父域
父域
contoso.msft
子域
子域
sales.contoso.msft 连续的名字空间，
（域后缀延续 ）
sales.contoso.msft
新域
新华网技windows Server 2003 Enterprise 新华网技
什么是目录林? 什么是目录林
一个目录林是一个或多个目录树 在目录林中的目录树不共同一个连 续的名字空间
资源
用户只需登录一次， 用户只需登录一次，就可访 问整个活动目录的资源
新华网技windows Server 2003 Enterprise 新华网技
活动目录对象
对象 属性 打印机名 打印机位置 活动目录 Printers Printer1 Printer2 Printer3 属性 名 姓 登录名 Users Don Hall Suzan Fine 属性值
•OU
•域 域 •域 域
•目录林 目录林
•域 域 •目录树 目录树 •域 域 •Domain
•OU
新华网技windows Server 2003 Enterprise 新华网技
域
安全边界 – 域管理员只能在域内进行管理，除非明确得到 域管理员只能在域内进行管理， 其它域的授权 复制单元 – 域控制器 在域内参加复制，并且包含它的 域控制器DC在域内参加复制 在域内参加复制， 域目录信息的完整副本
新华网技windows Server 2003 Enterprise 新华网技
10-1.1什么是活动目录?
目录服务：存储网络资源的信息， 目录服务：存储网络资源的信息，使信息可有效利用 实质为后台服务，表现为管理、 实质为后台服务，表现为管理、用户工具 目录服务
目录服务的功能 组织 管理 控制
集中管理 单点管理
accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName …
用户
打印机
新华网技windows Server 2003 Enterprise 新华网技
• 指DNS的AD集成区域 的 集成区域
新华网技windows Server 2003 Enterprise 新华网技
10-5活动目录中的DNS角色介绍
• 名字解析（正向，反向） 名字解析（正向，反向）
– DNS将计算机名称转化为 地址 将计算机名称转化为IP地址 将计算机名称转化为 – 计算机使用DNS在网络中互相查找 在网络中互相查找 计算机使用
• Windows 2003域的命名协定 域的命名协定
– 2003AD使用 使用DNS的域名命名标准 使用 的域名命名标准 – DNS域和 域共享一公共的分层命名结构 域和AD域共享一公共的分层命名结构 域和
• 如
• 查找活动目录的物理成分
– DNS通过提供的服务来验证域服务器 通过提供的服务来验证域服务器 – 计算机使用DNS来查找 和GC 来查找DC和 计算机使用 来查找
NTDS Settings Properties General Object Security NTDS Settings
启用或者禁用 全局编录GC 全局编录
全局编录
新华网技windows Server 2003 Enterprise 新华网技
10-3活动目录的物理结构（Physical Structure）
活动目录架构（Schema）
对象类 例如： 例如： • • • • 活动目录架构 动态获得 动态更新 通过DACLs保护对象和属性 属性 例如： 例如：
用户属性 可能包括： 可能包括：
accountExpires department distinguishedName middleName
计算机
属性列表
复制 Windows 2003 域
新华网技windows Server 2003 Enterprise 新华网技
安全边界
复制 管理 安全策略 组策略
新华网技windows Server 2003 Enterprise 新华网技
组织单元OU（Organizational Units）
网络管理模式 组织结构
新华网技windows Server 2003 Enterprise 新华网技
逻辑结构:组织网络资源
• 活动目录使你能够通过名字（属性）找到资源，而 不是物理位置,这样使网络的物理结构对用户透明 域Domains 组织单元OU 组织单元 和林Forest 树Tree和林 和林
•域 域
•域 域
•目录树 目录树 •OU
GC和登录过程 和登录过程
GC服务器 服务器
•User登录 登录
•域 域
•域 域
•域 域
•域 域
•域 域
•GC提供 提供 • 为用户帐号提供通用 组权利信息 • 当用户登录用一个用 户主要名称UPN（如： www@）时， 提供域信息
新华网技windows Server 2003 Enterprise 新华网技
新华网技windows Server 2003 Enterprise 新华网技
2003中的 Windows 2003中的 活动目录介绍
新华网技windows Server 2003 Enterprise 新华网技
教学目的：
1．掌握添加单位到域中 2．掌握配置活动目录 3．掌握创建用户 4．掌握管理用户 5 5．掌握在单位中创建其他成员 6．熟悉活动目录站点管理 7．熟悉活动目录域 8．熟悉添加组成员并进行管理 9．了解活动目录简介 10．了解活动目录域的管理 11．了解用户和计算机管理工具
打印机
用户
• 对象：网络资源 对象： • 属性：关于对象的信息 属性：
新华网技windows Server 2003 Enterprise 新华网技
目录服务使用用户可以通过查找对象的一个或多 个具体属性来确定对象的位置
新华网技windows Server 2003 Enterprise 新华网技
Sales Users Computers
Vancouver Sales Repair
• 利用OU可以把对象组织到一个逻辑结构中，使 其最好地适应你的组织需求 • 可以把管理控制权委派给OU内的对象，通过指 定权限到一个或几个用户和组
新华网技windows Server 2003 Enterprise 新华网技
新华网技windows Server 2003 Enterprise 新华网技
重点： 重点 活动目录域的概念 用户和计算机管理工具 难点： 难点 活动目录站点管理
新华网技windows Server 2003 Enterprise 新华网技
讲解过程
新华网技windows Server 2003 Enterprise 新华网技
新华网技windows Server 2003 Enterprise 新华网技
10-4概述
• DNS和AD集成 和 集成 集成—2003关键特性 关键特性
– 使用相同的分层命名结构 – 域、计算机成为 的对象 计算机成为AD的对象 的对象/DNS资源记录 资源记录 – 客户机可通过查询 客户机可通过查询DNS找到 （或其它对 找到DC（ 找到 象） – 使DNS主区域结构存储于 ，并随 复制 主区域结构存储于AD，并随AD复制 主区域结构存储于
目录林
contoso.msft
目录树
nwtraders.msft
目录树
marketing. nwtraders.msft
sales. nwtraders.msft
在目录林中的所有域共用 contoso.msft 一个公共配置、 一个公共配置、架构 Schema、全局目录 、全局目录GC
sales.
新华网技windows Server 2003 Enterprise 新华网技
新华网技windows Server 2003 Enterprise 新华网技
服务器） 全局目录服务器（GC服务器） 服务器
对象属性
Domain
Domain
Domain
Domain
全局目录 查询
Domain Domain
利用通用组成员身 份的信息登录网络
GC服务器 服务器
新华网技windows Server 2003 Enterprise 新华网技
轻型目录访问协议（LDAP）
• 为活动目录中的对象标识 为活动目录中的对象标识LDAP命名路径 命名路径 • 标识名DN（完整路径） 标识名 （完整路径）
– 如：CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
• 相对标识名RDN 相对标识名
– 如： CN=Suzan Fine • DC 域组件 • OU 组织单元 • CN 普通名字

japan.
Tree
china. japan.
单向不可传递信任关系
域 Windows NT 4.0
新华网技windows Server 2003 Enterprise 新华网技
什么是目录树
目录树根 域
新华网技windows Server 2003 Enterprise 新华网技
组织结构
通过组织OU，可建立一个层次结构 ， 通过组织
ou
ou
ou
ou
ou
ou
ou
ou
深层次/浅层次的结构 深层次 浅层次的结构
ou
ou
新华网技windows Server 2003 Enterprise 新华网技
目录树和目录林
双向可传递信任关系