微軟活動目錄基礎漫談

原文位址：http://os.51cto.com/art/201004/194688.htm

  了解“目錄”，可以從我們常見的Windows下“檔案夾”入手。那個時候的  “檔案夾”僅代表一個檔案存在磁盤上的位置和層次關系，一個檔案生成之後相對來說這個檔案的所在目錄也就固定了，也就是說它的屬性也就相對固定了，是靜态 的。這個目錄所能代表的僅是這個目錄下所有檔案的存放位置和所有檔案總的大小，并不能得出其它有關資訊，這樣就影響到了整體使用目錄的效率，也就是影響了 系統的整體效率，使系統的整個管理變得複雜。因為沒有互相關聯，是以在不同應用程式中同一對象要進行多次配置，管理起來相當繁鎖，影響了系統資源的使用效 率。

  為了改變這種效率低下的關系和加強與Internet上有關協定的關聯，Microsoft公司決定引入活動目錄的概念。活動目錄的關鍵就在于“活 動”兩個字，這個目錄是活動的，是以它是動态的，它是一種包含服務功能的目錄，它可以做到“由此及彼”的聯想、映射，如找到了一個使用者名，就可聯想到它的 賬号、出生資訊、E-mail、電話等所有基本資訊，雖然組成這些資訊的檔案可能不在一塊。同時不同應用程式之間還可以對這些資訊進行共享，減少了系統開 發資源的浪費，提高了系統資源的利用效率。

  活動目錄包括兩個方面：目錄和與目錄相關的服務。目錄是存儲各種對象的一個實體上的容器，從靜态的角度來了解這活動目錄與我們以前所結識的“目錄” 和“檔案夾”沒有本質差別，僅僅是一個對象，是一實體；而目錄服務是使目錄中所有資訊和資源發揮作用的服務，活動目錄是一個分布式的目錄服務，資訊可以分 散在多台不同的計算機上，保證使用者能夠快速通路，因為多台機上有相同的資訊，是以在資訊容氏方面具有很強的控制能力，正因如此，不管使用者從何處通路或資訊 處在何處，都對使用者提供統一的視圖。

  了解活動目錄，還必須把握如下基礎概念：

  1、名字空間

從本質上講，活動目錄就是一個名字空間，我們可以把名字空間了解為任何給定名字的解析邊界，這個邊界就是指這個名字所能提供或關聯、映射的所有資訊 範圍。通俗地說就是我們在伺服器上通過查找一個對象可以查到的所有關聯資訊總和，如一個使用者，如果我們在伺服器已給這個使用者定義了如：使用者名、使用者密碼、 工作機關、聯系電話、家庭住址等，那上面所說的總和廣義上了解就是“使用者”這個名字的名字空間，因為我們隻輸入一個使用者名即可找到上面我所列的一切資訊。 名字解析是把一個名字翻譯成該名字所代表的對象或者資訊的處理過程。舉例來說，在一個電話目錄形成一個名字空間中，我們可以從每一個電話戶頭的名字可以被 解析到相應的電話号碼，而不是象現在一樣名字是名字，号碼歸号碼，根本不能橫向聯系。Windows  作業系統的檔案系統也形成了一個名字空間，每一個檔案名都可以被解析到檔案本身（包含它應有的所有資訊）。

  2、對象

對象是活動目錄中的資訊實體，也即我們通常所見的“屬性”，但它是一組屬性的集合，往往代表了有形的實體，比如使用者賬戶、 檔案名等。對象通過屬性描述它的基本特征，比如，一個使用者賬号的屬性中可能包括使用者姓名、 電話号碼、 電子郵件位址和家庭住址等。

  3、容器

容器是活動目錄名字空間的一部分，與目錄對象一樣，它也有屬性，但與目錄對象不同的是，它不代表有形的實體，而是代表存放對象的空間，因為它僅代表 存放一個對象的空間，是以它比名字空間小。比如一個使用者，它是一個對象，但這個對象的容器就僅限于從這個對象本身所能提供的資訊空間，如它僅能提供使用者 名、使用者密碼。其它的如：工作機關、聯系電話、家庭住址等就不屬于這個對象的容器範圍了。

  4、目錄樹

在任何一個名字空間中，目錄樹是指由容器和對象構成的層次結構。樹的葉子、節點往往是對象，樹的非葉子節點是容器。目錄樹表達了對象的連接配接方式，也 顯示了從一個對象到另一個對象的路徑。在活動目錄中，目錄樹是基本的結構，從每一個容器作為起點，層層深入，  都可以構成一棵子樹。一個簡單的目錄可以構成一棵樹，一個計算機網絡或者一個域也可以構成一棵樹。

  5、域

域是WIN2K網絡系統的安全性邊界。我們知道一個計算機網最基本的單元就是“域”，這一點不是WIN2K所獨有的，但活動目錄可以貫穿一個或多個 域。在獨立的計算機上，域即指計算機本身，一個域可以分布在多個實體位置上，同時一個實體位置又可以劃分不同網段為不同的域，每個域都有自己的安全政策以 及它與其他域的信任關系。當多個域通過信任關系連接配接起來之後，活動目錄可以被多個信任域域共享。

  6、組織單元

包含在域中特别有用的目錄對象類型就是組織單元。組織單元是可将使用者、組、計算機和其他單元放入活動目錄的容器中，組織單元不能包括來自其他域的對 象。組織單元是可以指派組政策設定或委派管理權限的最小作用機關。使用組織單元，您可在組織單元中代表邏輯層次結構的域中建立容器，這樣您就可以根據您的 組織模型管理帳戶、資源的配置和使用，可使用組織單元建立可縮放到任意規模的管理模型。可授予使用者對域中所有組織單元或對單個組織單元的管理權限，組織單 元的管理者不需要具有域中任何其他組織單元的管理權。

  7、域樹

域樹由多個域組成，這些域共享同一表結構和配置，形成一個連續的名字空間。樹中的域通過信任關系連接配接起來，活動目錄包含一個或多個域樹。域樹中的域 層次越深級别越低，一個“.”代表一個層次，如域child.Microsoft.com 就比  Microsoft.com這個域級别低，因為它有兩個層次關系，而Microsoft.com隻有一個層次。而域 Grandchild.Child.Microsoft.com雙比 Child.Microsoft.com級别低，道理一樣。

域樹中的域是通過雙向可傳遞信任關系連接配接在一起。由于這些信任關系是雙向的而且是可傳遞的，是以在域樹或樹林中新建立的域可以立即與域樹或樹林中每 個其他的域建立信任關系。這些信任關系允許單一登入過程，在域樹或樹林中的所有域上對使用者進行身份驗證，但這不一定意味着經過身份驗證的使用者在域樹的所有 域中都擁有相同的權利和權限。因為域是安全界限，是以必須在每個域的基礎上為使用者指派相應的權利和權限。

  8、域林

域林是指由一個或多個沒有形成連續名字空間的域樹組成，它與上面所講的域樹最明顯的差別就在于這些域樹之間沒有形成連續的名字空間，而域樹則是由一 些具有連續名字空間的域組成。但域林中的所有域樹仍共享同一個表結構、配置和全局目錄。域林中的所有域樹通過Kerberos信任關系建立起來，是以每個 域樹都知道Kerberos信任關系，不同域樹可以交叉引用其他域樹中的對象。域林都有根域，域林的根域是域林中建立的第一個域，域林中所有域樹的根域與 域林的根域建立可傳遞的信任關系。