如下图所示,我们选择adtest.com域中的张建国作为权限的授予载体,这时我们要理解域的共享用户账号的含义,在域控制器上为张建国创建了用户账号后,成员服务器分配资源时就可以使用这些用户账号了。
我们把Tools文件夹的读权限授予了张建国。
我们先用域管理员登录访问一下Berlin上的Tools共享文件夹,如下图所示,域管理员没有访问共享文件夹的权限。这个结果和我们的权限分配是一致的,我们只把共享文件夹的权限授予了张建国。
如下图所示,在Perth上以张建国的身份登录。
张建国访问Berlin上的共享文件夹Tools,如下图所示,张建国顺利地访问到了目标资源,我们的资源分配达到了预期的效果。
做完这个实验后,我们应该想一下,为什么张建国在访问共享文件夹时没有被要求身份验证呢?这是个关键问题,答案是这样的。当张建国登录时,输入的用户名和口令将送到域控制器请求验证,域控制器如果认可了张建国输入的用户名和口令,域控制器将为张建国发放一个电子令牌,令牌中描述了张建国隶属于哪些组等信息,令牌就相当于张建国的电子身份证。当张建国访问Berlin上的共享文件夹时,Berlin的守护进程会检查访问者的令牌,然后和被访问资源的访问控制列表进行比较。如果发现两者吻合,例如本例中Berlin上的共享文件夹允
许域中的张建国访问,而访问者的令牌又证明了自己就是域中的张建国,那么访问者就可以透明访问资源,无需进行其他形式的身份验证。 我们可以设想一下基于域的权限分配,每天早晨公司员工上班后,在自己的计算机上输入用户名和口令,然后域控制器验证后发放令牌,员工拿到令牌后就可以透明地访问域中的各种被授权访问的资源,例如共享打印机,共享文件夹,数据库,电子邮箱等。员工除了在登录时要输入一次口令,以后在访问资源时都不需要再输入口令了,这种基于域的资源分配方式是不是非常的高效灵活呢?
但是,我们要考虑一个问题,万一这个域控制器坏了怎么办?!如果这个域控制器损坏了,那用户登录时可就无法获得令牌了,没有了这个令牌,用户就没法向成员服务器证明自己的身份,嘿嘿,那用户还能访问域中的资源吗?结果不言而喻,整个域的资源分配趋于崩溃。这个后果很严重,那我们应该如何预防这种灾难性的后果呢?我们可以考虑对活动目录进行备份以及部署额外域控制器,今天我们先看如何利用对Active Directory的备份来实现域控制器的灾难重建。 如果只有一个域控制器,那么我们可以利用Windows自带的备份工具对Active directory进行完全备份,这样万一这个域控制器有个三长两短,备份可以帮助我们从困境中解脱出来。
在Florence上依次点击 开始-程序-附件-系统工具-备份,如下图所示,出现了备份还原向导,点击下一步继续。
选择备份文件和设置。
不用备份计算机上的所有信息,我们只备份Active Directory,因此我们手工选择要备份的内容。
如下图所示,我们选择备份System State,System State中包含了Active Directory。其实我们只需要System State中的Active Directory,Registry和Sysvol就够了,但备份工具中不允许再进行粒度更细致的划分,因此我们选择备份整个System State。
我们把System State备份在C:\\ADBAK目录下。
点击完成结束备份设置。