活动目录方案
“nnnxua”通过精心收集,向本站投稿了10篇活动目录方案,今天小编在这给大家整理后的活动目录方案,我们一起来看看吧!
篇1:活动目录拓展详谈
一:前言
安装SCCM、Exchange、OCS时都要进行“Extend the AD Schema”,拓展架构一定是在架构主机(Schema Master)上进行的,当然我们不是每天都需要对活动目录进行拓展,但是活动目录属于IT的基础架构,重要性非同寻常,所以在对活动目录进行拓展时,需要我们了解,什么是AD Schema、Extend Schema之后改变了什么?今天就给大家介绍一下活动目录的架构拓展。
二:什么是活动目录架构
活动目录的架构(Active Directory Schema)是用来定义AD中的类别(classes)和属性(attributes)的。活动目录的基础架构(a base Schema)包括了,比如user、computer、organizationalUnit等类别以及用户电话号码、objectsid等属性。这些默认存在的类别和属性可以满足大多数以AD为基础的应用,这些应用不需要拓展AD架构。然而有些应用必须使用自己的目录结构,比如Exchange,他们在AD提供的基础架构上另外拓展了一些类别和属性,已达到自己的需求,这就是为什么活动目录需要拓展。
三:架构拓展之前
1:检查基础架构信息:确定在基础架构中不存在应用程序将要拓展的拓展属性和类别,在你的域中如果已经成功进行过一次架构拓展,则下次部署同样应用时就不需要重新拓展
2:架构的更改是全局的:当进行了架构拓展,更该会通过GC复制到整个森林
3:在架构中与系统关联的对象是不能被修改的:不能修改那些系统运行所需的基础类别,但是可以修改由Directory-enabled程序创建的新类别
4:架构拓展过程是不可逆的:一旦拓展了新的类别或属性,他们将不能被移除,
最好的方式是修改或禁用。参见Deactivating a class or attribute.
5:使用恰当的对象标识符:架构中每个类别或属性都有一个唯一有效的对象标识符(OID),不要随意产生或使用旧的OID
四:拓展架构的方式
可以通过图形用户界面工具、命令行工具、脚本等来拓展AD架构,最简单的方法是在管理控制台(MMC)中使用Active Directory Schema snap-in工具,参见Install the Active Directory Schema snap-in。使用脚本拓展则需要一定的编程能力和了解活动目录的接口(ADSI)
五:如何拓展架构
下面介绍一下如果通过管理控制台进行架构拓展,即修改AD架构的类别和属性
1:运行里输入 regsvr32 schmmgmt.dll
2:运行 mmc /a
3:文件菜单选择添加/删除管理单元,然后点击添加
4:可用管理单元中,双击Active Directory架构,然后点击确定
5:即可看到活动目录架构的树型结构
6:双击类别中的各项即可进行修改类别,下图所示的就是在安装SCCM时所拓展的类别7:在类别,和属性上点击右键,可以进行创建
8:具体如何修改,创建可参见Schema classes and attributes
9:关于手动拓展就写到这里,如果你是AD开发人员可以继续深入学习,对于IT Pro来说,了解这个拓展的过程,以至可以检验拓展成功与否就足够了。
六:结语
这是活动目录学习系列的其中一篇,现在越发感觉活动目录的强大与高深,我会继续学习,争取给大家分享有用的东西。
篇2:保护WindowsServer活动目录
如果我告诉你,WindowsNTServer4.0的安全性要高于WindowsServer,你也许会认为我在说胡话,但是有时候,事实比胡话更加令人不可思议。在某些情况下,WindowsNTServer确实要比Windows2000Server具有更好的安全性。不过Microsoft已经发现了这个问题,并在WindowsServer2003的活动目录中重新采用了类似于WindowsNT4.0的安全架构。下面我们就来研究一下这个安全问题,然后我会提供几个小技巧,帮助你更好的确保AD环境的安全。
物理安全是首位
当我们试图保证AD环境的安全时,首先要考虑的就是它的物理环境是否安全。如果任何你不信任的人可以随意接触到你的域控制器或DNS服务器,那么你的AD环境肯定不会安全。很多管理工具以及灾难恢复工具的存在也可以为 提供相当大的便利。
假如可以从物理上接触到服务器,那么就算是电脑水平一般的人也可以在较短时间内进入你的系统。因此,在你没有确保服务器位于一个安全环境时,也不用考虑如何加强AD的安全性了。
WindowsNT对阵Windows2000不要误解我在文章开始时所说的话。在很多情况下,Windows2000所提供的安全性确实要强于WindowsNT。但是不能忘记计算机领域的一个基本规则:越是复杂的程序越容易出现可被利用的安全漏洞。毫无疑问,Windows2000要比WindowsNT复杂的多。
这方面最好的例子就是在不同操作系统中,域模式的实现方式不同。在WindowsNT中,域是唯一的组织结构。一个域可以包含整个公司内的全部用户、组、以及计算机。如果这个公司非常大,那么可以设立多个域,并在域之间建立信任关系,但是每个域都是独立的结构。
在开发Windows2000时,微软意识到WindowsNT中的域模式并不能很好的用于更大型的企业,因此微软在一个被称为森林(forest)的结构上采用了活动目录(AD)模式。在一个森林中,你可以创建多个不同的域,甚至可以使用父域以及子域等树木结构。和在WindowsNT环境中一样,每一个域仍然有自己的管理员,不过相似性也就只有这些了。
在Windows2000中,微软认为应该让域变得更加易于管理,因此它为域的管理创建了不同的等级。比如,一个DomainAdmins组的成员可以管理当前域以及当前域的子域。而EnterpriseAdmins组的成员则可以管理整个森林中的任何一个域,
由此也产生了一些问题。
在Windows2000的AD模式中,最大的问题是森林中所有的域都是相互信任的,这将引发一系列问题。首先,当安全规则没有设立好时,域管理员可以通过把自己添加到EnterpriseAdmins组的方式提高自己的管理权限,这样他们就具有了管理整个森林中任何一个域的权限。如果该域具有一定的安全规则,那么恶意的管理员也可以通过篡改SID纪录以及运行提升权限操作等对整个森林进行攻击。通过操作SID纪录,管理员可以赋予自己EnterpriseAdmin的权限。
另外,Windows2000的AD安全模式中还存在一些固有的薄弱环节。也许你知道,每一个域都至少需要一个域控制器,而每一个域控制器都包含了该域以及整个森林的信息。这些信息包括AD结构以及一些基本的配置。
现在设想一下,假如公司里的一个管理员一时疏忽,安装了一个恶意程序,或者对AD做了一些不正确的配置。如果这个配置的改动是针对森林级的AD组件进行的,那么最终这个改变将传递到整个森林里的每个域控制器上,这将破坏每个域控制器上的AD配置副本并有可能造成整个公司的网络瘫痪。
让我们再来对比一下WindowsNT中的情况。就算一个域信任另一个域,每个域中都会包含和各自域有关的安全帐户管理副本。因此,怀有恶意的管理员无法通过修改本地域的SAM文件来间接破坏对方域的SAM文件。同样,在WindowsNT中没有一个足够大的管理员权限可以让某个域的管理员将权限提升到可以控制公司网络内其它域的地步。
另一个有关WindowsNT的信任关系的优势在于,这种信任关系既可以是单向的,也可以是双向的,并且这种信任关系本质上是不可以传递的。这种单向性意味着,假如你有两个域,Users域和Admin域,你可以让他们之间相互信任,也可以仅让Users域信任Admin域,而Admin域不信任Users域。而信任关系的不可传递性意味着,假如域A信任域B,而域B又信任域C,那么域A依然不会信任域C,除非管理员亲自指定这种信任关系。
WindowsServer2003的安全性
看到这里,你也许会很好奇,在WindowsServer2003中,这种域的安全性到底有什么特点呢?我之所以在一开始介绍了WindowsNT和Windows2000的区别,就是为了让大家更好的理解WindowsServer2003的特点。在WindowsServer2003种,微软将WindowsNT和Windows2000的两种模式融合在一起,因此,为了更好的保护你的WindowsServer2003网络,你必须理解上两个系统的安全模式中存在的优势和不足。Windows2000中最大的AD安全弱点就是一个森林中的所有域都是通过一个通用的管理架构相联系的,这个通用的管理架构也就是森林本身。在WindowsServer2003中,森林架构依然被沿用下来,并且其作用也和Windows2000中没有什么区别。
篇3:活动目录系列之一:基本概念
目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等, 使用LDAP(端口389)轻量级目录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个 数据库中,这个数据库位置%systemroot%\ntds\ntds.dit。
AD(活动目录)的逻辑结构包含如下组件:域/子域/树/森林/OU等。主要侧重于对网络资源的组织。
AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主机)。主要侧重于对网络资 源的配置和优化。
下面介绍有关几个重要的概念:
1.DN:(可辨别名称)--用来表示一个对象在AD中具体存储位置,类似于文件的绝对路径。
如:cn=user1,ou=sails, dc=blog,dc=com 该用户存在blog.com域的sails OU下,用户名为 user1.
cn=users (默认的容器users也以cn表示)
dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。
2.UPN(用户主名)用户名@域名,即用户登录时可以采用,如jack@net.com,也可以更改此后缀。
修改:domain.msc后,在根右击--属性--更改UPN后缀,然后在用户属性-帐号中选择其后缀。用户登 录可以使用此UPN.但必须在用户属性里进行相应的更改(即启用此Upn后缀)
3.SID (安全标识符)用户/组都有唯一
whoami /user 当前用户的SID
whoami /all 当前用户的详细信息(包含所属组的SID)
getsid \\dc1 test \\dc1 test (安装suptools)
psgetsid \\dc1 test 下载工具包,
4.AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目录分区的形式组成的)
schema 架构分区 ---森林的对象类和属性,在森林级别复制。
configuration 配置分区--所有DC的位置、site,在森林级别复制。
domain 域分区--每个域的各种对象等信息,在域级别复制。
application 应用程序分区—DNS,可以自定义。
通过adsiedit.msc来查看前三个目录(事先装支持工具)
5.site:在物理位置上区分,一组高速可靠的一个子网或多个子网。(管理AD复制)
优点:
a. 优化登录
b. 优化复制
6.域:安全的边界,复制的单元。
7.操作主机:(OM)--FSMO
森林范围内唯一的有两种:
架构主机:负责森林内架构的统一 regsvr32 schmmgmt.dll
域命名主机:负责森林范围内域的添加和删除。
域范围内唯一的有三种:
RID主机:建用户时用于分发ID号。
PDC主机:时间同步,密码最小化周期、密码锁定、组策略维护等。
基础结构主机:负责跨域对象的引用和更新。
森林范围内唯一两种OM默认由林根域的第一台DC承担。
域范围内唯一的三种OM默认由域内的第一台DC承担。
以上只是一些基本概念的介绍,后期还会以专题的形式和大家一起来学习活动目录!~
篇4:目录
目录
目录mù lù[释义]①(名)按一定次序开列出来以供查考的事物名目。
②(名)书刊上列出的篇章名目(多放在正文前)。
[构成] 偏正式:目(录[例句] 先查~再找内容。(作宾语)篇5:户外大型游艺活动目录
袋鼠跳
1.各队派10名参赛选手,比赛时第一位选手站在袋子里,双手提袋口高过腰部,站在起跑线上,听到发令哨响后,迅速跳向30米处的接力区,而后快速出袋,本队第二位选手进入袋子,直至本队最后一名选手到达终点。中间障碍物必须绕过,不可碰撞,碰撞倒一个障碍物在本队时间上加5秒。2.以总时间多少排名,分别为本队加上20,18,15,12,8,5分。六名以后不加分。
两人三脚比赛规则
各队派出10名参赛选手,用绸带将10人的小腿部位两两相绑,在50米的区域内,以时间的多少确定比赛名次,并依次加20、18、15、12、8、5分,六名以后不加分。
名参赛队,必须统一组织好队伍在起点候场,在比赛过程中,绸带若有松绑现象,则须回到起点重新开始,同时,已赛完的队伍迅速将绸带交给下面即将参赛的队伍。
蒙眼投篮项目规则
比赛规则:
(1)此项目为个人项目
(2)在项目开始前,首先将参赛者的双眼用布条蒙住,站在规定线以外,然后向篮板框投球,限时1分钟,投进球数最多者为获胜者。
(3)参赛者投篮超过1分钟,所投的'球将作无效处理。
(4)参赛者在计时员还未开始开始计时,所投入的球作无效处理。
企鹅运球评比规则
1、每队派8名选手参赛,到计分员处签到。
2、参赛队员站在起点,由工作人员帮参赛选手装球,参赛选手用双腿膝部夹一彩球,双手打开,手不可碰球,用大臂及肘小臂部夹球,根据参赛队员要求,大臂部及肘小臂夹2到4个球。
3、当总裁判员口哨吹响,参赛队员即可出发,在起点到终点这段距离中,双腿膝部夹的彩球如果落地,该名队员须重新回到起点,重新出发,在此过程中,参赛队员的手不允许托住球,如有发现,当舞弊处理,我们将会在最后的总成绩中扣掉相应的分数。
4、当第一位参赛队员顺利到达终点,将球传给站在终点的下一名队员进行反方向运球,限时3分钟。
5、当总裁判员的口哨再次吹响,表示时间到,2名计分员,2名监督员和在终点的工作人员,负责数球计数。
6、在3分钟内,看哪队队员运球最多则为获胜一队。
7、活动最后结束时,我们将根据每队运球数量的多少进行评分,分别以球的多少加20、18、15、12、8、5分,六名以后不加分。
跳大绳比赛规则
本项目为团体项目,2名队员甩绳,10名队员跳绳,每队以10名队员一齐上的方式,跳绳队员所跳数量折算该成绩,每队均有两次机会,取最好成绩,17个队参赛,前六名分别加20、18、15、12、8、5分,六名以后不加分。
跳短绳比赛规则
1、参赛队员身高1.5米以上。
2、十名参赛选手为一组,冠军为该项目所有选手中成绩最好的。
3、此项目采取一次性原则,要求每一位参赛者只能跳一次,并且在参赛过程中不能停止之后再跳,若出现此现象则以无效处理。
4、在每一位队员参赛过程中,将分别派出一名监督员、一名计数员,。
5、在比赛过程中出现队员不尊重裁判员,辱骂裁判员时,我方将取消此队员的参赛资格。
篇6:Windows Server 活动目录解析
在Windows Server 2008中,活动目录域服务(Active Directory Domain Services缩写AD DS)相比前一代操作系统又有了重大的提升和改进,本文简要介绍一下其新特性,
一、审核策略
在Windows Server 2008中,你现在能够通过使用新的审核策略的子类(目录服务更改)来建立AD DS审核策略。当活动目录对象及它们的属性发生变化时,新的审核策略可以记录新旧属性值。
AD DS审核能干什么?
我们定义本策略设置(通过修改默认域控制器策略),能够指定审核成功的事件,失败的事件,或者什么也不审核。能够在AD DS对象的属性对话框中的安全选项卡中设置系统访问控制列表。”审核目录服务访问“在应用上同审核对象访问一致。但只适用与AD DS对象上而不是文件对象或注册表对象。
审核AD DS访问
在AD DS中新的审核策略子类(目录服务更改)增加了以下的功能:
当对对像的属性修改成功时,AD DS会纪录先前的属性值以及现在的属性值。如果属性含有一个以上的值时,只有作为修改操作结果变化的值才会被记录。
如果新的对像被创建,属性被赋予的时间将会被记录,属性值也会被记录,在多数情景中,AD DS分配缺省属性给诸如sAMAccountName等系统属性,这些系统属性值将不被记录。
如果一个对像被移动到同一个域中,那么先前的以及新的位置(以distinguished name 形式)将被记录。当对象被移动到不同域时,一个创建事件将会在目标域的域控制器上生成。
如果一个对象被反删除,那么这个对象被移动到的位置将会被记录。另外如果在反删除操作中属性被增加,修改或者删除,那么这些属性的值也会被记录。
当“目录服务更改”审核子类别启用以后,AD DS会在安全日志中记录事件当对象属相的变化满足管理员指定的审核条件。下面的这张表格描述了这些事件。
事件号 事件类型 事件描述
5136 修改 这个事件产生于成功的修改目录对象属性。
5137 创建 这个事件产生于新的目录对象被创建。
5138 反删除 这个事件产生于目录对象被反删除时。
5139 移动 这个时间产生于对象在同一域内移动时。
二、密码策略
Windows Server 2008 为组织提供了一种方法,使得组织能在某一域中针对不同的用户集来定义不同的密码和账号锁定策略。
细致灵活的密码策略能干什么?
你能够使用细致灵活的密码策略在同一个域内指定多样化的密码策略。同时你也你能够使用细致灵活的密码策略对同一域内的不同用户集应用不同的密码和账号锁定策略限制。
这项特性提供了什么新功能?
密码设置容器默认被创建在域的系统(System)容器下。你能够通过使用活动目录用户与计算机管理单元并启用高级特性来查看。它为域储存了密码设置对象(Password Settings objects 一下简称PSOs)。
你不能够重命名,移动,或者删除这个容器。尽管你能够创建额外的自定义的密码设置容器,它们不被针对一个对象计算的组策略结果集计算在内。因此创建额外的自定义的密码设置容器不被推荐。
密码设置对像包含了能在默认域策略中定义的所有属性设置(除了Kerberos设置),
这些设置包含了以下密码设置属性:
强制密码历史
密码最长使用期限
密码最短使用期限
密码长度最小值
密码必须符合复杂性要求
用可还原的加密来储存密码
这些设定也包含了以下的账户锁定设置
账户锁定时间
账户锁定阈值
复位账户锁定计数器
另外,PSO也包含了以下两个新属性:
PSO链接(PSO Link):这是链接到用户或者组对象的多值属性
优先(Precedence):这是一个用来解决多个PSO被应用到单个用户或组对象产生冲突时的整数值
这九个属性值必须被定义,缺一不可。来自多个PSO的设置不能被合并。
使用图形界面(adsiedit.msc)建立PSO
1. 单击开始按钮,单击运行,输入 adsiedit.msc ,单击确定。
*如果你是在DC上第一次运行adsiedit.msc,请继续看第二步,不是的话跳到第四步。
2. 在ADSI EDIT界面中,右击ADSI Edit,再单击连接到。
3. 在Name属性框中输入你想要创建PSO的域的完全合格域名(FQDN),然后单击确定。
4. 双击域。
5. 双击DC=<域名>。
6. 双击CN=System 。
7. 右击 CN=Password Settings Container,单击新建,再单击对象 。
8. 在创建对象对话框中,选择msDS-PasswordSettings,单击下一步 。
9. 输入PSO的名称,单击下一步,根据向导,输入必备属性。
10. 在向导的最后一页,单击更多属性。
11. 在选择查看何种属性菜单中,单击可选或者两者 。
12. 在选择一种属性进行查看的下拉菜单中,选择msDS-PSOAppliesTo。
13. 在编辑属性中,添加需要应用PSO的用户和全局安全组的相对可分辨名称 。
14. 重复第13步,如果你需要将PSO应用到多个用户和全局安全组。
15. 单击完成 。
三、RODC及身份验证
只读域控制器(RODC)是在Windows Server 2008操作系统中一种新的域控制器类型。有了只读域控制器,组织能够容易地的物理安全得不到保证的地区部署域控制器。一台RODC包含了活动目录数据库的只读部分。
RODC可以做什么?
在考虑部署RODC时,物理安全的不足是最为寻常的理由。RODC给那些需要快速可靠的身份验证,同时对可写域控制器而言物理安全无法得到确保的地方部署域控制器提供了新的方法。
然而你的组织也可以为了特殊的管理需要选择部署RODC。比如,业务线应用程序(line-of-business,LOB)只能被安装到域控制器上并才能得以成功运行。或者,域控制器是分支机构仅有的服务器,而不得不运行服务器应用。
在这些例子中,业务线应用程序所有者必须经常交互式登录到域控制器或者使用终端服务来配置和管理程序。这种环境引起了在可写域控制器上不被接受的安全风险。
RODC为在这些场景中部署域控制器提供了更安全的机械结构。你能够将登录到RODC的权利转让给没有管理权限的域用户同时最小化给活动目录森林带来的安全风险。
你也可以在其它场景中部署RODC,比如在外延网(extranets)中本地储存的所有域密码被认为是主要威胁。
篇7:Windows 活动目录的复制
在Windows 2000 活动目录(AD)环境里,你可以使用站点(Site)把网络物理地划分开,从而优化AD复制,通过理解微软是如何在你的域里实现AD复制,你能够更有效地对把你的网络划分成AD站点,从而减少通过低速网络连接的网络流。这篇文章是关于活动目录站点的两篇系列文章的第一部分,在这篇文章里,我们要研究缺省的AD站点内(intra-site)复制的配置,以及信息如何被复制。
活动目录复制
在活动目录(AD) 域控制器(DC)安装到域里时,活动目录会建立缺省的复制模板,并且在活动目录之间自动建立起一个环形的复制拓扑,建立的依据是确保复制流量沿着最有效的路径进行。你可以沿着环的任意方向把变化复制到AD。
因为在AD里所有的DC的地位都相等,都包含可以写入的AD数据库备份,因此在实现多主机复制系统时,有一些潜在的挑战面对着微软。在你可能考虑到的问题里,有些是:
DC如何把复制流量控制在最小?
DC如何保持所有的数据库拷贝同步?
如果DC从两个复制伙伴得到相同的修改,会怎么样?
如果两个修改同时发生,会怎么样?
那么就让我们按顺序来看看这些问题。
DC如何把复制流量控制在最小?
为了把网络流保持在最小,AD的复制在每-属性(per-attribute )的基础上进行。简单地说,这就是指如果一个属性发生了变化(比如,用户的电话号码),那么只有这个小小的变化被复制到你的域里的其它DC上。你可以想象,AD的每属性复制,和把整个数据库拷贝都通过网络传递比起来,更加有效率,需要网络带宽也更少。
DC如何保持所有的数据库拷贝同步?
AD DC 使用一套更新顺序数字(USN)系统对彼此间流动的AD数据库的不同版本进行校验和同步。每当一个DC对它的数据库做了修改,它就用一个USN来标识这个修改。在它通知其它DC它有一个修改需要复制时,它还把与被修改的属性相关联的USN通知给其它DC。
每个DC都维护了一个表格,里面保存着它从环里它的每个复制伙伴那里收到的最高的USN数字。如果一个DC收到了一个修改的通知,而与修改相关联的USN值要比在它的表里的记载的USN值高,那么它就向复制伙伴请求所有插入的修改。你可以在图 A 和 图B 里看到这个过程。
图 A: 活动目录变化通知里包括更新顺序数字USN。
图 B: AD 数据库使用USN在多主机环境里控制同步。
更多问题
如果DC从两个复制伙伴得到相同的修改,会怎么样?
就象我们前面讲过的,在一个域里的AD 的DC使用环形拓扑进行复制。您能会想,有没有可能,一个DC从不止一个复制伙伴那里接收到相同的目录修改呢?为了能区别开这些重复,防止修改在复制环里传播得没完没了,AD不但使用USN对不同数据库版本进行同步,而且还用它来确定“源头写”。“源头写”是在一台DC本地进行的修改,通过复制得到的个性不是源头写。源头写的USN被写入属性,和属性一起被复制。
为了说明这个机制是如何作用的,让我们来看一个简单的例子:假如名为 Astro的DC对某个属性做了修改。它就把新的USN给了这个修改。在这个例子里,我们假设USN为516。然后它把新值写到属性里,同时给属性值把USN代码写到叫做最新状态矢量的一个东西里。Astro这个DC把修改复制给它的两个复制伙伴:名为George 和 Elroy的DC。
为了简化,我们假设在我们的域里只有Astro、George、和 Elroy 这三个DC。因为它们使用环形的拓扑,Elroy并不知道 Astro 已经把相同的个性给了George,所以它还想把修改复制到George。但是,在复制发生之前,George 和 Elroy 要比较属性里的最新状态矢量,看到它们都被标记成来自Astro,所以就阻止George 从Elroy拉修改。虽然不拉修改, George 仍用Elroy当前的USN来修改自己当前的USN表,好让Elroy在下一个复制周期里,不再把变化传给George。
如果两个修改同时发生,会怎么样?
您可能已经想到,如果两个管理员,在不同的DC上,同时对同一个对象的同一个属性做了修改,这怎么办?微软也想到了这个问题。为了分开这些修改冲突,AD数据库使用了一套属性版本号系统。AD数据库里的每个属性都有一个版号,每次属性被修改时,版本号都更新。属性版本号在域里的所有DC上都应当相同。如果DC通过复制接收到属性的修改,它对打在修改上的属性版本号和它的数据库里的版本号进行比较,
然后进行下面的处理:
如果属性版本号比DC数据库里的版本号低,DC就忽略修改。
如果版本号相同(称为修改冲突),但是两个版本的属性值不同,DC就会用具有最后时间标签的属性值来打破这个约束。这样的修改冲突如图图 C 所示,而它的解决办法如图 D所示。 但是不用担心,AD服务会给管理员用户发送一条通知,让他知道发生了冲突。
更极端的可能性是属性版本号和时间标签都相同。这种情况下,微软选择按DC的GUID级别高低选出获胜的修改。因为GUID是绝对唯一的,所以AD使用最高GUID,就打破了限制。
就象您会想到的,微软在AD时集成了时间同步服务,这样所有的DC在给它们的目录修改做标记时,就会使用相同的时间。
图 C: 在用户的电话号码属性上,发生了修改冲突。
图 D: 根据两个属性值的时间标签,冲突得到解决。
站点
下面,让我们就站点(Site)稍做讨论。如你所知,你利用活动目录域和组织单元(OU)来定义你公司的逻辑结构。站点被用来定义你的底层网络逻辑结构-而且,对于在公司里通过低速网络连接进行的域内DC之间的复制,站点可以让你对流量做一些控制。
活动目录站点被定义成一个或多个连接好的IP子网的集合。在站点里的全部子网都要有可靠的、高速的网络连接,而不能由远远分隔,通过低速、不可靠的WAN连接连接起来。你会发现,高速是个相对概念。如果你是一个小型网络的管理员,那么对于用128Kbps速率传输数据的两个子网,你可以认为它们之间的连接很好。另一方面,如果你是一个非常大的网络的管理员,那么你可能会把所有低于1.5Mbps的连当作是低速连接。
定义站点(Site)
你可能还不知道,在你的企业里,第一个站点是在你安装第一个AD DC时,自动建立的。这个站点被赋予缺省名称Default-First-Site-Name(缺省第一个站点名称)。对于你的网络,这可能不是一个非常有说明性的名称,所以只要你愿望,你可以随时可以给它改名。缺省情况下,你的全部IP子网都包含在这个站点里。站点的主要用途是对通过低速网络连接进行的复制流量进行优化,并且帮助客户查找离他们最近的DC来处理服务请求。
使用预定义的MMC控制台活动目录站点和服务管理器(Active Directory Sites and Services),你可以在你的企业里建立附加的站点。下个月,我们会具体研究建立站点和站点对象。站点在活动目录(AD)里进行维护,但并不是名称空间的部分。所以,用户不能按站点浏览活动目录(AD)。站点结构只能用于复制。
站点成员
在你把一个 Windows 2000 活动目录(AD)域控制器(DC)提升到域控制器状态时,AD DC就被分配了它的站点信息。缺省情况下,它成为你运行Dcpromo.exe时,AD DC连接的子网所对应的站点的成员。以后,你可以使用活动目录站点和服务管理器(Active Directory Sites And Services)控制台,修改AD DC的站点成员身份。AD DC的站点所在地决定了它在复制拓扑里的位置。
AD 客户计算机从DC取得站点信息。在计算机启动时,它查询DNS,获取它域里的DC的IP地址。然后它与某个DC联系。如果DC不在客户的本地站点里(根据子网地址),DC会把正确的站点信息传递给客户,这样客户就可以对它的站点里的DC做更有效的DNS查询。然后,客户能够完成与本地DC的认证过程,还可以向本地DC请求服务。因为客户把这个信息缓存在它的注册表的这个值下面:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControSet\ Services\Netlogon\Parameter\ DynamicSiteName
所以,只有当客户的子网发生变化时,才必须重复站点发现过程。
你可以想象得到,这个过程极大地改善了客户和DC之间的通信,还能减少通过站点间低速的WAN连接进行的与AD有关的流量。你对AD站点的正确规划,能够给客户提供来自离它最近的DC的最新AD资源,而且可以保证站点间复制避开高峰时段,从而保证你的网络连接不会因为复制流量而饱和。
理解站点间复制
你可以把域的DC放在不同的站点里,以便对通过低速网络连接进行的AD复制进行控制。当你在一个新的站点里安装第一个DC时,它会自动建立复制连接。叫做站点间连接(intersite link),连接指向域里已有站点中的现存DC。在图 E里,你可以看到一个例子。你在第二个站点里安装的其它DC,会在第二个站点里构成环形拓扑。在一个站点里做的所有修改都会通过站点间连接复制到其它站点。
因为每个DC都有一份可以写入的AD数据库拷贝,所以如果站点间连接中断,它是无法防止你对你站点里的DC的AD做修改。只要计算机通信重新建立,在不同站点里的DC就会通过正常的复制过程进行同步。
图 E: 在新站里的第一个DC自动建立复制连接,连接指向域里其它站点的现存DC。
篇8:为什么要使用活动目录?
1、信息的安全性大大增强
安装活动目录后信息的安全性完全与活动目录集成,用户授权管理和目录进入控制已经整合在活动目录当中了(包括用户的访问和登录权限等),而它们都是WIN2K操作系统的关键安全措施,活动目录集中控制用户授权,目录进入控制不只能在每一个目录中的对象上定义,而且还能在每一个对象的每个属性上定义,这一点是以前任何系统所不能达到的,包括WINNT 4.0。除此之外,活动目录还可以提供存储和应用程序作用域的安全策略,提供安全策略的存储和应用范围。安全策略可包含帐户信息,如域范围内的密码限制或对特定域资源的访问权等。所以从一定程序上可以这么说WIN2K的安全性就是活动目录所体现的安全性,由此可见对于网管来说如何配置好活动目录中对象及属性的安全性是一个网管配置好WIN2K系统的关键。
2、引入基于策略的管理,使系统的管理更加明朗
活动目录服务包括目录对象数据存储和逻辑分层结构(指上面所讲的目录、目录树、域、域树、域林等所组成的层次结构),作为目录,它存储着分配给特定环境的策略,称为组策略对象。作为逻辑结构,它为策略应用程序提供分层的环境。组策略对象表示了一套商务规则,它包括与要应用的环境有关的设置,组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录,域,或组织单元的组策略对象(GPOs)中。GPOs设置决定目录对象和域资源的进入权限,什么样的域资源可以被用户使用,以及这些域资源怎样使用等。例如,组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序,当它在服务器上启动时有多少用户可连接至 Server,以及当用户转移到不同的部门或组时他们可访问什么文件或服务。组策略对象使您可以管理少量的策略而不是大量的用户和计算机。通过活动目录,您可将组策略设置应用于适当的环境中,不管它是您的整个单位还是您单位中的特定部门。
3、具有很强的可扩展性
WIN2K的活动目录具有很强的可扩展性,管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如,在电子商务上你可以给每一个用户对象增加一个购物授权属性,然后存储每一个用户购买权限作为用户帐号的一部分。
4、具有很强的可伸缩性
活动目录可包含在一个或多个域,每个域具有一个或多个域控制器,以便您可以调整目录的规模以满足任何网络的需要,
多个域可组成为域树,多个域树又可组成为树林,活动目录也就随着域的伸缩而伸缩,较好地适应了单位网络的变化。目录将其架构和配置信息分发给目录中所有的域控制器,该信息存储在域的第一个域控制器中,并且复制到域中任何其他域控制器。当该目录配置为单个域时,添加域控制器将改变目录的规模,而不影响其他域的管理开销。将域添加到目录使您可以针对不同策略环境划分目录,并调整目录的规模以容纳大量的资源和对象。
5、智能的信息复制能力
信息复制为目录提供了信息可用性、容错、负载平衡和性能优势,活动目录使用多主机复制,允许您在任何域控制器上而不是单个主域控制器上同步更新目录。多主机模式具有更大容错的优点,因为使用多域控制器,即使任何单独的域控制器停止工作,也可继续复制。由于进行了多主机复制,它们将更新目录的单个副本,在域控制器上创建或修改目录信息后,新创建或更改的信息将发送到域中的所有其他域控制器,所以其目录信息是最新的。域控制器需要最新的目录信息,但是要做到高效率,必须把自身的更新限制在只有新建或更改目录信息的时候,以免在网络高峰期进行同步而影响网络速度。在域控制器之间不加选择地交换目录信息能够迅速搞垮任何网络。通过活动目录就能达到只复制更改的目录信息,而不至于大量增加域控制器的负荷。
6、与 DNS 集成紧密
活动目录使用域名系统 (DNS)来为服务器目录命名,DNS 是将更容易理解的主机名(如 Mike.Mycompany.com)转换为数字 IP 地址的 Internet 标准服务,利于在TCP/IP网络中计算机之间的相互识别和通讯。DNS 的域名基于 DNS 分层命名结构,这是一种倒置的树状结构,单个根域,在它下面可以是父域和子域(分支和叶子)。关于这一点我会在后面以专门的篇章加以详细讲述,在此就仅作简单介绍。
7、与其他目录服务具有互操性
由于活动目录是基于标准的目录访问协议,许多应用程序界面(API)都允许开发者进入这些协议,例如活动目录服务界面(ADSI)、轻型目录访问协议 (LDAP) 第三版和名称服务提供程序接口 (NSPI),因此它可与使用这些协议的其他目录服务相互操作。LDAP 是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议,所以可使用 LDAP 开发程序,与同时支持 LDAP 的其他目录服务共享活动目录信息。活动目录支持 Microsoft Exchange 4.0 和 5.x 客户程序所用的 NSPI 协议,以提供与 Exchange 目录的兼容性。
8、具有灵活的查询
任何用户可使用“开始”菜单、“网上邻居”或“活动目录用户和计算机”上的“搜索”命令,通过对象属性快速查找网络上的对象。如您可通过名字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户,反之亦然。
篇9:Windows Server 部署活动目录
1 安装环境
1、域:itchenyi.com,域功能级别和林功能级别为Windows server 模式,(关于win 2012 和 活动目录,,,,想必不用介绍了。。。)
2 安装域
1、以本地管理员身份登录服务器
2、打开服务器管理器(仪表板)
3、添加角色和功能---选择AD域服务
4、下一步就好
5、依旧下一步
6、选择安装。。
7、点击关闭
3 安装后的任务
1. 选择通知(黄色叹号)---将此服务器提升为域控制器
2. 选择添加新林
3. 选择域和林功能级别,并输入还原模式密码
4. 保持默认,下一步
5. 下一步
6. 下一步
7. 下一步
8. 选择安装
9. 重启后完毕….
本文出自 “IT辰逸” 博客,请务必保留此出处itchenyi.blog.51cto.com/4745638/1144454
篇10:你真的需要活动目录吗?
一、活动目录的功能
活动目录是微软为解决分布式windows网络集中化管理应用的一项关键产品,它的核心思想和协议源自于早期NOVELL的类似技术,今天的活动目录总结起来功能无外乎于以下三项:
1、集中化的身份验证
利用AD数据库,将分散在windows客户机上的用户管理体系集中到DC上,实现一个用户在任何节点的漫游能力。同时微软的其他产品也不同程度的可以与这个集中化的身份认证体系集成,譬如Exchange,ISA,SMS,甚至Office等等。除此以外,由于开放的LDAP协议,使得第三方产品也可以集成到这个统一的身份验证体系中来。
2、集中化的资源检索
由于AD具有影射网络共享资源,集成DFS等能力,再加上统一的身份认证,使得将分散在网络上的资源集中检索和权限控制变得可能。从理论上说,管理员可以利用AD的这一特性,建立一个完全分布式的文件存储系统,将专用的文件服务器,网络存储系统,客户机上的分散存储集中起来管理和应用。
3、集中化的权限与策略控制
由于身份验证的集中化,用户的权限管理自然也可以集中化。同时更重要的是利用可分法的GPO,AD实现了将分散在Windows客户机上的组策略集中控管的能力。众所周知,组策略是微软提供的利用注册表开关和脚本控制Windows特性的有效工具,集中化的组策略实现了管理员对整个windows网络中客户机的批量操控。
二、活动目录的优势
活动目录技术从早期的NT到如今的2008,已经发展出一个相当庞大的技术构架。从单一的水平域管理,扩展到可以通过站点和森林扩展出庞大的域结构。达到了微软所希望的解决方案服务一个跨国机构的目标。同时,与其他厂商的类似产品相比,活动目录与微软产品的深度集成也从侧面延伸了活动目录的功能。譬如Exchange Server构建在AD之上,得到一个集成的邮件解决方案、ISA Server构建在AD之上,得到一个集成的防火墙解决方案、Office和Sharepoint构建在AD之上,得到一个企业内部集中化办公解决方案、乃至SQLserver数据库、SMS、RRAS、CA、RADIUS、iis、Cluster、WSUS甚至最简单的DHCP Server,都可以与AD集成,实现“集中化”的管控。不但如此、他们其中的一些甚至是必须与AD集成才可以使用。基于AD的微软产品构架,从理论上来说可以解决企业IT环境中绝大部分需求和问题。
三、中国企业为什么部署活动目录?
windows产品的广泛使用,使得几乎每一个企业都拥有或大或小的Windows网络环境,同时市场的需要也培养出了一大批熟悉微软产品的SA,微软还为他们颁发MCSE和MVP证书。各种各样的技术文章和培训教材也充满了网络、在各个社区中很容易找到关于活动目录的讨论和技术文章。这使得很多企业的IT管理人员在面临一些实际需求时,首先想到的就是活动目录,大量的企业部署了活动目录。甚至于很多SE认为活动目录就是一个完美的IT管理解决方案。
那么,中国的企业究竟为什么部署活动目录呢?笔者在很多社区和 中与第一线的SA们进行过深入讨论,总结为以下几种:
1、为了EMAIL
企业需要一个邮件服务器、于是SA想到了微软的Exhange Server,
为了实现Exchange Server,所以必须部署AD。
2、为了集中化验证和文件权限控制
企业需要员工能在任何一台计算机上工作,希望他们有自己的网络帐号,同时企业的文件服务器也需要这样的帐号来区分访问者,为不同部门和不同的员工部署不同的文件访问权限。所以,SA部署了AD。
3、为了集中化控制客户机
SA发现工作中总要花很多时间去客户机上做修改和控制,跑来跑去,工作量很大,非常不方便。于是部署AD,通过集中化的组策略,实现了从核心控制台上对不同部门客户机的不同策略管理。譬如限制用户对系统某些功能的访问和修改、统一定位内部WSUS服务器的补丁更新位置、批量分法软件、限制软件和网络的使用等等。
以上三种需求,占到了90%左右的国内中小型企业的实际情况。当然,另有10%会使用到AD的其他特性,譬如企业需要群集,于是必须部署AD。SA希望集中控管需要部署SMS,于是必须部署AD。
四、活动目录的问题
活动目录的问题就在于微软希望他能面面俱到,但实际上这是不可能的,最后导致了活动目录的臃肿、不可靠、性能低和管理复杂。按照之前我们总结的中国中小企业需求,可以说绝大部分活动目录的部署,可以形象比喻为“为了听收音机而购买了一台汽车,然后为了维持这台汽车不断的付出时间、精力和金钱”。企业的需求就是一台收音机,而活动目录就是这台汽车。
那么活动目录在作为一台收音机使用时,存在哪些问题呢?
1、对DNS的高度依赖
众所周知,AD是构建在DNS名称空间之上的,一个强健可靠的DNS实例是AD的基石,DNS让AD可以管理无限庞大和复杂的网络环境。大家知道,AD是只能部署在WINDOWS的DNS服务之上的,他融入了很多非标准DNS的定义和记录,而Windows的DNS是一个可靠性和负载能力低下的DNS服务器。看看Internet上,有几个ISP会使用Windows DNS?最后的结果,是windows DNS一旦出现问题,整个AD随即故障。例如DNS中的记录更新失败,多DNS区域复制失败,或者DNS需要迁移等等事件,都会导致AD面临极大的风险。这就是说,一栋庞大的大厦建立在了一个不牢固的地基上。
2、过于复杂的LDAP协议
AD的LDAP,虽然号称“轻量”,实际上纷繁复杂。微软希望将这个协议封闭起来,在整个AD的控管环境中用户不要直接与协议打交道。但是LDAP的复杂性,导致一旦出现问题,用户连一个基本的错误反馈界、调试接口和工具都没有。所以微软又不得不提供LDAP调试工具,放在光盘的额外安装目录中。即便如此,又有多少SA能精通这个怪胎协议的调试呢?
3、过于复杂的身份和权限机制
AD的集中化身份验证体系,无疑是AD最受欢迎的功能之一。但是为了让它能面面俱到,微软把它搞得过于复杂了。首先在计算机帐户和用户帐户被同等看待的前提下,OU和Group却又可以交叉容纳用户对象。实际上,AD中的Group太过复杂,为了实现森林的扩展,AD中的Group有基本的6种类型组合,有数十个内置组,更不用说组和组之间允许权限交联,允许交叉继承,允许权限并集和交集。再加上AD与NTFS的集成,文件夹权限和OU权限的并行,逻辑容器和物理容器的互不关联,活动目录的帐户与本地客户机帐户并存。这真的是我见过最复杂的一套机制了,虽然这样复杂的机制让AD足够灵活,但是事实上绝大部分的用户不需要这么复杂的机制,敢问有多少百分比的SA完全搞清了AD中这套机制?绝大部分的人也仅仅是从MCSE的简单教材中了解了初步的概念而已。
【活动目录方案】相关文章:
2.规章制度目录
3.目录范本
4.论文目录
7.活动方案
8.推荐征文目录
9.品牌策划书目录
10.高中政治教材目录
文档为doc格式
