域和活动目录简介规划

424次阅读
没有评论

1. 域和活动目录简介

域和活动目录的概念

■域(Domain)

域是企业网络中人为定义的一组计算机和用户的集合,目的是为了对集合中的各种资源对象进行统一和集中的管理

■活动目录(Active Directory)

活动目录是一种数据库,通过定义域内的各种对象的属性并在逻辑上形成层次化结构,便于更有效的展示和管理

■域控制器(Domain Controller)

存放活动目录数据库的服务器,运行 ADDS(Active Directory Domain Services)服务

域和活动目录的价值

■ 强制终端计算机及用户的安全策略及桌面 / 应用环境,并可实现批量和自动部署,减轻 IT 人员日常的管理难度和工作强度

■ 域中的各类服务和资源(文件和打印共享等)的访问控制可以灵活的与企业的层次化组织架构相结合,满足复杂的权限分配等管理需求

■ 统一的身份验证手段,可与多种 Windows 应用服务(如 Exchange、Sharepoint 等)及第三方软件集成,实现单点登陆,改善用户在多业务中切换中的操作体验

域中的角色

■ 域控制器(Domain Controller,简称 DC)

■ 域内的成员服务器

■ 域内的终端计算器

域控制器中的 AD 数据库文件

■ AD 数据库文件默认保存在 C:\Windows\NTDS 目录中

ntds.dit              主数据文件

edb0000x.log    事务日志

ebd.chk              检查点文件

edbress000x.jrs  预留文件

■ AD 数据库维护工程中必要时可进行服务启停、文件夹重定向、脱机整理、备份及恢复等操作

域控制器之间的 AD 数据库同步

■ AD 数据库会定时或在发生改变时自动在 DC 之间相互同步复制,同步复制的频率和时间窗口可以配置和定义

域和活动目录简介规划

特殊的域控制器:RODC

■只读域控制器(Read Only Domain Controller)

RODC 保存域控制器中 AD 数据库的只读副本

不允许在 RODC 本地对数据库做出更改操作

RODC 适合部署在没有本地管理需求的远程分支机构

域和活动目录简介规划

GC(Global Category Server)

■全局编录服务器(GC)

GC 是一种特殊的域控制器,一个域至少部署一台

GC 用于多域环境中和其他域进行数据同步(但并不是同步全部数据,通常需要同步的数据仅占 AD 数据库总量的 5%-10%),以便优化 Exchange Server 等应用的全局或跨域搜索的效率

域和活动目录简介规划

2. 域和活动目录规划

什么时候需要多域

■一个域可以包含 100 万个对象,绝大多数企业在技术上只需要一个域

■出现以下需求情况时可能需要考虑多域部署:

IT 管理政策上需要有分离或独立的 IT 管控边界

公司重组或合并等原因影响到域的变化

域的改造和迁徒需要同时新旧域的并存

域和活动目录简介规划

多域的分布式架构

域和活动目录简介规划

■一个域林中可以包含多个域,一个域中可以包含多个子域

■父域和子域的命名空间(FQDN 域名后缀)需保持相同和连续

多域中的术语

■域林(Domain Forest)

域林由一个或多个没有形成连续命名空间的域树组成

■域树(Domain Tree)

域树由多个域使用连续命名空间的域组成

■树根域(Tree Root Domain)

域树中的第一个域为树根域,可作为父域在其下创建多个或多级子域

■林根域(Forest Root Domain)

林根域是域林中创建的第一个域,域林中只有一个林根域

林根域在整个域林中有重要地位,影响到其他域的运作

域间的信任关系

■信任关系可实现跨域的身份验证和资源访问

如果域之间没有信任关系,每个域中的用户只能访问本域中的资源

根据场景的不同,部分信任关系是默认存在的,部分是需要另行手工配置的

域和活动目录简介规划

站点(Site)

■站点(Site)是指同一个域内包含特定 IP 子网并与特定域控制器关联的网络

■部署多个站点的目的是优化站点间 DC 的复制同步,同时使客户端能够和就近的 DC 优先通信,优化登陆验证的操作

域和活动目录简介规划

域的规划建议

■域的规划没有统一的标准,但建议尽可能简化

■企业规模、网络带宽、IT 管控界面、法律或政治要求、公司并购计划等是常见的考虑因素

域和活动目录简介规划

活动目录的规划

■OU 层次化结构规划

■用户和计算机命名规范

■组的规划

■AD 管理权限的规划

域和活动目录简介规划

正文完