2003域与活动目录配置(非常详细)

2003域与活动目录配置

2003域与活动目录配置

网络操作系统--Windows Server 2003 管理与配置

2003域与活动目录配置

第3章 域与活动目录本章要点

域、域树和域林 活动目录 安装域控制器 活动目录的管理

2003域与活动目录配置

3.1 域、域树和域林

工作组(Work Group)就是将不同的电脑按功能分别列入不同 的组中，以方便管理。工作组名并没有太多的实际意义，只是 在“网上邻居”的列表中实现一个分组而已。 “工作组”就像 一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供 一个“房间”,以方便网上计算机共享资源的浏览。在主从式网络中，资源集中存放在一台或者几台服务器上，如 果仅仅只有一台服务器，问题就很简单，在服务器上为每一位 员工建立一个账户即可，用户只需登录该服务器就可以使用服 务器中的资源。然而如果资源分布在多台服务器上呢？如图所 示3-1所示，要在每台服务器分别为每一员工建立一个账户(共 M×N个),用户需要在每台服务器上(共M台)登录，感觉又 回到了对等网的模式。

2003域与活动目录配置

3.1 域、域树和域林

图3-2 域的模式

图3-1 资源分布在多台服务器上

2003域与活动目录配置

3.1 域、域树和域林

域(Domain)是一个安全的边界，也可以理解为服务器控制网 络上的计算机能否加入的计算机组合。 在使用了域之后，如图3-2所示，服务器和用户的计算机都在同 一域中，用户在域中只要拥有一个账户，用账户登录后即取得 一个身份，有了该身份便可以在域中漫游，访问域中任一台服 务器上的资源。 在“域”模式下，至少有一台服务器负责每一台联入网络的电 脑和用户的验证工作，相当于一个单位的门卫一样，称为“域 控制器(Domain Controller,简写为DC)”,它包含了由这个 域的账户、密码、属于这个域的计算机等信息构成的数据库。 当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于 这个域的，用户使用的登录账号是否存在、密码是否正确。

2003域与活动目录配置

3.1 域、域树和域林

随着网络的不断发展，有的企业的网络大的惊人，当网络有十万 个用户甚至更多时，域控制器存放的用户数据量很大，更为关键 的是如果用户频繁登录，域控制器可能因此不堪重负。在实际的 应用中，我们在网络中划分多个域，每个域的规模控制在一定的 范围内，同时也是出于管理上的要求，将大的网络划分成小的网 络，每个小的网络管理员管理自己所属的账户，如图3-3所示。

图3-3多域的模式

2003域与活动目录配置

3.1 域、域树和域林

为了解决用户跨域访问资源的问题，可以在域之间引入信任，有 了信任关系，域A的用户想要访问B域中的资源，让域B信任域A 就行了。信任关系分为单向和双向，如图3-4所示。图中①

是单 向的信任关系，箭头指向被信任的域，即域A信任域B,域A称为 信任域，域B被称为被信任域，因此域B的用户可以访问域A中的 资源。图中②是双向的信任关系，域A信任域B的同时域B也信任 域A,因此域A的用户可以访问域B的资源，反之亦然。

图3-4 信任关系

2003域与活动目录配置

3.1 域、域树和域林

微软的网络操作系统是考虑在大型企业构建网络和扩展网络的需 要而设计的。在一个企业中可能会有分布在全世界的分公司等， 分公司下又有各个部门存在，资源的访问常常可能跨过许多域。 在Windows NT 4.0时，域和域之间的信任关系是不可传递的， 如果要实现多个域中的用户可以跨域访问资源，必须创建多个双 向信任关系：n×(n-1)/2,如图3-5所示。

图3-5 多个域的资源互访需要多个信任关系

2003域与活动目录配置

3.1 域、域树和域林

从Windows 2000 Server起，域树(Domain Tree)开始出现，如图 3-6所示。域树中的域以树的出现，最上层的域名为http://www.77cn.com.cn,是这 个域树的根域，根域下有两个子域：http://www.77cn.com.cn和http://www.77cn.com.cn, 子域下又有自己的子域。在域树中，父域和子域的信任关系是双向可 传递的，因此域树中的一个域隐含地信任域树中所有的域。图3-6中 共有七个域，所有域相互信任，也只需要六个信任关系，远比图3-5 中所示的7×(7-1)/2=21个信任关系要少得多。

图3-6 域树

2003域与活动目录配置

3.1 域、域树和域林

域和DNS域的关系非常密切，因为域中的计算机使用DNS来定位域控 制器和服务器以及其它计算机、网络服务等，实际上域的名字就是 DNS域的名字。在图3-6中，企业向Internet组织申请了一个DNS域名 http://www.77cn.com.cn,所以根域就采用了该名。然而，企业可能同时拥有http://www.77cn.com.cn 和http://www.77cn.com.cn两个域名，如果某个域用http://www.77cn.com.cn作为域名，http://www.77cn.com.cn将无法挂 在http://www.77cn.com.cn域树中，这个时候只能单独创建另一个域树，如图3-7所示， 新 的 域 树 根 域 为 http://www.77cn.com.cn , 这 两 个 域 树 共 同 构 成 了 域 林 ( Domain Forest)。

图3-7 域林

2003域与活动目录配置

3.2 活动目录

活动目录(Active Directory)是一种目录服务，它存储有关网 络对象(如用户、组、 …… 此处隐藏：1903字，全部文档内容请下载后查看。喜欢就下载吧 ……