域AD树森林.doc

域
将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域
域就是一个安全边界。
一个域可以分布在多个物理位置上。
同一个物理位置又可以划分不同网段为不同域。
每个域都有自己的安全策略与其它域的信任关系。
活动目录
活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法
AD的发展
AD:对网络可访问性和安全性的统一。大部分软件都只能顾此失彼。
活动目录有以下特点
活动目录有以下特点
集中管理,便捷的网络资源访问
用户一次登录就可访问整个网络资源
网络资源主要包含用户帐户、组、共享文件夹、打印机等(对用户透明)
集成在操作系统底层
可扩展性
活动目录的缺点?
对网管要求太高,高薪聘mcse;比如敬老院里就那么几台电脑,还请懂域的网管?
适合大企业;
应用策略以后启动太慢,机房学生等不及(会骂电脑破);拔网线加速启动。
组织单元
OU是设置策略的最小单位,不能包含其它域对象。
通过OU可以根据公司组织模型管理账户,资源等,可授予用户单个OU的管理权限。例如:一个网管管理账户OU,一个网管管理计算机OU。
树和林
树:一个多层次的域的集合。树是一个或多个域的分层的逻辑结构。树的域名空间是连续的,共享的。
林是一个分层次的由一个或多个分离的、完全独立的树所组成的集合。在林中不同的树有不同的名字。在一个树与树之间必须明确指明信任关系。N-1
林中的跨域访问
林中所有域之间的信任关系是自动建立的,并且是双向可传递的。但者并不意味网络的不安全。
AGDLP
域控制器(DC)的条件
安装者必须具有本地管理员权限
操作系统版本必须满足条件(Windows Server 2003除Web版外都满足)
本地磁盘至少有一个分区是NTFS文件系统
有TCP/IP设置(IP地址、子网掩码等)
有相应的DNS服务器支持
有足够的可用空间(200M数据库+50M日志)