資源描述:
《ad域配置詳解》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。
1、ActiveDirectory配置詳解一為什么需要域?對很多剛開始鉆研微軟技術(shù)的朋友來說,域是一個讓他們感到很頭疼的對象。域的重要性毋庸置疑,微軟的重量級服務(wù)產(chǎn)品基本上都需要域的支持,很多公司招聘工程師的要求中也都明確要求應(yīng)聘者熟悉或精通ActiveDirectory。但域?qū)Τ鯇W(xué)者來說顯得復(fù)雜了一些,眾多的技術(shù)術(shù)語,例如ActiveDirectory,站點,組策略,復(fù)制拓撲,操作主機角色,全局編錄…,很多初學(xué)者容易陷入這些技術(shù)細節(jié)而缺少了對全局的把握。從今天開始,我們將推出ActiveDirectory系列博文,希望對廣大學(xué)習(xí)AD的朋友有所幫助。今
2、天我們談?wù)摰牡谝粋€問題就是為什么需要域這個管理模型?眾所周知,微軟管理計算機可以使用域和工作組兩個模型,默認情況下計算機安裝完操作系統(tǒng)后是隸屬于工作組的。我們從很多書里可以看到對工作組特點的描述,例如工作組屬于分散管理,適合小型網(wǎng)絡(luò)等等。我們這時要考慮一個問題,為什么工作組就不適合中大型網(wǎng)絡(luò)呢,難道每臺計算機分散管理不好嗎?下面我們通過一個例子來討論這個問題。假設(shè)現(xiàn)在工作組內(nèi)有兩臺計算機,一臺是服務(wù)器Florence,一臺是客戶機Perth。服務(wù)器的職能大家都知道,無非是提供資源和分配資源。服務(wù)器提供的資源有多種形式,可以是共享文件夾,可以是共享打
3、印機,可以是電子郵箱,也可以是數(shù)據(jù)庫等等?,F(xiàn)在服務(wù)器Florence提供一個簡單的共享文件夾作為服務(wù)資源,我們的任務(wù)是要把這個共享文件夾的訪問權(quán)限授予公司內(nèi)的員工張建國,注意,這個文件夾只有張建國一個人可以訪問!那我們就要考慮一下如何才能實現(xiàn)這個任務(wù),一般情況下管理員的思路都是在服務(wù)器上為張建國這個用戶創(chuàng)建一個用戶賬號,如果訪問者能回答出張建國賬號的用戶名和密碼,我們就認可這個訪問者就是張建國?;谶@個樸素的管理思路,我們來在服務(wù)器上進行具體的實施操作。首先,如下圖所示,我們在服務(wù)器上為張建國創(chuàng)建了用戶賬號。然后在共享文件夾中進行權(quán)限分配,如下圖所
4、示,我們只把共享文件夾的讀權(quán)限授予了用戶張建國。好,接下來張建國就在客戶機Perth上準備訪問服務(wù)器上的共享文件夾了,張建國準備訪問資源\Florence人事檔案,服務(wù)器對訪問者提出了身份驗證請求,如下圖所示,張建國輸入了自己的用戶名和口令。如下圖所示,張建國成功地通過了身份驗證,訪問到了目標資源??赐炅诉@個實例之后,很多朋友可能會想,在工作組模式下這個問題解決得很好啊,我們不是成功地實現(xiàn)了預(yù)期目標嘛!沒錯,在這個小型網(wǎng)絡(luò)中,確實工作組模型沒有暴露出什么問題。但是我們要把問題擴展一下!現(xiàn)在假設(shè)公司不是一臺服務(wù)器,而是500臺服務(wù)器,這大致是一個
5、中型公司的規(guī)模,那么我們的麻煩就來了。如果這500臺服務(wù)器上都有資源要分配給張建國,那會有什么樣的后果呢?由于工作組的特點是分散管理,那么意味著每臺服務(wù)器都要給張建國創(chuàng)建一個用戶賬號!張建國這個用戶就必須痛不欲生地記住自己在每個服務(wù)器上的用戶名和密碼。而服務(wù)器管理員也好不到哪兒去,每個用戶賬號都重新創(chuàng)建500次!如果公司內(nèi)有1000人呢?我們難以想象這么管理網(wǎng)絡(luò)資源的后果,這一切的根源都是由于工作組的分散管理!現(xiàn)在大家明白為什么工作組不適合在大型的網(wǎng)絡(luò)環(huán)境下工作了吧,工作組這種散漫的管理方式和大型網(wǎng)絡(luò)所要求的高效率是背道而馳的。既然工作組不適合大型
6、網(wǎng)絡(luò)的管理要求,那我們就要重新審視一下其他的管理模型了。域模型就是針對大型網(wǎng)絡(luò)的管理需求而設(shè)計的,域就是共享用戶賬號,計算機賬號和安全策略的計算機集合。從域的基本定義中我們可以看到,域模型的設(shè)計中考慮到了用戶賬號等資源的共享問題,這樣域中只要有一臺計算機為公司員工創(chuàng)建了用戶賬號,其他計算機就可以共享賬號了。這樣就很好地解決剛才我們提到的賬號重復(fù)創(chuàng)建的問題。域中的這臺集中存儲用戶賬號的計算機就是域控制器,用戶賬號,計算機賬號和安全策略被存儲在域控制器上一個名為ActiveDirectory的數(shù)據(jù)庫中。上述這個簡單的例子說明的只是域強大功能的冰山一角,
7、其實域的功能遠遠不止這些。從下篇博文我們將開始介紹域的部署以及管理,希望大家在使用過程中逐步增加感性認識,對域有更加深入及全面的了解,能夠掌握好ActiveDirectory這個微軟工程師必備的重要知識點。二部署第一個域?在上篇博文中我們介紹了部署域的意義,今天我們來部署第一個域。一般情況下,域中有三種計算機,一種是域控制器,域控制器上存儲著ActiveDirectory;一種是成員服務(wù)器,負責(zé)提供郵件,數(shù)據(jù)庫,DHCP等服務(wù);還有一種是工作站,是用戶使用的客戶機。我們準備搭建一個基本的域環(huán)境,拓撲如下圖所示,F(xiàn)lorence是域控制器,Berli
8、n是成員服務(wù)器,Perth是工作站。部署一個域大致要做下列工作:1?DNS前期準備2?創(chuàng)建域控制器3?創(chuàng)建計算機賬號4?創(chuàng)