域结构简介

域结构简介1、域的含义：域是由一群以网络连接在一起的计算机所组成的，它们将计算机内的资源共享给其他人使用。2、与工作组结构网络区别：域内所有的计算机共享一个集中式的目录数据库，它包括整个域内的用户与安

域结构简介

1、域的含义：

域是由一群以网络连接在一起的计算机所组成的，它们将计算机内的资源共享给其他人使用。

2、与工作组结构网络区别：

域内所有的计算机共享一个集中式的目录数据库，它包括整个域内的用户与安全数据。而工作组结构的网络，每台计算机的位置平等。可以相互的共享。

3、域中的计算机类型：

A 、 域控制器：只有WIN2000SERVER 才可以做域控制器，域控制器在一个网络中可以有多个。一台的目录数据库可以自动复制到别一个域服务器的目录数据库中，域可以审核登录用户的用户名和密码。多台域服务器共同审核用户的登录可以提高效率

B 、 成员服务器：域内的WIN2000服务器如果不是域控制器，就是成员服务器，如果不加入域就独立服务器，成员服务器没有活动目录，不能审核域用户的登录，但它们都自己的本地安全数据库。以审核本地用户。

C 、 其他计算机：其他计算机可以用来访问这些计算机的资源。

活动目录定义

一个电话本：其中有姓名、电话号、地址等，这些就是目录，我可以很容易从找到所需的数据。目录服务：就让用户很容易在目录中查找所要的数据。而在WIN2000中，存储用户、组、打印机等对象相关数据的位置称为目录数据库，负责提供目录服务的组件称为活动目录。

1、 适用范围

应用范围很广，可以在一台计算机、一个计算机网络，大至数据广域网的组合。

2、 名称空间

A 、 名称空间的含义：就是一块划好的区域。在这个区域内，可以利用某个名字来找到与这个名字有关的信息。

B 、 WIN2000中的活动目录就是“名称空间”，可以利用对象名称找到相关的数据。

C 、 WIN2000的名称结构采用了DNS 的结构。

3、对象与属性

WIN2000中的资源都是以对象的形式存在，而一个对象通过属性来描述其特征。如用户就是一个对象类别。用户的姓、名、电话，就是用户的属性。

4、容量与组织单位

A 、容量与对象相似，也有自己的名称，也有自己的属性，但它不是一个实体，而可以一组对象和其它容量。

B 、组织单位，就是一个容量，可以包括其他对象和组织单位。

5、域目录树

A 、 域目录树：对一个包含多个域的网络，则可以将网络设置成域目录树的结构，也就是说这些域以树状的形式存在。

B 、域目录树中的子域名包含着父域的域名

C 、域目录树中的所有的域共享一个活动目录。但活动目录中的数据分散地存储在各个域内。将各个域内的数据合并为一个活动目录。

6、信任

两个域之间，必须建立信任关系，才可以访问对方域内的资源，一个域加入到一个域目录树中后，这个域会自动信任其上一层域，并且这些信任关系具备双传递性。

7、域目录林

如果一个网络设置成多个域目录树的结构，那么可以让这些域目录树合并为一个域目录林。如Abc.com 域与zyx.com 域。

8、架构

在活动目录内的对象类别等数据定义在架构内，如定义了用户这个对象类别内饮食了哪些属性等。在一个域目录林中的所有域目录树共享一个架构。

9、全局编录

A 、 全局编录的原因：活动目录内的数据分散存储在各个域内，而每一个域只存储与些域本身相关数据。WIN2000将存储在各个域内的数据合并为一个活动目录。为了让WIN2000用户可以快速找到其它域内的资源，WIN2000才设计了“全局编录”。

B 、 “全局编录”内包含着目录服务器中的每一个对象，不过只存储每个对象的部分属性，而不是全部属性。

C 、 “全局编录”的数据存储在全局编录服务器，系统默认第一台域控制器就是全局编录服务器。在域目录林共享一个全局编录服务器。

10、站点

A 、 站点的含义：指的是一个或多个IP 子网，这些子网之间是通过高速（512K ），这些子网就是站点。

B 、 站点与域的区别：域是实体的分组，而站点是实体的分组，、每个站点可能会包含多个域，而一个域也可以同时属于多个站点。

11、名称

活动目录内，每个对象都有一个名称，并且利用名称来识别每个对象。

A 可分辨的名称（ND ）：它包含对象所在的完整路径，abc.com

orthsalesobyong.

B 、 相对可分辨的名称（RDN ）：RDN 是DN 的完整路径中。

C 、 全局标识符：GUID 是一个128的数值，所建立的任何一个对象，系统都会自动给这个对象指定一个唯一的GUID 。GUID 永远不会改变的。

D 、 用户主体名称：todayhero@abc.com这是一个用户的主体名称。

活动目录介绍

（一）目录服务

目录，是一个数据库，存贮了网络资源相关的信息，包括了资源的位置、管理等信息。 目录服务 是一种网络服务，目录服务标记管理网络中的所有实体资源（比如计算机、用户、打印机、文件、应用等），并且提供了命名、描述、查找、访问以及保护这些实体信息的一致的方法，使网络中的所有用户和应用都能访问到这些资源。

（二）活动目录（Active Directory）

活动目录 是Windows 2000完全实现的目录服务，也是Windows 2000网络体系的基本结构模型，是Windows 2000网络操作系统的核心支柱，也是中心管理机构。

Microsoft 在Windows 2000中提供的活动目录是一个全面的目录服务管理方案，也是一个企业级的目录服务，具有很好的可伸缩性。活动目录采用了Internet 的标准协议，它与操作系统紧密地集成在一起。活动目录不仅可以管理基本的网络资源，比如计算机对象、用户账户、打印机等，它也充分考虑了现代应用的业务需求，为这些应用提供了基本的管理对象模型，比如用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎所有的应用可以直接利用系统提供的目录服务结构，而且活动目录也具有很好的扩充能力，允许应用程序定制目录中对象的属性或者添加新的对象类型。

（三）活动目录的用处

（四）活动目录的逻辑结构

活动目录的逻辑结构非常灵活，它为活动目录提供了完全的树状层次结构视图，逻辑结构与前面我们讨论过的名字空间有直接的关系。逻辑结构为用户和管理员查找、定位对象提供了极大的方便。活动目录中的逻辑单元包括：域、组织单元（Organizational Unit ，简称OU ）、域树、域森林。

1、 域（Domain ）

域 既是Windows 网络系统的逻辑组织单元，也是Internet 的逻辑组织单元，在Windows 2000系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域。每个域都有自己的安全策略，以及它与其他域的安全信任关系。

2、 OU(Organizational Unit)

OU 是一个容器对象，我们可以把域中的对象组织成逻辑组，所以OU 纯粹是一个逻辑概念，它可以帮助我们简化管理工作。OU 可以包含各种对象，比如用户账户、用户组、计算机、打印机，甚至可以包括其他的OU 。所以我们可以利用OU 把域中的对象形成一个完全逻辑上的层次结构，对于一个企业来讲，我们可以按部门把所有的用户和设备组成一个OU 层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个OU 层次结构。由于OU 层次结构局限于域的内部，所以一个域中的OU 层次结构与另一个域中的OU 层次结构完全独立。

3、 树

当多个域通过信任关系连接起来之后，所有的域共享公共的表结构(schema) 、配置和全局目录(global catalog) ，从而形成 域树 。域树由多个域组成，这些域共享同一个表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来。活动目录包含一个或多个域树。

4、 森林

域森林 是指一个或多个没有形成连续名字空间的域树。域林中的所有域树共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来，所以每个域树都知道Kerberos 信任关系，不同域树可以交叉引用其他域树中的对象。

（五）其它

（1）域控制器(Domain Controller)

域控制器是指运行Windows 2000 Server版本的服务器，它保存了活动目录信息的副本。域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其他域控制器上。域控制器也负责用户的登录过程，以及其他与域有关的操作，比如身份认证、目录信息查找等。 一个域可以有多个域控制器。规模较小的域可以只需要两个域控制器，一个实际使用，另一个用于容错性检查；规模较大的域可以使用多个域控制器。 Windows 2000的域结构与Windows NT 4的域结构不同的是，活动目录中的域控制器没有主次之分，活动目录采用了多主机复制方案，每一个域控制器都有一个可写入的目录副本。在某一个时刻，不同的域控制器中的目录信息可能有所不同，一旦活动目录中的所有域控制器执行同步操作之后，最新的变化信息就会一致。

（2）活动目录与DNS

活动目录使用域名服务DNS 作为它的定位服务，同时也对标准的DNS 作了扩充。在活动目录中使用DNS 的最大好处在于，我们可以使Windows 2000域与Internet 上的域统一起来，即Windo ws 域名也是DNS 域名。

（3）Active Directory命名规范

a. 辨别名( distinguished name (DN))

活动目录中的每一个对象都会有一个唯一的辨别名DN 。DN 由域名、对象名组成： DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用户对象James Smith 在contoso.com 域中的Users 组织单元中的Teacher 单元中．

b.User Principal Name : 由用户登录名和域名组成，如 JamesS@contoso.com。

域运行模式

（1） 混合模式 。混合模式的域既可以有Windows 2000的域控制器，也可以有Windows NT 4的域控制器。这是一个过渡模式，利用这种模式，我们可以对现有的系统逐步升级。但是，在混合模式下，活动目录中有些功能不能很好地发挥出来。 （2） 准模式 。活动目录的标准模式要求所有的域控制器都必须运行Windows 2000。只有在这个时候，活动目录的所有功能和特性才能充分体现出来。