译者序 1
前言 1
第一部分 概览 1
第1章 市场概览 1
1.1 Microsoft无处不在 1
1.2 NT与Windows 9x对比 2
1.3 面向高端的Windows 2000 Server 5
1.4 追求新的商业机遇 6
1.4.1 个人数字助理 7
1.4.2 瘦客户 7
1.4.3 集成电视 8
1.5 理解新的Microsoft思想:数字神经系统 8
1.6 一切都导向Windows 2000 Server 10
第2章 Windows 2000概述 11
2.1 Windows 2000是一个庞大的新版本 11
2.1.1 Windows 2000 Server的文件、打印和Web服务 12
2.1.2 Windows 2000 Server的应用程序、基础结构和通信服务 13
2.1.3 Windows 2000 Professional 14
2.1.4 理解Windows 2000 15
2.1.5 第一项革命:活动目录 19
2.1.6 第二项革命:Microsoft管理控制台 21
2.1.7 第三项革命:减轻桌面负担的IntelliMirror和其他技术 23
2.1.8 第四项革命:真正的安全性 26
2.1.9 第五项革命:为公布式未来做准备 26
2.1.10 获得正确的观点 28
第3章 目录服务导论 29
3.1 目录服务由什么组成 29
第二部分 规划 29
3.1.1 为什么需要目录服务 30
3.1.2 X.500是共同的根基 34
3.1.3 了解LDAP 35
3.2 当今的目录服务 37
3.2.1 NDS 38
3.2.2 活动目录 39
3.2.3 逐渐发展的目录服务 40
第4章 理解活动目录 42
4.1 进入活动目录 42
4.2 基本的目录服务定义 43
4.2.1 对象和属性 43
4.2.2 容器 43
4.2.3 树 43
4.2.5 命名上下文和分区 44
4.2.4 名称空间 44
4.2.6 名称 45
4.2.7 名称解析 46
4.3 域:目录的逻辑分区 46
4.3.1 树 47
4.3.2 森林 47
4.4 组织单元--域的逻辑分区 49
4.5 全局编目:活动目录的另一重要特点 49
4.6 域控制器和站点:目录的物理部分 50
4.6.1 域控制器 50
4.6.2 站点 51
4.7 关键的活动目录特性 52
4.7.1 DNS集成 52
4.7.2 Kerberos安全 52
4.7.4 复制 53
4.7.3 访问活动目录 53
4.8 活动目录怎样适应Windows 2000 Server的体系结构 54
4.9 活动目录摘要 57
第5章 活动目录的关键概念 59
5.1 域和组织单元 59
5.1.1 域 59
5.1.2 组织单元 59
5.2 树和森林 60
5.2.1 树 60
5.2.2 森林 61
5.2.3 比较树和森林 62
5.3 把重要块集中在一起 62
5.4.1 动态DNS 66
5.4 DNS和LDAP 66
5.4.2 轻型目录访问协议 67
5.5 全局编目 68
5.6 物理方面:站点和DC 69
5.7 关于复制的讨论 72
5.8 活动目录名称类型和命名规范 74
5.9 活动目录的逻辑结构单元 76
5.10 活动目录安全特征 77
5.10.1 对象保护 77
5.10.2 授权 77
5.10.3 继承 78
5.10.4 信任关系 78
5.11 继续 78
第6章 确定组织的目录设置 81
6.1 有关规划组的几个问题 81
6.2 确定组织的特点 82
6.2.1 确认组织的模型 84
6.2.2 确定组织结构 86
6.2.3 组织的图表 90
6.2.4 确定地理的结构 90
6.2.5 规划组织的变化 91
6.2.6 确定安全需求 92
6.2.7 分析企业网络基础结构 92
6.3 你的需求及原因 96
6.4 继续 96
第7章 决定DNS的结构 98
7.1 活动目录设置中的一个DNS例子 98
7.2 从WINS到DDNS 100
7.2.1 介绍域名系统 101
7.2.2 理解DNS 102
7.2.3 DNS Server 108
7.2.4 标准资源记录格式 111
7.2.5 DNS名称的注册和解析 114
7.3 熟悉DDNS和其他DNS新特征 115
7.3.1 讨论DDNS 117
7.3.2 讨论DNS-NOTIFY 118
7.3.3 讨论增量区域传输 118
7.3.4 讨论SRV RR 118
7.3.5 掌握集成活动目录的DDNS 120
7.3.6 HDCP集成和WINS互操作性 122
7.4 设计DNS 125
7.4.1 选择DNS Server 125
7.4.2 如何选择DNS名 131
7.4.3 聚焦组织的根域 132
7.4.4 在内部和外部根名间选择 134
7.4.5 聚集DNS区域和复制 137
7.4.6 WINS:类似“鸡肋”--几点建议 139
7.5 设计DNS的推荐步骤 140
7.6 开展业务 142
第8章 规划域结构 143
8.1 坚持KISS 143
8.2 建立一个域 145
8.3 OU基本知识 147
8.4 OU概念的总结 148
8.4.1 分配管理权 149
8.4.2 替换资源域 150
8.4.3 应用策略 150
8.5 OU与域 151
8.4.4 对象分组 151
8.6 设计OU结构 153
8.7 典型的OU模型 153
8.7.1 基于地域的OU模型 154
8.7.2 基于部门的OU模型 155
8.7.3 基于业务单元的OU模型 155
8.7.4 基于项目的OU模型 155
8.7.5 基于管理的OU模型 156
8.7.6 基于对象的OU模型 156
8.8 规划OU结构 156
8.8.1 考虑实现哪种OU对象 159
8.8.2 决定OU结构每一层应该是什么样 160
8.8.3 决定OU的命名规范 161
8.8.4 规划委托OU管理权 161
8.9.1 第一层 162
8.9 关于OU设计的一些建议 162
8.9.2 第二层 163
8.9.3 其他层 163
8.10 OU设计的例子 163
8.10.1 一个小组织的例子 163
8.10.2 一个州政府的例子 164
8.10.3 一个国际性企业的例子 165
8.11 最好的实践经验 166
8.12 总结 168
第9章 规划用户和组管理方式 169
9.1 用户账号管理简介 169
9.2 用户账号 174
9.2.1 何时超出域的范围 179
9.2.2 其他用户账号选项 180
9.3 组账号介绍 181
9.3.1 掌握组 183
9.3.2 其他组的新特征 185
9.3.3 组范围概述 186
9.3.4 理解域模式和组 187
9.4 缺省组 187
9.4.1 内置组 188
9.4.2 预定义组 191
9.4.3 理解缺省组 192
9.4.4 特殊组 193
9.4.5 可信任域组 195
9.4.6 用户权限 195
9.5 组策略 199
9.6 最好的实践经验 205
9.7 简述用户和组 206
10.1 管理委托 208
第10章 规划组策略和管理委托 208
10.2 理解组策略 211
10.3 深入探讨组策略 216
10.3.1 软件设置--软件安装 219
10.3.2 Windows设置--安全设置 220
10.3.3 Windows设置--文件夹重定向 222
10.3.4 Windows设置--脚本 222
10.3.5 管理模板 222
10.4 开始做计划 223
10.5 管理范围 224
10.5.1 分层设计与整体设计 224
10.5.2 单一策略类型的设计与多策略类型的设计 225
10.5.3 功能角色与协同设计 226
10.5.5 更实际的问题 229
10.5.4 集中式或分布式控制OU委托 229
10.6 性能优化 232
10.7 管理优化 233
10.8 最好的实践经验 234
10.9 组策略小结 236
第11章 规划域树和森林 237
11.1 使用单个域 237
11.2 介绍域树和森林 238
11.2.1 域树说明 239
11.2.2 森林说明 240
11.3 准备好了么--好了 240
11.4 开始设计域结构 243
11.5 确定组织所需要的域数量 245
11.5.1 设法满足单个域 245
11.5.2 决定添加更多的域 245
11.5.3 安排域树中的域 246
11.5.4 安排森林中的域 247
11.5.5 创建其他森林 248
11.6 定义域名称空间 248
11.6.1 根 249
11.6.2 第一层 249
11.6.3 第二层 250
11.6.4 第三层及其他 251
11.7 域设计举例 252
11.7.1 单个域解决方案 252
11.7.2 域树解决方案 253
11.7.3 森林解决方案 253
11.8 最好的实践经验 254
11.9 总结 255
12.1.1 域控制器 257
12.1 介绍DC、GC和站点 257
第12章 物理结构规划 257
12.1.2 全局编目 258
12.1.3 站点 258
12.2 深入研究复制 260
12.2.1 站点内部复制 261
12.2.2 站点之间复制 261
12.3 如何进行复制 262
12.3.1 确定要复制的改动:更新传播 262
12.3.2 防止不必要的复制:循环传播 265
12.3.3 解决更新冲突:冲突检测 266
12.3.4 多主机复制的一个小例外:FSMO 271
12.3.5 另一个例外:紧急复制触发器 272
12.4 深入研究DC和GC 273
12.4.1 理解DC 274
12.4.2 理解GC 275
12.5.1 站点的定义 278
12.5 深入研究站点 278
12.5.2 站点的含义 280
12.5.3 深入研究站点内部的选项 280
12.5.4 深入研究站点之间的选项 283
12.5.5 选择复制拓扑 287
12.6 不要忽略时间服务 288
12.7 其他复制拓扑:DFS和FRS 291
12.7.1 感受FRS 291
12.7.2 不要忽视DFS特征 295
12.8 如何设计物理属性 298
12.8.1 站点设计简介 298
12.8.4 设立站点结构 299
12.8.2 检查位置 299
12.8.3 确定连通性及可用带宽 299
12.8.5 确定站点属性 301
12.8.6 决定放置DC和GC的地点 303
12.8.7 放置FSMO 304
12.8.8 优化不同场景 305
12.8.9 优化DFS复制拓扑 308
12.8.10 一些例子 309
12.9 最好的实践经验 312
12.10 总结 314
第13章 结果评定 315
13.1 理解目录服务 315
13.2 了解活动目录 317
13.3.1 动态DNS 318
13.3 核心活动目录概念 318
13.3.2 域 319
13.3.3 组织单元 319
13.3.4 域树和森林 321
13.3.5 组 322
13.3.6 域控制器 323
13.3.7 站点 323
13.3.8 全局编目 324
13.4 规划:从误解到清楚 325
13.5 规划活动目录逻辑结构 326
13.6 规划活动目录物理结构 331
13.7 不要忘记安全 333
13.8 总结 334
14.1 安全基础结构的基本原理 337
第14章 高级安全主题 337
第三部分 高级设计专题 337
14.1.1 SSPI 338
14.1.2 CryptoAPI 339
14.2 基本验证系统:Kerberos 342
14.2.1 工作原理 344
14.2.2 Kerberos是如何安全保护本地区域的 345
14.2.3 Kerberos是如何安全保护全局区域的 346
14.2.4 人无完人 348
14.3 两种选择:PKI和智能卡 348
14.3.1 了解公共密钥加密 349
14.3.2 PKI里是什么 350
14.4 网络层安全:IPSEC 353
14.4.1 使用IPSEC 354
14.4.2 IPSEC选项 355
14.5 磁盘层安全:EFS 357
14.4.3 IPSEC内幕 357
14.6 实现安全 360
14.6.1 了解安全配置工具包 360
14.6.2 理解安全模板 362
14.6.3 使用安全模板 362
14.6.4 如何配置和分析安全设置 365
14.7 一种有很少缺陷的真正伟大的解决方案 365
第15章 如何设计Exchange Server 367
15.1 Exchange Server互操作 367
15.1.1 从Windows NT Server移植到Windows 2000 Server 368
15.1.2 保持目录同步 369
15.2 Exchange 2000 Server介绍 382
15.2.1 活动目录的美好前景 382
15.2.3 新增的主要目录对象 384
15.2.2 几点综述 384
15.3 升级到Exchange 2000 Server 385
15.3.1 Exchange 2000 Server设计 386
15.3.2 迁移到Exchange 2000 Server 387
15.4 最好的实践经验 389
15.5 这就是Exchange 391
第16章 如何设计支持活动目录的应用程序 393
16.1 什么是集成 393
16.1.1 服务连接点 394
16.1.2 使用现有目录对象 395
16.1.3 服务主体名 396
16.1.4 单次登录 397
16.1.5 全部或部分目录集成 398
16.2 当前情况 398
16.3 通用集成 400
16.3.1 MMS简介 401
16.3.2 MMS基本原理 402
16.4 这仅仅(希望)是开始 404
第四部分 测试 407
第17章 实现活动目录 407
17.1 安装Windows 2000 Server 407
17.1.1 选择合适的文件系统 409
17.1.2 为活动目录准备服务器 412
17.1.3 安装活动目录DC 416
17.1.4 完成DNS的最后细节工作 425
17.1.5 使用集成活动目录的DNS 429
17.1.6 完成活动目录的最后细节 431
17.1.7 管理活动目录 433
17.2 到目前为止一切顺利 443
18.1 高级选项 444
第18章 高级活动目录实现专题 444
18.2 为管理授权和策略创建OU 445
18.2.1 管理授权 446
18.2.2 组策略 449
18.3 创建站点并定义复制属性 453
18.3.1 创建子网和站点 453
18.3.2 创建复制拓扑结构 455
18.3.3 将DC转换成GC 460
18.4 使用Windows 2000 Server进行灾难预防 460
18.4.1 容错卷 460
18.4.2 备份活动目录 464
18.5 关键域和森林属性的使用 466
18.5.1 改变域运行模式 468
18.5.2 管理UPN 后缀 468
18.5.3 FSMO介绍 469
18.6 主要的活动目录工具 471
18.6.1 ADSI 编辑器 472
18.6.2 CLONEPR 473
18.6.3 DCDIAG 473
18.6.4 DSACLS 473
18.6.5 DSASTAT 473
18.6.6 活动目录管理工具 473
18.6.7 活动目录对象管理器 474
18.6.8 网络连通性测试器 475
18.6.9 Windows 2000域管理器 475
18.6.10 NLTEST 475
18.6.11 NTDSUTIL 476
18.6.12 复制诊断工具 476
18.6.13 活动目录复制监视器 477
18.7 杂货袋 478
18.6.14 安全管理工具 478
第19章 模式管理 480
19.1 模式概览 480
19.2 最重要的活动目录对象类 482
19.2.1 用于选择的大量对象 482
19.2.2 类定义对象 484
19.2.3 属性定义对象 486
19.3 何时修改模式 488
19.3.1 决定如何修改模式 489
19.3.2 如何处理模式修改 489
19.4 修改模式 490
19.4.1 移去安全互锁以修改模式 491
19.4.2 添加类 492
19.4.3 修改类 494
19.4.4 添加属性 495
19.4.5 修改属性 496
19.4.6 对模式添加和修改进行系统检查 500
19.4.7 与修改模式相关的问题 501
19.5 如何进行大量数据输入 503
19.5.1 导出和导入目录信息的命令行工具 503
19.5.2 处理活动目录大量数据的简单方法 504
19.6 最好的实践经验 508
19.7 对模式更新保持冷静 508
第20章 估计活动目录大小的艺术 511
20.1 活动目录技术内幕 511
20.1.1 认识数据表 512
20.1.2 理解数据库的工作原理 513
20.2.2 体验数据库大小 517
20.2.1 自己进行测试以确定数据库大小 517
20.2 活动目录数据库大小估计和优化 517
20.2.3 单一对象加载 518
20.2.4 团体方案加载 521
20.3 活动目录的复制负载 522
20.3.1 站点内DC复制 523
20.3.2 站点内GC复制 525
20.3.3 站点间DC复制 525
20.3.4 站点间GC复制 526
20.4 理解和优化网络行为 527
20.4.1 客户登录情况 527
20.4.2 服务器复制 529
20.4.3 减轻WAN的网络负载 531
20.4.4 注意慢速WAN 535
20.4.5 提高DC/GC的性能:给网络增加更重的负载 536
20.5 最好的实践经验 537
20.6 总结 539
第五部分 适应当前基础结构 541
第21章 使用活动目录实现NT Server 4 541
21.1 设计NT Server 4 解决方案的重要建议 542
21.2 枯燥的TCP/IP细节 543
21.2.1 DHCP、WINS和DNS简介 543
21.2.2 客户机和服务器 545
21.3 选择域模式 548
21.4 关键的组和用户学习课程 549
21.5 Exchange Server 550
21.6 最好的实践经验 551
21.7 总结 551
22.1 纵观升级 553
第22章 迁移到活动目录 553
22.2 预计划:检查当前的NT Server结构 554
22.3 决定如何迁移NT域 555
22.3.1 理解clean-sheet方式 556
22.3.2 理解现场方式 557
22.3.3 单域模式 559
22.3.4 单主控域模式 559
22.3.5 多主控域模式 560
22.3.6 完全信任模式: 562
22.3.7 了解你的工具 563
22.4 制定恢复计划 564
22.5 决定何时迁移到本地模式 566
22.6 迁移及域合并基础 567
22.6.1 关于森林之间的迁移 568
22.6.2 关于森林内部的迁移和域合并 569
22.7 掌握工具 570
22.7.1 Active Directory Migration Tool 571
22.7.2 ClonePrincipal 573
22.7.3 MoveTree 573
22.7.4 NetDom 574
22.7.5 SIDWalker 574
22.8 Clean-sheet方式的迁移 574
22.9 现场方式的升级 575
22.9.1 决定如何形成活动目录域 575
22.9.2 决定如何升级DC 576
22.9.3 域的重建和合并 581
22.10 最好的实践经验 584
22.11实施一个真正的升级 584
第23章 非微软环境的迁移和共存 586
23.1 理解微软集成策略 586
23.2 第一个目标:提供单次登录 588
23.2.1 使用Kerberos协议实现SSO 590
23.2.2 使用公共密钥的SSO 592
23.2.3 通过Host Integration Server 实现SSO 593
23.3 第二个目标:提供更紧密的集成 594
23.4 事件的当前状态 596
23.4.1 Novell NetWare互操作和迁移 596
23.4.2 Unix的互操作和迁移 600
23.4.3 其他流行操作系统的互操作和迁移 605
23.4.4 主机系统互操作性 606
23.5 迄今为止的迁移和共存 608
附录 611
附录A Windows 2000 Server项目实施指南 611
附录B 活动目录设计案例 626
附录C Whistler:Windows的下一个版本 640