活动目录的规划、实现和维护—以 Windows Server 2003 为例

Slides:



Advertisements
Similar presentations
本章重点内容  SMB 协议和 Samba 简介  安装和启动 Samba  配置 Samba 文件共享  配置 Samba 打印共享  在 Linux 环境下访问 Samba 共享.
Advertisements

创造现代生活 纸的利用与装饰. 中国古代四大发明对世界文明的发 展有什么影响? 我们的调查:  四大发明在人类文明史上的重要地位 :  四大发明在欧洲近代文明产生之前陆续传入西方,成为 “ 资 产阶级发展的必要前提 ”( 《马克思恩格斯全集》 ) ,为资产阶 级走上政治舞台提供了物质基础:印刷术的出现改变了只有.
2011 年中考复习教学研讨会议程 一、初三质检试卷分析(学科中学组成员) 1. 启明中学 2. 连江三中片 3. 凤城中学片 4. 全县质检数据通报 二、考试说明解读及复习建议.
第二章 因特网的组织与管理 1 、域名与域名的管理 2 、 IP 地址及其管理 3 、如何将计算机接入因特网 江苏省上冈高级中学信息组张宏芳.
分享成长的快乐 2010年3月刊 成长进行时 欢乐出版社.
2008年上海市精品课程 2007年度上海建桥学院教改课程 计算机网络技术 理论 DNS服务的应用 项目负责人 张嗣萍/本环节主讲教师 阮鹏.
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
第9章 DNS服务器的配置与管理 DNS的基本概念 DNS的测试 DNS服务器的动态更新 Windows Server 2003网络操作系统
第五章 网络服务组件.
计算机网络高级工 梁绍宇.
晨露 进入 阳光出版社
吴峻 软件设计工程师组长 Exchange Server 微软有限公司
彭江波.
第二章 管理資訊系統概論暨資訊系統應用(Introduction to MIS and the Applications of IS)
公文製作與習作 行政院秘書處 93年10月11日.
J107 胡婷涵 28號.
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
Windows Server 2003操作系统相关配置
会计技能综合实训 ——会计分工.
滴水之恩,何以相“报” 本期焦点 中国感恩出版社 感恩节 妈妈,您辛苦了 给爸爸洗脚 生活中的感恩 我心目中的感恩 阅读 2008年12月号
摘要說明 使用的時機:閱讀教育 步驟:介紹書籍資料後進行討論 適用的領域或議題:語文領域 單元名稱:自創教材.
第2章 局域网应用.
十四岁,我读《红楼梦》 揽月小队 出品.
网络地址转换(NAT) 及其实现.
星星的眼淚 星星的眼淚 班級:S202 座號:46 姓名:鄭媛文 作品:星星的眼淚
课程及其教学标准 主讲:傅文清
Microsoft WLAN tech. 中正通訊 卓瑩鎗.
Windows 2000 Professional系統管理系列
第 19 章 遠端管理.
第 3 章 SQL Server 2000 伺服器管理初步.
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
利用 ISA Server 2004 建置應用層防護機制
Windows 2003 Server IIS網站的架設
本 章 重 點 18-1 Internet的由來與對生活的影響 18-2 Internet的服務與相關名詞簡介 18-3 IP位址表示法
第 3 章 熟悉 SQL Server 的工作平台.
第 5 章 建立網域.
Exchange Server 2003 系統管理.
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
活动目录系列工具 徐鹏 MVP
第 8 章 規劃與建立群組.
第六章 网络基础.
计算机网络管理技术 第1章 网络管理技术概述 第2章 SNMP网络管理架构 第3章 网络流量监控技术与方法 第4章 磁盘管理
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
新世代計算機概論第三版 第11章 網際網路.
顧武雄 Jovi Ku Microsoft特約資深講師
校 園 雲端輸出管理系統 新印科技股份有限公司 聯絡人:伍宏一 電 話: /
数据智能同步系统 操作指南.
AZR303 雲端整合企業識別 進行單一簽入 張書源 資深開發技術經理 台灣微軟.
Web前端开发 第23章:网站发布 阮晓龙 / 河南中医药大学管理科学与工程学科
參考資料來源:國家圖書館遠距學園 簡報製作:林秀玲.
參考資料來源:國家圖書館遠距學園 簡報製作:林秀玲.
第三章 组建Windows 2000网络基础平台.
Windows Server 2003安全管理 Windows Server 2003网络操作系统 设置本地安全策略 基于域的安全设置 审核
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
主要内容: 活动目录的基本知识 活动目录的安装 构造域帐户 安全策略的设置 设置共享文件夹 安装网络打印机
健康推廣協會專案 行政院勞動力發展署中彰投分署103年第8期網路商務A班專題報告.
基于C#的.NETFramework 程序设计语言
Print Security Audit System
中国科技大学计算机科学与技术学院 School of Computer Science & Technology
第11章 安全管理 教学提示:数据库安全是关系数据库中的非常重要的方面,包括了系统安全、数据安全、资源管理、用户管理、权限管理、角色管理、口令管理以及授权、认证、审计等相当多方面的内容。本章讲述有关数据库安全方面的知识。 数据库系统的安全性是每个数据库管理员都必须认真考虑的问题。SQL Server.
資訊安全概論 樹德科技大學 資訊工程系 林峻立 助理教授.
公文書信製作 國立二林工商 人事室主任王慶城.
此方案适用于如下车辆与车辆,车辆与人之间实现防撞,安装简单、方便快捷,可以有效的降低各种车辆碰撞事故,车辆碾压人员事故的发生。
蔺华 ISV开发合作经理 平台及开发技术部 微软(中国)有限公司
資料來源:九德國小 新庄國小中年級圖書利用教育 書的身體 資料來源:九德國小 授課者 王美惠老師.
MSG 361 如何从Exchange 5.5迁移 胡义 咨询顾问 上海星移软件有限公司 2019年7月31日8时9分
強化 Windows 平台 唐任威 資深講師.
Presentation transcript:

活动目录的规划、实现和维护—以 Windows Server 2003 为例

课程介绍 课程简介 本书专注于Windows Server 2003 目录服务环境的创建和管理上,包括林域结构、DNS、站点拓扑和复制、组织单元结构、委托管理控制、组策略和用户组还有计算机账户等,同时结合前面所学课程内容,设计活动目录架构、规划组织单位结构和组策略架构。本门课程是MCSE on Windows Server 2003考试的第六门课程。 预备知识 掌握 Windows Server 2003 操作系统的基本使用和配置 掌握 Windows Server 2003 网络的基本概念 了解网络基本知识 课程定位及重要性: 系统管理基础课,; 内容摘要: 本课程主要介绍了 Windows Server 2003 在网络管理上的一些新特性包含: 用户、计算机的管理和配置; 访问和连接方式; 如何利用组策略来进行用户和计算机管理; 在网络服务方面如 DNS 服务器等相关的新特性; 活动目录架构配置、规划等方面内容。

课程要求 课时:63课时 分为两部分 讲课部分: 33课时课堂教学 实践部分: 26课时实验教学 培养目标 通过本课程的学习,掌握使用 Active Directory 进行日常管理的知识和技能,具备管理和解决Active Directory操作中的疑难问题以及规划Active Directory的能力。 讲解方法: 介绍《活动目录的规划、实现和维护》课程在整个课程蓝图当中的位置,可参考微软网站院校计划的蓝图; 介绍本课程是必修课程 ,其中介绍了 Active Directory 的新特性,包含从日常管理、运行维护、服务器管理、规划等各个管理层面的内容; 参考: 课前可以参考微软院校课程教师社区网站了解相关内容:http://211.152.12.37/mst3/default.asp。

课程知识点 Active Directory 规划与架构管理 Active Directory 的复制规划(第 8 章) (第 1 章) 掌握用户账户和计算机账户的日常管理 (第 4 章) 配置组策略和进行日常管理(第 5,6,7 章) Active Directory 的复制规划(第 8 章) 域控制器与操作主机规划(第 9,10章) 维护 Active Directory(第 11章) 重点: 上面各项是我们的教学要点,是学生在学习完该课程后应该能够具备的工作能力;建议教师在授课过程中将知识点与章节内容对应; 注意: 幻灯片中的各教学要点和教材中的章节对应,讲述完教材中的内容后,教师可以根据这页幻灯片帮助学生整理思路,以巩固学习的内容; 课堂提问: 请学生谈谈对企业当中网络管理需要了解哪些内容? 开放式问题,主要帮助老师简单了解学生对以前知识掌握即可; 讨论以前学过的 Windows 2000 网络管理内容,都包含哪些内容? 开放式问题,主要查看学生对以前知识点记忆情况,由于每个学校选择课程内容有所不同,可根据所选择课程的章节名称参考即可 Windows Server 2003 与 Windows Server 2000 相比都有哪些新特性? 参看微软网站 Windows Server 2003 新功能对比; 参考: 学完课程后能够拿到的证书为 ATA 主考的 MCP 证书,具体内容可以参考以下网站: http://www.microsoft.com/traincert/training/find/findcourse.asp; 微软专家认证(Microsoft Certified Professional,简称 MCP) 获得微软专家认证资格就意味着,微软承认您已具备较高专业技术水平,能够运用微软产品或技术为企业单位中的商务活动提供所需解决方案; 微软认证系统管理员(Microsoft Certified Systems Administrator,简称 MCSA) 获得微软认证系统管理员资格就意味着,微软承认您已具备较高专业技术水准,能够实施、管理和维护当前基于微软 Windows 2000 和 Windows Server 2003 服务器平台的网络与系统环境; 微软认证系统工程师(Microsoft Certified Systems Engineer,简称 MCSE) 获得微软认证系统工程师资格就意味着,微软承认您已具备较高专业技术水平,能够分析商业需求,并使用微软 2003 系列平台和微软服务器软件来设计并实现商务解决方案的基础架构。微软认证系统工程师是这方面最为重要的认证资格。

序言—课程分类和学习资料 我们的课主要分为两种:理论课和实验课。 学习资料如下: 课本 学生光盘 理论课:我们主要在教室里学习课本内容。 实验课:我们会把书上的实验到机房里去上机操作一下。 学习资料如下: 课本 学生光盘 幻灯片(和上课演示的PPT是一样的) 多媒体视频和交互练习 实验手册(每次实验的时候需要大家填写的) 实验文件(每次实验会用到一些文件) 案例文档 课外阅读 重点 给学生指明学习资料的位置,为学生今后的顺利学习做好铺垫 学习方法 课前可以使用幻灯片结合书,做一些预习。这样上课听起来会更轻松。 认真完成好每章后面的习题和每次上机。 自己在家里或寝室中做一些相关的试验。光靠听讲是无法学会故障排除的。上机的时间也是不够的。 和同学多交流一些学习和操作的经验,如果有时间也可以参加微软免费举办的一些论坛活动, 如微软IT实战论坛,相关活动内容介绍可以参考微软网站(www.microsfot.com/china/technet)。借助他人的经验帮助自己成长。

序言—学习方法 课前可以使用幻灯片结合书,做一些预习。这样上课听起来会更轻松。 认真完成好每章后面的习题和每次上机。 自己在家里或寝室中做一些相关的实验。光靠听讲是无法学会新知识的。上机的时间也是不够的。 和同学多交流学习的经验,借助他人的经验帮助自己成长。 重点 这里推荐学生按照我们的学习方法进行有效的学习

参考资料 互联网资源 微软出版社书目 微软院校课程 MSDN 和 TechNet http://www.microsoft.com/technet/ http://www.microsoft.com/china/technet/ http://msdn.microsoft.com/ http://www.microsoft.com/china/windowsserver2003 微软出版社书目 MCSE Self-Paced Training Kit (Exam 70-294): Planning, Implementing, and Maintaining a Microsoft® Windows Server™ 2003 Active Directory® Infrastructure ISBN:0-7356-1438-5 MCSE Self-Paced Training Kit (Exams 70-290, 70-291, 70-293, 70-294): Microsoft® Windows Server™ 2003 Core Requirements ISBN:0-7356-1953-0 微软院校课程 http://www.mktgservice.com/msc/ MSDN 和 TechNet MSDN 站点上包含了大量可供开发人员使用的文档、代码和技巧: TechNet 站点上包括了 IT 专业人员在规划、部署、运行维护和管理时参看和使用的文档和指南以及技巧: 重点: 参考上面的资料,详细给学员讲解这些资源的使用,请注意上述技术资源基本上能够帮助学生解决日常学习和以后工作中常见的技术问题。

活动目录的规划、实现和管理 —— 以 Windows Server 2003 为例 第 1 章 Active Directory 结构简介 第 2 章 实现 Active Directory 林和域结构 第 3 章 实现组织单位结构 第 4 章 实现用户、组及计算机账户 第 5 章 组策略的实现 第 6 章 使用组策略部署和管理软件 第 7 章 使用组策略管理安全 第 8 章 实现站点以管理 Active Directory 复制 第 9 章 实现域控制器的布置 第 10 章 操作主机的管理 第 11 章 维护 Active Directory 本章概述 企业通过架设活动目录服务可以集中管理分散在公司网络中的各种资源(人和各种软硬件资源),并对这些资源状态进行跟踪。活动目录让用户和应用程序可以很方便的检索和使用资源而无需关心它们在何处。本章介绍了 Active Directory® 目录服务的逻辑结构与物理结构以及其目录服务功能。另外还介绍了在日常管理工作中经常使用的MMC 管理单元、命令行工具、Windows 脚本宿主(Windows Script Host),最后还概述了 Active Directory 设计、规划和实现过程。通过学习上述内容,学生可以对以前所学的Active Directory知识进行概括和回顾,为接下来的规划打好基础。 教学目标 掌握 Active Directory 的体系结构,包括逻辑和物理结构 掌握 Active Directory 工作过程 学会使用管理单元检查 Active Directory 组件 掌握 Active Directory 设计、规划和实现过程 教学重点 Active Directory 的体系结构,包括逻辑和物理结构 Active Directory 工作过程 使用管理单元检查 Active Directory 组件 Active Directory 设计、规划和实现过程 教学难点 Active Directory的体系结构工作过程以及管理单元的用法在前面的课程中有过详细解释,但是这些知识点不容易掌握容易遗忘,教师应在本章中作为回顾讲解 关于Active Directory的设计、规划和实现过程的综合讲解,是一个比较新颖的知识,而且也是本书的重点。本书就是要学生综合以前所有学习的知识,上升到一个设计并实现Active Directory服务的高度 实验: 本课程每个章节都包括课后实验,教师可以根据实际情况指导学生,或者让学生自己独立完成; 对于 第1章:给出学生一个关于 Active Directory 基本概念,后续章节大部分实验都需要在域的环境下完成,需要教师协助介绍实验环境的搭建,具体步骤可以参考课程光盘当中的实验指南,同时,实验相关文档也都包括在课程光盘里面; 习题: 书本中每个章节课后包括习题练习,习题练习是对每章学习目标的回顾,可留作家庭作业,书本答案可在教师课程光盘中找到。

第 1 章 Active Directory 结构简介 教学提示 : 本节主要实现以下目的: 掌握 Active Directory 的功能(略讲) 掌握 Active Directory 的逻辑结构(精讲) 掌握 Active Directory 的物理结构(精讲) 掌握操作主机角色(精讲) 注意: 加下划线就是将学到的内容; 难点: 考虑到学生如果对 Active Directory 不是非常熟悉,可以通过多媒体和软件自动安装做个范例介绍,避免单纯枯燥内容介绍。 配合案例: 开始进行项目初始化,理解项目基础需求 继续任务2.6.1 风险分析 继续进行项目任务 2.7.3 建立 DNS 服务器 理解项目计划书中相关 Active Directory 相关名词

Active Directory 体系结构 Active Directory 的作用 Active Directory 服务的优势 域复制与操作主机 注意: 加下划线就是将学到的内容。

Active Directory 的作用 什么是 Active Directory? 存储用户、计算机和网络资源的信息,并且使资源可以被用户和应用程序访问 它提供了命名、描述、定位、访问、管理和保护这些资源有关信息的一致途径 目的: 介绍 Active Directory 基础概念,给出学生一个关于 Active Directory 的清晰认识; 课堂提问: Active Directory 和工作组的区别? 简单来说就是集中管理和分散管理的区别。

Active Directory 的作用 域特点: 对网络资源的集中控制 集中和分散资源管理 在逻辑结构中安全地存储对象 优化网络流量 目的: 理解域和工作组区别,为学生走上工作岗位判断在情况下使用 Active Directory 给出建议; 重点: 理解 Active Directory 中架构的概念; 课堂讨论: 为什么在企业或校园网络管理中非常关注的一个因素是网络流量? 教师可以从网络蠕虫病毒作为切入点给学生介绍,描述病毒泛滥对网络造成的影响。

Active Directory 服务的优势 目录服务功能 集中式管理 组织 管理 控制 中心位置集中管理 一次登录访问所有资源 重点: 重点讲清楚活动目录作为网络服务的作用和实现的目标; 课堂讨论: 在 Active Directory 中提及的资源有哪些? 主要帮助学生理解日常网络的范围,教师可以从用户、计算机、共享文件夹等基础概念介绍帮助学生理解相关概念。 相关习题:习题3 资源

Active Directory 的逻辑架构 域 OU 域树 林 组织单位 对象 目的: 理解 Active Directory 的组织架构,理解相关层次关系;

Active Directory 的逻辑架构 对象的管理边界 管理共享资源安全性的方法 对象的复制单元 域树:以层次结构的方式组合到一起的域,子域的名称与其父域名称组合在一起,形成它自身唯一的域名系统 林:林是 Active Directory 的完整实例。其中包含一个或多个树 林根域:林中的第一个域 重点: 掌握 Active Directory 中域、树、林、森林的概念; 注意: 如果学生对此概念比较模糊,教师可以演示如何把一台计算机提升成为一台域控制器,介绍其中的步骤,理解相关上述概念 ; 参考: 这里可以询问学生常见组织单位划分方式帮助学生回顾组织单位的概念; 常见解答如下:按照组织部分、地理位置等来进行划分

Active Directory 的物理架构 站点 域控制器 广域网连接 站点 广域网连接 目的: 介绍 Active Directory 中逻辑架构和物理架构区别; 难点: 理解站点和 IP 子网之间的关系。 站点 域控制器

Active Directory 的物理架构 域控制器: 运行 Microsoft Windows Server 2003(或 Windows 2000 Server)和 Active Directory 每台域控制器执行存储和复制功能 一台域控制器只能支持一个域 Active Directory 站点: 通过建立站点实现网络流量优化,对不同位置的域控制器之间的带宽达到最佳利用 重点: 介绍域控制器概念,理解哪些系统能够支持 Active Directory; 难点: Windows Nt 4.0 服务器能够支持域概念,但是不支持成为 Active Directory 控制器,关于这一点,如果学生能力比较好可以提及这一点。

域复制与操作主机 域范围角色 1.1.5 域复制与操作主机 林范围角色 PDC 模拟器 RID 主机 架构主机 域命名主机 架构主机 林根域中的第一台域控制器 目的: 介绍 Active Directory 中定义了五种操作主机角色,一些书籍又称为 FSMO): 架构主机 schema master; 域命名主机 domain naming master; 相对标识号 (RID) 主机 RID master; 主域控制器模拟器 (PDCE); 基础结构主机 infrastructure master; 注意: 为了加深学生对此的印象,可以提醒学生如果域控制器瘫痪了该如何处理,从而引出主机角色转移概念; 参考: FSMO 的全称 :Flexible Single Master Operations; 如何通过脚本控制主机角色参考文章: http://www.microsoft.com/china/technet/community/scriptcenter/compmgmt/scrcm24.mspx。 域范围角色 RID 主机 PDC 模拟器 架构主机

域复制与操作主机 1.1.5 域复制与操作主机 林范围的角色: 架构主机:控制所有对架构的更新 域命名主机:控制域在林中的增添与删除。添加新域到林中时,只有拥有域命名主机角色的域控制器才能增加新域 域范围的角色: 主域控制器(PDC)模拟器: 充当 Windows NT PDC,用于支持混合模式域中运行 Microsoft Windows NT 的任何备份域控制器(BDC) 相对 ID 主机: 当创建新的对象时,域控制器建立一个代表对象的安全主体,并给对象指定唯一的安全标识符。此安全标识符(SID)由域 SID 和相对标识符(RID)组成。域 SID 对于在此域中创建的所有安全主体是相同的;相对标识符(RID)对于每个在同个域中创建的安全主体是惟、唯一的。RID 主机向域中的每台域控制器分配 RID 块。域控制器然后从其分配到的 RID 块中为创建的对象分配一个 RID 结构主机: 对象从一个域移动到另一个域时,结构主机在其域中更新那些指向此对象(已位于另一域中)的对象引用。对象引用包含对象的全局唯一标识符(GUID)、可辨别名称和 SID。Active Directory 周期性地在对象引用上更新可辨别名称和 SID,以反映实际对象的更改,如对象在域中或域间的移动、对象的删除 目的: 介绍主机角色概念; 重点: 介绍整个林中只有一台架构主机和域命名主机,林中的每个域具有自身的 PDC 模拟器、RID 主机和结构主机,为了加深学生印象,教师可以举出一个域树中包含两个子域,问其中角色数目分别是多少,帮助学生理解主机角色概念。

第 1 章:Active Directory 结构简介 教学提示 : 本节主要实现以下目的: 掌握 Active Directory 的目录服务功能 确定 Active Directory 架构的用途,以及如何使用 确定全局编录的用途 确定 Active Directory 对象的可辨别名称和相对可辨别名称 掌握 Active Directory 如何实现单点登录 注意: 加下划线为即将学到的内容。

Active Directory 的工作原理 目录服务 架构 全局编录 可辨别名称和相对可辨别名称 多媒体:Active Directory 如何实现单点登录 目的: 介绍 Active Directory 核心是作为目录服务的功能; 难点: 学生经常会忽视全局编录的用途,导致用户无法登录的问题,教师这里可以提醒学生相关问题解决方法之一就是考虑全局编录问题。 本节主要实现以下目的: 掌握 Active Directory 的目录服务功能 确定 Active Directory 架构的用途,以及如何使用 确定全局编录的用途 确定 Active Directory 对象的可辨别名称和相对可辨别名称 掌握 Active Directory 如何实现单点登录

目录服务 目录是组织中人员和资源的结构化信息储备库 目录服务基于目录实现各种功能 KimYoshida 属性 值 名称 建筑 楼层 1.2.1 目录服务 目录是组织中人员和资源的结构化信息储备库 目录服务基于目录实现各种功能 Domain OU1 Computers Computer1 Users User1 User2 OU2 Printers Printer1 KimYoshida 属性 值 名称 建筑 楼层 Kim Yoshida 117 1 目的: 理解目录服务层次化的概念; 重点: 这里提醒学生给出一个非常好的组织单位管理规范,按照不同对象属性进行管理,例如这里的用户、打印机等; 强调引入组织单元的目的和所实现的功能; 参考: 如果学生有兴趣可以参考 “Introduction to Active Directory in Application Mode”的文章,网址:http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx。

目录服务 Active Directory 具有下列功能: 使用户和应用程序能够访问对象的相关信息 使物理网络拓扑结构和协议透明化 1.2.1 目录服务 Active Directory 具有下列功能: 使用户和应用程序能够访问对象的相关信息 使物理网络拓扑结构和协议透明化 网络上的用户能够访问任何资源(如打印机),而无需知道资源的位置,也无需知道其与网络的物理连接方式 目的: 介绍 Active Directory 功能; 难点: 透明化的概念在于简化网络管理相关人员负担。 参考文档: 如需了解更多有关 AD/AM 的信息,请参阅标题为“Introduction to Active Directory in Application Mode”的文章,网址:http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx

架构 能够扩展了林级别对象的定义和属性 架构的更改及其停用 1.2.2 架构 对象类的范例 用户 计算机 打印机 属性例子 账户过期日 部门 操作系统 姓 名 目的: 介绍架构概念; 重点: 通过架构概念介绍,教师应该提及多主复制概念,否则学生可能对于主机在 Active Directory 架构中意义没有概念。 参考文档: 如需了解更多有关扩展 Active Directory 架构的信息,请参阅 MSDN Library 在线参考中的“扩展架构”。

架构 架构有两类定义 对象类和属性 属性和对象类分开定义 1.2.2 架构 架构有两类定义 对象类和属性 对象类(如用户、计算机和打印机)描述了可以创建的目录对象。每个对象类是一组属性值的集合 属性和对象类分开定义 每个属性只需定义一次,就能在多个对象类中使用。例如,“描述”属性在很多对象类中使用,但是在架构中只定义一次,从而能保持其一致性 难点: 关于架构,说的浅显一点就是人类社会中,有些内容大家是具有共性的,就是公用属性概念,但是有些属性一定是唯一的,通过这样的比喻帮助学生理解; 注意: 出于安全和稳定性考虑,微软一般不建议对架构轻易进行修改。 相关习题:习题1

全局编录 全局编录是一个信息储备库,其中包含 Active Directory 的对象的属性的一个子集 1.2.3 全局编录 只读 全局编录 目的: 以打印机为例介绍全局编录的作用,例如如果搜索林中所有打印机,全局编录服务器将在全局编录中处理查询,然后返回查询结果。如果没有全局编录服务器,则这个查询将需要搜索林中的每个域,这样必然造成网络流量增加和查询时间较长的弊病; 注意: 这里全局编录服务器提供只是只读信息。 全局编录

全局编录 全局编录包含: 查询中使用最频繁的属性,如用户的姓、名和登录名 确定目录中对象位置所需的信息 每种对象类型的属性的默认子集 1.2.3 全局编录 全局编录包含: 查询中使用最频繁的属性,如用户的姓、名和登录名 确定目录中对象位置所需的信息 每种对象类型的属性的默认子集 存储在全局编录中对象和属性的访问权限 目的: 介绍全局编录服务器中包含的属性; 难点: 教师如果需要做演示,建议事先做一遍,因为如果查询用户没有查看权限,则无法查找到结果,例如打印机、用户等; 注意: Active Directory 中创建的第一台域控制器自动成为全局编录服务器。可以配置另外的全局编录服务器来平衡登录身份认证和查询的网络流量。

全局编录 全局编录 查询 组成员信息 1.2.3 全局编录 所有对象属性的子集 全局编录服务器 域 域 重点: 讲解全局编录服务器的作用; 讲清楚全局编录服务器包含整个活动目录中所有对象的一部分信息; 注意: 按照图片中的演示进行讲解。 组成员信息

全局编录 1.2.3 全局编录 服务器 XYZ 域控制器 难点: 单点登录的理解,这里可以举一个例子,例如学校中往往有很多的应用系统,如档案系统,学籍管理系统,宿舍信息查询系统等等。但是,老师或学生在使用这些应用系统时,都必须输入用户名称和用户密码,进行身份验证;而且,应用系统不同,用户账号就不同,这个时候单点登录就尤其重要。

CN=Suzan Fine,OU=Sales,OU=Finance,DC=contoso,DC=msft 可辨别名称和相对可辨别名称 1.2.4 可辨别名称和相对可辨别名称 标识对象所在的域和到达对象的完整路径 Contoso.msft Finance Sales Suzan Fine 目的: 理解用户名称中什么是可辨别名称和相对可辨别名称; 注意: 提示理解层次结构就比较好理解相对可辨别名称。 相对可辨别名称 CN=Suzan Fine,OU=Sales,OU=Finance,DC=contoso,DC=msft

可辨别名称和相对可辨别名称 CN : 是对象在所在容器内的通用名称 OU : 1.2.4 可辨别名称和相对可辨别名称 CN : 是对象在所在容器内的通用名称 OU : 是包含对象的组织单位。如果对象位于嵌套的组织单位中,则可能具有多个 OU 值 DC 代表域部分: 如“com”或“msft”;通常至少有两个域部分 可辨别名称的域部分以域名系统(DNS)为基础进行命名 难点: 对象和容器之间的关系; 注意: 一个 Active Directory 林中的可辨别名称必须是唯一的; 课堂提问: DNS 在 Active Directory 中的作用? 简单来讲起复制、查询等作用。 相关习题:习题5

第 1 章:Active Directory 结构简介 教学提示 : 本节主要实现以下目的: 理解 Active Directory 既可集中管理也可分散管理的设计特点 掌握常用 Active Directory 管理单元和命令行工具 检查 Active Directory 的逻辑结构和物理结构 注意: 加下划线为即将学到的内容。

检查Active Directory Active Directory 管理 Active Directory 管理单位和工具 目的: 介绍可以使用 MMC 进行 Active Directory 日常管理和组件查看; 难点: 如果没有看到相关组件可以通过安装 ADMINPAK.MSI 解决这个问题。 本节主要实现以下目的: 理解 Active Directory 既可集中管理也可分散管理的设计特点 掌握常用 Active Directory 管理单元和命令行工具 检查 Active Directory 的逻辑结构和物理结构

Active Directory 管理 集中管理 允许一位管理员集中管理网络资源 允许管理员查询信息和组对象 分散管理 针对指定的组织单位将特定网络管理员功能委派给其他管理员 委派修改组织单位中对象的特定属性的权限 Domain Admin1 Admin2 Admin3 OU1 OU2 OU3 集中管理 允许一位管理员集中管理网络资源 允许管理员查询信息和组对象 使用组策略来控制用户环境和制定设置 分散管理 针对指定的组织单位将特定网络管理员功能委派给其他管理员 委派修改组织单位中对象的特定属性的权限 集中管理 允许一位管理员集中管理网络资源 允许管理员查询信息和组对象 使用组策略来控制用户环境和制定设置 Domain OU1 Computers Computer1 Users User1 User2 OU2 Printers Printer1 Printer2 目的: 介绍 Active Directory 管理常见的两种模式; 重点: 一般来说根据企业的规划或者用户数目的不同,会采用不同的管理模式。

Active Directory 管理单元和工具 命令行工具 Dsadd Dsmod Dsquery Dsmove Windows 脚本宿主 DSrm DSget CSVDE LDIFDE 目的: 介绍 Active Directory 管理中常见的管理单元和命令工具; 难点: Windows Server 2003 除了提供了许多管理单元和命令行工具,用于管理 Active Directory。也可以使用 Windows 脚本宿主(Windows Script Host)脚本中的 Active Directory 服务界面(ADSI,Active Directory Service Interfaces)对象来管理Active Directory。 参考文档: 如需了解更多有关 Windows Server 2003 提供的命令行工具的信息,请参阅“帮助和支持”中的“从命令行管理 Active Directory”主题。 相关习题:习题4 习题6

Active Directory 管理单元和工具 Dsadd 在 Active Directory 中添加对象,如计算机、用户、组、组织单位和联系人 Dsmod 在 Active Directory 中更改对象,如计算机、服务器、用户、组、组织单位和联系人 Dsquery 依据给定的条件,在 Active Directory 中运行查询。可以进行服务器、计算机、组、用户、站点、组织单位和分区的查询 目的: 提示学生日常管理中可以通过命令的输入提高工作效率; 难点: 学生如果运行这些命令出现问题,常见可能情况之一是由于当前用户身份权限不足造成的。

Active Directory 管理单元和工具 Dsmove 在域内移动单个对象到 Active Directory 中的新位置;或者重命名单个对象,而不移动它Dsrm从 Active Directory 中删除一个对象 Dsget 显示 Active Directory 中计算机、联系人、组、组织单位、服务器或用户的选定属性 Csvde 使用逗号分隔格式,导入/导出 Active Directory 数据 Ldifde 创建、修改和删除 Active Directory 对象。也可以扩展 Active Directory 架构,把用户和组信息导出到其他应用程序和服务中以及使用来自其他目录服务的数据填充 Active Directory 难点: 由于在同一时间介绍命令比较多,教师可以通过一些命令的演示帮助学生加深印象; 参考: 如果学生学习了 Exchange 2000/ 2003 后介绍也可以通过 Csvde 和 Ldifde 进行账号导入和导出。 相关习题:习题2

检查 Active Directory 目的: 查看 Active Directory 的逻辑结构与物理结构 参考文档: 如需了解更多有关检查 Active Directory 的信息,请参阅教材配套光盘“文字读物”第一章“Introduction to Active Directory Infrastructure”中的 “How to Examine Active Directory”一节。

实验1-1:检查 Active Directory 结构 目的: 通过使用“Active Directory 用户和计算机”、“Active Directory 站点和服务”和“Active Directory 域和信任关系”,来查看 Active Directory 的逻辑结构与物理结构 目的: 掌握使用常见的 Active Directory 的管理工具,大概持续时间10 分钟。

第 1 章 Active Directory 结构简介 教学提示 : 本节主要实现以下目的: 区分 Active Directory 设计、规划和实现过程 掌握 Active Directory 设计过程的各个阶段 掌握 Active Directory 规划过程的各个阶段 掌握 Active Directory 实现过程的各个阶段 注意: 加下划线为即将学到的内容。

Active Directory 设计、规划和实现过程 注意: 加下划线为即将学到的内容。 本节主要实现以下目的: 区分 Active Directory 设计、规划和实现过程 掌握 Active Directory 设计过程的各个阶段 掌握 Active Directory 规划过程的各个阶段 掌握 Active Directory 实现过程的各个阶段

Active Directory 设计、规划和实现概述 实现结果依靠设计规划 Active Directory 规划 目的: 为了保证 Active Directory 的正常运行,我们强调规划以及标准的操作流程是必不可少的部分; 难点: 很多学生重操作,轻视理论,教师在这里应该纠正这个概念,强调在企业中规划的重要性。 创建林和域架构 Active Directory 实现

Active Directory 设计过程 设计任务包含: 设计过程结果包含: 1.4.2 Active Directory 设计过程 收集组织的信息 分析组织信息 分析可选的设计方案 选择设计方案 细化设计 林和域的设计 组织单位设计 站点设计 目的: 了解如何进行 Active Directory 的设计; 重点: 掌握设计流程重应该包含哪些内容,教师可以配合教材配套案例进行教学。 相关习题:习题7

Active Directory 规划过程 1.4.3 Active Directory 规划过程 账户策略 站点计划 审核策略 软件部署计划 组织单位实现计划 服务器布置计划 组策略计划 目的: 介绍在 Active Directory 规划中应该包含的内容; 难点: 提醒学生在规划中上述提及的文档不是必须的,最主要是根据企业或学校中实际情况进行规划,这里强调有用是规划的重点,但是应该具有一定的前瞻性。

Active Directory 实现过程 实现 Active Directory 计划: 创建: 组策略 实现站点 实现林、域和 DNS 结构 创建: 组织单位和安全组 用户和计算机账户 组策略 实现站点 目的: 通过实际操作,帮助学生理解如何实现 Active Directory; 重点: 事先环境的准备是必要的,强调刚介绍完成规划,实现时候就应该按照规划文档进行操作,否则必然出现种种不可预料的问题,例如由于网络带宽不足,导致复制产生问题。 相关习题:习题7

回顾 学习完本章后,应能够: 掌握 Active Directory 目录服务基础结构、逻辑与物理结构 总结 经过本章的学习,我们了解了下列的知识和内容: Active Directory 的体系结构,包括逻辑和物理结构 Active Directory 工作过程 使用管理单元检查 Active Directory 组件 Active Directory 设计、规划和实现过程 在下一章中,我们将学习如何实现 Active Directory 林和域结构。 重点: 由于本章是本书第一章,所以相关概念描述较多,教师应该根据学生相关知识掌握状况可以适当放慢步骤,可以给出一个课时帮助学生回顾相关内容,常规情况下针对操作主机,规划部分学生通常都不好。