ATL.
• 操作主机
森林范围内：
Schema Master Domain Naming Master
域范围内：
PDC Emulator RID Master Infrastructure Master
操作主机介绍



只有作为操作主机的域控制器才能对活动目录信息作相应改变 在操作主机上作的改变将会复制到其他的域控制器 任何域控制器可以作为操作主机 操作主机角色可以转移
一个域是一个复制单元
域控制器包含域中信息的完整集合，并且参 与域信息的复制
复制
Windows 2000 Domain
域的性能
能力
复制单元 大小 命名
NT 4.0 对象 Windows 2003 属性
40,000 对象
NetBIOS 建立新域
1,000,000+ 对象
DNS 在域内建立管理委派 到OU
活动目录的结构
活动目录逻辑结构 活动目录物理结构 Sites及活动目录的复制
活动目录逻辑结构
域 组织单元 树和森林 全局编录 Domains Organizational Units Trees and Forests Global Catalog
域 Domains
域是一个安全边界
域管理员只能在本域中执行管理操作，除非 他被明确地赋予其他域管理员身份
Server2
打印机 打印机
名称:Printer1 名称:Printer1 Type:HP4Si Type:HP4Si Color:No Color:No Duplex:Yes Duplex:Yes Location:3rd Floor Location:3rd Floor
为什么需要目录服务
目录服务的 功能性
域
域
子域 子域
Domain Tree
子域
Domain Tree
子域 OU OU OU OU 子域 OU OU
OU
OU
OU
• 活动目录物理结构
域控制器 Sites 活动目录的复制
域控制器
域控制器:

参与活动目录复制 在域中作为单操作主机角色
复制
域控制器
域控制器
域
= 活动目录数据库的可写拷贝
Sites
组成员列表 GUID SID New DN
Global Group 嵌套到 Domain Local Group
Move Infrastructure Master
决定操作主机的位置
确认当前操作主机的位置
用“Active Directory 用户和计算机” 查找 RID master PDC emulator Infrastructure master 用“Active Directory 域和信任” 查找 Domain naming master 用 “Active Directory Schema”查找 Schema master


集中式的管理
组织 管理
控制
资源


单入口的管理
一次登陆，可访问域中所有资源
活动目录的对象
对象 属性
打印机名称 打印机位置 用户 Don Hall Suzan Fine
活动目录
打印机 Printer1 Printer2 Printer3 属性 姓 名 登录名 属性值
打印机
用户
对象代表网络资源 属性存储对象的信息
Sales Users
Vancouver Sales
Computers
用OU来给对象进行分组 管理委派到OU
Repair
组织单元
用于结构化活动目录
公司的组织结构 公司的管理构架
Paris
Sales Domain
Repair
User1
User2
User3
User4
组织单元特性
包含用户、组、打印机、计算机、联系人 可应用组策略 嵌套 灵活 – 容易建立、删除、改变
单主机操作
复制
操作主机
操作主机的默认位置
森林范围你的角色： 域范围内角色：
Schema master Domain naming master

RID master PDC emulator Infrastructure master

森林中的第一台域控制器
Schema Master
sales.
DC2 DC2 DC1 DCB DCA DCA
DC3 DC3 DC4 DC4
DCB
Schema/Configuration NC Topology domain NC Topology domain NC Topology Connection Object
DC2
DC4 DC4 DC3 DC3
Schema/Configuration NC Topology domain NC Topology Connection Object
Replication Topology Generation
Two Domains Within a Site
组织单元的划分原则
基于部门 OUs 基于项目 OUs 基于业务功能 OUs 基于管理 OUs 基林
双向传递性信任
contoso.msft
森林 树
nwtraders.msft asia. contoso.msft au. contoso.msft
双向传递性信任
活动目录架构 Schema
对象类 实例 活动目录 Schema : 随时可用的 可动态更新的 被 DACLs 保护
计算机 用户属性可能包含:
accountExpires department distinguishedName middleName
属性 实例
属性列表
accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName …
树
asia. nwtraders.msft au. nwtraders.msft
全局编录Global Catalog
所有对象的 属性子集
域
域 域 域 域 域
全局编录
查询
用户登陆时的组 成员
Global Catalog Server
ENTERPRISE
Forest
Domain Tree
Global Catalog
Bridgehead Server Configuration
N.Y. CHI (1)
Domain
Domain Bridgehead Server 域控制器 Site Link (Cost)
•Site间复制只在桥头堡 服务器之间
L.A.
(4) (2) (1)
•桥头堡服务器可以不 止一个
什么是活动目录
Server1 用户
活动目录服务基于 X.500 数据库结构，用 于在一个层次结构中组 织网络资源
目录 目录 Printer1
?
服务器 服务器
名称:Server1 名称:Server1 OS:Windows 2000 OS:Windows 2000 Type:File Server Type:File Server Location:1st Floor Location:1st Floor 名称:Server2 名称:Server2 OS:Novell Netware 4.0 OS:Novell Netware 4.0 Type:File Server Type:File Server Location:2nd Floor Location:2nd Floor
控制所有的Schema更新 复制Schema更新到森林中所有的域控制器 只有在 Schema Admin 组中的成员 才能更该Schema
Schema Master
复制
Domain Naming Master
控制在森林中添加和删除域
Domain Naming Master Global Catalog Server
复制协议
Intra-Site Inter-Site
复制
Transport 拓扑结构 复制模型 压缩 None RPC over IP Ring Notify/Pull
复制
RPC or SMTP* Spanning Tree Request/Pull Full
SMTP over IP is only supported for DC of different domains (i.e. Schema, Configuration and GC replication)
活动目录概述
活动目录概述议程
活动目录的基本概念 活动目录的结构 管理操作主机 DNS 与活动目录 如何建立活动目录
活动目录概述议程 Con.
管理用户和组 在活动目录中发布资源 组策略 常用工具 Windows2003新特性
活动目录的基本概念
什么是活动目录 活动目录的对象 活动目录的架构（Schema） 活动目录与LDAP
管理委派
域的层次结构
..
Org Microsoft
com Compaq
edu Digital
cn HP
Fareast Gtec
EMEA
“” “”
“”
组织单元
网络管理型模型 组织结构
Global Catalog Server
Schema
Replica
Configuration Domain
Schema