活动目录的逻辑结构
域
容器 Container 与组织单元
全局编录GC(global cataloge)
活动目录的物理结构
目录分区
活动目录管理插件和工具
创建AD DS域前的准备工作
如何创建Windows 2008域
安装活动目录过程
个人学习感悟
域
组织单元
域目录树与目录林
全局目录
安全边界
安全边界的作用是保证域的管理者只能在该域内有必要的管理权限,除非管理者得到其它域
的明确授权
复制单元
在域中,作为域控制器的计算机包含活动目录的副本。在一个特定的域中,所有域控制都能
够得到活动目录的变化信息,并把变化信息复制给该域中的其它域控制器。
利用OU可以把对象组织到一个逻辑结构中使其最适应你的组织需求。
可以把管理控制权委派给OU中的对象。要委派的管理控制权,必须把OU及OU包含的对象的具体的
权限指给一个或几个用户和组。
双向可传递的信任,树与树之间可建立信任关系,使其之间的资源共享等
所有对象的部分属性(索引)
全局目录的功能
查找目录林中任意位置的信息,不管数据在什么位置
当用户登录到网络时,确定用户的通用组的成员资格
当用户使用登录组主登录到网络时,将使用全局目录服务器确定用户所在的域
域控制器 (Domain Controllers) 物理设备
参与活动目录的复制
单主机复制模式
多主机复制模式
站点 Sites
优化复制流量
使用户能够使用可靠、高速的连接登录到域控制器上
架构目录分区
它存储着整个林中所有对象与属性的定义数据,也存储着如何创建新对象与属性的规则。
配置目录分区
存储着整个AD DS(Active Directory Domain Server) 的结构
域目录分区
存储着与该域有关的对象
应用程序目录分区
是由应用程序创建的,其内存储着与该应用程序有关的数据
管理插件
Active Directory 用户和计算机
Active Directory 域和信任关系
Active Directory 站点和服务
Active Directory 架构
利用活动目录来实行集中式管理
集中式管理域用户的访问资源和权限管理
管理用户环境
管理域用户的权限,限制其作用范围和可访问的域资源
委派管理控制权
将权限下发到某个用户,使其来管理域中的特定用户组或用户
只读域控制器(RODC)
可重启的活动目录域服务(ADDS)
域如何删除
在开始运行里输入dcpromo
计算机是运行Windows 2008 standerd Server
Windows 2008 Enterprise Server, or Windows 2008 Datacenter Server
活动目录的分区要求磁盘200MB, 日志文件要求50MB
用NTFS格式化分区或卷,这是(SYSVOL)文件夹必须的
配置DNS和TCP/IP
如果在已存在的网络上创建域,必须有相应的权限
添加ADDS角色
运行dcpromo
启用kerberos v5.0 身份验证协议
设置本地安全策略:用默认的域控制器安全模板
配置本地安全
创建目录分区
创建活动目录数据库文件和日志文件
创建目录林的根域
创建共享的系统卷文件夹
共享的sysvol 文件夹
网络登录共享文件夹
在适当的站点配置域控制器的成员资格
使用应用文件安装DC
此文件是在安装第一台DC时所导出的配置文件,即当需要再安装其它DC时,修改此配置文件
即可实现自动化安装DC,而不需要再进行人机交互式安装DC。简化了安装过程。
Builtin (windows 2008默认的安全组)
computers (默认的计算机账户的位置)
Domain Controllers (默认的域控制器计算机账号)
ForeignSecurityPrincipals (外部有信任关系的域的安全标识符)
