1、Windows Server 2012活動目錄項目教程項目2 部署與管理Active Directory域服務楊云 編著人民郵電出版社一、認識活動目錄及意義什么是活動目錄呢？活動目錄就是Windows網絡中的目錄服務（Directory Service），也即活動目錄域服務（AD DS）。所謂目錄服務，有兩方面內容：目錄和與目錄相關的服務。Active Directory域服務相關知識一、認識活動目錄及意義活動目錄負責目錄數據庫的保存、新建、刪除、修改與查詢等服務，用戶能很容易地在目錄內尋找所需要的數據。Active Directory域服務相關知識一、認識活動目錄及意義1簡化管理2提高安全性

2、3改進性能4 增強可靠性Active Directory域服務相關知識二、名稱空間Active Directory域服務（AD DS）也是一個名稱空間。利用AD DS，我們可以通過對象名稱來找到與此對象有關的所有信息。Active Directory域服務相關知識三、對象（Object）和屬性（Atribute）AD DS內的資源以對象的形式存在，例如用戶、計算機等都是對象，而對象是通過屬性來描述其特征的，也就是對象本身是一些屬性的集合。Active Directory域服務相關知識Active Directory域服務相關知識活動目錄對象及屬性活動目錄存儲網絡對象的信息。 對象及屬性存儲在活

3、動目錄里活動目錄的對象是組成活動目錄的基本元素AttributesFirst NameLast NameLogon NameAttributesPrinter NamePrinter LocationActive DirectoryPrintersPrinter1Printer2Suzan FineUsersDon HallAttributeValueObjectsPrintersUsersPrinter3 四、容器（Container）容器與對象類似，它也有自己的名稱，也是一些屬性的集合，不過容器內可以包含其他對象（例如用戶、計算機等），也可以包含其他容器。組織單位是一個比較特殊的容器，其內

4、可以包含其他對象與組織單位。組織單位也是應用組策略（group policy）和委派責任的最小單位。Active Directory域服務相關知識五、可重新啟動的AD DS（Restartable AD DS）除了進入目錄服務還原模式之外，Windows Server 2012 (R2)域控制器還提供可重新啟動的AD DS功能：若要執行AD DS數據庫維護工作，只需將AD DS服務停止即可，不需要重新啟動計算機來進入目錄服務還原模式。可重新啟動的AD DS不但可以讓AD DS數據庫的維護工作更容易、更快速地完成，而且其他服務也不會被中斷。Active Directory域服務相關知識六、Act

5、ive Directory回收站Windows Server 2012( R2)具備Active Directory回收站功能，它讓系統管理員不需要進入目錄服務還原模式，就可以快速恢復被刪除的對象。Active Directory域服務相關知識七、AD DS的復制模式多主機復制模式(multi-master replication model)：AD DS數據庫內的大部分數據是利用此模式進行復制操作的。單主機復制模式( single-master replication model)：AD DS數椐庫內少部分數據是采用單主機復制模式進行復制的。Active Directory域服務相關知識八、

6、架構（Schema）AD DS對象類型與屬性數據是定義在架構內的，例如它定義了用戶對象類型內包含哪些屬性 （姓、名、電話等）、每一個屬性的數據類型等信息。隸屬于Schema Admins組的用戶可以修改架構內的數據，應用程序也可以自行在架構內添加其所需的對象類型或屬性。在一個林內的所有域樹共享相同的架構。Active Directory域服務相關知識九、域（Domain）域是由網絡管理員定義的一組計算機集合，實際上就是一個網絡。在這個網絡中，至少有一臺稱為域控制器的計算機，充當服務器角色。在域控制器中保存著整個網絡的用戶賬戶及目錄數據庫，即活動目錄。構建域后，管理員可以對整個網絡實施集中控制和

7、管理。Active Directory域服務相關知識十、組織單位組織單位是包含在活動目錄中的容器對象，是可以指派組策略設置或委派管理權限的最小作用單位。組織單位可以將用戶、組、計算機和其他單元放入活動目錄的容器。組織單位不能包括來自其他域的對象。Active Directory域服務相關知識Active Directory域服務相關知識地理位置的組織結構SalesVancouverRepairUsersSalesComputers網絡管理模型利用OU可以把對象組織到一個邏輯結構中使其最適應你的組織 需求。可以把管理控制權委派給OU中的對象。要委派的管理控制權， 必須把OU及OU包含的對象的具體

8、的權限指給一個或幾個用戶和組。 組織單位 十、組織單位創建組織單位有如下好處：可以分類組織對象，使所有對象結構更清晰。可以對某些對象配置組策略，實現對這些對象的管理和控制?？梢晕晒芾砜刂茩?，如管理員可以給不同部門的網絡主管授權，讓他們管理本部門的賬戶。Active Directory域服務相關知識十一、域目錄樹當要配置一個包含多個域的網絡時，應該將網絡配置成域目錄樹結構?；顒幽夸浀挠蛎匀徊捎肈NS域名的命名規則進行命名。Active Directory域服務相關知識十二、域目錄林Active Directory域服務相關知識目錄林是一個或多個目錄樹的集合。目錄林中的目錄樹并不共用相同的連續

9、的名字空間。整個域目錄林中也存在一個根域，這個根域是域目錄林中最先安裝的域。十三、站點Active Directory域服務相關知識Sites: 站點由一個或多個IP子網組成，這些子網通過高速網絡設備連接在一起。優化復制流量使用戶能夠使用可靠、高速的連接登錄到域控制器上 SiteIP subnetIP subnetLos AngelesSeattleChicagoNew York Active Directory域服務相關知識站點SitesDomain controllersWAN linksSiteDomain ControllersWAN LinkSite十四、目錄分區（Directory

10、 Partition）Active Directory域服務相關知識AD DS數據庫被邏輯地分為下面4個目錄分區。架構目錄分區（Schema DireCtory Partition）：它存儲著整個林中所有對象與屬性的定義數據，也存儲著如何建立新對象與屬性的規則。配置目錄分區( Configuration Directory Partition)：其內存儲著整個AD DS的結構，例如有哪些域、哪些站點、哪些域控制器等數據。 十四、目錄分區（Directory Partition）Active Directory域服務相關知識AD DS數據庫被邏輯地分為下面4個目錄分區。域目錄分區( Domain

11、 Directory Partition)：每一個域各有一個域目錄分區，其內存儲著與該域有關的對象，例如用戶、組與計算機等對象。應用程序目錄分區( Application Directory Partition)：一般來說，應用程序目錄分區是由應用程序所建立的，其內存儲著與該應用程序有關的數據。 十五、域控制器Active Directory域服務相關知識 域控制器：承載 AD DS 目錄存儲的副本提供身份驗證和授權服務將更新復制到域和林中的其他域控制器域控制器是安裝了 AD DS 服務器角色的服務器。允許在服務器上管理用戶賬戶和網絡資源Windows Server 2012 AD DS 支持

12、 RODC Active Directory域服務相關知識域控制器Domain ControllerDomain ControllerDomainReplication= A Writeable Copy of the Active Directory DatabaseDomain Controllers: 參與活動目錄的復制是單主控操作 十六、只讀域控制器（RODC）Active Directory域服務相關知識RODC主要是設計給遠程分公司網絡來使用的，因為一般來說遠程分公司的網絡規模比較小、用戶人數比較少，此網絡的安全措施或許并不如總公司完備，也可能缺乏IT技術人員。因此采用RODC可避

13、免因其AD DS數據庫被破壞而影響到整個AD DS環境。 十六、只讀域控制器（RODC）Active Directory域服務相關知識（1）RODC的AD DS數據庫內容除了賬戶的密碼之外，RODC的AD DS數據庫內會存儲AD DS域內的所有對象與屬性。（2）單向復制（ Unidirectional Replication）只能單向復制：即總公司的可寫域控制器的AD DS數據庫有變動時，此變動數據會被復制到RODC，反之不然。因而可以降低網絡負擔。 十六、只讀域控制器（RODC）Active Directory域服務相關知識（3）認證緩存（Credential Caching）RODC在驗證

14、用戶的密碼時，仍然需要總公司的可寫域控制器來驗證，若希望提高驗證速度，可以選擇將用戶的密碼存儲到RODC的認證緩存區。您需要通過密碼復制策略( Password Replication Policy)來選擇可以被RODC緩存的賬戶?；诎踩紤]，建議不要緩存太多。 十六、只讀域控制器（RODC）Active Directory域服務相關知識（4）系統管理員角色隔離(Administrator Role Separation)通過系統管理員角色隔離功能將域用戶指定為RODC的本機系統管理員，從而可以在RODC這臺域控制器上登錄并執行管理工作，例如更新驅動程序等，但他卻無法登錄其他域控制器，也無法執行其他域管理工作。 十六、只讀域控制器（RODC）Active Directory域服務相關知識（5）只讀域名系統( Read-On