本文详细介绍了WindowsActiveDirectory中的容器、组织单位、域树结构、信任关系、对象命名路径、全局编录以及ADDB的逻辑分区。重点讲解了如何创建和管理域,以及对象在AD中的标识和定位方式。
1.组织单位与容器
(1)容器:有自己的名称和属性,其中可以包含其他对象(用户、计算机等),也可以包含其他容器
(2)组织单位:一种特殊的容器,除了可包含其他组织单位和对象外,还有组策略的功能
2.林、域树
(1)总体逻辑结构
|域树内父域与子域的命名策略和DNS域名的命名策略相同
也可以借由创建dc时的选择界面说明AD域的逻辑结构
*如果服务器是第一次创建域,那么只能选择在新林中创建域,系统创建域的同时,也会创建一个名称与该域的域名相同的林,这个域就是该林的根域
*如果选择 向现有域添加域控制器,那么不会创建新林、新域树、新子域,只是在现有域中创建一台辅助域控制器,作为主域控制器的备份
*如果选择 新建域树根而不是新子域,那么所新建的域将成为同一个林中另一个域树的根域
|新建域树根而不是新子域选项默认不会出现,必须在一开始的向导界面勾选使用高级模式安装
*如果选择在现有林中新建域,则所创建的域会成为林中某个域树中某一个域的子域,它的父域可在之后的界面里指定,可以是林中任何一个域
(2)信任
*两个域之间若想互相访问对方域内的资源,必须先建立信任关系。
*父域与子域在创建时自动拥有信任关系,且是双向的
*信任关系有传递性,A信任B,B信任C,则A就会信任C。因传递性得到的信任关系被称为隐性信任关系
*林中每个域树的根域都是相互信任的。因此,同一林中所有的域之间都有显性或隐性的信任关系。
3.域内对象的命名路径
以用户xj为例
(1)DN(可分辨名称):对象在AD域内的完整路径。对用户xj来说,其DN就是one.com\cx\xj,其结构就是 域名\组织单位\对象
(2)RDN(相对可分辨名称):RDN是DN完整路径中的部分路径。对用户xj来说,其RDN就是xj
(3)GUID(全局唯一标识符·):系统为对象指定的128位唯一数值,改变对象名称也不能改变对象的GUID
(4)UPN(用户主体名称):用户在不同的计算机上登录域用户时都可以用UPN登录。对用户xj来说,其UPN就是xj@one.com
4.全局编录
(1)AD域中主要有存储数据的ADDB(活动目录数据库)和ADDS(活动目录域服务),全局编录就是ADDS中的一项功能。
(2)虽然林中所有的域共享一个AD域,但AD域的数据散布在各个域中,为了使用户或程序快速访问其他域的资源,就需要全局编录。
(3)全局编录的数据存储在dc内,这台dc被称为全局编录服务器,其中存储着林内所有域的每一个对象,但只存储对象的部分属性,以供用户或程序搜索。
(4)内的第一台dc就是全局编录服务器,之后也可以手动添加其他全局编录服务器。
|林中共享ADDB的详情
ADDB可以分为4个逻辑分区:
(1)架构目录分区:林内所有域共享。存储着林中所有对象与属性的定义数据
(2)设置目录分区:林内所有域共享。存储着整个AD域的结构,如有哪些域、哪些dc等
(3)域目录分区:每个域各自不同。存储着与该域有关的对象
(4)应用程序目录分区:由应用程序创建到,复制到特定dc,而非全林共享。
扫一扫
1630
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
