[第4单元]域与活动目录的管理

当管理的是中型以上规模的计算机网络时，通常不再采用对等式工作的网络，而会采用C/S工作模式的网络，并应用B/S的模式来组建网络的应用系统。有时，网络虽然不大，但是需要的服务种类比较多，也需要组建具备强大管理功能的C/S网络。在单域、域树、域林等多种网络的组织结构中，企业只有规划一个合理的网络结构，才能很好地管理与使用网络。活动目录是域的核心，通过活动目录可以将网络中各种完全不同的对象以相同的方式组织到一起。活动目录不但更有利于网络管理员对网络的集中管理，方便用户查找对象，也使得网络的安全性大大增强。三峡纵横科技信息技术有限公司是一家主要提供计算机网络建设与维护的网络技术服务公司，2007年为上市公司宜昌安琪集团建设了集团总部内部的局域网络，覆盖了集团四幢办公大楼，近1000个节点，拥有各种类型的服务器三十余台。由于各种网络与硬件设备分布在不同的办公大楼和楼层，网络资源和权限的管理非常麻烦，网络管理人员疲于处理各种日常网络问题。作为技术人员，如何设计网络，让网络更容易集中管理，能够更轻松、自如地管理网络，能够为公司减少管理上的开支，同时也减轻网络管理人员的工作负担？我们组建局域网，就是要实现资源的共享，随着网络规模的扩大及应用的需要，共享的资源就会逐渐增多，如何来管理这些在不同机器上的资源呢？工作组和域就是在这样的环境中，产生的两种不同的网络资源管理模式。1、工作组（WorkGroup）工作组就是将不同的电脑按功能分别列入不同的组中，以方便管理。在一个网络内，可能有成百上千台工作电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱。为了解决这一问题，Windows引用了“工作组”这个概念，例如一个公司，会分为诸如行政部、市场部、技术部等几个部门，然后行政部的电脑全都列入行政部的工作组中，市场部的电脑全部都列入到市场部的工作组中。如果要访问别的部门的资源，就通过“网上邻居”里找到那个部门的工作组名，双击就可以看到其它部门的电脑了。退出某个工作组方法也很简单，只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已，工作组名并没有太多的实际意义，只是在“网上邻居”的列表中实现一个分组而已。也就是说，可以随时加入同一网络上的任何工作组，也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网上计算机共享资源的浏览。在WindowsServer2008系统中要启用网络发现功能，否则将无法找到网络中的任何“邻居”主机，也不会被其他的“邻居”主机发现。用鼠标右键单击WindowsServer2008桌面中的“网络”图标，在弹出的菜单中选择“属性”命令（也可以依次单击WindowsServer2008桌面中的“开始”→“设置”→“控制面板”命令，双击“网络和共享中心”图标），打开“网络和共享中心”管理窗口，如图4-1所示，单击“网络发现”设置项右侧的向下箭头按钮，展开“网络发现”功能设置区域，选中“启用网络发现”单选项，单击“应用”按钮，这样就可以寻找网络的“邻居”主机了。如果上述设置不能帮助我们从网络中寻找到“邻居”主机，那就有必要检查一下WindowsServer2008系统是否安装了“启用文件和打印机共享”功能组件。在“网络和共享中心”管理窗口中，单击左边的“管理网络连接”任务，在列表中选择本地连接，进入如图4-2所示的“本地连接属性”对话框。在该对话框的网络功能组件列表中，确保“Windows网络的文件和打印机共享”功能选项处于选中状态。此外，还需要检查TCP/IP属性参数是否设置正确，以保证WindowsServer2008系统主机的IP地址，与要寻找的“邻居”主机的IP地址处于同一个网段。如果仍然无法在“网络和共享中心”管理窗口中查看到网络中的工作组信息，可以检查系统相关的“ComputerBrowser”服务信息，其操作步骤如下：选择“开始”→“运行”命令，在弹出的系统运行文本框中，输入命令“services.msc”，单击“确定”按钮后，进入系统服务列表窗口，找到系统服务“ComputerBrowser”，双击该服务器选项，打开如图4-3所示的“ComputerBrowser的属性”对话框。设置该服务的启动类型为“自动”，单击“应用”按钮，然后单击“启动”按钮，将服务状态设置为“已启动”。还应及时检查“ComputerBrowser”服务所依赖的另外两个系统服务“Workstation”和“Server”是否运行正常，这两个系统服务提供了最基本的网络访问支持。2、域（Domain）：是一个有安全边界的计算机集合，也可以理解为服务器控制网络上的计算机能否加入的计算机组合。在对等网（工作组）模式下，任何一台电脑只要接入网络，其它机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows构成的对等网中，数据的传输是非常不安全的。在主从式网络中，资源集中存放在一台或者几台服务器上，如果仅仅只有一台服务器，问题就很简单，在服务器上为每一位员工建立一个账户即可，用户只需登录该服务器就可以使用服务器中的资源。然而如果资源分布在多台服务器上呢？如图所示4-4所示，要在每台服务器分别为每一员工建立一个账户（共M×N个），用户需要在每台服务器上（共M台）登录，感觉又回到了对等网的模式。在使用了域之后，如图4-5所示，服务器和用户的计算机都在同一域中，用户在域中只要拥有一个账户，用账户登录后即取得一个身份，有了该身份便可以在域中漫游，访问域中任一台服务器上的资源。在每一台存放资源的服务器上并不需要为每一用户创建账户，而只需要把资源的访问权限分配给用户在域中的账户即可。在使用了域之后，如图4-5所示，服务器和用户的计算机都在同一域中，用户在域中只要拥有一个账户，用账户登录后即取得一个身份，有了该身份便可以在域中漫游，访问域中任一台服务器上的资源。在每一台存放资源的服务器上并不需要为每一用户创建账户，而只需要把资源的访问权限分配给用户在域中的账户即可。不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（DomainController，简写为DC）”，它包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录，不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。然而随着网络的不断发展，有的企业的网络大的惊人，当网络有十万个用户甚至更多时，域控制器存放的用户数据量很大，更为关键的是如果用户频繁登录，域控制器可能因此不堪重负。在实际的应用中，我们在网络中划分多个域，每个域的规模控制在一定的范围内，同时也是出于管理上的要求，将大的网络划分成小的网络，每个小的网络管理员管理自己所属的账户，如图4-6所示。划分成小的网络（域）后，域A中的用户登录后可以访问域A中的服务器上的资源，域B的用户可以访问域B中的服务器上的资源，但域A的用户访问不了域B中服务器上的资源，域B的用户也访问不了域A中服务器上的资源。域是一个安全的边界，实际上就是这层意思：当两个域独立的时候，一个域中的用户无法访问另一个域中的资源，如同国家与国家之间的关系一样。当然在实际的应用中，一个域中的常常有访问另一个域中的资源的需要。为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。信任关系分为单向和双向，如图5-7所示。图中①是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B被称为被信任域，因此域B的用户可以访问域A中的资源。图中②是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。信任关系有可传递和不可传递之分，如果A信任B，B又信任C，那么A是否信任C呢？如果信任关系是可传递的，A就信任C；如果信任关系是不可传递的，A就不信任C。WindowsServer2008中有的信任关系是可传递的，有的是不可传递的，有的是单向的，有的是双向的，在使用时要注意。活动目录（ActiveDirectory）是一种目录服务，它存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息，并将结构化数据存储作为目录信息逻辑和分层组织的基础，使管理员比较方便地查找并使用这些网络信息。活动目录是在Windows2000Server就推出的新技术，它最大的突破性和成功之一也就在于它全新引入了活动目录服务（ADDirectoryService），使Windows2000Server与Internet上的各项服务和协议更加联系紧密。通过在Windows2000Server的基础上进一步扩展，WindowsServer2003提高了活动目录的多功能性、可管理性及可靠性。而在WindowsServer2008中，活动目录服务有了一个新的名称：ActiveDirectoryDomainService（简称ADDS）。名称的改变意味着微软对WindowsServer2008的活动目录进行了较大的调整，增加了功能强大的新特性，例如新增了只读域控制器（RODC）的域控制器类型、更新的活动目录域服务安装向导、可重启的活动目录域服务、快照查看以及增强的Ntdsutil命令等，并且对原有特性进行了增强。活动目录并不是WindowsServer2008中必须安装的组件，并且其运行时占用系统资源较多。设置活动目录的主要目的就是为了提供目录服务功能，使网络管理更简便，安全性更高。另外，活动目录的结构比较复杂，适用于用户或者网络资源较多的环境。提示：活动目录源于“目录服务”的概念，与Windows系统中的“文件夹目录”以及DOS下的“目录”在含义上完全不同。活动目录是指网络中用户以及各种资源在网络中的具体位置及调用和管理方式，就是把原来固定的资源存储层次关系与网络管理以及用户调用关联起来，从而提高了网络资源的使用效率。活动目录结构是指网络中所有用户、计算机以及其他网络资源的层次关系，就像是一个大型仓库中分出若干个小的储藏间，每一个小储藏间分别用来存放不同的东西一样。通常情况下活动目录的结构可以分为逻辑结构和物理结构，了解这些也是用户理解和应用活动目录的重要的一步。1、活动目录的逻辑结构在活动目录中，代表网络资源的明确命名的一组属性集合称为对象。例如，“用户”对像的属性包括用户的姓名、地址等。根据对象本身能否包含其他对象，可以将活动目录中的对象分为容器对象和叶对象两大类。容器并不代表一个实体，容器内可以包含一组对象及其他的容器。在活动目录的逻辑组件中，域、组织单元、域树、域林等都属于容器对象，而域中的用户、组、计算机、共享文件夹、打印机等都属于叶对象。活动目录内的对象类别与属性数据定义在架构内。在一个域目录林中的所有域目录树共享相同的架构。（1）组织单元组织单元是一个容器对象，可以把域中的对象组织成逻辑组，以简化管理工作。组织单元可以包含各种对象，比如用户账户、用户组、计算机、打印机等，甚至可以包括其它的组织单元，所以可以利用组织单元把域中的对象组成一个完全逻辑上的层次结构，如图4-8所示。对于企业来讲，可以按部门把所有的用户和设备组成一个组织单元层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个组织层次结构。（2）域树：微软的网络操作系统是考虑在大型企业构建网络和扩展网络的需要而设计的。在一个企业中可能会有分布在全世界的分公司等，分公司下又有各个部门存在，企业可能有十几万的用户、上千的服务器以及上百个域，资源的访问常常可能跨过许多域。在WindowsNT4