單元2域服務(wù)的配置與管理Computernetworktechnology《WindowsServer管理》課程目錄1.域服務(wù)概述2.子域控制器3.輔助域控制器4.只讀域控制器1.域服務(wù)概述Computernetworktechnology域的定義《WindowsServer管理》課程主域（PrimaryDomain）是指在WindowsServer網(wǎng)絡(luò)環(huán)境中，承擔(dān)主要身份驗證和授權(quán)任務(wù)的域。主域負(fù)責(zé)存儲用戶賬戶、組、計算機(jī)賬戶等安全主體信息，以及相關(guān)的安全策略設(shè)置。通過主域，管理員可以集中管理網(wǎng)絡(luò)中的用戶和資源，提高管理效率和安全性。域的信任關(guān)系《WindowsServer管理》課程域之間需要互相訪問的前提是域之間必須擁有信任關(guān)系。新的域加入到域樹后，這個域都會信任其上一層的父域，同時父域也會信任子域，這些信任關(guān)系是雙向傳遞的。例如，域A信任域B，域B又信任域C，那么域A則自動信任域C。當(dāng)一個域加入到域樹后，都會自動建立雙向信任關(guān)系，只要有用權(quán)限，新域就可以訪問域樹內(nèi)其他域的資源。域A域B域C信任信任信任自動建立雙向信任關(guān)系活動目錄《WindowsServer管理》課程在Windows系統(tǒng)平臺下，通過活動目錄（ActiveDirectory，簡稱AD）組件來實現(xiàn)目錄服務(wù)。它將網(wǎng)絡(luò)中的各種資源組合起來，進(jìn)行集中管理，方便網(wǎng)絡(luò)資源的檢索，使企業(yè)可以輕松地管理復(fù)雜的網(wǎng)絡(luò)環(huán)境。目錄服務(wù)《WindowsServer管理》課程用來存儲了網(wǎng)絡(luò)中各種對象(如用戶賬戶、組、計算機(jī)、打印機(jī)和共享資源等)的有關(guān)信息按照層次結(jié)構(gòu)方式進(jìn)行信息的組織方便用戶的查找和使用ActiveDirectory(活動目錄)是WindowsServer域環(huán)境中提供目錄服務(wù)的組件工作組和域《WindowsServer管理》課程工作組網(wǎng)絡(luò)“對等式”網(wǎng)絡(luò)資源以及管理是分散在每臺計算機(jī)之上特點就是分散管理每臺計算機(jī)都有自己的“本機(jī)安全賬戶數(shù)據(jù)庫”，稱為SAM數(shù)據(jù)庫SAM數(shù)據(jù)庫默認(rèn)就存儲在%Systemroot%\system32\config文件夾中工作組網(wǎng)絡(luò)WindowsLinuxMAC工作組和域《WindowsServer管理》課程域所有的計算機(jī)共享一個集中式的目錄數(shù)據(jù)庫(又稱為活動目錄數(shù)據(jù)庫)活動目錄負(fù)責(zé)目錄數(shù)據(jù)庫的添加、修改、更新和刪除域環(huán)境，其實就是要安裝活動目錄域工作網(wǎng)絡(luò)windowswindowswindowsDC活動目錄的特性《WindowsServer管理》課程1.服務(wù)的集成性活動目錄的集成性包括內(nèi)容更豐富采用Internet標(biāo)準(zhǔn)協(xié)議，用戶賬戶可以使用“用戶名@域名”來表示與Internet的域名空間結(jié)構(gòu)一致2.信息的安全性多種網(wǎng)絡(luò)安全協(xié)議在活動目錄數(shù)據(jù)庫中存儲了域安全策略的相關(guān)信息每個對象都有一個獨(dú)有的安全性描述，主要是定義了瀏覽或更新對象屬性所需要的訪問權(quán)限活動目錄的特性《WindowsServer管理》課程3.管理的簡易性以層次結(jié)構(gòu)組織域中的資源提供了對網(wǎng)絡(luò)資源管理的單點登錄活動目錄允許在線備份網(wǎng)絡(luò)系統(tǒng)環(huán)境的管理工作變得更加容易、方便4.應(yīng)用的靈活性活動目錄具有較強(qiáng)的、自動的可擴(kuò)展性。系統(tǒng)管理員可以將新的對象添加到應(yīng)用框架中，并且將新的屬性添加到現(xiàn)有對象上?；顒幽夸浿锌蓪崿F(xiàn)一個域或多個域，每個域中有一個或多個域控制器，多個域可合并為域樹，多個域樹又可合并成為域林?？梢詰?yīng)用到局域網(wǎng)計算機(jī)系統(tǒng)環(huán)境中，還可以應(yīng)用于跨地區(qū)的廣域網(wǎng)系統(tǒng)環(huán)境中活動目錄的邏輯結(jié)構(gòu)《WindowsServer管理》課程域、域樹、域林和組織單位(1)域核心邏輯單元共享同一活動目錄的一組計算機(jī)集合從安全管理角度講，域是安全的邊界(2)域樹一組具有連續(xù)命名空間的域組成的域通過自動建立的信任關(guān)系連接起來。(3)域林由一棵或多棵域樹組成的每棵域樹獨(dú)享連續(xù)的命名空間不同域樹之間沒有命名空間的連續(xù)性域林中第一個創(chuàng)建的域稱為域林根域(4)組織單位組織、管理一個域內(nèi)對象的容器包容用戶賬戶、用戶組、計算機(jī)、打印機(jī)和其他的組織單位層次結(jié)構(gòu)活動目錄的邏輯結(jié)構(gòu)示例《WindowsServer管理》課程活動目錄的物理結(jié)構(gòu)《WindowsServer管理》課程域是邏輯組織形式，部署各種角色計算機(jī)來組織，由域控制器和站點組成。1.域控制器安裝、運(yùn)行活動目錄的WindowsServer服務(wù)器一個域中可以有一個或多個域控制器活動目錄數(shù)據(jù)庫自動更新2.

站點站點代表網(wǎng)絡(luò)的物理結(jié)構(gòu)，而域代表組織的邏輯結(jié)構(gòu)一個或多個IP子網(wǎng)地址的計算機(jī)集合用來描述域環(huán)境網(wǎng)絡(luò)的物理結(jié)構(gòu)或拓?fù)?.成員服務(wù)器實現(xiàn)一定功能或提供某項服務(wù)的服務(wù)器如通常使用的文件服務(wù)器、FTP應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器或者Web服務(wù)器不執(zhí)行用戶身份驗證并且不存儲安全策略信息2.子域控制器Computernetworktechnology主域在網(wǎng)絡(luò)中的地位《WindowsServer管理》課程其他子域或成員服務(wù)器需要加入到主域中，才能接受主域的管理和策略應(yīng)用。主域的安全性和穩(wěn)定性對整個網(wǎng)絡(luò)環(huán)境的正常運(yùn)行至關(guān)重要。主域是網(wǎng)絡(luò)環(huán)境中的核心組件，承載著關(guān)鍵的身份驗證和授權(quán)任務(wù)。子域的定義《WindowsServer管理》課程在WindowsServer中，子域是主域的一個子集，它繼承了主域的部分或全部功能和策略設(shè)置，但具有自己的獨(dú)立管理權(quán)限和安全性設(shè)置。子域定義子域與主域之間存在一種層次關(guān)系，主域通常位于林根級別，而子域則位于主域之下。子域可以繼承主域的許多設(shè)置，但也可以有自己的獨(dú)特設(shè)置，這使得管理員可以更加靈活地管理網(wǎng)絡(luò)環(huán)境。與主域關(guān)系子域的功能和作用《WindowsServer管理》課程在網(wǎng)絡(luò)拓?fù)渲校佑蛲ǔＮ挥谥饔虻南乱患墸鼈兣c主域以及其他子域通過信任關(guān)系相互連接。子域可以有自己的域控制器、用戶賬戶和組策略設(shè)置，這使得它們可以在網(wǎng)絡(luò)環(huán)境中獨(dú)立運(yùn)行。功能子域的主要功能包括提供獨(dú)立的身份驗證和授權(quán)機(jī)制、實現(xiàn)細(xì)粒度的訪問控制以及支持分布式管理等。此外，子域還可以用于隔離不同部門或業(yè)務(wù)單元的網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)安全性。作用通過使用子域，管理員可以更好地組織和管理網(wǎng)絡(luò)環(huán)境，提高網(wǎng)絡(luò)的可擴(kuò)展性和可維護(hù)性。同時，子域還可以幫助降低網(wǎng)絡(luò)管理的復(fù)雜性，提高網(wǎng)絡(luò)的整體性能和穩(wěn)定性。3.輔助域控制器Computernetworktechnology輔助域控制器《WindowsServer管理》課程輔助域控制器則作為主域控制器的備份存在，它可以提供冗余和故障恢復(fù)能力。如果主域控制器出現(xiàn)故障或無法訪問，輔助域控制器可以接管其角色，繼續(xù)提供服務(wù)。輔助域控制器也存儲活動目錄數(shù)據(jù)庫的副本，以確保數(shù)據(jù)的可用性和一致性。相同的域名：4.只讀域控制器Computernetworktechnology只讀域控制器《WindowsServer管理》課程RODC：(readonlyDC）是windowsserver2022支持的一種域控制器類型。RODC承載ADDS數(shù)據(jù)庫的只讀分區(qū)。借助RODC,組織可以在無法保證物理安全性的位置中輕松部署域控制器，RODC將為用戶提供本地域控制器，從而確保即使在連接總部的廣域網(wǎng)鏈路不可用的情況下，仍然可登錄應(yīng)用組策略。作用：設(shè)計RODC主要是為了在分支機(jī)構(gòu)環(huán)境中部署。分支機(jī)構(gòu)通常用戶相對較少，物理安全性差，連接站點的網(wǎng)絡(luò)帶寬也相對較低，并且缺乏本地IT知識。RODC單向復(fù)制只讀域控制器的邏輯架構(gòu)《WindowsServer管理》課程只讀域控制器（RODC）是域控制器的一種特殊類型，它提供了只讀訪問域中的ActiveDirectory數(shù)據(jù)庫的能力。RODC的邏輯架構(gòu)包括一個可寫入的域控制器（RWDC）和一個或多個只讀的域控制器（RODC）。RWDC負(fù)責(zé)處理所有的寫操作，而RODC則提供對ActiveDirectory數(shù)據(jù)庫的只讀訪問。RODC通過復(fù)制操作從RWDC獲取數(shù)據(jù)，并將其緩存在本地，以便快速提供身份驗證和授權(quán)服務(wù)。但是，RODC不能直接將更改寫回到ActiveDirectory數(shù)據(jù)庫。只讀域控制器的物理架構(gòu)《WindowsServer管理》課程RODC通常部署在分支機(jī)構(gòu)或遠(yuǎn)程辦公室等位置，這些位置與主站點之間的網(wǎng)絡(luò)連接可能不太穩(wěn)定或帶寬有限。物理架構(gòu)上，RODC可以是一臺獨(dú)立的服務(wù)器，也可以是一臺虛擬機(jī)。它必須具有足夠的硬件資源來運(yùn)行WindowsServer操作系統(tǒng)和ActiveDirectory服務(wù)。為了提高可用性和容錯能力，可以在多個位置部署多個RODC，并將它們配置為相互復(fù)制數(shù)據(jù)。RODC功能《WindowsServer管理》課程RODC提供如下功能：單向復(fù)制：減少了惡意用戶在分支位置所做的更改影響主域，同時減少分支負(fù)載。憑據(jù)緩存：默認(rèn)RODC不存儲用戶或計算機(jī)憑據(jù)，如果啟用可縮短用戶登錄。管理角色分離：將RODC本地管理員權(quán)限委派給用戶，可對RODC進(jìn)行維護(hù)。只讀DNS：在確保安全情形下，提高分支機(jī)構(gòu)的域名解析效率。RODC篩選的屬性集：可以為特殊應(yīng)用程序配置一組不會復(fù)制到RODC的屬性。安裝RODC之前的必需步驟《WindowsServer管理》課程安裝RODC之前的必需步驟：確保域和林