ms活动目录
❶ 2003里的域是什么意思
一、认识Windows 的域
本小节重点从理论上阐述域的概念、作用和Windows 中域的产生。
一台Windows 计算机,它要么隶属于工作组,要么隶属于域。所以说到域,我们就不得不提一下工作组,工作组是MS 的概念,一般的普遍称谓是对等网。工作组通常是一个由不多于10 台计算机组成的逻辑集合,如果要管理更多的计算机,MS 推荐你使用域的模式进行集中管理,这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能,使你网络管理的工作量达到最小。当然这里的10 台只是一个参考值,11 台甚至20 台,如果你不想进行集中的管理,那么你仍然可以使用工作组模式。工作组的特点就是实现简单,不需要域控制器DC,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于“计算机浏览服务”,每一个工作组中,会自动推选出一个主浏览器,负责维护本工作组所有计算机的NetBIOS 名称列表。用户可以使用默认的workgroup,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什么分别。域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,实现起来要复杂一些,至少需要一台计算机安装NT/2000/03 Server 版本使其充当DC,来实现集中式的管理。若考虑到容错的话,至少需要两台。对于NT4 域就是一台PDC(具有唯一性),一至多台BDC,对于2000/03 域,已经没有PDC 和BDC 的概念,要容错就需要两至多台DC。域是逻辑分组,与网络的物理拓扑无关,可以很小,比如只有一台DC;也可以很大,包括遍布世界各地的计算机,比如大型跨国公司网络上的域(当然实际中他们多采用多域结构,还可以利用AD 站点来优化AD 复制)。这个“目录服务数据库”,在NT4 时,保存用户帐号名称和密码等安全安全信息,以及安全规则设置,又被称作安全帐号管理(SAM)数据库,简称SAM 库。在非DC 上的本地的SAM库与DC 上域所用的SAM 库类似,只不过对于NT4 域的SAM 库文件,保存有整个域的用户和计算机,用“域用户管理器”和“服务器管理器”来管理,本地的SAM 库文件,保存有本地机的用户,由“用户管理器”来管理。
从2000 开始,MS 引入了活动目录AD,DC 通过AD 来提供目录的服务,例如它负责维护AD 数据库、审核用户的账户和密码是否正确、将AD 数据库复制到其它的DC 等。AD 库的核心文件就是winnt\ntds\ntds.dit 文件。注意组策略的具体设置值,并不存在这个文件中,而是保存在winnt\sysvol\sysvol 这个共享夹下,用于向其它DC 复制,传播给域成员,来生效。但需要说明的是:2000/XP/03 的非DC 域成员计算机上仍使用和NT4 一样的SAM 库文件来保存本地帐号。正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源,如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码,用户只需一次登录,即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行),而不需要多次提供用户
名和密码登录。
二、构建Windows 2000 的域
这个过程简单说就是:选一台2000S/AS 计算机,运行AD 安装向导,在其上安装活动目录,使其成为DC。然后将其它的计算机加入到这个域。
说明:至于是用2000S,还是用2000AS,对于一般的用户差别不大。2000S 支持最多4 个
CPU,最大4G 内存;2000AS 支持最多8 个CPU,最大内存8G,还支持群集功能。但这些我们一般用户都用不到,所以对于普通用户来说,选择S 或AS 都是一样的。
1、系统要求
*一台2000S 或2000AS 独立或成员服务器,2000DS 只有OEM 版,随厂商硬件发售,平常我们是见不到的。
* 其上必须有一个NTFS 5.0 分区,用来保存AD 的sysvol 文件夹。注意:2000 的NTFS 分区是NTFS 5.0,NT4 的是NTFS 4.0,NT4 必须安装SP4 后,才可访问2000 的NTFS 分区。
* 网络上必须有可用的DNS 服务器,并且必须支持SRV 记录(Service Locaion Resource Record)和动态更新功能。如:MS Win2000S DNS,UNIX 的DNS BIND 8.12 及以上版本,使用已有的NT4 DNS 是不行的。
说明:
构建NT4 域并不需要DNS 的支持,但2000 域必须有DNS,且满足上述要求。SRV 记录的作用是指明域和站点(site)的DC、PDC 仿真、GC 是谁。动态更新也是2000DNS的新特色,管理员不必再象NT4 DNS 那样手动为计算机创建或修改相应记录,在域成员计算机
重启,或改名、改IP 时依赖周期性更新,自动动态实现。
如果没有DNS 服务器的话,也不一定非得预装DNS,可以在安装AD 过程中,选择在本机上安装2000 DNS。而且推荐初学者使用这种方法,因为系统会根据你提供的FQDN 域名,自动创建好DNS 区域(zone),并配置成AD 集成区域,仅安全动态更新。如果需要向外连或反向
解析,用户只需配置上转发器和反向区域即可,不需要的话,直接就可以用了。如果决定在安装AD 过程中在本机安装DNS,应在安装前,将本机TCP/IP 配置/DNS 服务器指向自己,这样在安装AD 完成后重启时,SRV 记录将被自动注册到DNS 服务器的区域当中
去的,生成四个以下划线开头的文件夹,如_msdcs,03DNS 在这里夹的层次结构有所变化,但本质没变。当然如果忘了指,也可以后补上,只不过需要多重启一次。
2、安装步骤、注意事项、常见问题、经验技巧
(1)启动AD 安装向导
方法一:开始/程序/管理工具/配置服务器/ Active Directory /启动AD 安装向导。
方法二:熟练后一般常用,开始/运行:dcpromo。
(2)安装选项:指定服务器角色
三个界面,实现四种组合:
新域
附加DC
新树
子域
新林
加入林
即:
* 新域—新树—新林
* 附加DC
* 新域—子域
* 新域—新树—加入林
全新安装:新域—新树—新林,这样来建立第一个域中的第一台DC。
2000 的多域模型采用层次结构,不同于NT4 域的平面结构,NT4 的多个域之间只是通过信任关系关联起来。接下来以下图为例,对2000 的域、树、林进行简要说明:
ms.com
/ \
trainning.mcse.com lotus.com
这整个是一个林,ms.com 为林根域,有两个树,一个由ms.com 和它的子域trainning.ms.com组成,另一个由lotus.com 单独组成,林中有ms.com,trainning.ms.com,lotus.com 三个域。相关
概念如下:
林根域:在林中第一个建立的域,如:ms.com
树:共用连续的命名空间的多层域,如ms.com 和trainning.ms.com
树根域:树最高层的域,名最短。如:ms.com
说明:
2000 可采用多层域结构,但最有效、最简便的管理方法仍是单域,所以大家在实际工作中要记住一个原则“能用单域解决,就不用多域”。再者2000AD 是针对大中型网络设计的,而我们一般管理的网络也就几百个节点,属于小型网络,一般来讲用一个单域结构就够用了,不要人为将管理环境复杂化。在实验中,我们甚至可以一个林中只有一个树,一个树中只有一个域,一个域里只有一台DC。
另外前面已经说过了,域是逻辑分组,与网络的物理拓扑无关,不要总试图规划一个子网
一个域。当然实际中多个子网一个域,子网中若有95/98/NT 老计算机,无法利用DNS 直接登录到域,可以安装一台WINS 服务器解决问题。将所有计算机,包括WINS 服务器本身的TCP/IP
配置中的WINS 服务器指向此WINS 服务器即可。
(3)安装选项:新域的DNS 全名
说明:
在这里应该输入新域的完全有效域名FQDN,形如:mcse.com。系统会打算以mcse 作为此
域的NetBIOS 名称,并在网络中检查是否存在重名,需要等一会儿。不重名则设为mcse,建议用户不要修改此名;重名则设为mcse0,建议用户最好换个名字。这也就是说,网络中如果已有一个域,名字叫做mcse.org,也会出现NetBIOS 名称冲突的问题。
(4)安装选项:为新域指定一个NetBIOS 名称
说明:
NetBIOS 名称,只是为95/98/NT 等老版本用户通过“浏览服务”或WINS 来识别这个域用的,如果确信域用户都是2000 及以上系统(它们通过DNS 定位域),其实NetBIOS 名称冲不冲突,都无所谓。
(5)安装选项:指定AD 库和日志文件位置
说明:
如果仅是实验,用默认值即可。若是在真正的服务器上,都会有多块物理硬盘,最好分开存放,以提高性能。另外需要强调的是:AD 库和日志文件并不要求非得NTFS 5.0 分区,很多2000/03 书在此语焉不详。
(6)安装选项:指定sysvol 文件夹位置
说明:
是sysvol 这个文件夹要求必须得NTFS 5.0 分区。在它当中存储有DC 间AD 要同步的内容,包括组策略的设置值。
(7)这时网络中若无可用DNS 服务器,就会出现提示:找不到DNS 服务器,需要考虑在本机上安装一个DNS 服务器。可先不必理会,点“确定”,接下来选“是,在本机上安装并配置DNS”。初学者在此不要选“否,我将自己安装并配置DNS”。
(8)几分后,安装完成,需要重启。
说明:
若硬盘或网络上没有可用的2000S 源文件,会提示要2000S 光盘。
最好用新装2000S 来安装AD,这样不容易出问题。如果你是用一个台运行了一段时间的2000S/AS,来安装AD,使其成为DC。重启及登录时可能会很慢(有时可能长达20 分钟),这是较常见的现象。一般2-3 次以后就好了,如果多次重启后还那样,那就要重装系统及AD 了。
3、域成员计算机
(1)将计算机加入到域
首先将客户机TCP/IP 配置中所配的DNS 服务器,指向DC 所用的DNS 服务器。然后我的
电脑/右键/属性/网络标识/属性/隶属于,选择域:输入域名,确定。提示输入用户口和口令,确定后提示重启。
说明:
加入域时,如果输入的域名为FQDN 格式,形如mcse.com,必须利用DNS 中的SRV 记录
来找到DC,如果客户机的DNS 指的不对,就无法加入到域。
加入域时,如果输入的域名为NetBIOS 格式,如mcse,也可以利用浏览服务(广播方式)
直接找到DC,但它不是一个完善的服务,有时就会不好使。
这样虽然也可把计算机加入到域,而且在等较长时间后也可以登录到域上去,但不推荐。因为客户机的DNS 指的不对,则它无法利用2000DNS 的动态更新动能,也就是说无法在DNS区域中自动生成关于这台计算机的A 记录和PTR 记录。那么同一域另一子网的2000 及以上计算机就无法利用DNS 找到它,这本应是可以的。
再者,管理员无法在客户机上利用域的管理工具来远程管理域,因为这些管理工具必须使用DNS,出错提示:找不到域命名信息(有时客户机的DNS Client 服务有问题也会出现上述提
示,重启服务即可)。这种情况下,要进行远程管理,就只能利用TS(终端服务)基于IP 来连了。
当然用户也可以手动配置WINS 或Lmhosts 文件,来查找DC。这主要用于95/98/NT 老版本计算机跨子网(路由)查找DC 或加入域,因为这些老版本计算机无法利用DNS 来查找DC,浏览服务又是广播方式,只能在本网段进行,因为广播信息是无法通过路由器的,RFC1542 标
准的路由器,可设置成允许DHCP 的广播数据通过,仅是一个特例。需要说明的是:95/98 可以使用域用户帐号登录到域,但并不能加入到域,在AD 中也没有计算机帐号,而NT 可以。计算机加入域成功后,未重启,即已在AD 用户和计算机/computer 容器下生成计算机帐号
了,实验中查看时,需要手动刷新一下。而在DNS 中记录必须在计算机重启后(不必登录)或15 分钟后才能自动注册或更新到DNS 区域。但若我们平常修改一个计算机的名字或IP,要马上更新到DNS 区域,倒不一定非得重启,可利用ipconfig /registerdns 命令就行。明白以上讨论可用于排错,不一定非得重启登录后才知道结果。
加入到NT4 域时,需要有管理特权才行;从Windows 2000 开始,微软作了改进:在Windows2000/03 域中,默认Authenticated Users 即可在域中最多创建 10 个计算机帐户。Authenticated Users
指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多10 台计算机到域。
常见问题:在实际中用普通域帐号加计算机到域,有时会不好使,原因是同名计算机帐号(极
可能是它自己已经失效的计算机帐号)已存在而无权覆盖,这时就得用域管理员帐号了。
(2)在加入域的计算机上,用域用户帐号登录到域。
说明:
在域中的非DC 计算机上,可以选择登录到域或本机,这是因为它同时还拥有本地用户帐号。而在DC 上只能选择登录到域了,因为整个域都是DC 的,它没有必要再保留本地帐号了。
2000 是个红叉,03 干脆就没有了。安装AD 时,会自动删除本地帐号,即使将来删除AD,也无法将本地帐号复原,而是重新
生成的。这一点一定要注意:如果本地有EFS 加密的文件,一定要将证书导出或将文件解密后,再在这台计算机上做AD 安装实验。
在2000 及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS 配置去找DNS 服务器,DNS 根据SRV 记录告诉它DC 是谁,客户机联系DC,验证后登录。
(3)深入讨论:
如果是在林中跨域登录,是首先查询DNS 服务器,问林的GC 是谁。
前面我们在步骤(1)中强调“加入域前,首先将客户机TCP/IP 配置中所配的DNS 服务器,指向DC 所用的DNS 服务器。”其实如果域中有多个DNS 服务器,也可以指向其它的DNS 服务器,当然这些DNS 服务器之间得有区域复制关系。这样做的目的恰恰是:大中型网络为了平衡DNS 负载。
❷ “通用组、全局组、域本地组”怎么理解关于活动目录的。
真的很想帮你!可是我却无能为力!抱歉哦
❸ 微软认证培训课程有哪些
主要有以下几点,希望致力于微软认证的朋友能够认真的对待: 微软认证系统管理员(Microsoft Certified Systems Administrator,简称 MCSA) 70-270(安装、配置和管理Microsoft Windows XP Professional) (2272)实现和支持Microsoft Windows XP 70-290(管理与维护Microsoft Windows Server 2003环境) (2273)管理和维护Microsoft Windows Server 2003环境 70-291(实现、管理与维护Microsoft Windows Server 2003网络基础架构) (2276+2277)实现,管理和维护Microsoft Windows Server 2003网络架构 70-299 (实现与管理Microsoft Windows Server 2003网络的安全) (2823)实施和管理Microsoft Windows Server 2003网络的安全 微软认证系统工程师(Microsoft Certified Systems Engineer,简称MCSE) 70-293(规划和维护Microsoft Windows Server 2003 网络架构) (2278)规划和维护Microsoft Windows Server 2003网络架构 70-294(规划、实现和维护Microsoft Windows Server 2003 活动目录架构) (2279)规划、实现和维护Microsoft Windows Server 2003活动目录架构 70-298(为Microsoft Windows Server 2003网络设计安全) (2830)设计微软网络的安全 MCSE:Security方向 70-350(实现Microsoft Internet Security and Acceleration Server 2004) (2824)实现Microsoft Internet Security and Acceleration Server 2004 MCSE:Messaging方向 70-284 (实现与管理Exchange Server 2003)70-285 (设计微软Exchange Server 2003 组织架构) (2400)实现和管理Microsoft Exchange Server 2003(2008)规划与设计Exchange Server 2003 组织架构
❹ 微软的WDS和MDT 是什么
微软的WDS是Windows 部署服务(Windows Deployment Services),适用与大中型网络中的计算机操作系统部署。可以使用 Windows 部署服务来管理映像以及无人参与安装脚本,并提供人工参与安装和无人参与安装的选项。
微软的MDT是微软的部署工具(MicrosoftDeployment Toolkit),通过它可以自动完成桌面和服务器部署的推荐操作进程。要结合WDS一起使用,还要安装ADK。
(4)ms活动目录扩展阅读:
WDS服务配合DHCP服务和Windows活动目录域服务,可以对支持PXE启动的客户端从远程安装和部署操作系统。
MDT可以从任何地方通过网络访问部署状况,跨区域复制文件或是进行系统设置。为组织管理驱动、操作系统、应用、软件包和任务进程提供了改进的用户界面。能够使用Windows PowerShell命令行界面的自动化UI功能。
❺ MCSE(微软系统工程师认证)
MCSE全是EN考试。
对应的考试课程:
1、Exam 70–270: 安装、配置和管理Windows XP Professional
2、Exam 70–290:管理和维护一个Windows Server 2003 环境
3、Exam 70–291: 实现、管理和维护 Windows Server 2003 网络架构
4、Exam 70-293: 计划和维护Windows Server 2003 网络架构
5、Exam 70-294: 计划、实现和维护 Windows Server 2003 活动目录架构
6、Exam 70-227: 安装、配置和管理 Microsoft Internet Security and Acceleration (ISA) Server 2000企业版
7、Exam 70-298: 为Windows Server 2003网络设计安全
通过以上八门课程的考试后可获得以下三个认证:
· 微软认证系统工程师MCSE
· 微软认证产品开发专家MCP
微软认证系统管理员MCSA
❻ windows活动目录active directery 有什么优点
1、安装域控制器会添加哪两个文件夹?分别存放什么数据?
SYSVOL文件夹:C:\Windows\SYSVOL用来存储域共享文件如与组策略有关的设置。
NTDS文件夹:C:\Windows\NTDS用来存储AD数据库和数据库的变动日志,此日志可用来恢复AD数据
2、安装完AD后,主机名没有注册到DNS服务器中,如何解决?SRV记录没有注册到DNS,应该如何解决?
主机名没有注册到DNS服务器中
到此计算机上使用命令:ipconfig /registerdns来解决
SRV记录没有注册到DNS
“重新启动”netlogon服务
到此台域控制器上选择“服务”,右击netlogon服务,选择“重新启动”的方式来注册。
3、如何提升林功能级别?如何提升域功能级别?功能级别提升的特点是什么?(单向一次)
提升林功能级别
Active Director域和信任关系
请选择“开始”,“管理工具”,“Active Director域和信任关系”,右击“Active Director域和信任关系”,选择“提升林功能级别”。
提升域功能级别
Active Director用户和计算机
Active Director域和信任关系
请选择“开始”,“管理工具”,“Active Director用户和计算机”,右击域名sayms.com,选择“提升域功能级别”。
特点:单向一次
4、在目录林中增加新的域树时,为了保证每个域的主机都能解析整个目录林中的所有主机名,有哪些名称解析方法?
使用同一台DNS服务器。
各自使用不同的DNS服务器,并通过区域传送来复制日志。
使用DNS服务器的条件转发器。
5、什么是单点登录?
当用户用域用户登录到域后,便可以直接连接域内的所有计算机,访问有权限的资源。
换句话说,域用户在域内的一台计算机上登录成功后,当要连接域内的其他计算机时,并不需要手动登录到其他计算机,这个只需登录一次的功能,被称为单点登录。
6、用户登录名(又叫UPN名)、显示名、UPN名分别在什么范围内唯一?
用户主名由用户主名前缀和用户主名后缀组成
用户登录名:用户在登陆时必须选择域
用户登陆名唯一性原则:
全名在创建用户账号的容器内必须唯一
用户登陆名在域中必须唯一
用户主名在目录林中必须唯一
7、理解SID,RID
SID是全局唯一安全标识符,对象SID和域SID
对象SID=域SID+RID
8、添加、修改用户的工具有哪些?
csvde.exe--------添加用户账户
ldifde.exe--------添加、删除、修改用户账户
dsadd.exe--------添加用户账户
dsmod.exe--------修改用户账户
dsrm.exe---------删除用户账户
9、域中有哪些安全组?分别包含哪些对象?分别可以在什么范围内授权?
安全组有:全局组、通用组、域本地组
全局组:
成员资格:包含来自同一个域的用户账号和全局组
成员属于:全局组可以是任何一个域中的通用组和域本地组,以及同一个域中的全局组成员
作用范围:全局组在域和所有信任域可见
权限范围:目录林中所有域
通用组:
成员资格:可以包含来自目录林中的任何域的用户账号、全局组和通用组
成员属于:可以是任何域中的域本地组合通用组成员
作用范围:通用组在目录林中的所有域是可见的
权限范围:目录林所有域
域本地组:
成员资格:可以包含目录林中的任何域的用户账号、全局组合通用组,以及同一域的域本地组
成员属于:域本地组可以是同一域中的域本地组
作用范围:域本地组只在它自己的域中可见
权限范围:域本地组位于其中的域
10、常见的组的使用准则有哪些?理解这些准则的含义
A-G-DL-P
A-G-G-DL-P
A-G-U-DL-P
A-G-G-U-DL-P
❼ 活动目录与域控的关系
什么是域控制器?
域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。
1. 服务器端设置
以系统管理员身份在已经设置好Active Directory(活动目录)的Windows 2000 Server上登录,选择“开始”菜单中“程序”选项中的“管理工具”,然后再选择“Active Directory用户和计算机”,之后在程序界面中右击“Computers”,在弹出的菜单中单击“新建”,然后选择“计算机”,之后填入想要加入域的计算机名即可。要加入域的计算机名最好为英文,中文计算机名可能会引起一些问题。
2. 客户端设置
首先要确认计算机名称是否正确,然后在桌面“网上邻居”上右击鼠标,点击“属性”出现网络属性设置窗口,确认“主网络登录”为“Microsoft网络用户”。选中窗口上方的“Microsoft网络用户”(如果没有此项,说明没有安装,点击“添加”安装“Microsoft网络用户”选项)。点击“属性”按钮,出现“Microsoft网络用户属性”对话框,选中“登录到Windows NT域”复选框,在“Windows NT域”中输入要登录的域名即可。这时,如果是Windows 98操作系统的话,系统会提示需要重新启动计算机,重新启动计算机之后,会出现一个登录对话框。在输入正确的域用户账号、密码以及登录域之后,就可以使用Windows 2000 Server域中的资源了。请注意,这里的域用户账号和密码,必须是网络管理员为用户建的那个账号和密码,而不是由本机用户自己创建的账号和密码。如果没有将计算机加入到域中,或者登录的域名、用户名、密码有一项不正确,都会出现错误信息。
什么是活动目录
活动目录是Windows 2000网络体系结构中一个基本且不可分割的部分。它在Windows NT 4.0操作系统的域结构基础上改进而成,并提供了一套为分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。
总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。
为什么要提供目录服务?
对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。随着局域网(LAN)、广域网(WAN)规模与复杂性的不断提高和这些网络不断被连入Internet,以及应用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上,对目录服务的需求也日渐增多。基于下列原因,目录服务成为扩展的计算机系统中最重要的部件之一:
l 简化管理 提供对用户、应用程序和设备的单一、一致性的管理点。
l 加强安全性 向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使他们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。
l 扩展的互操作性 向所有活动目录特性提供基于标准的存取方式以及对通用目录的同步支持。
目录服务兼任管理工具和用户工具。随着网络中对象数量的增加,目录服务变得必不可少。目录服务在一个庞大的分布式系统中发挥着网络集线器的作用。致力于这些需求,Windows 2000 服务器版引入了活动目录--即一套用于改进Windows网络操作系统管理、安全性和互操作性的完整的目录服务集。
❽ 请问DNS在活动目录中的作用
活动目录即 Active DirectoryActive Directory为什么会用到DNS服务? --------------------------------------------- DNS用来提供名称解析,简单说就是让客户端更方便在网上找到服务器 如果不开启DNS那么域里面的成员服务器可不可以访问internet? -------------------------------- 看你怎么设置了。能不能上网关键看 1 ip 子网掩码2 网关 3 dns 只要能提供正确的数值 就可以上网 域的名字可以随便填写吗,(例如:abc.ttt),这个域名行不行,是不是只能被域里面的计算机访问--------------------------------------------------------------- 在内网里面你可以填写任意域名,前提是符合命名规则,在网上有统一的域名组织,你可以申请一个 就是域和DNS的关系是什么样的。 ms的资料: Active Directory 循序渐进系列指南 http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/default.mspx --------------------华丽的分割线,希望能帮到你-------------------------------Active Directory,即 Windows? 2000 Server 目录服务,可分层存储网络对象的信息,并向管理员、用户和应用程序提供这些信息。 2)结构。使用 Active Directory,可以根据结构组织网络及其对象,这些结构包括域、目录树、目录林、信任关系、部门 (OU) 和站点。 3)相互通信。Active Directory 以标准目录访问协议为基础,因此能够与其他目录服务进行交互操作,并可接受遵守这些协议的第三方应用程序的访问。 Activfe directory的优点在于 1)与 DNS 集成。 Active Directory 使用域名系统 (DNS)。DNS 是一种 Internet 标准服务,它将用户能够读取的计算机名称(例如 mycomputer.microsoft.com)翻译成计算机能够读取的数字 Internet 协议 (IP) 地址(由英文句号分隔的四组数字)。.............................以下省略,可以参考网址 http://topic.csdn.net/t/20061221/22/5247896.html
❾ 域和活动目录
http://www.microsoft.com/china/technet/webcasts/class/ad.mspx
❿ 活动目录(AD)怎么来架构以及怎么来管理它呢
安全纵深防御2008系列之七:通过活动目录结构和组策略构建基础网络安全
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032370178&Culture=zh-CN
请到微软TECHNET网络广播回站点下载答PDF及视频课程了解基础知识.