根域下面可以建立多层子域 双向信任关系
域和子域构建成域树
多棵域树构建成森林

域之间自动建立双向信任关系树

树
双向信任关系
12
OU-组织单位
• OU是活动目录中的一种对象
• OU中可以建立子对象
• 目录服务是使目录中所有信息和资源发挥 作用的服务，活动目录是一个分布式的目 录服务，信息可以分散在多台不同的计算 机上，保证用户能够快速访问
5
活动目录作用
（1） 信息的安全性大大增强 1、活动目录集中控制用户授权 2、 提供存储和应用程序作用域的安全策
略，提供安全策略的存储和应用范围。 （2） 引入基于策略的管理，使系统的管理更加明
Windows域配置及管理
北京天和科瑞咨询有限公司 北京邮电大学移动互联网与信息化实验室
2011年6月
域的概念
DC的条件
创建域
安装AD
将计算机加入域
DNS的作用
创建域帐户
域
域用户帐户
域帐户属性 用户配置文件
用户主文件夹
安全组/通讯组 组
本地域组/全局组/通用组
OU概念 OU
OU的委派功能
2
域的基本概念
16
活动目录安装与卸载
• 启动安装向导 • 使用管理您的服务器向导 • 使用命令DCPROMO
17
安装活动目录
• 主要步骤
–是否创建新域 –新域的DNS全名 –新域的NetBIOS名 –数据库和日志文件文件夹 –共享的系统卷 –DNS注册诊断 –域兼容性 –还原模式密码
18
DNS在域中的作用
• DNS在域中有两个作用
通过一定的形式，就可以很方便的访问活动目录域中的信 息.
• 这种便利的访问机制，也需要安全的保障机制！ad活动目 录域正是基于这种信息共享基础上的安全管理规范。
• 安装了活动目录的计算机称为“域控制器”，只要加入并 接受域控制器的管理就可以在一次登录之后全网使用，方 便地访问活动目录提供的网络资源。对于管理员，则可以 通过对活动目录的集中管理就能够管理全网的资源。
•域
–将网络中多台计算机逻辑上组织到一起，进行 集中管理，这种区别于工作组的逻辑环境叫做 域
–域是组织与存储资源的核心管理单元
活动目录提供了存储网络上对象信息并使网络用 户使用该数据的方法
3
域的基本概念
活动目录
• 活动目录（Active Directory）是Windows Server 2003平台提供的目录服务，在中央数据库 中存放信息，使用户在网络上只拥有一个用户账 号。
朗 作为目录，它存储着分配给特定环境的
策略，称为组策略对象 （3） 具有很强的可扩展性
管理员可以在计划中增加新的对象类，或者 给现有的对象类增加新的属性。
计划包括可以存储在目录中的每一个对象 类的定义和对象类的属性。
6
（4）具有很强的可伸缩性
活动目录可包含在一个或多个域，每个域具 有一个或多个域控制器，以便调整目录的规模以 满足任何网络的需要
OU
• 利用OU可以模拟管理模型
对象
OU
OU
13
域控制器
• 域控制器是存储活动目录数据库的计算机 • 一个域最少一台域控制器 • 多台域控制器需要同复制步数据库 • 域控制器存储着目录数据并管理用户域的 域控交制器互，其中包括用户登录过程、身份验域控证制器
和目录搜索。 域
14
站点
站点1
• 每个地理位置中的若干台域控制器可以划 分为一个站点
• 站点内部优先同步活动目录数据库，同步 后再和其他站远程点线中路 的域控制器同步
站点2
域控制器
15
活动目录安装与卸载
• 安装者必须具有本地管理权限 • 操作系统必须满足条件（Windows Server
2003 Web版除外都满足） • 本地磁盘至少有一个分区是NTFS文件系统 • 系统盘应该有最少300MB的剩余空间。 • 安装TCP/IP协议和相应的DNS服务器支持。 • 有相应的DNS服务器支持
9
Windows Server 2003 域概述
• 域是基本管理单位
• 域中可包含大量对象
–计算机
–用户
域控制器
–打印机
域
–共享文件夹
• 域是活动目录的组成部OU1 分 OU2
Domain
OU1 Computers Computer1 Users User1
OU2 Users User2 Printers Printer1
User1 Computer1 User2 Printer1 10
域及目录服务概述
• 活动目录是域树一个数据域库
• 活动目录是一个目录服务
• 可以D定omain制活动目域录
域
• 简化的管理
对象
• 可扩展性 Domain
Doห้องสมุดไป่ตู้ain
• 便捷的网络资源访问
OU
OU
OU
域
OU-组织单位
森林
11
域、域树、域森林
（5） 智能的信息复制能力
信息复制为目录提供了信息可用性、容错、 负载平衡和性能优势，活动目录使用多主机复制 ，允许在任何域控制器上而不是单个主域控制器 上同步更新目录
7
（6）与DNS集成紧密
活动目录使用域名系统（DNS）来为服务器目录命名
（7）与其他目录服务具有互操性
LDAP是用于在活动目录中查询和检索信息的目录访问 协议。因为它是一种工业标准服务协议，所以可使用LDAP 开发程序，与同时支持LDAP的其他目录服务共享活动目录 信息。
• 活动目录是一个全面的目录服务管理方案，也是 一个企业级的目录服务，具有很好的可伸缩性。 活动目录采用了Internet的标准协议，它与操作 系统紧密地集成在一起。
• 活动目录可以管理诸如计算机对象、用户账户、 打印机之类的网络资源。
4
域的基本概念
• 活动目录包括两个方面：目录和与目录相 关的服务。目录是存储各种对象的一个物 理上的容器
（8）具有灵活的查询
任何用户可使用【开始】菜单、【网上邻居】或【活 动目录用户和计算机】上的【搜索】命令，通过对象属性 快速查找网络上的对象。
8
AD活动目录作用:
•
通过将企业网络中的各种资源，例如电脑，用户
，共享的打印机，服务器等等组织起来形成活动目录域，
在这个域中把这些信息进行分类形成目录树。这样，用户
–域名的命名采用DNS标准
• 办公网络与Internet集成
–定位DC
• 1）客户机发送DNS查询请求给DNS服务器 • 2）DNS服务器查询匹配的SRV资源记录 • 3）DNS服务器返回相关DC的IP地址列表给客户机 • 4）客户机联系到DC • 5）DC响应客户机的请求