300台左右,一台双核处理器+4G内存的普通PC都行。
这种要啥配置,任意双核20以上处理器(4核心更好)+4G/8G内存。OK。Windows2000一个最大的创新之处就是引入了Active Directory(活动目录),活动目录在网络的组织和管理方面起到了巨大的作用,如果你想最大限度的发挥Windows2000的作用的话,必需理解什么是活动目录。下面我就简要介绍一下活动目录,希望对大家学习Windows2000有所帮助。
在计算机网络术语中,目录代表存储网络上对象信息的一种层次结构。网络上的对象包括共享资源(例如服务器、打印机、网络用户以及计算机帐号等)、域、应用程序、服务、安全方针等等的你的网络中的一切事物。一个最典型的例子就是一个网络目录存储一个用户帐号时,它存储了用户的姓名、密码、电子邮件地址、电话号码等等。
目录服务区别于目录的地方在于,目录服务能够把目录中存储的信息提供给管理员,用户,网络服务或应用程序。理想情况下,目录服务使网络的物理拓扑结构和协议对用户来说是透明的,用户可以进入任何资源而不用知道它们之间是怎样以及在哪里连接的。如上面提到的那个例子,正是目录服务才使得同一网络中的其它授权用户能够了解到该用户目录中存储的信息(如电子邮件地址)。
目录服务具有广泛的接受力,可以与 *** 作系统结合,也可以与应用程序结合。Windows2000成功的把目录服务与 *** 作系统结合在一起,生成了活动目录,它提供了对用户,计算机和共享资源的管理。就象Microsoft Exchange的email目录服务,它使用户能够查找其它用户的电子邮件地址以便于发送电子邮件。
活动目录,Windows2000服务器版 *** 作系统的一种新的目录服务,只能运在域控制器上,它除了能够提供存储信息的场所,提供服务以使信息可用外,还可以保护网络对象不被非授权用户进入,通过网络复制对象以便在域控制器崩溃时数据不会丢失。
Windows2000中的活动目录具有如下特点:
与DNS(域名服务器)紧密结合:Windows2000中的活动目录和DNS紧密结合在一起,这利于在TCP/IP网络中计算机之间的相互识别和通讯。
灵活的查询功能:管 或用户可以使用开始菜单中的查找命令,桌面上的我的网络位置图标,或活动目录用户和计算机插件查找网络上任何一个对象以及其属性。例如,你可以用姓,名,电子邮件,办公地点,或其它用户帐号的属性来查找一个用户。
可扩展性:Windows2000的活动目录具有很强的可扩展性,管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如,你可以给每一个用户对象增加一个购物授权属性,然后存储每一个用户购买权限作为用户帐号的一部分。
以策略为基础的管理:组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录,域,或组织单元的组策略对象(GPOs)中。GPOs设置决定目录对象和域资源的进入权,什么样的域资源可以被用户使用,以及这些域资源怎样使用等。
可升级性:活动目录中含有一个或多个域,每一个域又有多个域控制器,使你能够升级目录来满足任何网络要求。多个域可以合并为一个域树,多个域树可以合并为一个森林。在最简单的结构中,一个单域网络既是一个域树,同时又是一个森林。
信息的可复制性:活动目录采用多控制复制,这样可以使你在任何域控制器上更新目录。在一个域中使用多域控制器可以提供错误容差和负载平衡。如果单域中的一个域控制器变慢、停止,或出现错误时,同一个域中的其它域控制器可以提供必要的目录进入,因为它们含有同样的目录数据。
信息的安全性:用户授权管理和目录进入控制已经整合在活动目录当中了,而它们都是Windows2000 *** 作系统的关键安全措施。活动目录集中控制用户授权,柯冀�肟刂撇恢荒茉诿恳桓瞿柯贾械亩韵笊隙ㄒ澹��一鼓茉诿恳桓龆韵蟮拿扛鍪粜陨隙ㄒ濉3�酥�猓�疃�柯蓟箍梢蕴峁┐娲⒑陀τ贸绦蜃饔糜虻陌踩�呗浴/p>
可互用性:因为活动目录是以标准目录进入协议为基础的,因此它可以与使用这些协议的的其它目录服务相互 *** 作。许多应用程序界面(API)都允许开发者进入这些协议,例如活动目录服务界面(ADSI)。
好了,活动目录的简要介绍就到此为止。需要告诉大家的是,如果大家想深入的了解Windows2000服务器版 *** 作系统的话,一定要先从活动目录开始,这样你才会领略到Windows2000的精髓。
微软在Windows NT Server 40中就已经贯彻了目录服务的思想。NT的"域(domain )"的概念是目录服务的一个基本单元。"一次登录,Single Logon"在Windows NT Server 的环境下有了具体的应用,比如Internet Information Server、Exchange Serv er、SQL Server等都可以与Windows NT Server的账号验证集成起来,用户一次登录就可以获得Web、Email和数据库等多种多样的网络服务。 Windows 2000 Server在Windows NT Server 40的基础上,进一步发展了"活动目录(Active Directory)"。活动目录充分体现了微软产品的"ICE",即集成性(Inte gration),深入性(Comprehensive),和易用性(Ease of Use)等优点。活动目录是一个完全可扩展,可伸缩的目录服务,既能满足商业ISP的需要,又能满足企业内部网和外联网的需要。
1 LDAP入门
11 定义
LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写,LDAP标准实际上是在X500标准基础上产生的一个简化版本。
12 目录结构
LDAP也可以说成是一种数据库,也有client端和server端。server端是用来存放数据,client端用于 *** 作增删改查等 *** 作,通常说的LDAP是指运行这个数据库的服务器。只不过,LDAP数据库结构为树结构,数据存储在叶子节点上。
因此,在LDAP中,位置可以描述如下
因此,苹果redApple的位置为
dn标识一条记录,描述了数据的详细路径。因此,LDAP树形数据库如下
因此,LDAP树形结构在存储大量数据时,查询效率更高,实现迅速查找,可以应用于域验证等。
13 命名格式
LDAP协议中采用的命名格式常用的有如下两种:LDAP URL 和X500。
任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP协议访问活动目录,LDAP名不像普通的Internet URL名字那么直观,但是LDAP名往往隐藏在应用系统的内部,最终用户很少直接使用LDAP 名。LDAP 名使用X500 命名规 范,也称为属性化命名法,包括活动目录服务所在的服务器以及对象的属性信息。
2 AD入门
21 AD定义
AD是Active Directory的缩写,AD是LDAP的一个应用实例,而不应该是LDAP本身。比如:windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题,只是AD顺便还提供了用户接口,也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库,微软自己在库中建立了几个表,每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的,而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口,用户可以利用这些接口写程序 *** 作LDAP,使得ActiveDirectory也成了一个LDAP服务器。
22 作用
221 用户服务
管理用户的域账号、用户信息、企业通信录(与电子邮箱系统集成)、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机,服务器等。
222 计算机管理
管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。
223 资源管理
管理打印机、文件共享服务、网络资源等实施组策略。
224 应用系统的支持
对于电子邮件(Exchange)、在线及时通讯(Lync)、企业信息管理(SharePoint)、微软CRM&ERP等业务系统提供数据认证(身份认证、数据集成、组织规则等)。这里不单是微软产品的集成,其它的业务系统根据公用接口的方式一样可以嵌入进来。
225 客户端桌面管理
系统管理员可以集中的配置各种桌面配置策略,如:用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。
23 AD域结构常用对象
231 域(Domain)
域是AD的根,是AD的管理单位。域中包含着大量的域对象,如:组织单位(Organizational Unit),组(Group),用户(User),计算机(Computer),联系人(Contact),打印机,安全策略等。
可简单理解为:公司总部。
232 组织单位(Organization Unit)
组织单位简称为OU是一个容器对象,可以把域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位可以包含下列类型的对象:用户,计算机,工作组,打印机,安全策略,其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。
可以简单理解为:分公司。
233 群组(Group)
群组是一批具有相同管理任务的用户账户,计算机账户或者其他域对象的一个集合。例如公司的开发组,产品组,运维组等等。可以简单理解为分公司的某事业部。
群组类型分为两类:
234 用户(User)
AD中域用户是最小的管理单位,域用户最容易管理又最难管理,如果赋予域用户的权限过大,将带来安全隐患,如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。
域用户的类型,域中常见用户类型分为:
一个大致的AD如下所示:
总之:Active Directory =LDAP服务器 LDAP应用(Windows域控)。ActiveDirectory先实现一个LDAP服务器,然后自己先用这个LDAP服务器实现了自己的一个具体应用(域控)。
3 使用LDAP *** 作AD域
特别注意:Java *** 作查询域用户信息获取到的数据和域管理员在电脑上 *** 作查询的数据可能会存在差异(同一个意思的表示字段,两者可能不同)。
连接ad域有两个地址:ldap://XXXXXcom:389 和 ldap://XXXXXcom:636(SSL)。
端口389用于一般的连接,例如登录,查询等非密码 *** 作,端口636安全性较高,用户密码相关 *** 作,例如修改密码等。
域控可能有多台服务器,之间数据同步不及时,可能会导致已经修改的数据被覆盖掉,这个要么域控缩短同步的时间差,要么同时修改每一台服务器的数据。
31 389登录
32 636登录验证(需要导入证书)
33 查询域用户信息
34 重置用户密码
35 域账号解锁
总结
1 首先,CA服务器会收集申请者的证书申请信息,包括申请者的域名、公司名称、联系人信息等;2 然后,CA服务器会根据申请者提供的信息,生成一个公钥和私钥,并将公钥和私钥封装成一个证书;
3 接着,CA服务器会使用自己的私钥对证书进行签名,以确认证书的真实性;
4 最后,CA服务器会将签首先要确认你想更改的是域安全策略还是域策略,如果是域安全策略的话就是在管理工具当中选取就可以了,如果是域策略就是在AD用户与计算机这里,右击域的属性会出现组策略选项,上面的就是默认的域策略了,如果提示没权限打开的话可能楼主域共享卷出现问题,请检查默认的域共享卷然后再运行dcgpofix这个命令重建组策略,希望我的回答对你有帮助。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)