Get documents about "win2003 topic03
Document Sample
Windows Server 2003
Active Directory 新功能
主 講 人:吳翠鳳
職 稱:系統產品部技術主任暨資深講師
公司名稱:精誠公司恆逸資訊教育訓練中心
認 證:MCT、MCSE、MCSA 、MCP
MCP + I、TCSE
Windows Server 2003 Active Directory 新功能
本課程假設您…
已具備以下基本技術與知識:
支援與管理 Windows 2000 伺服器的經驗
熟悉 Windows 2000 使用者操作介面
管理微軟Windows 2000 Active Directory
網域環境的經驗
Windows Server 2003 Active Directory 新功能
課 題 大 綱
AD 整合性與生產力的提昇
AD 的功能等級
目錄資料處理技術的改善
目錄資料維護及改造能力的加強
群組原則的管理加強
Windows Server 2003 Active Directory 新功能
課 題 大 綱
AD 整合性與生產力的提昇
AD 的功能等級
目錄資料處理技術的改善
目錄資料維護及改造能力的加強
群組原則的管理加強
Windows Server 2003 Active Directory 新功能
AD 整合性與生產力的提昇
管理者工作流程改進
支援對 AD 物件直接拖曳搬移
在 AD 中對物件可做多重選擇, 並支援同時
修改多個 AD 物件的內容(群組隸屬、物件
屬性設定、物件搬移、停用 / 啟用帳戶)
Windows Server 2003 Active Directory 新功能
AD 整合性與生產力的提昇
物件搜尋效率的加強
可將 AD 的搜尋範圍縮小到特定的組織單位
(OU),促使在目錄服務架構中更有效率
的尋找到物件
支援儲存及重複使用查詢的能力,增加網管
人員管理效能
Windows Server 2003 Active Directory 新功能
AD 整合性與生產力的提昇
目錄服務命令列工具
適用大量批次作業、低頻寬作業或排程作業
DSADD :新增 DSGET :顯示
DSMOD :修改 DSMOVE :移動
DSRM :刪除 DSQUERY:查詢
Windows Server 2003 Active Directory 新功能
AD 整合性與生產力的提昇
目錄服務命令列工具範例
dsquery user domainroot -inactive 3 | dsmod user
-disable yes
(停用網域中已三個禮拜未使用的帳號)
dsquery user forestroot | dsmod user -pwd “”
-mustchpwd yes
(要求整個樹系中的所有使用者於下次登入時皆需更
改密碼)
dsget user “cn=Linda Wu,ou=資訊部, dc=ucom,
dc=corp” -memberof -expand
(以遞迴方式列出使用者 Linda Wu 所屬的群組清
單)
Windows Server 2003 Active Directory 新功能
AD 整合性與生產力的提昇
AD 物件的存取控制清單(ACL) 可
還原重設為預設值及有效權限的檢視
Windows Server 2003 Active Directory 新功能
AD 整合性與生產力的提昇
「設定您的伺服器」精靈的改良
讓您達成 Single Sign On 的美夢
Windows Server 2003 Active Directory 新功能
課 題 大 綱
AD 整合性與生產力的提昇
AD 的功能等級
目錄資料處理技術的改善
目錄資料維護及改造能力的加強
群組原則的管理加強
Windows Server 2003 Active Directory 新功能
AD 的功能等級
(Function Level)
即 AD 的版本編號,用來決定啟動那些新功能
網域功能等級
Windows Server 2003 Interim
Windows 2000 Mix Mode
Windows 2000 Native Mode
Windows Server 2003
樹系功能等級
Windows Server 2003 Interim
Windows 2000
Windows Server 2003
Windows Server 2003 Active Directory 新功能
AD 的功能等級
用來控制不同版本目錄服務的相容性
提供向前相容的能力
啟動新功能的操作環境
等級只能增加,不可降低
升級後舊版 DC 將無法正常運作且不再允許
加入
可視為 Windows 2000 純粹模式的延伸
Windows Server 2003 Active Directory 新功能
AD 網域功能等級
Windows
Windows Windows
Server Windows
網域功能等級 2000 2000
2003 Server 2003
Mix Mode Native Mode
Interim
NT 4.0
NT 4.0 2000
支援的網域控制站 2000 2003
2003 2003
2003
從媒體備份安裝 DC V V V V
Universal 群組快取 V V V V
Universal 群組 V V
巢狀群組 V V
轉換群組 V V
SID 歷程記錄 V V
網域控制站重新命名 V
更新登入時間戳記 V
InetOrgPerson
V
物件上的使用者密碼
Windows Server 2003 Active Directory 新功能
AD 樹系功能等級
Windows Server Windows
樹系功能等級 Windows 2000
2003 Interim Server 2003
Windows 2000
Windows Server
Mix Mode
2003 Interim
Windows 2000
支援的網域功能等級 Windows Server 2003
Native Mode
Windows Server
Windows
2003
Server 2003
通用類別目錄
V
複寫的改進功能
解除架構物件的功能 V
樹系間的信任 V
連結值複寫 V
網域重新命名 V
強化的 Active
V
Directory 複寫演算法
動態輔助類別 V
InetOrgPerson
V
objectClass 變更
Windows Server 2003 Active Directory 新功能
AD 功能等級升級工具
Windows Server 2003 功能等級升級工具
網域功能等級 - Active Directory 使用者及電腦
Active Directory 網域及信任
樹系功能等級 - Active Directory 網域及信任
Windows Server 2003 Active Directory 新功能
課 題 大 綱
AD 整合性與生產力的提昇
AD 的功能等級
目錄資料處理技術的改善
目錄資料維護及改造能力的加強
群組原則的管理加強
Windows Server 2003 Active Directory 新功能
目錄資料處理技術的改善
從備份媒體安裝網域控制站
GC 角色扮演的改善
複寫技術及模式的改良
應用程式目錄分割區
Windows Server 2003 Active Directory 新功能
目錄資料處理技術的改善
從備份媒體安裝網域控制站
GC 角色扮演的改善
複寫技術及模式的改良
應用程式目錄分割區
Windows Server 2003 Active Directory 新功能
安裝 W2K 網域控制站的方式
在 W2K 網域環境中建立其他 DC 時,
只能將整個目錄資料庫透過網路複寫到
新的 DC 資料庫
如果網路頻寬較低或目錄資料庫較大,這項
複寫需要數小時或數天才能完成
DC Target
Computer
Windows Server 2003 Active Directory 新功能
安裝 W2K 網域控制站
一般建議的方式
台北
DC DC DC
DC DC
東京 128k 紐約
Windows Server 2003 Active Directory 新功能
W2K3 安裝網域控制站的改良
從備份媒體安裝網域控制站
C:\NTDSRestore
DCPROMO /ADV
DC
C:\NTDSRestore
將備份資料還
原到其它位置
備份系統狀態資料
將備份資料存放到:
Tape
Target
CDROM
Server
DVD
File System
Windows Server 2003 Active Directory 新功能
目錄資料處理技術的改善
從備份媒體安裝網域控制站
GC 角色扮演的改善
GC 扮演的角色
GC-less 登入
複寫技術及模式的改良
應用程式目錄分割區
Windows Server 2003 Active Directory 新功能
GC 扮演的角色
Domain
使用者名稱: linda
密碼: password
網域: ucom.corp Domain
Domain Domain
ucom.corp Domain
存取權杖
(Access Token) 查詢使用者
所屬萬用群組
Global Catalog
Windows Server 2003 Active Directory 新功能
GC-less 登入
使用者第一次登入
時,將會 cache 相
關的全域群組資料
DC GC
預設每隔 8 小時
會更新一次資料
Windows Server 2003 Active Directory 新功能
目錄資料處理技術的改善
從備份媒體安裝網域控制站
GC 角色扮演的改善
複寫技術及模式的改良
應用程式目錄分割區
Windows Server 2003 Active Directory 新功能
複寫技術及模式的改良
改善的站台間的複寫拓樸的自動產生機制
在原始模式下,ISTG (Inter-Site Topology
Generator) 使用改良過的演算法,讓站台的複
寫拓樸擴展更高
在不同 AD 站台間停用目錄複製的壓縮功能
依照企業需求在快速連結的站台間停用目錄複
製壓縮功能。
可大量降低網域控制站對於CPU 的消耗,提升
整體效能、增加網域控制站的可用性。
Windows Server 2003 Active Directory 新功能
複寫技術及模式的改良
群組的成員關係複寫的加強
在原始模式下只複寫有變動部分的成員資料,
而非整個群組之成員資料
群組成員數量不再有 5,000 的限制
GC 的資料複寫改善
加入新的 GC 就需要完整的資料複寫
目前只複寫新增的屬性資料
安裝會加入新的物件屬性 - 造
Exchange
成複寫資料大增
Windows Server 2003 Active Directory 新功能
目錄資料處理技術的改善
從備份媒體安裝網域控制站
GC 角色扮演的改善
複寫技術及模式的改良
應用程式目錄分割區
Windows Server 2003 Active Directory 新功能
應用程式目錄分割區
Active Directory
資料庫 定義整個 AD 網域(Forest)
所需的架構元件包含類別及
設定(Schema) 屬性
Forest
包含所有 AD 網域(Forest)
架構 的組態設定
(Configuration)
存放該單一網域下的所有
Domain
網域 AD 物件
(uuu.com.tw)
放置需要藉由 AD 現有複製機制
應用程式 所要複寫應用程式資料
(Application) DNS Zone Data Base
企業自行開發的相關應用程式
Windows Server 2003 Active Directory 新功能
應用程式目錄分割區
樹系
UcomDC.ucom.corp
Schema Schema
Configuration Configuration
Ucom.corp Ucom.corp
Application
TrainDC.training.ucom.corp
Schema
Configuration
Training.ucom.corp App App
Application (Location 2)
Windows Server 2003 Active Directory 新功能
應用程式目錄分割區
工具:NTDSUTIL.exe
Domain Management
Connections
Connect To Server ucomdc.ucom.corp
Quit
Create NC dc=DnsApp ucomdc.ucom.corp
Add NC Replica dc=DnsApp
traindc.training.ucom.corp
Windows Server 2003 Active Directory 新功能
應用程式目錄分割區
樹系
UcomDC.ucom.corp
Schema Schema
Configuration Configuration
Ucom.corp Ucom.corp
Application dc=DnsApp
TrainDC.training.ucom.corp
Schema
Configuration
Training.ucom.corp
Application dc=DnsApp
Windows Server 2003 Active Directory 新功能
AD 中的 DNS 區域複寫範圍
將區域資料複寫到同一
AD樹系中有安裝DNS服
務的網域控制站
ForestDnsZones
將區域資料複寫到同一
AD網域中有安裝DNS服
務的網域控制站
DomainDnsZones
將區域資料複寫到同一
AD網域中的網域控制站
網域分割區
根據指定的應用程式目
錄分割的複寫領域,來
複寫區域資料
應用程式分割區
Windows Server 2003 Active Directory 新功能
課 題 大 綱
AD 整合性與生產力的提昇
AD 的功能等級
最佳化的目錄資料處理技術
目錄資料維護及改造能力的
加強
群組原則的管理加強
Windows Server 2003 Active Directory 新功能
目錄資料的維護及改造
目錄服務還原模式密碼重置
變更網域控制站名稱
變更網域名稱
跨樹系網域信任關係
Windows Server 2003 Active Directory 新功能
目錄資料的維護及改造
目錄服務還原模式密碼重置
變更網域控制站名稱
變更網域名稱
跨樹系網域信任關係
Windows Server 2003 Active Directory 新功能
目錄服務還原模式密碼重置
目錄服務還原模式密碼由各個網域控制站
自行管理
升級網域控制站時決定
用於 AD 資料庫之資料復原
重置步驟(NTDSUTIL.exe)
SetDSRM Password
Reset Password on Server NULL
輸入新密碼
再次輸入新密碼以示確認
Quit
Windows Server 2003 Active Directory 新功能
目錄資料的維護及改造
目錄服務還原模式密碼重置
變更網域控制站名稱
變更網域名稱
跨樹系網域信任關係
Windows Server 2003 Active Directory 新功能
變更網域控制站名稱
當企業想要重新建構網路,使管理工作和系
統管理控制更為簡單
網域控制站新名稱會自動更新至 DNS 和 AD
資料庫中
需求條件
Domain Admins 或 Enterprise Admins 群組
網域功能等級需升為 Windows Server 2003
工具 - NETDOM.exe
需先安裝Windows Support Tools
Windows Server 2003 Active Directory 新功能
變更網域控制站名稱步驟
假設原網域控制的名稱為 DC.UCOM.CORP
欲改為 UCOMDC.UCOM.CORP
NETDOM COMPUTERNAME dc.ucom.corp
/ADD:ucomdc.ucom.corp
NETDOM COMPUTERNAME dc.ucom.corp
/MAKEPRIMARY:ucomdc.ucom.corp
重新開機
NETDOM COMPUTERNAME
ucomdc.ucom.corp /REMOVE dc.ucom.corp
Windows Server 2003 Active Directory 新功能
目錄資料的維護及改造
目錄服務還原模式密碼重置
變更網域控制站名稱
變更網域名稱
跨樹系網域信任關係
Windows Server 2003 Active Directory 新功能
變更網域名稱
當企業要變更已註冊的網域名稱
當企業進行併購或重大改組
需求條件
Enterprise Admins 群組成員
樹系功能等級需升為 Windows Server 2003
網域重新命名工具程式 - Rendom.exe
http://www.microsoft.com/windowsserver
2003/downloads/domainrename.mspx
Windows Server 2003 Active Directory 新功能
網域名稱變更策略
維持現有森林樹系架構,單純式變更網域
名稱
uuu.corp ucom.corp
mkt.uuu.corp hr.uuu.corp edu.uuu.corp mkt.ucom.corp hr.ucom.corp edu.ucom.corp
Windows Server 2003 Active Directory 新功能
網域名稱變更策略
在同一樹系架構下變更網域名稱及網域位置
uuu.corp
uuu.corp
mkt.uuu.corp sales.uuu.corp
product.uuu.corp mkt.uuu.corp sales.uuu.corp
product.mkt.uuu.corp
Windows Server 2003 Active Directory 新功能
網域名稱變更策略
變更網域名稱以建立一個新的樹系根網域
uuu.corp
lbtc..corp
uuu.corp mkt.uuu.corp sales.uuu.corp
product.uuu.corp mkt.uuu.corp sales.uuu.corp
Windows Server 2003 Active Directory 新功能
網域名稱變更策略
變更網域名稱以搬移到另一個樹系網域
uuu.corp
lbtc.corp
mkt.uuu.corp sales.uuu.corp
uuu.corp
lbtc.corp
mkt.uuu.corp
sales.lbtc.corp
Windows Server 2003 Active Directory 新功能
網域名稱變更策略
百日維新第5場
(2005/1/18 ~ 2005/1/21)
Windows Server 2003 樹系
架構重整與網域重新命名程序
Windows Server 2003 Active Directory 新功能
目錄資料的維護及改造
目錄服務還原模式密碼重置
變更網域控制站名稱
變更網域名稱
跨樹系網域信任關係
信任關係觀念回顧
樹系間信任關係演進
Windows Server 2003 Active Directory 新功能
信任關係觀念回顧
資源存取方向
信任方向
信任網域(資源網域) 被信任網域(帳戶網域)
帳戶網域使用者可在所屬網域中的電腦登入且可透過
網路存取資源網域所分享出來的資源
帳戶網域使用者可在資源網域中的電腦登入
資源網域使用者可以列出帳戶網域中使用者、群組及
電腦等資訊,並可將以上物件加入資源網域中的群組
或資源之存取控制清單(ACL)中
Windows Server 2003 Active Directory 新功能
信任關係觀念回顧 - 信任關係方向
單向信任
信任網域(資源網域) 被信任網域(帳戶網域)
雙向信任
信任網域(資源網域) 被信任網域(帳戶網域)
被信任網域(帳戶網域) 信任網域(資源網域)
Windows Server 2003 Active Directory 新功能
信任關係觀念回顧 - 信任遞移性
網域 A 網域 B 網域 C
「網域A」是否信任「網域C」所建立的使用者?
「網域C」的使用者是否可以存取「網域A」的資源?
Windows Server 2003 Active Directory 新功能
Windows 2000 樹系間信任關係
A-B 樹系信任關係
Windows 2000 樹系(Forest)間
不具有遞移性信任關係
Windows Server 2003 Active Directory 新功能
Windows 2000 樹系間信任關係
qqq.corp
yyy.corp
mkt.qqq.corp
sales.yyy.corp
uuu.corp
ooo.corp
mkt.uuu.corp sales.uuu.corp
Windows Server 2003 Active Directory 新功能
Windows 2003 樹系信任關係
A-B 樹系信任關係 B-C 樹系信任關係
Windows Server 2003 樹系所有網域間
具有遞移性信任關係
Windows Server 2003 Active Directory 新功能
Windows 2003 樹系信任關係
qqq.corp
yyy.corp
mkt.qqq.corp
sales.yyy.corp
uuu.corp
ooo.corp
mkt.uuu.corp sales.ooo.corp
Windows Server 2003 Active Directory 新功能
樹系信任關係特色
在 Windows Server 2003 樹系中的伺服器可達到
簡單的資源管理
減少原 Windows 2000 信任關係的複雜、繁瑣(原
Windows 2000 上的 External Trust)
所有樹系間網域均具有遞移性(transitive Trust)的信
任關係
在兩個網域樹系間的所有網域內擁有完整的雙向信
任關係
可使用 username@DomainName 的方式做兩個
網域樹系間的驗證
在兩個網域樹系間建立信任關係時可使用
Kerberos 或 NTLM 驗證
Windows Server 2003 Active Directory 新功能
樹系信任關係使用時機
當企業進行合併或收購
欲保有現有網域架構,不想重新規劃建構企
業網路
不同樹系之間的各網域資源欲達到共享的目
的
商業夥伴間的網域資源存取
Windows Server 2003 Active Directory 新功能
Windows 2003 樹系信任關係
需求條件
Enterprise Admins 群組成員
樹系功能等級需升為 Windows Server
2003
工具
Active Directory 網域及信任
Windows Server 2003 Active Directory 新功能
Windows 2003 樹系信任關係
使用者名稱
BeautyUser
Beauty.corp
使用者名稱
ucom.corp MktUser
使用者名稱
UcomUser
mkt.beauty.corp
使用者名稱
TrainUser
Training.ucom.corp
Windows Server 2003 Active Directory 新功能
Windows 2003 樹系信任關係
使用者名稱
BeautyUser
Beauty.corp
使用者名稱
ucom.corp MktUser
使用者名稱
UcomUser
mkt.beauty.corp
使用者名稱
TrainUser
Training.ucom.corp
Windows Server 2003 Active Directory 新功能
課 題 大 綱
AD 整合性與生產力的提昇
AD 的功能等級
最佳化的目錄資料處理技術
目錄資料維護及改造能力的加強
群組原則的管理加強
Windows Server 2003 Active Directory 新功能
群組原則的管理加強
使用者介面更友善 - 群組原則主控台(GPMC)
群組原則相關的安全管理更加簡單
群組原則的設定可以產生 HTML 的報表
「群組原則結果」與「群組原則模型」 的 HTML
報表
GPOs 的管理工作
群組原則的備份、回復、匯入、複製、報表
Dcgpofix.exe
預設網域原則和網域控制站原則將還原到原始狀態
「群組原則」物件所做的所有變更將會遺失
Windows Server 2003 Active Directory 新功能
群組原則的管理加強
百日維新第12場
(2005/3/15 ~ 2005/3/18)
Windows 2003 群組原則技術探討
Windows Server 2003 Active Directory 新功能
參 考 資 料
Windows Server 2003 電子雜誌
http://www.msservermag.com.tw
Active Directory White Paper
http://www.microsoft.com/taiwan/windowsserver2
003/docs/ADtechover_cht.doc
Windows Server 2003 首頁
http://www.microsoft.com/windowsserver2003/de
fault.mspx
台灣 Windows Server 2003 首頁
http://www.microsoft.com/taiwan/windowsserver2
003/default.mspx
2003 AD 在手
輕輕鬆鬆做網管
