Win2000基礎教程之活動目錄的三種特性
活動目錄作為一個全新的綜合服務方式是在Windows 2000的誕生后隨之而來的。活動目錄的身影似乎在整個Windows 2000系統中無處不在。
Windows 2000 Server活動目錄是一個完全可擴展、可伸縮的目錄服務,既能滿足商業ISP的需要,又能滿足企業內部網和外聯網的需要,充分體現了微軟產品集成性、深入性和易用性等優點。
集成性
Windows 2000活動目錄的繼承性主要是指它結合了三個方面的管理內容:用戶和資源管理、基于目錄的網絡服務和基于網絡的應用管理。另外,Windows 2000活動目錄還廣泛地采納了Internet標準,把眾多的Internet服務都集成在一起,增強自身網絡管理功能。
目錄管理的基本對象是用戶和計算機,還包括文件、打印機等資源。用戶對象的屬性非常豐富,不但有常見的賬號名、口令等,還包括郵件信箱和個人主頁地址、在公司中的職位關系等,可以在活動目錄中給用戶對象發送郵件和訪問其個人主頁等。在活動目錄中,支持
全局性的查找,比如查找在整個網絡中的雙面打印的彩色打印機等。
基于活動目錄的應用服務是Windows 2000平臺上的新一代的應用程序,它使應用開發員可以擴展活動目錄的Schema 和UI兩個對象,通過ADSI/ADO編程在活動目錄中發布服務綁定信息,通過組策略配置應用程序。比較典型的基于目錄的應用的例子是NetMeeting。在活動
目錄的環境中,你只要在NetMeeting中敲入同事的E-mail別名,就可以通過活動目錄中的定位服務,與其進行對話和桌面協作等,非常方便。
活動目錄完全采用了Internet標準協議,甚至連用戶帳號都可以用“用戶名@域名”來表征,進行網絡登錄。單個域目錄樹中的所有域共享一個等級命名結構。一個子域的域名就是將該子域的名稱添加到父域的名稱中。例如,headquarters.mycompany.com 是mycompany.com 域的子域。共享公用根域的域被認為共享鄰近的名稱空間。
目錄樹中的域通過雙向、傳遞的委托關系聯接在一起。由于這些委托關系是雙向和傳遞的,因此加入目錄樹的域會立即與目錄樹中的每個域建立委托關系。這些委托關系允許單個用戶登錄以驗證用戶并授權驗證用戶訪問整個網絡。這使得目錄樹中所有其他域中具有適當憑據的用戶和計算機可以使用目錄樹所有域中的所有對象。例如,你的公司兼并了一家其他的公司,你的域樹可以和它們的域樹othercom.com建立起整個的域林來。整個域林的所有對象,只要安全性管理許可,都可以用LDAP協議訪問到。
域名服務(domain name service, DNS)在此充當了名字解析的功能,建議用戶使用與活動目錄集成的DNS務器,來保證動態更新域名和更好的復制能力。在當今的Internet時代,Windows 2000活動目錄這種基于Internet標準的做法,給用戶帶來了眾多的益處。
另外,活動目錄集成了關鍵服務,如DNS、MSMQ(消息隊列服務);集成了關鍵應用,如電子郵件、網管、ERP等;集成了關鍵數據訪問,如ADSI、OLE DB等;還集成了關鍵的安全性,如Kerberos第五版本和公開密鑰基礎設施等。
深入性
Windows 2000活動目錄的深入性主要體現在其企業級的可伸縮性、安全性、互操作性、編程能力和升級能力上。Windows 2000活動目錄允許用戶組建單域來管理少量的網絡對象,也允許用戶通過域目錄管理成萬上億個對象。活動目錄的伸縮性是通過為每個域創建一個目
錄存儲的方法來獲得的。在一個域目錄存儲中僅僅包括了這個域中的所有對象。但是,當域樹建立起來之后,每個域都有能力搜索整個域樹中所有的目錄存儲。這種劃分整個域樹的方法,使用戶查找所需要的信息變得更加方便、快速。
活動目錄的域樹和域森林的組建方法,可幫助用戶使用容器層次來模擬一個企業的組織結構。組織中的不同部門可以成為不同的域,或者一個域中有層次結構的組織單元,從而采用層次化的命名方法來反映組織結構和進行管理授權。順著組織結構進行顆粒化的管理授權
可以解決很多管理上的頭疼問題,在加強中央管理的同時,又不失機動靈活性。用戶可以將Windows NT 4.0中的很多域都轉換成活動目錄的組織單元,建立起更大的域和更簡化的域關系。另外,借助全局目錄(Global Catalog),用戶和管理員仍然能夠迅速地找到對象和管理對象。由于有一系列的工具可以幫助NT 4.0 的用戶遷移到Windows 2000 的目錄環境中,Windows 2000可以在現存的Windows NT 4.0的環境中工作,保護現有的投資。
Windows 2000活動目錄和其安全性服務(如Kerberos,PKI和智能卡等)緊密結合,相輔相成,共同完成安全任務和協同管理。活動目錄存儲了域安全政策的信息,例如域用戶口令的限制政策和系統訪問權限等,實施了基于對象的安全模型和訪問控制機制。在活動目錄中的每個對象都有一個獨有的安全性描述,定義了瀏覽或更新對象屬性所需要的訪問權限。不過,當LDAP客戶端訪問域時,不是由活動目錄決定訪問控制,而是由系統來實施訪問安全控制。
易用性
Windows 2000活動目錄主要體現在其簡易的安裝和管理上。先說一下活動目錄的安裝。在安裝Windows 2000 Server活動目錄時,第一個域服務器都配置域控制器,而其他所有新安裝的計算機都是安裝成為成員服務器,并且目錄服務可以事后用Dcpromo的命令進行特別安裝。而不用像在安裝Windows NT 4.0那樣,一開始就要定終身:是域控制器還是成員服務器,兩者之間不可轉換,且目錄服務不可以卸載。Dcpromo是一個圖形化的向導程序,引導用戶一步一步地建立域控制器,可以新建一個域森林,一棵域樹,或者僅僅是域控制器的另一個備份,非常方便。很多其他的網絡服務,比如DNS Server、DHCP Server和Certificate Server等,都可以在以后與活動目錄集成安裝,便于實施策略管理等。
在活動目錄安裝之后,主要有三個活動目錄的管理界面(MMC),一個是活動目錄用戶和計算機管理,主要用于實施對域的用戶和計算機進行管理;一個是活動目錄的域和域信任關系的管理,主要用于管理多域的委托和信任關系;還有一個是活動目錄的站點管理,可以
把域控制器置于不同的站點進行管理。一般情況下,一個站點內的域控制器之間的復制是自動進行的;站點間的域控制器之間的復制需要管理員設定,以優化復制流量,提高可伸縮性。
對于SDOU,管理員還可以方便地進行管理授權。右擊SDOU就可以啟動”管理授權向導”,一步一步地設定哪些管理員對于哪些對象有什么樣的管理權限。比如說企業內部技術支持中心的管理員,只有復位用戶口令的權限,沒有創建和刪除用戶賬號的權限。
另外,活動目錄還充分地考慮到了備份和恢復目錄服務的需要。Windows 2000備份工具中有專門備份活動目錄的選項,在出現意外事故的時候,可以在機器啟動時按F8進入安全模式,來進行目錄服務的恢復,保證減少災難的惡性影響。
通過本文對Win2000活動目錄的三種特性的介紹能讓讀者對活動目錄的相關信息更加明了,希望能對讀者有所幫助。
【編輯推薦】
