11.1.2 Windows Server 2003
Windows Server 2003是微软的服务器操作系统。最初叫做“Windows.NETServer”,后改成“Windows.NET Server 2003”,最终被改成“Windows Server 2003”,于2003年3月28日发布,并在同年4月底上市。本节对该操作系统做具体介绍。
1.Windows Server 2003文件系统
文件系统指文件命名、存储和组织的总体结构,是操作系统的一个重要组成部分。不同的操作系统支持不同的文件系统。Windows Server2 003支持的文件系统有文件分配表(FAT16/FAT32)文件系统、WindowsNT文件系统(NTFS)和光盘文件系统(CDFS)。在运行Windows2003Server的计算机上,可供硬盘分区选择的文件系统有NTFS、FAT和FAT323种。NTFS是系统推荐使用的文件系统,FAT和FAT32非常类似,它们之间的区别是FAT32更适用于存储容量较大的硬盘。Windows2003Server采用的是一种新版的NTFS文件系统,NTFS的功能比FAT和FAT32强大,能够提供对包括活动目录在内的各种新功能和其他比较重要的安全功能。
更改卷的现有文件系统可能很耗费时间。如果决定使用其他文件系统,请务必备份数据,然后格式化要使用新文件系统的卷。也可以转换以前备份的数据,无需格式化卷就可以将FAT或FAT32卷转化为NTFS卷。如果硬盘分区采用的是FAT或FAT32文件系统,安装软件在安装操作系统时可以很方便地将分区的文件系统转换为新版的NTF格式,与格式化一个分区不同,这种转换可以保证分区中的文件不受任何影响。
Windows NT版本开始支持NTFS文件系统,而早期版本只支持FAT16或FAT32。
(1)FAT文件系统
FAT(File Allocation Table)称为文件分配表,包括FAT16和FAT32。FAT是一种适合小卷集、对系统安全性要求不高、需要双重引导的用户应选择使用的文件系统。FAT文件系统最早被应用于MS-DOS操作系统。利用FAT文件分配表跟踪文件首块地址、文件名和扩展名、文件建立的日期和时间标志、与文件相关的其他属性。FAT目录项长度为32B,包含了8.3风格(是指8个字节长度的文件名和3个字节长度的扩展名)的文件名称、属性,以及目录项内容的第一个数据块编号等信息。利用目录项的第一个数据块编号作为索引,可以直接读取文件分配表,从而获得文件的所有内容。采用FAT文件系统格式化卷时以簇为单位进行磁盘分配,簇是用来分配保存文件的最小磁盘空间,是计算机中的最小存储单元。一个文件存储时可能占用多个簇,但一个簇只能存储一个文件的数据,如果一个簇存储某文件的末尾数据后还有剩余空间,则该簇剩余的空间被浪费。簇越小,磁盘存储信息就越有效。对于FAT,默认簇的大小由卷的大小决定。如果用户使用format命令格式化卷,也可以指定簇的空间,但簇的数目必须是512~65536B之间的2的次幂。
FAT32文件系统是FAT16文件系统的更新版本,最初在Windows95OS2中引入。文件命名规则与FAT文件系统相同。FAT16支持卷最大只有4GB,而FAT32最大可达到2TB(1TB=1024GB)。与FAT16相比,FAT32通过扩展单个逻辑驱动器容量可达127GB,不再局限于FAT16卷的2GB。另外,对于FAT32,簇的大小可从1个扇区(512B)到64个扇区不等,且以2的幂次递增。如对于FAT32小于8GB的分区,默认簇的大小为4KB,而对于FAT16,当卷空间在1~2GB,默认簇空间为32KB,卷空间在2~4GB时为64KB。
·FAT文件系统是一种简单的文件系统,从安全和管理的观点看,FAT文件系统有以下缺点。
·易受损害:FAT文件系统缺少错误恢复技术,当文件系统损害时计算机就要瘫痪或不正常关机。
·单用户:FAT文件系统是为单用户操作系统开发的,它只有只读、隐藏等少数几个公共属性,不保存文件权限信息,无法实施安全防护措施。
·非最佳更新策略:FAT文件系统在磁盘的第一个扇区保存其目录信息。当文件改变时,必须更新FAT,需要磁盘驱动器不断在磁盘分区表寻找。当复制多个小文件时,这种开销很可观。
·没有防止碎片的措施:FAT文件系统以第一个可用扇区来分配空间,增加了磁盘碎片。
(2)NTFS文件系统
NTFS最初用于WindowsNT系统,是NTFS 4.0版本。Windows的NTFS文件系统提供了FAT文件系统所没有的安全性、可靠性和兼容性。其设计目标是在大容量的硬盘上能够很快地执行读、写和搜索等操作,甚至包括像文件系统恢复这样的高级操作。NTFS文件系统设计简单却功能强大。从本质上来讲,卷中的一切都是文件,文件中的一切都是属性,从数据属性到安全属性,再到文件名属性。NTFS卷中的每个扇区都分配给了某个文件,甚至文件系统的超数据(描述文件系统自身的信息)也是文件的一部分。
NTFS文件系统有以下主要特性。
·支持活动目录,使网络管理和网络用户可以灵活地查看和控制网络资源。域是活动目录的一部分,帮助网络管理者兼顾管理的简单性和安全性。例如,只有在NTFS文件系统中,用户才能设置单个文件的许可权限而不仅仅是目录的许可权限。
·NTFS提供文件和文件夹安全性,通过为文件和文件夹分配NTFS权限来维护在本地级和网络级上的安全性。NTFS分区中的每个文件或文件夹均有一个访问控制列表(ACL),ACL包含用户和组安全标识符(SID)及授予给用户和组的权限。
·支持加密功能。可以加密硬盘上的重要文件,使得只有那些拥有系统管理员权限的用户才能访问这些加密文件,从而保证文件安全。
·高可靠性。NTFS是一种可恢复的文件系统,在NTFS分区上用户很少需要运行磁盘修复程序。NTFS通过使用标准的事务处理日志和恢复技术来保证分区的一致性。发生系统失败事件时,NTFS使用日志文件和检查点信息自动恢复文件系统的一致性。
·NTFS支持对分区、文件夹和文件的压缩。NTFS提供的文件压缩率可高达50%。任何基于Windows的应用程序对NTFS分区上的压缩文件进行读写时不需要事先由其他程序进行解压缩。文件关闭或保存时会自动对文件进行压缩。当对文件读取时,将自动进行解压缩。
·NTFS采用了更小的簇,可以更有效率地管理磁盘空间。在Windows 2000的FAT32文件系统的情况下,分区大小在2~8GB时簇的大小为4KB;分区大小在8~16GB时簇的大小为8KB;分区大小在16~32GB时,簇的大小则达到了16KB。而NTFS文件系统,当分区的大小在2GB以下时,簇的大小都比相应的FAT32簇小,当分区的大小在2GB以上时(2GB~2TB),簇的大小都为4KB。相比之下,NTFS可以比FAT32更有效地管理磁盘空间,最大限度地避免了磁盘空间的浪费。
·支持磁盘配额管理。磁盘配额就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一个用户只能使用最大配额范围内的磁盘空间。设置磁盘配额后,可以对每一个用户的磁盘使用情况进行跟踪和控制,通过监测可以标识出超过配额报警阈值和配额限制的用户,从而采取相应的措施。磁盘配额管理功能的提供,使得管理员可以方便合理地为用户分配存储资源,避免由于磁盘空间使用的失控可能造成的系统崩溃,提高了系统的安全性。
(3)管理文件与文件夹的访问许可权
Windows Server 2003硬盘内的文件与文件夹,如果是NTFS磁盘分区,则可以通过所谓的NTFS权限来指派用户或组对这些文件或文件夹的使用权。NTFS许可是Windows安全的基础之一。它从文件系统层级限制用户对文件的访问操作,进而保护文件不被未授权的用户访问。当用户访问NTFS文件系统中的文件时,系统首先查询一个被称为访问控制列表(Access ControlList)的许可清单,该清单列举出哪些用户或组对该资源有哪种类型的访问权限。访问控制清单中的各项称为访问控制项。如果用户拥有访问权限,则可以正常执行操作,反之,则会发出访问被拒绝的警告。
1)标准NTFS文件权限的类型
·读取:允许用户读取文件内的数据,查看文件的属性。
·写入:此权限可以将文件覆盖,改变文件的属性。
·读取及运行:除了“读取”的权限外,还有运行应用程序的权限。
·修改:除了“写入”与“读取与运行”权限外,还有更改文件数据、删除文件、改变文件名等权限。
·完全控制:它拥有上面提到所有的NTFS文件权限,另外,还拥有“修改权限”和“取得所有”权限。
2)标准NTFS文件夹权限的类型如图11-3所示。
·读取:此权限可以查看文件夹内的文件名称、子文件夹的属性。
·写入:可以在文件夹里写入文件与文件夹,更改文件的属性。
·列出文件夹目录:除了“读取”权限外,还有“列出子文件夹”的权限。即使用户对此文件夹没有访问权限。
·读取与运行:它与“列出文件夹目录”几乎相同的权限。但在权限的继承方面有所不同,“读取与运行”是文件与文件夹同时继承,而“列出子文件夹目录”只具有文件夹的继承性。
·修改:它除了具有“写入”与“读取与运行”权限,还具有删除、重命名子文件夹的权限。
·完全控制:它具有所有的NTFS文件夹权限。
图11-3 文件夹权限
2.Windows Server 2003用户和组管理
正如人在社会中有名字,用户账户Account是用户在本机或网络上的标识。为了整个系统的安全与提供良好的服务,每个用户都有自己的账户,并被赋予使用相应资源的权限及许可。为了权限分配的便利,可将多个用户加入组中,从而简化管理。
(1)Windows Server 2003用户和组概述
用户的权限是为用户设置的,存储在系统中,在用户登录系统时生效。用户的许可是对资源设置,存储在资源的访问控制列表(ACL)中,不需要用户重新登录就会生效。
通过对账号的管理,实现对资源的访问权限的管理。系统内部使用安全标识符(Security Identifier,SID)识别用户身份,每个用户账户都对应一个唯一的SID,这个SID在用户账户创建时由系统自动产生。用户账号的管理由管理员完成,而管理员也是计算机的用户,是具有管理权限的用户账户。除了单独设置个人账户之外,也可以使用组将一些用户账户集中起来,通过更改组的属性,从而影响组中的每个成员,这样既能增加管理的弹性,也可以减少了修改用户属性带来的麻烦。
Windows 2003 Server是一个可建立多个域、可供多人使用的操作系统,它可以作为域控制器,也可以作为成员服务器或独立服务器。在进一步了解Windows 2003 Server中用户和组的知识之前,有必要先了解安装有Windows 20003 Server的计算机所扮演的角色。
如果计算机是在某个域中作为服务器使用,那么它具有1~2个角色,即域控制器或成员服务器。
·域控制器建立在网络的基础上,是安装有活动目录的计算机。用户依靠这些域控制器来物理地存储活动目录和账户。域控制器主要负责管理用户对网络的各种权限,包括登录网络、账号的身份验证以及访问目录和共享资源等。
·成员服务器是运行Windows 2003 Server的计算机是域的成员,但不是域控制器。因为它不是域控制器,所以成员服务器不处理与账户相关的信息,如登录网络、身份验证等,不需要安装活动目录,不参与活动目录复制,不存储域安全策略信息。成员服务器具有一套与安全性相关的公用功能,遵循为站点、域或组织单位定义的组策略设置。成员服务器一般用做文件服务器、应用服务器、数据库服务器、Web服务器、证书服务器、防火墙、远程访问服务器等。
虽然运行有Windows 2003 Server操作系统,但是如果不加入域,不作为域成员的计算机,称其为独立服务器。独立服务器是一台具有独立操作功能的计算机,在此计算机上不再提供其他用户的账号信息,也不提供登录网络的身份验证等工作。如果Windows 2003 Server作为工作组成员安装,则该服务器是独立的服务器。独立服务器可与网络上的其他计算机共享资源,但是它们不接受活动目录所提供的任何好处。
要把成员服务器与独立服务器区分开,成员服务器就是加入到域里并提供一定服务的服务器,成员服务器是域的成员,虽然它不处理与账号相关的信息,也不存储与系统安全策略相关的信息,但在成员服务器上可以为用户或组设置访问权限,允许用户连接到该服务器并使用相应资源。成员服务器就像一个独立服务器,在该服务器上也有它们自己的本地账户数据库即安全账户管理器(SAM),同时它们又具有附加的能力以增强对象的安全性,这些对象是按照保存在域中的安全规则存储在域内的。
根据计算机所扮演的角色的不同,Windows 2003 Server提供3种不同类型的用户账户,即域用户账户(Domain User Accounts)、本地用户账户(Local User Accounts)和内建用户账户(Built-in Account)。
域用户账户存在于活动目录中,可以登录到域上,用于访问网络资源,因此域用户账户的权限比本地用户账户权限大。当在域控制器的活动目录数据库的组织单位OU中建立域用户账户之后,域控制器会将该用户信息复制到其他域控制器中。通常将域用户账号信息复制到其他的域控制器需要花一点时间,在这段期间内用户可能会无法登录,但当复制完成后,所有的域控制器都可以在用户登录期间对用户进行验证。
本地用户账户是指在本地建立的用户账户,存在于独立服务器和Professional上。本地账户具有使用本地资源的权限。当建立一个本地用户账户时,Windows 2003会在本地的计算机安全数据库中建立该用户账户的信息,并存在于本地账户数据库(Security Account Manager,SAM)中,但不会将该信息复制到域控制器中。本地安全数据库是由用户名和密码构成的简单数据库。一旦本地用户账户建立后,本地计算机就会用这个本地安全数据库来验证用户登录,如果符合就会允许用户登录。
内建用户账户是在Windows 2000、Windows XP及Windows Server 2003中的一类安装时创建的用户账户,通常可以改名,但不能被删除,可以用它来完成管理工作或者访问网络资源。所有运行Windows 2000、Windows XP及Windows Server 2003的计算机都具有两类内建的用户账户:Administrator与Guest。
1)Administrator账户
Administrator账户可以对本地计算机进行管理工作,提供对操作系统所有特性的管理性访问,可以赋予自己任何权限,该账户为初次安装Windows 2003 Server系统后的预设系统管理员,具有无上的权利,须妥善保护。该账户可对整个域或计算机做设置,例如建立用户账号与组、建立打印机、分配资源等。该账户可以更名但无法删除,为了安全起见,进入系统后应将Administrator更名。
2)Guest账户
Guest账户为临时用户提供对网络资源访问的权利,该账户作为偶尔需要使用域用户权力存取资源的人暂时使用。该账号也不能删除,但可以更名与禁用。在预设的情况下,Guest账户是停用的,如果需要可以自行启动该账户,但除非用户对网络安全的需求不高,否则不会建议启用Guest账户。在某些情况下,如把Windows 2003服务器当成文件服务器使用,如果给每个人都设置一个账户,操作就非常麻烦,这时可以使用Windows 2003 Server中提供的Guest账户,供在这台服务器上没有账号的用户(访客)临时使用而设置,不过只有少部分的权限。当用户在基于网络的计算机上没有合法账户时,启用Guest账户,可以登录Windows 2003服务器、浏览共享文件夹等。
Windows的组Group是用户账户的集合,组也可以被赋予对资源的访问权限及许可,组内的用户账户会获得组被赋予的相应的所有权限及许可。用户可以同时属于多个组,并获得多个组所拥有的优先权。作为系统管理员,可以创建用户,把用户放置到组并授权给组。因为计算机的角色不同,既有本地组也有存在于活动目录中的组。同样,当将Windows 2003 Server安装成独立服务器或成员服务器时,也拥有内建的本地组(Local Group)。内建的本地组提供了在单一的计算机上执行系统工作的权利。
(2)Windowsserver 2003本地用户和本地组
正如前面所提到的,普通账户是本机建立的用户账户,域账户是域服务器上由管理员分配的账户。普通用户在本机登录,不能访问域上的资源,域账户受域的权限管理,也可以访问本机上的资源。域账户可以在域内任何一台计算机上登录,普通用户则不行。起着独立服务器作用的Windows 2003 Server及Windows 2003 Professional工作站只有本地的用户账户,这些本地账户没有存储在活动目录中,而是存储在创建该账户的独立服务器、成员服务器或Windows 2003 Professional工作站上的本地安全数据库中。
在系统安装之后,独立的Windows 2000 Server就会自动生成几个内置的用户账户。按默认设置,Windows 2003 Server创建的两个账户是Administrator和Guest。在安装Windows 2000 Server的过程中,当安装程序要求输入系统管理员的密码时,就已经创建了Administrator,在安装过程中不要求输入Guest的密码,因为它没有密码。本地账户没有以下选项:登录时间(Logon Hours)、登录机器、账户过期(Account Expire)。
“本地用户和组”位于“计算机管理”中,用户可以利用这一管理工具来管理单台本地或远程计算机,可以使用“本地用户和组”保护并管理存储在本地计算机上的用户账户和组,也可以在特定计算机和仅这台计算机上分配本地用户或组账户的权限和权利,如图11-4所示。
图11-4 本地用户管理
(3)Windows server 2003本地组管理
正如前面提到的,组(Group)是用户账户的集合,组会被赋予对资源的访问权限及许可。当用户较多时,需要设置的存取权限也就特别复杂。如果能利用组的特性,则会收到事半功倍之效。我们知道,组可分为本地组(Local Group)和域上的组,本地组存在于本地的安全账户数据库,可被赋予对本地资源的访问许可。域控制器上没有本地组,域上的组存在于活动目录中,可用于赋予对网上资源的访问权限。处于独立模式的Windows 2003 Server中的组是本地组。本地组是一个用户库,库中的用户分配有特定的权限。本地组就像本地用户账户一样,本地组只对创建它们的机器有用。只有在该特定机器上定义的用户账户才可能是本地组的成员。因此,本地组不包括其他机器上的用户,并且不能够把本地组进行嵌套(把本地组放置在其他本地组之内)。删除组后组内的成员不被删除。
本地组有以下两种风格。
·用户定义的组:这是系统管理员创建的用来存储特定用户的组。
·内置组:根据安装时的选项,这些组会由系统自动创建。这些内置组是特定的,它们的成员身份被授予了特殊的系统优先权。当把一个或多个用户添加到这些内置组之后,这些用户就会立刻获得该组的优先权。组内成员身份及其优先权起作用之前,用户必须注销并重新登录。Windows 2003为系统内建的组赋了权限,如本地登录、改变系统时间、关闭系统等。
独立服务器上的内置组如下,如图11-5所示。
图11-5 本地组管理
·Administrators:系统管理员组。该组的成员具有对服务器的完全控制权限,并且可以根据需要向用户指派用户权利和访问控制权限。管理员账户也是默认成员。当该服务器加入域中时,Domain Admins组会自动添加到该组中。由于该组可以完全控制服务器,所以向该组添加用户时请谨慎。该组的默认用户权力为从网络访问此计算机、调整某个进程的内存配额、允许本地登录、允许通过终端服务登录、备份文件和目录、忽略遍历检查、更改系统时间、创建页面文件、调试程序、从远程系统强制关机、提高调度优先级、加载和卸载设备驱动程序及管理审核和安全日志等。
·Backup Operators:备份操作员组。这个组的成员具有绕过常规文件安全性,并能够执行备份操作的权限。通常,备份程序把它们自定义的用户账户放置在这里。该组的成员可使用Windows备份工具来进行备份或还原的工作,但只能因为备份或还原文件的因素才能覆盖安全性限制。此外,该组的成员还具有从网络访问此计算机,允许本地登录,关闭系统的权利。
·Everyone:所有的用户。这个计算机上的所有用户都属于这个组。
·Users:普通用户所在的组。在创建了新的用户时,他们就会自动地被放置在这个组中。Users组的成员没有被授予特殊的权限,因为分配给该组的默认权限是不允许成员修改操作系统的设置或用户资料。Users组提供了一个最安全的程序运行环境,是最安全的组。Users组可对系统使用基本权力,如运行程序、使用网络、关闭工作站、忽略遍历检查等,但不能关闭服务器。Users组不能创建共享目录,不能创建本地打印机,不能安装能让其他人使用的软件。在计算机加入一个域之后,域上的Domain Users会自动被加入该计算机的Users之中。另外,Users可以创建本地组,但只能修改自己创建的本地组。
·Guests:来宾组。这是从LAN Manager时代遗传来的。如果可能,应避免使用这个组。来宾组成员跟普通组Users的成员有同等访问权,但来宾账户的限制更多。该组的成员只能享有管理员授权的权限以及存取指定权限的资源。来宾账户(默认情况下已禁用)是该组的默认成员。该组的成员拥有一个在登录时创建的临时配置文件,在注销时,该配置文件将被删除。在计算机加入一个域之后,域上的Domain Guests会自动地被加入该计算机的Guests之中。
·Power Users:高级用户组,Power Users可以执行除了为Administrators组保留的任务外的其他任何操作系统任务。在权限设置中,这个组的权限是仅次于Administrators的。该组的成员可以新建、删除、修改本地用户账户,并且拥有管理本地共享文件夹与打印机的权力。分配给Power Users组的默认权限是允许Power Users组的成员修改整个计算机的设置,但Power Users不具有将自己添加到Administrators组的权限。这个组中的用户有能力创建本地用户账户,但他们只能够删除自己创建的账户。另外,Power Users可以修改桌面设置。在非域控制器上,可以进行基本的系统管理工作,如共享本地文件夹、服务的管理、打印机的管理、本地用户的管理以及安装不修改注册表的软件。注意,它不能修改的组是Administrators和Backup Operators。
3.Windows Server 2003活动目录
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。活动目录是一种分布式的目录服务,主要用在分布式的环境中。在分布式环境中,要求有各种信息可以被各种应用很方便地访问读取。通过活动目录服务,管理员可以对整个网络进行集中管理。
(1)Windows域概述
一台Windows计算机,它要么隶属于工作组,要么隶属于域。说到域,我们就不得不提工作组,工作组是微软的概念,一般的普遍称谓是对等网。工作组通常是一个由不多于10台计算机组成的逻辑集合,如果要管理更多的计算机,微软推荐你使用域的模式进行集中管理,这样的管理更有效。你可以使用域、活动目录、组策略等各种功能,使你网络管理的工作量达到最小。当然这里的10台只是一个参考值,11台甚至20台,如果你不想进行集中的管理,那么你仍然可以使用工作组模式。
工作组的特点就是实现简单,不需要域控制器DC,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于“计算机浏览服务”,每一个工作组中,会自动推选出一个主浏览器,负责维护本工作组所有计算机的NetBIOS名称列表。用户可以使用默认的workgroup,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什么分别。
域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,实现起来要复杂一些,至少需要一台计算机安装NT/2000/03Server版本使其充当DC,来实现集中式的管理。
若考虑到容错的话,至少需要两台。对于NT4域就是一台PDC(具有唯一性),一至多台BDC,对于2000/03域,已经没有PDC和BDC的概念,要容错就需要至少两台DC。
域是逻辑分组,与网络的物理拓扑无关,可以很小,比如只有一台DC;也可以很大,包括遍布世界各地的计算机,比如大型跨国公司网络上的域。当然实际中他们多采用多域结构,还可以利用AD站点来优化AD复制。
这个“目录服务数据库”,在NT4时,保存用户账号名称和密码等安全信息,以及安全规则设置,又被称做安全账号管理(SAM)数据库,简称SAM库。在非DC上的本地的SAM库与DC上域所用的SAM库类似,只不过对于NT4域的SAM库文件,保存有整个域的用户和计算机,用“域用户管理器”和“服务器管理器”来管理,本地的SAM库文件,保存有本地机的用户,由“用户管理器”来管理。
从2000开始,MS引入了活动目录AD,DC通过AD来提供目录的服务,例如它负责维护AD数据库、审核用户的账户和密码是否正确、将AD数据库复制到其他的DC等。AD库的核心文件就是winnt\ntds\ntds.dit文件。注意组策略的具体设置值,并不存在这个文件中,而是保存在winnt\sysvol\sysvol这个共享文件夹下,用于向其他DC复制,传播给域成员来生效。但需要说明的是,2000/XP/03的非DC域成员计算机上仍使用和NT4一样的SAM库文件来保存本地账号。
正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源,如用户、组、计算机账号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码,用户只需一次登录,即可访问本域或有信任关系的其他域上的所有资源(当然用户得有权限才行),而不需要多次提供用户名和密码登录。
(2)活动目录域的基本概念
要全面理解活动目录域的知识,首先要了解活动目录域的基本概念。下面从活动目录、域和域控制器、组织单元等方面进行介绍。
1)活动目录
活动目录是一种目录服务,目录服务包括三方面的功能:组织网络中的资源,提供对资源的管理,对资源的控制,活动目录的服务通过将对网络中的各种资源的信息,保存到一个数据库中,来为网络中的用户和管理员提供对这些资源的访问、管理和控制,这个数据库叫活动目录数据库。通过活动目录服务,管理员可以实现整个网络的集中管理。
2)域和域控制器
域是活动目录的一种实现形式,也是活动目录最核心的管理单位和复制单位,一个域由域控制器和成员计算机组成。域控制器就是安装了活动目录服务的一台计算机。在域控制器上,每一个成员计算机都有一个计算机账号,每一个域用户有一个域用户账号。域管理员可以在域控制器上实现对域用户账号和计算机账号以及其他资源的管理。域还是一种复制单位,在域中可以安装多台域控制器,域管理员可以在任何一台域控制器上创建和修改活动目录对象。域控制器之间可以自动的同步,或者是复制这样一种更新。
3)组织单位OU
组织单位是活动目录中的一种对象,但它是一种容器类型的对象,也就是说OU可以包含其他对象。使用OU,我们可以在域中组织对象,以方便对域的管理。比如对域一个公司不同部门的用户的账户的管理。使用OU,还可以实现委派管理控制以及在不同的OU上实现不同的组策略,委派管理控制是我们可以对每一个OU来指派一名或多名管理员。让OU管理员各自管理自己部门的对象。每一个OU可以实现不同的组策略设置,我们可以设置用户的工作环境,用户的软件安装等。
4)域树、子域、森林
活动目录可以通过分层结构来实施。域树是共用连续域名空间的Windows域,具有相同的域名后缀。域树的第一个域是域树的根域。向域中添加的任何新域称为子域。由本身的名字和父域域名结合成DNS名。单个域树或者多个域树构成林。林中不同的域树不共用连续的域名空间。林中的所有域共用相同的配置架构和全局编录,如图11-6所示。
图11-6 林、域树、子域示意图
5)信任关系
在一个树的内部,父域和子域之间是相互信任的,我们把这种信任关系称为父子信任,在一个森林内部,树和树之间也是相互信任的,这种信任关系称为树根信任。
信任关系特点:自动建立。在创建子域或域树时自动建立;传递信任(可传递的);双向信任,两个域两个方向上的两条信任路径。
林之间的信任分为外部信任、林信任。
·外部信任:在不同的域之间创建的不可传递的信任。
·林信任:Windows Server 2003及以上版本林特有的信任。Windows Server2 003林根域之间建立的信任,提供单向或双向可传递的信任关系。
有了这些信任关系后,当一个域中的用户登录之后,他可以在整个森林范围内来访问其他域中的资源。
6)站点
站点是活动目录的一种物理结构,站点的目的是为了优化域控制器之间的复制,当一个域跨越不同的城市的时候,城市和城市之间的连接速度慢于局域网的连接速度。为了控制不同城市直接的域控制器的复制流量,可以通过站点来实现。每一个站点之间都有一个站点连接,通过配置站点连接,可以控制不同站点之间的域控制器在什么时间来执行复制;可以配置在非工作期间进行复制,来完成域控制器之间的同步;可以减少域控制器在工作时间占用广域网带宽。
7)活动目录架构
活动目录架构是对活动目录中对象的一种定义。定义的方式是以结构化的方式定义的数据组成,它通过描述元数据来定义这些结构,通常包括属性名称、类型、长度、关系等。活动目录架构看起来有点像关系数据库里的字段定义。同时还包括一些扩展的属性。
8)全局编录服务器
全局编录是存储林中所有Active Directory对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完整副本,以及林中所有其他域中所有对象的部分副本。
全局编录中包含的所有域对象的部分副本是用户搜索操作中最常用的部分。作为其架构定义的一部分,这些属性被标记为包含在全局编录中。在全局编录中存储所有域对象的最常搜索的属性,可以为用户提供高效的搜索,而不会以不必要的域控制器参考影响网络性能。
9)操作主机
操作主机(Operations Masters,OM),或称为操作主控(Flexible Single Master Operation,FSMO),是Active Directory数据库中的特殊对象,具备此类对象的域控制器肩负着Active Directory的核心功能。
Active Directory域中有5种类型的操作主机,分别是架构主机(Schema Master)、域命名主机(Domain Naming Master)、PDC仿真器(PDCE mulator)、RID主机(RID Master)、基础架构主机(Infrastructure Master)。
在每个林中,至少有5个指派给一个或多个域控制器的操作主机角色。在每个林中,林范围的操作主机角色必须只出现一次。在林中的每个域中,域范围的操作主机角色必须在每个域中出现一次。
·架构主机:负责森林架构的删除和修改,如何定义AD数据库。比如部属Exchange时需要进行森林扩展,其实就是对森林的架构进行修改,这个操作必须要能联系上架构主机。操作权限的用户必须是schema admins组的成员。
·当架构主机不可用时,不能对架构进行更改。在大多数网络环境中,对架构更改的频率很低,并且应提前进行规划,以便使架构主机的故障不至于产生任何直接的问题。
·域命名主机:如果要新建一个域,由它来检测是否重名。控制森林内域的添加和删除;添加和删除对外部目录的交叉引用对象。建议和GC配置在一台主机上。操作权限为Enterprise Admins组。
·当域命名主机不可用时,不能通过运行dcpromo向Active Directory中添加域,同时也不能从目录林中删除域,如果在域命名主机不可用时试图通过运行dcpromo来删除域,那么就会收到一条“RPC服务器不可用”的消息。
·PDC Emulator:默认情况下森林中的GC和每个子域的第一台DC都是PDC Emulator。功能有模拟WindowsNTPDC、默认的域主浏览器,如网上邻居的列表、默认的域内权威的时间服务源、统一管理域账号密码更新、验证及锁定、组策略存放地(默认)。
当PDC主机不可用时,在本机模式环境中用户登录失败的可能性增大。如果重新设置用户密码,例如用户忘记密码,然后管理员在一台DC(不是验证DC)上重新设置密码,那么该用户就必须等到密码复制到验证DC之后才能登录。试图编辑组策略对象时出错。
·RI Dmaster:管理域中对象相对标识符(RID)池。
一般RID主机会一次分给域内不同的DC各500个RID号,当每个DC用到80%时会向RID主机提出申请。当RID主机不可用时,所遇到的主要问题是不能向域中添加任何新的安全对象,例如用户、组和计算机。如果试图添加,则会出现错误消息:“Windows不能创建对象,因为:目录服务已经用完了相对标识号池。”
·Infrastructure master:负责对跨域对象引用进行更新。
比如本地域组中有一个其他域的用户,当这个用户被删除后,由基础结构主机负责更新这个组的内容,并将其复制到同一个域内的其他DC。这个更新操作由基础结构主机通过查询GC来完成。故在多域情况下不能把二者放在一台机器上,否则Infrastructure master不起作用。单域情况下不需要工作,而在多域情况下不能和GC在一起。
当基础架构主机不可用时,结构主机故障对环境的影响是有限的。最终用户并不能感觉到它的影响,只对管理员执行大量组操作产生影响。这些组操作通常是添加用户和/或重新命名用户。在此情况下,结构主机故障只是会延迟通过Active Directory管理单元引用这些更改的时间。
10)组类型
根据组的权限不同,组可以进行如下分类。
·安全组:被用来设置权限,如可以设置安全组对某个文件有读取的权限。
·通信组:用在与安全(与权限无关)无关的任务上,如可以将电子邮件发送给分布式组。
·根据组的作用范围不同,组可以进行如下分类。
·通用组:可以指派所有域中的访问权限,以便访问每个域内的资源。其可以访问任何一个域内的资源;成员能够包含整个域目录林中任何一个域内的用户、通用组、全局组,但无法包含任何一个域内的本地域组。
·全局组:主要用来组织用户,即可以将多个即将被赋予相同权限的用户账户加入同一个全局组中,其可以访问任何一个域内的资源;成员只能包含与该组相同域中的用户和其他全局组。
·本地域组:主要被用来指派在其所属域内的访问权限,以便可以访问该域内的资源,其只能访问同一域内的资源,无法访问其他不同域内的资源;成员能够包含任何一个域内的用户、通用组、全局组以及同一个域内的域本地组,但无法包含其他域内的域本地组。