第3章域控制器的配置與管理
3.1 域控制器簡介
域控制器包含了由域的賬戶、密碼、屬於這個域的計算機等信息構成的數據庫,負責對整個Windows域以及域中的所有計算機進行管理。配置域控制器有利於對域中用戶的集中配置管理,爲網絡共享資源提供安全保障。因此,配置域控制器是Windows Server 2003服務器安全配置的重要內容。
Windows Server 2003域控制器的功能與Active Directory密切相關。要配置和管理域控制器,首先要清楚與域控制器相關的幾個概念。
1.域
要了解域控制器,首先要了解域。Windows Server 2003域模型的基本單位與Windows 2000 Server相同。在Active Directory中,每個域名系統(DNS)的域名標識爲一個域,每個域由一個或多個域控制器管理。例如域名爲“myzyy.com”的域,必須要有一個具有域控制器功能的服務器。
域的作用如下。
使用域賬戶可以登錄本域中的任何主機。
使用域賬戶登錄可以訪問本域中的所有授權資源。
本域中的系統管理員可以通過委派授權域賬戶來提高系統的安全性,便於賬戶集中管理。
使用域賬戶登錄可以訪問本域中的所有授權資源。
本域中的系統管理員可以通過委派授權域賬戶來提高系統的安全性,便於賬戶集中管理。
Windows Server 2003創建的第一個域稱爲根域,是域樹中所有其他域的根域,例如163.com或sina.com這樣的域爲根域。域與DNS的域層級有緊密的關係,並與其相似。
 說明 |
| 域是一個網絡中的一個邏輯單位,域分爲根域和子域。在Windows Server 2003根域基礎上創建的域稱爲根域的子域。 |
2.樹
樹也稱爲域樹,是Windows Server 2003域的集合。子域與其根域相關聯構成了域樹。域樹的外觀類似於倒置的樹(根域位於頂部),分支(子域)在下方展開。例如,某醫院有一個名爲myzyy.com的DNS域,並且醫院內部可能有多個邏輯部門,如門診、住院、行政、後勤等部門。這種情況下,域樹的構成如圖3-1所示。
 |
| 圖3-1 域樹的構成圖 |
3.林
多個域樹可構成一個非連續的名稱空間,稱爲林。例如某醫院有ykzyy.com、jgyy.com和myzyy.com 3個根域。這些根域都是其分院的域樹,分院本身是一個實體,把這些實體的域結構結合在一起,就成了林。
林的作用如下。
林中的一個域樹中的用戶能夠訪問林中另一個域樹中的資源。
林中所有的成員域可以共享信息。
管理者能更充分地利用林中的信息資源。
林中所有的成員域可以共享信息。
管理者能更充分地利用林中的信息資源。
4.Active Directory
Active Directory是一種可以保存網絡對象信息的目錄服務,是Windows Server 2003的重要功能之一。使用Active Directory可以將網絡中的各種資源,如用戶、組、計算機、打印機、共享等資源組織起來,進行集中管理,以方便用戶對網絡資源的搜索和使用。
5.域控制器
域控制器(Domain Controller)簡稱DC,是域中的管理計算機。域控制器使用“Active Directory安裝嚮導”創建。在網絡中創建第一個域控制器的同時,也創建了第一個域、第一個林和第一個站點,並安裝了Active Directory。在Windows Server 2003裏,域中所有的域控制器都是平等的關係,不再區分主域控制器和備份域控制器。Active Directory採用多主複製方式。Windows Server 2003在複製時自動比較Active Directory的新舊版,用新版覆蓋舊版本。
當電腦聯入網絡時,域控制器首先要鑑別這臺電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄,用戶就不能訪問服務器上有權限保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網絡上的資源。