設置越嚴格越好,但情況並不總是這樣。
對於在IT行業工作了幾年的人來說,每個月設置活動目錄複雜密碼的工作量並不大。歸根到底,我們(通常)知道如何創建牢固的活動目錄密碼並且常常使用活動目錄密碼管理器來保持活動目錄的強度。將我們自己的活動目錄個性設置強加給用戶,這樣的活動目錄策略都是很荒謬的。最根本的問題是我們很容易認為用戶知道該做什麼並且放任他們去做,或者認為他們只能自己處理,畢竟這跟安全有關。 許多跟我交談過的用戶無法領悟有關如何創建複雜活動目錄口令培訓的第二重意義。沒人會教給他們設置活動目錄超級容易記住的口令,並且不需要每隔6-12個月進行更改活動目錄。Active Directory活動目錄密碼策略設置和活動目錄培訓往往是後期才會想到的,因為許多人認為在活動目錄基礎之上需要更多的安全策略。我一直認為這不符合真實性並且越來越多的研究支持這一活動目錄理論。
當你努力讓你的企業活動目錄密碼更有彈性時,注意不要只關注域活動目錄密碼。Windows環境裡還有其他值得關注的重要活動目錄系統,這些系統往往沒有強密碼活動目錄策略,最後,活動目錄密碼標準和策略應該全面標準化和策略化的應用。Windows Server或非Windows Server,所設置的較弱活動目錄密碼會在你的活動目錄網絡環境中製造麻煩。要制定出更好的活動目錄密碼。首先,確定風險在哪裡,你可能已經知道了活動目錄弱點在哪裡,因此不必要執行正式的評估或審計。如果不是,你可以使用常用的活動目錄漏洞掃描工具。
一旦決定你的活動目錄密碼標準,立刻調整活動目錄標準和活動目錄部署策略,使其能夠正確按照你的想法來完成工作。最後,記住,在你的密碼活動目錄標準和活動目錄策略的制定完成前,如果開始創建規則外的某個組成員和整個企業系統,那就是麻煩接踵而來的時刻。
功能
重要性
活動目錄考慮你是否需要活動目錄環境的向後兼容性。假設你決定創建一個新的Windows Server 2012 R2域控制器活動目錄森林,並且將森林和域控制器功能級別設置在Windows Server 2012 R2級別。這樣做的話將無法在森林中加入舊版本的域控制器。在全新部署時可能不是一個大問題,但最終會需要處理功能級別問題。
活動目錄在微軟發布Windows Server 2016之後,不得不提高活動目錄功能級別以便使用新的活動目錄功能。在此之前,活動目錄組織將不得不升級域或者森林中的域控制器功能級別。活動目錄域中同時包含Windows Server 2012 R2和Windows Server 2016域控制器是沒有問題的,但是你將無法升級功能級別並且使用新的功能,直到所有遺留的域控制器得倒升級、替換或者退休。
活動目錄還要考慮升級到更高功能級別後的好處。活動目錄引入了大量的新功能是可以通過Windows 2000域控制器使用的。所以活動目錄升級功能級別又有了新動力。
基本原則
活動目錄最近幾個版本引入了相對較少的改進,活動目錄功能級別並不像以前那樣重要了。但這一活動目錄趨勢可能在下一個Windows Server版本中發生逆轉。 為活動目錄的域和森林設置功能級別以便與最早的IT人員需要支持的域控制器版本相匹配。如果你所有的域控制器運行的是現代Windows版本,活動目錄使用較低的功能級別並沒有什麼優勢。
備份和恢復
活動目錄的備份和恢複選項
活動目錄備份工具支持使用不同的備份方法對數據進行保護,如正常、複製、增量、微分或每日備份。然而,活動目錄具有特定的備份需求,活動目錄需要一個「標準的」備份類型。
活動目錄需要用戶精心策劃,因為活動目錄不是一個單一的文件或文件夾,活動目錄是服務器上的數據集合。活動目錄包括系統啟動文件、系統註冊表文件、組件對象模型類註冊數據庫、覆蓋組策略和腳本的系統卷數據,以及所有的活動目錄數據庫組件。綜上所述,這些元素構成了活動目錄域控制器的「系統狀態」。
後來版本的Windows Server,如2008 R2,能夠備份關鍵卷,活動目錄備份所有包含狀態文件的卷。活動目錄包括卷與引導文件、Windows操作系統和註冊表、SYSVOL、AD數據庫或AD日誌文件。除了活動目錄備份系統狀態或關鍵卷,活動目錄管理員也可以選擇執行一個完整的服務器備份,活動目錄備份包括一個完整的圖像,活動目錄有便於服務器支持其他企業服務。
活動目錄恢復有多個備選方案。活動目錄最明顯的選擇是完全恢復——充分利用服務器備份執行域控制器裸機恢復,或活動目錄使用系統狀態備份恢復早期活動目錄系統狀態。活動目錄管理員也可以決定恢復是否授權或非授權。活動目錄對於非授權恢復,活動目錄的恢復域控制器將自動查詢並同步其他域控制器副本來確保恢復結果能夠反映最新的活動目錄狀態。活動目錄對於授權恢復,活動目錄恢復的域控制器被認為是最新版本,活動目錄將恢復服務器複製到其他域控制器。
活動目錄回收站在Windows Server 2008 R2及以後的版本提供,活動目錄保留數據對象並且允許快速恢復已刪除的數據,活動目錄不需要特意從備份進行恢復。
含義
活動目錄並不是新的事物,活動目錄早在Windows 2000 Server中就被引入了,活動目錄是Windows Server OS中的一個主要產品。一些企業已經使用活動目錄 長達15年甚至更久。隨着活動目錄數據庫老化,活動目錄系統會在局部刪除用戶賬號、安裝應用程序失敗或者其他管理上的失誤後積累亂七八糟的東西,以及出現崩潰現象。
Windows Server OS中自帶的活動目錄管理工具可以顯示這些雜亂和崩潰信息,不過這些活動目錄工具不能從活動目錄中刪除不想要的數據。這可能是因為擔心相關聯對象的斷鏈,亦或是內部為了保護活動目錄數據庫所採取的的措施,以防止潛在的活動目錄毀滅性的管理操作。
數據庫的清理
活動目錄數據庫創建一個備份非常重要。如果使用不正確,可以摧毀整個Active Directory。
使用範圍
活動目錄存儲用戶身份,活動目錄管理訪問控制列表,活動目錄執行政策和監控應用程序配置。活動目錄有廣泛的商業使用,因為活動目錄是所有的微軟應用程序的關鍵。
活動目錄能夠很好地與其他Windows產品協同工作。單點登錄功能意味着用戶登錄一次就可獲得支持活動目錄的應用的許可。
活動目錄服務產品還更好地集成了活動目錄第三方工具。因為微軟的活動目錄服務是很早就出現的功能,能夠與更多的管理工具集成。