目录
一、活动目录(AD)
1、概述
(1)面向Windows服务器中的目录服务(Windows web server)
(2)基于Windows服务器操作系统,它允许管理员在网络中集中管理用户、计算机、组策略等对象,并提供了一种安全的身份认证机制。
2、功能
(1)服务器及客户端计算机管理
(2)用户服务
(3)资源管理:打印机、文件共享等
(4)桌面配置:集中配置统一桌面或者对桌面配置策略(域策略)
(5)应用系统支撑:财务、OA、办公自动化
3、其他概念
(1)AD:是Windows中一种服务,也是一个目录数据库
(2)域:活动目录的一种体现形式,主要是由域控制器和成员计算机组成
(3)域名空间:定位了网络资源位置
(4)域中的客户机称之为对象,每一个对象都有对应的属性
对象:表示了具体的事务
属性:用于描述对象的数据
(5)容器:用于存放对象的空间
(6)域的组策略
二、域的结构
1、物理结构
站点:可以将高速连接的网络中多台域控制器放入一个站点(一个站点中,至少有一台全局编录服务器)
域控制器(Domain Controller,DC):域控制器保存了活动目录信息的副本,并负责把这些信息复制到其他域控制器上,使各个DC上的信息保持同步
2、逻辑结构
单域:在网络中只建立了一个域
域树:具有连续域名空间的多个域
域林:由一个或多个没有形成连续域名空间的域树组成
三、对象管理
1、用户
2、组
(1)组的作用域
本地域组:针对本地域,使用范围是本域
全局组:管理日常维护的目录对象(使用范围整个林及信任域)
通用组:身份信息记录在全局编录中,查阅速度块(使用范围整个林及信任域)
(2)组的类型
安全组:用来设置访问权限
通讯组:用于电子邮件通讯
3、组织单位(OU)
(1)OU是AD中的容器(容器是用来存放用户或计算机的,也就是用来存放对象)
(2)创建方式可以用部门、地理位置或对象类型来进行分组
(3)针对用户实施策略时使用
四、组策略应用
1、策略应用
(1)策略只能够应用到对应的容器中
(2)范围:整个域、组织单位(OU)、站点
(3)域中的组策略称为GPO(group policy object):管理组策略对象
2、策略规则
(1)策略的继承与阻止
下级容器默认会继承来自上级容器的GPO
子容器可以阻止继承上级容器的GPO
(2)策略的强制生效和筛选
强制生效:覆盖阻止继承设置
筛选:可以针对单个特定的计算机或用户配置GPO权限(直接将权限设置为拒绝)
3、策略优先级
本地组策略(L)
域策略(D)
站点策略(S)
OU策略(OU)
策略应用顺序:L S D OU
当策略发生冲突时,OU的GPO优先级最高