第3章 Windows,Server 2008域及账户管理

Windows,Server 2008域及账户管理

2010年9月16日

Windows,Server 2008域及账户管理

第3章

Windows Server 2008域及其账户管理

3.1活动目录的概述 3.1.1目录服务的含义 3.1.2需要目录服务的原因 3.1.3活动目录与域 3.2 ACTIVE DIRECTORY的物理结构 3.2.1域控制器 3.2.2站点 3.3域信任关系 3.4 ACTIVE DIRECTORY的安装 3.4.1域控制器的安装 3.4.2将计算机加入到域 3.5域账户管理 3.5.1域用户账户 3.5.2域用户组账户 3.5.3组、用户账户的创建

Windows,Server 2008域及账户管理

【内容提要】 活动目录的概述 活动目录的组成 活动目录的安装 活动目录 ( Active Directory )是 Windows Server 2008系统中提供的目录服务，用于存储网络上各种对象的相关信息，以便于管理员查找和使用。活动目录是企业IT管理的重要组成部分，掌握活动目录对提高Windows Server 2008的管理技能具有非常重要的意义。本章讨论活动目录的基本概念、结构元素和特性，并介绍有关活动目录服务的基本操作。

Windows,Server 2008域及账户管理

活动目录的概述 活动目录 ( Active Directory )是 Windows Server 2008操作系统提供的一种新的目录服务。所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关联检索信息的服务方式。这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。另外，它还为用户和应用程序提供了对其所包含信息的安全访问。活动目录作为用户、计算机和网络服务相关信息的中心，支持现有的行业标准 LDAP (Lightweight Directory Access Protocal,轻量目录访问协议)第8版，使任何兼容LDAP的客户端都能与之相互协作，可访问存储在活动目录中的信息，如Linux、Novell系统等。

Windows,Server 2008域及账户管理

3.1.1

目录服务的含义

目录是一个用于存储用户感兴趣的对象信息的信息库。所谓目录服务就是结构化的网络资源信息库，如计算机、用户、打印机、服务器等。 ( Active Directory )是用于 Windows 活动目录录( Server 2008的目录服务。它存储着本网络上各种对象的相关信息，并使用一种易于用户查找及使用的结构化的数据存储方法来组织和保存数据。在整个目录中，通过登录验证以及目录中对象的访问控制，将安全性集成到 Active Directory中。

Windows,Server 2008域及账户管理

3.1.2

需要目录服务的原因

目录服务可以实现如下的功能： ( 1 )提高管理者定义的安全性来保证信息不受入侵者的破坏； ( 2 )将目录分布在一个网络中的多台计算机上，提高了整个网络系统的可靠性； ( 3 )复制目录可以使得更多用户获得它并且减少使用和管理开销，提高效率； ( 4 )分配一个目录于多个存储介质中使其可以存储规模非常大的对象。

Windows,Server 2008域及账户管理

3.1.3

活动目录与域

Windows域 ( D

omain )是基于 NT技术构建的 Windows系统组成的计算机网络的独立安全范围，是Windows的逻辑管理单位，也就是说一个域就是一系列的用户账户、访问权限和其他的各种资源的集合。活动目录的结构如图3.1所示。

图3.1活动目录的结构

Windows,Server 2008域及账户管理

1.对象(Object)是对某具体事物的命名，如用户、 对象对象(打印机或应用程序等。属性是对象用来识别主题的描述性数据。一个用户的属性可能包括用户的 Name、 Email和 Phone等，如图 3.2所示，是一个用户对象和其属性的表示。

图3.2用户对象和它的属性

Windows,Server 2008域及账户管理

2.域 域(Domain)是Windows Server 2008活动目录的核心单元，是共享同一活动目录的一组计算机集合。域是安全的边界，在默认的情况下，一个域的管理员只能管理自己的域，一个域的管理员要管理其他的域需要专门的授权。域也是复制单位，一个域可包含多个域控制器，当某个域控制器的活动目录数据库修改以后，会将此修改复制到其他所有域控制器。

Windows,Server 2008域及账户管理

3.组织单元( OU, Organizational Unit )是组织、 组织单元组织单元(管理一个域内对象的容器，它能包容用户账户、用户组、计算机、打印机和其他的组织单元。

Windows,Server 2008域及账户管理

4.树 树(Tree),又称为域树，用来描述对象及容器的分层结构关系。域树是由若干具有共同的模式、配置的域构成的，形成了一个临近的名字空间。在树中的域也是通过信任关系连接起来的。活动目录是一个或更多树的集合。树可以通过两种途径表示，一种是域之间的关系，另一种是域树的名字空间 一棵 Windows Server 2008域树就是一个 DNS名字空间。域树名字空间具有以下特点： (1)一棵树只有一个名字，即位于树根处的域的DNS名字； (2)在根域下面创建的域(子域)的名字总是与根域的名字邻接； (3)一棵树子域的DNS名字是反映该组织机构的。

Windows,Server 2008域及账户管理

5.树林 树林 ( Forest ):树林是一棵或多棵 Windows Server 2008活动目录树的集合。各树之间地位相当，由双向传递的信任关系相关联。单个域组成一棵单域的树，单棵树组成单树的树林。树林与活动目录是同一个概念，也就是说，一个特定的目录服务实例(包括所有的域、所有的配置和模式信息)中的全部目录分区集合组成一片树 …… 此处隐藏：1686字，全部文档内容请下载后查看。喜欢就下载吧 ……