2024年1月15日发(作者:)

Active Directory 概述

一、工作组和域:

Windows Server 2003 支持两种用户帐户:域帐户和本地帐户。域帐户可以登录到域上,并获得访问该网络的权限;本地帐户则只能登录到一台特定的计算机上,并访问该计算机上的资源。

在工作组模式的网络中,各服务器都是独立的,各服务器中的账户和资源也是各自进行管理的。所以,管理员需要为每台服务器建立账户。管理时也需要分别登录各服务器完成管理工作。授权用户访问不同的服务器时,也需要分别登录。

在域模式的网络中,服务器可以集中进行管理,域中的账户和资源也是集中管理的。所以,管理员登录一次就可以管理整个域。授权访问用户登录一次就可以访问所有共享资源。

在域结构的网络中,需要一个对账户和资源进行统一管理的机制,这个机制就是活动目录(Active Directory)。域中所有的账户和共享资源都需要在活动目录中进行登记。用户可以利用活动目录查找和使用这些资源。

基于域结构的网络可大大减轻管理的复杂度和工作量,通常用于结构较复杂的网络。

二、相关概念:

域(Domain):一个域就是一系列的用户账户、访问权限和其他各种资源的集合。

域是网络的独立安全范围,是 Windows 的逻辑管理单位。一个网络可以建立一个或多个域。

活动目录(Active Directory):活动目录是一个信息库,它用来存放域内的用户账户、组、网络打印机、共享文件夹等对象。

名字空间:每个域都必须命名,域的名字遵循 DNS 命名规则,并且通过 DNS 服务器解析域名。

信任关系:如果一个网络中建立了多个域,各个域之间可通过 Kerberos 协议建立信任关系,具有信任关系的各个域构成域群,它们的共享资源可以互相访问。域间的信任关系一般是双向的、可传递的。

系统定义了两种默认信任类型:父子、树根。使用“新建信任向导”还可以创建另外4种信任类型:外部、领域、林、快捷。

信任传递性 方 向

类型

父子 可传递 双向

说 明

用于构建具有层次结构的域树。当建立一个现有域的子域时,会建立父子信任。子域访问其它域时都需要通过其父域传递身份验

证请求。

树根 可传递 双向

用于构建平行关系的域林。当在现有域林中建立新的域树时,会建立树根信任。它提供了域树间传递身份验证的通道。

单向外部 不可传递 或双可用于构建不对外开放的域

单向可传递或领域 或双用于建立非 Kerberos 领域和 Kerberos 域间的信任关系

不可传递

单向林 可传递 或双用于建立林之间的信任关系

单向当两个域被多个域隔开时,利用快捷信任可改善它们之间的登录快捷 可传递 或双时间

构建域群有两种方式:域树和域林

域树(Tree):把多个域按“父子”信任关系构建成具有层次结构的域群。由于“父子”信任关系具有双向可传递性,所以一棵域树中的各个域间都是相互信任的。

域林(Forest):如果域树的根域间建立了“树根”信任关系,它们就构成了域林。由于“树根”信任关系具有双向可传递性,所以域林中的各个域间都是相互信任的。

在域树中,父域和子域的名字必须是相邻接的,而域林的两棵域树间的名字不必邻接。如下图所示。

三、域控制器

域控制器是运行和存放 Active Directory 的服务器。

一个域可以有一个或多个域控制器,各域控制器是平等的,管理员可以在任一台域控制器上更新域中的信息,更新的信息会自动传递到网络中的其它域控制器中。

在一个域中创建第一个域控制器的过程就是创建域的过程,设置多个域控制器可以提高域的安全性。如果把域中的所有域控制器都删除,该域也就被删除了。

四、成员服务器

成员服务器是一台运行 Windows Server 2003 的服务器,它是域中的成员,但不是域控制器。

成员服务器不执行用户身份验证,也不存储安全策略信息,这些工作由域控制器完成,这样,可以让成员服务器有更高的处理能力来处理网络中的其他服务。

在域结构的网络中,身份验证与服务是分开的,这样可以提高服务器的效率。

五、域中的帐户

域中的帐户包括用户账户、计算机帐户、组帐户和共享资源帐户。所有帐户都存放在活动目录中,系统用安全标识符(SID)标识各个帐户。

1、用户账户:可作为用户身份的识别,它主要由用户名和密码组成,只有拥有了一个用户账户的人员才能通过计算机登录到域。在实际应用中,应该尽量保证一个用户账户由一个人使用,避免一个帐户供多人使用的情况出现。

2、计算机帐户:用来标识域中的计算机。一个拥有了用户账户的人并不能用任意的一台计算机登录到域,他只能在已加入域的计算机上才能登录域。每台加入到域的计算机(包括客户机和服务器)都会有一个计算机帐户。在实际应用中,应该只把那些工作用计算机加入域中,这样可保证人们只能在工作场所使用域。

3、组帐户:用于组织用户账户。不同用户账户可拥有不同的权利和权限,为了方便管理,可设置组帐户,为组帐户设置权利和权限,当需要赋予一个用户某种权限时,只要把该帐户加入相应的组即可。一个用户账户可同时加入多个组,他的权限是各个组权限的叠加。

域中的组允许嵌套,即组的成员可以包括用户账户和其它组。(本地帐户中的组不能嵌套)

4、共享资源帐户:用来标识域中的共享资源,包括共享文件夹、共享打印机等。域中的共享资源必须公布在活动目录中才能由域用户共享。共享文件夹的实际位置可以在域中任一台计算机中,但域用户只要登录到域,就可以访问这些资源,而不必登录到具体计算机上。实际应用中,共享文件夹通常定义在服务器上,这样可保证资源总是有效,如果定义在客户机上,将会在客户机关机时无法访问。

六、组作用域

通用组:成员可以来自任何域;成员可以访问任何域内资源。

全局组:成员只来自本地域;成员可以访问任何域内资源。

本地域组:成员可来自任何域,成员可访问本地域内的资源。

注意:本地组是指本地帐户中的组,它只针对本机。而本地域组针对的是域,两者不是一个概念。

七、组类型

组有两种类型:通信组和安全组。

通信组:用于创建电子邮件通信组列表。用于部署了电子邮件服务的网络。

安全组:用于给共享资源指派权限。

八、默认组

默认组是当您创建 Active Directory 域时自动创建的安全组。可以使用这些预定义的组帮助您控制对共享资源的访问,并委派特定的域范围的管理角色。

可以通过使用 Active Directory 用户和计算机来管理组。默认组位于“Builtin”容器和“Users”容器中。“Builtin”容器包含用本地域作用域定义的组。“Users”容器包含通过全局作用域定义的组和通过本地域作用域定义的组。可将这些容器中的组移动到域中的其他组或组织单位,但不能将它们移动到其他域。

“Builtin”容器中的组:

组 描述 默认用户权利

该组的成员可以创建、修改和删除位于“Users”或“Computers”容器中的用户、组和计算机的帐户以及该域中的组织单位,除了“Domain Controllers”组织单位。该组的成员无权修改

Account Operators Administrators 或 Domain Admins 允许本地登录;关闭系统。

组,也无权修改这些组的成员的帐户。该组的成员可本地登录到该域的域控制器中,并可将其关闭。由于该组在此域中有重要的作用,因此在添加用户时要特别谨慎。

该组的成员具有对域中所有域控制器的从网络上访问该计算机;调Administrators(管理完全控制。默认情况下,Domain Admins 整进程的内存配额;备份文员) 和 Enterprise Admins 组是 件和目录;跳过遍历检查;Administrators 组的成员。更改系统时间;创建页面文

Administrator 帐户也是默认成员。由件;调试程序;为委派启用于该组在此域中具有完全控制作用,因要受信任的计算机和用户帐此在添加用户时要特别谨慎。 户;从远程系统强行关机;提高调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审核和安全日志;修改固件环境值;简述单个进程;简述系统性能;从插接站删除计算机;还原文件和目录;关闭系统;获得文件或其他对象的所有权。

该组的成员可备份和还原该域中域控制器上的所有文件,不论其各自对这些文件的权限如何。Backup Operators 还可备份文件和目录;允许本地Backup Operators 以登录到域控制器并将其关闭。该组中登录;还原文件和目录;关没有默认的成员。由于该组对域控制器闭系统。

有重要作用,因此在添加用户时要特别谨慎。

Guests

默认情况下,Domain Guests 组是该组的成员。Guest 帐户(默认情况下禁用没有默认的用户权利。

此帐户)也是该组的默认成员。

该组的成员可创建对林根域的单向内传林信任。例如,驻留在 A 林中的该组成Incoming Forest 员能够创建来自 B 林的单向内传林信Trust Builders(仅出任。该单向内传林信任允许 A 林中的用没有默认的用户权利。

现在林根域中) 户访问位于 B 林中的资源。该组的成员在林根域上会得到“创建传入林信任”权限。该组中没有默认的成员。

Network

Configuration

Operators

该组的成员可更改 TCP/IP 设置并续订和发布该域中域控制器上的 TCP/IP 地没有默认的用户权利。

址。该组中没有默认的成员。

该组的成员可在本地或从远程客户端监Performance Monitor 视该域中域控制器上的性能计数器,无没有默认的用户权利。

Users 需作为 Administrators 或

Performance Log Users 组的成员。

该组的成员可在本地或从远程客户端管Performance Log 理该域中域控制器上的性能计数器、日没有默认的用户权利。

Users 志和警报,无需作为 Administrators

组的成员。

该组的成员具有对该域中所有用户和组Pre-Windows 2000 的读取访问权。该组向后兼容运行 从网络访问此计算机;跳过Compatible Access Windows NT 4.0 及其早期版本的计算遍历检查。

机。默认情况下,特殊的 Everyone 标

识是该组的成员。仅当用户在运行

Windows NT 4.0 或早期版本时,将其添加到该组中。

该组的成员可管理、创建、共享和删除连接到该域中域控制器上的打印机。它们可以管理该域中的 Active

Directory 打印机对象。该组的成员可Print Operators 本地登录到该域的域控制器中,并可将允许本地登录;关闭系统。

其关闭。该组中没有默认的成员。由于该组的成员可在该域的所有域控制器上加载和卸载设备驱动程序,因此在添加用户时要特别谨慎。

该组的成员可远程登录到该域的域控制Remote Desktop Users 没有默认的用户权利。

器。该组中没有默认的成员。

该组支持目录复制功能,并由该域的域控制器上的“文件复制”服务使用。该没有默认的用户权利。

组中没有默认的成员。不在该组中添加用户。

Replicator

在域控制器上,该组的成员可进行交互式登录、创建和删除共享资源、启动和备份文件和目录;更改系统停止某些服务、备份和还原文件、格式时间;从远程系统强行关机;Server Operators

化硬盘,以及关闭计算机。该组中没有允许本地登录;还原文件和默认的成员。由于该组对域控制器有重目录;关闭系统。

要作用,因此在添加用户时要特别谨慎。

该组的成员可执行大部分常见任务,如运行应用程序、使用本地和网络打印机,以及锁定服务器。默认情况下,Domain

Users 组、Authenticated Users 或 没有默认的用户权利。

Interactive 都是该组的成员。因此,域中创建的任意用户帐户均为该组成员。

Users

“Users”容器中的组:

Cert Publishers

描述

该组的成员获准为用户和计算机发行证书。该组中没有默认的成员。

默认用户权利

没有默认的用户权利。

DnsAdmins(随 DNS 该组的成员具有对 DNS Server 服务的管没有默认的用户权利。

安装) 理访问权。该组中没有默认的成员。

该组的成员是可代表其他客户端(如 DHCP

DnsUpdateProxy服务器)执行动态更新的 DNS 客户端。该没有默认的用户权利。

(随 DNS 安装)

组中没有默认的成员。

Domain Admins(域该组的成员具有对该域的完全控制权。默从网络上访问该计算机;调整

管理员) 认情况下,该组是加入到该域中的所有域控制器、所有域工作站和所有域成员服务器上的 Administrators 组的成员。默认情况下,Administrator 帐户是该组的成员。由于该组在此域中有完全控制作用,因此在添加用户时要特别谨慎。

进程的内存配额;备份文件和目录;跳过遍历检查;更改系统时间;创建页面文件;调试程序;为委派启用要受信任的计算机和用户帐户;从远程系统强行关机;提高调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审核和安全日志;修改固件环境值;简述单个进程;简述系统性能;从插接站删除计算机;还原文件和目录;关闭系统;获得文件或其他对象的所有权。

该组包含加入到此域的所有工作站和服务Domain Computers 器。默认情况下,创建的任何计算机帐户没有默认的用户权利。

都会自动成为该组的成员。

Domain

该组包含此域中的所有域控制器。

Controllers

Domain Guests 该组包含所有域来宾。

没有默认的用户权利。

没有默认的用户权利。

该组包含所有域用户。默认情况下,此域中创建的任何用户帐户都会自动成为该组的成员。可以使用该组来表示此域中的所有用户。例如,如果想要所有域用户具有Domain Users 没有默认的用户权利。

对打印机的访问权限,可将打印机的访问权限指派给该组(或者将 Domain Users 组添加到打印机服务器上某个具有打印机访问权限的本地组中)。

从网络上访问该计算机;调整进程的内存配额;备份文件和目录;跳过遍历检查;更改系统时间;创建页面文件;调试程序;为委派启用要受信任的计算机和用户帐户;从远程系统强行关机;提高调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审核和安全日志;修改固件环境值;简述单个进程;简述系统性能;从插接站删除计算机;还原文件和目录;关闭系统;获得文件或其他对象的所有权。

该组的成员具有对林中所有域的完全控制Enterprise 作用。默认情况下,该组是林中所有域控Admins(企业管理制器上 Administrators 组的成员。默认员,仅出现在林根情况下,Administrator 帐户是该组的成域中) 员。由于该组在林中有完全控制权限,因此在添加用户时要特别谨慎。

该组的成员可修改此域中的组策略。默认Group Policy 情况下,Administrator 帐户是该组的成没有默认的用户权利。

Creator Owners 员。由于该组在此域中有重要的作用,因此在添加用户时要特别谨慎。

IIS_WPG 组是 Internet 信息服务 (IIS)

6.0 辅助进程组。在 IIS 6.0 的工作范围内存在服务于特定名称空间的辅助进程。IIS_WPG(随 IIS 例如, 是由一个辅助没有默认的用户权利。

安装) 进程提供的名称空间,可运行在添加到

IIS_WPG 组的某个标识(如

MicrosoftAccount)之下。该组中没有默认的成员。

RAS 和 IAS

Servers

该组中的服务器获准访问用户的远程访问没有默认的用户权利。

属性。

该组的成员可修改 Active Directory 架Schema Admins(仅构。默认情况下,Administrator 帐户是没有默认的用户权

出现在林根域中) 该组的成员。由于该组在林中有重要的作用,因此在添加用户时要特别谨慎。