一、活動目錄介紹
(一)目錄服務
目錄,是一個資料庫,存貯了網絡資源相關的資訊,包括了資源的位置、管理等資訊。
目錄服務是一種網絡服務,目錄服務标記管理網絡中的所有實體資源(比如計算機、使用者、列印機、檔案、應用等),并且提供了命名、描述、查找、通路以及保護這些實體資訊的一緻的方法,使網絡中的所有使用者和應用都能通路到這些資源。
(二)活動目錄(Active Directory)
活動目錄是Windows 2000完全實作的目錄服務,也是Windows 2000網絡體系的基本結構模型,是Windows 2000網絡作業系統的核心支柱,也是中心管理機構。
Microsoft在Windows 2000中提供的活動目錄是一個全面的目錄服務管理方案,也是一個企業級的目錄服務,具有很好的可伸縮性。活動目錄采用了Internet的标準協定,它與作業系統緊密地內建在一起。活動目錄不僅可以管理基本的網絡資源,比如計算機對象、使用者賬戶、列印機等,它也充分考慮了現代應用的業務需求,為這些應用提供了基本的管理對象模型,比如使用者賬戶對象具有辦公電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎所有的應用可以直接利用系統提供的目錄服務結構,而且活動目錄也具有很好的擴充能力,允許應用程式定制目錄中對象的屬性或者添加新的對象類型。
(三)活動目錄的用處
(四)活動目錄的邏輯結構
活動目錄的邏輯結構非常靈活,它為活動目錄提供了完全的樹狀層次結構視圖,邏輯結構與前面我們讨論過的名字空間有直接的關系。邏輯結構為使用者和管理者查找、定位對象提供了極大的友善。活動目錄中的邏輯單元包括:域、組織單元(Organizational Unit,簡稱OU)、域樹、域森林。
 |
1、域(Domain)
域既是Windows網絡系統的邏輯組織單元,也是Internet的邏輯組織單元,在Windows 2000系統中,域是安全邊界。域管理者隻能管理域的内部,除非其他的域顯式地賦予他管理權限,他才能夠通路或者管理其他的域。每個域都有自己的安全政策,以及它與其他域的安全信任關系。
2、OU(Organizational Unit)
OU是一個容器對象,我們可以把域中的對象組織成邏輯組,是以OU純粹是一個邏輯概念,它可以幫助我們簡化管理工作。OU可以包含各種對象,比如使用者賬戶、使用者組、計算機、列印機,甚至可以包括其他的OU。是以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構,對于一個企業來講,我們可以按部門把所有的使用者和裝置組成一個OU層次結構,也可以按地理位置形成層次結構,還可以按功能和權限分成多個OU層次結構。由于OU層次結構局限于域的内部,是以一個域中的OU層次結構與另一個域中的OU層次結構完全獨立。
 |
3、樹
當多個域通過信任關系連接配接起來之後,所有的域共享公共的表結構(schema) 、配置和全局目錄(global catalog),進而形成域樹。域樹由多個域組成,這些域共享同一個表結構和配置,形成一個連續的名字空間。樹中的域通過信任關系連接配接起來。活動目錄包含一個或多個域樹。
| |
4、森林
域森林是指一個或多個沒有形成連續名字空間的域樹。域林中的所有域樹共享同一個表結構、配置和全局目錄。域林中的所有域樹通過Kerberos信任關系建立起來,是以每個域樹都知道Kerberos信任關系,不同域樹可以交叉引用其他域樹中的對象。
| |
(五)其它
1、域控制器(Domain Controller)
域控制器是指運作Windows 2000 Server版本的伺服器,它儲存了活動目錄資訊的副本。域控制器管理目錄資訊的變化,并把這些變化複制到同一個域中的其他域控制器上。域控制器也負責使用者的登入過程,以及其他與域有關的操作,比如身份認證、目錄資訊查找等。
一個域可以有多個域控制器。規模較小的域可以隻需要兩個域控制器,一個實際使用,另一個用于容錯性檢查;規模較大的域可以使用多個域控制器。
Windows 2000的域結構與Windows NT 4的域結構不同的是,活動目錄中的域控制器沒有主次之分,活動目錄采用了多主機複制方案,每一個域控制器都有一個可寫入的目錄副本。在某一個時刻,不同的域控制器中的目錄資訊可能有所不同,一旦活動目錄中的所有域控制器執行同步操作之後,最新的變化資訊就會一緻。
2、活動目錄與DNS
活動目錄使用域名服務DNS作為它的定位服務,同時也對标準的DNS作了擴充。在活動目錄中使用DNS的最大好處在于,我們可以使Windows 2000域與Internet上的域統一起來,即Windows域名也是DNS域名。
3、Active Directory命名規範
(1)辨識名(distinguished name (DN))
活動目錄中的每一個對象都會有一個唯一的辨識名DN。DN由域名、對象名組成:
DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示使用者對象James Smith在contoso.com域中的Users組織單元中的Teacher單元中.
(2)User Principal Name: 由使用者登入名和域名組成,如 [email protected]
4、域運作模式
(1)混合模式。混合模式的域既可以有Windows 2000的域控制器,也可以有Windows NT 4的域控制器。這是一個過渡模式,利用這種模式,我們可以對現有的系統逐漸更新。但是,在混合模式下,活動目錄中有些功能不能很好地發揮出來。
(2)準模式。活動目錄的标準模式要求所有的域控制器都必須運作Windows 2000。隻有在這個時候,活動目錄的所有功能和特性才能充分展現出來。