Windows Server 2008的目录服务和组策略.pptxVIP

Windows Server 2008的目录服务和组策略计算机网络技术基础 Windows Server 2008的目录服务和组策略 活动目录（active directory，AD）是Windows Server系列服务器版本中一个非常重要的功能，用来以目录的形式管理网络中的用户、计算机、打印机、应用程序和共享资源。Windows Server 2008的AD域服务在原功能的基础上进行了很大的扩展，管理员可以更加方便地管理用户、计算机和资源，易于部署和管理各种网络服务。通过组策略实现对运行在操作系统上的应用程序和作业系统的集中配置管理。 AD的结构主要是指网络中管理的资源的层次关系，就像一个标准的大型仓库中分出的多个单独的储物间，每个储物间要用来存放一些不同类别的东西。目录服务不同于目录，它由目录信息来源和服务组成，为用户提供信息服务。目录服务既是一种管理工具，也是最终用户的工具。 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或特定用户进行多种配置。 Windows Server 2008的目录服务和组策略 AD的逻辑结构1.1AD中的逻辑单元包括域、组织单元、域树和域林，其关系如图1-7所示。图1-7 AD的逻辑结构 Windows Server 2008的目录服务和组策略 1）域（domain） 域既是AD中的逻辑组织单元，也是网络的安全边界。每个域都有自己的安全策略，及它与其他域的安全信任关系。 组织单元是一个容器对象，它可以包括用户账户、用户组、PC、服务器、打印机或其他OU。对于企业来讲，可以按照部门或是一类人群这样的用户或设备组成一个OU层次结构，也可以按照所处位置、功能和权限设计OU。2）组织单元（OU） Windows Server 2008的目录服务和组策略 3）域树（tree） 域树属于共享连续名字空间的层次结构，从根域开始，每加入一个域，新域就成为树的一个子域。例如，是的子域，也是的父域。域树中的多个域通过双向可传递的信任关系连接在一起，用户必须在每个域的基础上指派权力和权限。 域林是AD中不共享连续名字空间的域树组成的结构，但是域林中的每棵域树相互信任，共享同一套配置、表结构及全局目录。4）域林（forest） Windows Server 2008的目录服务和组策略 AD的物理结构1.2AD的物理结构与逻辑结构不同，是彼此独立的两个概念。逻辑结构侧重于网络资源的管理，而物理结构侧重于活动目录信息的复制和用户登录网络时的性能优化。 Windows Server 2008的目录服务和组策略 站点1. 站点是由一个或多个IP子网组成的，这些子网通过网络设备连接在一起。站点往往由企业的物理位置分布情况决定，可以依据站点结构配置AD的访问和复制拓扑关系，这样使得网络更有效地连接，并且可使复制策略更合理，用户登录更快速。AD中的站点与域是两个完全独立的概念，一个站点中可以有多个域，多个站点也可以位于同一个域中。使用站点可以提高验证过程的效率，平衡复制频率，并可提供有关站点的连接信息。 Windows Server 2008的目录服务和组策略 域控制器2. 域控制器是指安装了AD域服务的Windows Server 2003/2008服务器，它保存了AD信息的副本。域控制器管理目录信息的变化，并可以将这些变化复制到同一个域中的其他域控制器上，使各域控制器的目录信息保持同步。域控制器也负责用户的登录过程及其他与域有关的操作，如身份验证、目录信息查找等。一个域中可以有多个域控制器，通常主域控制器用于身份验证等实际应用，而辅助域控制器通常用于容错性检查。尽管活动目录支持多主机复制方案，但是由于复制会引起通信流量及网络潜在的冲突变化，使传播难以顺利进行。 Windows Server 2008的目录服务和组策略 因此，需要在域控制器中指定全局目录服务器及操作主机。 全局目录是一个信息仓库，包括AD中所有对象的部分属性，且往往是在查询过程中访问最频繁的属性。利用这些信息可以定位到任何一个对象的实际位置，而全局目录服务器可以提高AD中大范围内对象的检索性能，如果没有全局目录服务器，那么查询操作必须调动域林中每个域的查询过程；如果域中只有一个域控制器，它就是全局目录服务器；如果有多个域控制器，那么需要把其中一个域控制器配置为全局目录控制器。 Windows Server 2008的目录服务和组策略 Windows