从武侠门派的角度去解释域、域树、林的含义(上)
一直以来都想写一些关于活动目录技术的文章,但是一直没有一个好的切入点。有一天在在51CTO 的博客专题中乱转,发现了宋杨的一篇老博文《省钱之道--图解域域树域林根域的含义》看了以后觉得不错。但是也有点想法。我不敢妄自评判文章的好坏,只是想有没有更通俗的解法来描述这些抽象、专业的概念呢?于是想到了我从小很喜欢的武侠小说,突然发现,
原来这些东西就溶于我们的生活之中呀。废话少说,开始正文。 自从WINDOWS 98系统出现之后,WINDOWS 操作系统就不是孤立存在的,可以通过网络联机相互联系。当然,除非你只有一台计算机。默认安装的WINDOWS 操作系统是以工作组模
式运行。当然WINDOWS 联机的模式只有两种:域模式和工作组模式。 一、工作组。 很多专业的描述是工作组模式是由相互独立的计算机组成。他们再网络中的地位平等,各自独立、分散的维护和管理着自身。这个较抽象的描述是可以宏观表述的,看。在武侠世界里就体现着。就是金庸武侠小说中《笑傲江湖》里面五岳剑派。
(图1)
五岳剑派最初是由上图的五个门派组成的。最初的目的是为了团结起来对抗少林,武当,日月神教等大派。五岳剑派由嵩山左冷禅提议组建,最后华山岳不群当上所谓的盟主。实际上这五个门派就组成了一个工作组。
由5台计算机(五个门派)组成的一个工作组
工作组(workgroup)=五岳剑派
为什么是工作组呢?原来虽然这五个门派组成了所谓的五岳剑派,也有了所谓的盟主。但是五岳剑派实际上仍然是各自为政。比如恒山派掌门令狐冲(相当于华山这台机器的本地管理员)恒山派弟子(本地用户)的创建(招弟子)删除(逐出弟子)等问题仍然由令狐冲说的算,根本就不理睬盟主号令。另外恒山弟子(本地用户)也听令狐冲的号令。顶多是由嵩山派弟子来访(相当于来共享一个资源给他们访问)或者华山派被人揍了,请求恒山支援(可以想象成另一种资源的共享方式)。
二、域
什么是域?就是把我们企业IT 环境中的所有资源在逻辑上进行统一集中管理的一种手段。还有什么逻辑组织最小单元呀,什么安全边界了,有点抽象了。好吧,我告诉你,域就是一个门派:就是少林,就是武当,就是明教。(以下所有以明教举例)明教就是宏观存在的逻辑组织,明教教众在明教教主的带领下进行轰轰烈烈的革命。
关于域名和DNS 命令等问题在这里不介绍了,估计比较容易明白。
(图2)
看图2当看到mingjiao.com 这个表示一个单域的时候,你就可以想到明教。
(图3)
请大家认真看图3,我来解释一下这张图。域的实体是由计算机和人员组成的。我们先看几个转化公式.
明教教主=域管理员
明教弟子=域用户
加入域的成员计算机=丁家大院
加入域的成员服务器=明教钱庄
域控制器(DC)=光明顶
在域中要添加用户账户,就是域账户。而这里普通域用户账户就相当于明教弟子。
在域中计算机分别担任三种角色。
第一种,是安装WINDOWS 操作系统的计算机。比如WIN XP和WIN 7。加入域后这种计算机叫成员计算机。在这里我们可以想象明教是一个大派,全国各地都有人有地盘。由于我们是人去操作计算机,所以这里的计算机就可以想象成一个地盘(一个具体的实物,比如房屋)我这里叫做丁家大院。等于丁家大院就是明教的产业了。默认情况下,任何明教弟子(普通域用户)在登录验证后都可以进入丁家大院了。可以在里面休息,下棋等。(访问资源) 不过名教弟子毕竟不是丁家大院的所有者. 所以不可以拆墙, 建楼等行为(相对修改计算机系统) 那么谁是丁家大院的所有者呢? 有两个. 一个就是原丁家大院的主人(本地管理员), 一个就是明教教主(域管理员) 想想都是明教的产业了, 当然是所有者了。当然假如有一天丁家大院不再是明教的产业了. 被变卖了. 这个行为就相当于WINDOWS 计算机退出域. 只有上面的2个所有者有这个能力. 当然明教教主(域管理员) 可以委派一个明教弟子(域用户) 成为丁家大院主人(本地管理员)
第二种, 是安装WINDOWS SERVER 操作系统的计算机. 比如WIN 2003 SERVER 、WIN2008 SERVER 。加入域的这类计算机叫成员服务器。同样,这种机器也相当于明教的一个地盘或者叫产业。与上面相同的是,这个产业也有主人(本地管理员)。明教弟子(域普通用户)也可以进入这个产业(登录到该机器上)但是也有不同的,服务器一般都是提供共享资源应用的服务器。比如做一个文件服务器,一个WEB 服务器。所以这个产业中存放的是域用户的共用资源, 在这里相当于明教的一个钱庄(明教弟子把钱都放在这里,可以存取)
第三种,是安装WINDOWS SERVER 操作系统的计算机安装了AD (活动目录)这时候这台计算机就成了域控制器。活动目录是什么?活动目录就相当于一个数据库,一个明教的账本。这个账本记录了哪些是明教的产业(加入域的计算机)谁是明教弟子(域用户账户)甚至还有 明教钱庄的钱(共享资源)等。所以域控制器就相当于明教之圣地-光明顶。每一个加入明教的弟子(新建用户)每一个归入明教的产业(加入成员计算机)都要到光明顶的账本中登记(记录到活动目录中)不过,光明顶与上面的丁家大院与明教钱庄不同。光明顶不归入明教的产业,也就没有主人(本地账户)其次光明顶是神圣的地方,一般明教弟子是不准进入的(默认域用户无法登陆到域控中)当然,明教教主(域管理员)是可以进去,管理这个账本(活动目录)。也可以修改这个条例(修改默认域控策略)允许指定的明教弟子进入(登陆域控)。
好了,上面的图解释完了,下面解释一个比较重要的问题。域用户登陆域的问题。其实就好比明教弟子要进入自己的地盘一样。首先你是明教弟子(拥有域用户账号),其次你进入的是明教的地盘或叫产业(加入域的计算机)。否则,一个明教弟子跑到少林寺去非要进人家的藏经阁(非明教的产业)不被打出来才怪呢。再者你说你是明教弟子,你就是明教弟子了?别着急,明教有验证的办法。比如明教弟子王小五,要进入丁家大院。(用户王小五,要利用成员计算机登陆到域)首先报告给大院管家(计算机系统)大院管家收到信息后无法验证,这个时候把这个信息飞鸽传书到光明顶(域控制器)光明顶管家(DC 计算机系统)查看账本(活动目录)验证是否存在此人,确认后飞鸽传书一个腰牌给王小五。从此王小五就可以进入到丁家大院了。这个腰牌上面有一个特殊的信息,就是标明了王小五的身份,王小五在丁家大院能干什么不能干什么就靠这个了。当然王小五拿这个腰牌也可以直接在去明教钱庄。拿属于自己的钱(授权访问的资源)如果王小五出了明教的地盘(退出登录,注销等)腰牌自动收回。当然这个过程有一个关键,就是如果丁家大院与光明顶在飞鸽传书的过程中不顺利,比如鸽子没找到路,(相当于成员计算机无法找到域控)要么王小五就不能进丁家大院了。不过俗话说,一回生,二回熟。当王小五第二次进丁家大院的时候,会发生一点点变化。假如还是上面的过程,飞鸽传书换腰牌,但是没成功,但是王小五因为上次进了丁家大院,在六角亭摆了一牌棋自己和自己下,没下完就走了。这次王小五告诉丁家大院管家(计算机系统)他上面在哪牌棋,多少子,棋局如何。。管家一看,对呀。他是明教弟子,进来吧。(这就是利用当域控无法联系,但是用户之前登陆过,利用缓存凭证来登陆)有一个叫王小六的弟子是第一次进丁家大院,那么因为没有留下什么东西,谁也不知道他这鸟是不是明教弟子,自然无法进丁家大院(无法登陆)
额外域控
上面说了,明教弟子进入自己教内的产业或地盘需要通过光明顶(域控制器)中的账本(活动目录) 验证,通过飞鸽传书(域控与用户登陆的机器通信)发腰牌来完成。既然光明顶这么神圣重要,如果哪天六大门派来个围攻光明顶,把光明顶毁了,或者账本遗失了,那么明教的弟子就在也无法光顾自己的地盘了,干脆连谁是自己人都不知道(域控制器挂掉) 于是,明教必须再造一个类似光明顶的地方以备后患,这就诞生了一个新的光明顶---额外域控(我们叫蝴蝶谷吧)
(图1)
蝴蝶谷(额外域控)也有一个和光明顶一样的账本(安装活动目录数据库)里面记录的一模一样。而且两地之间用老鹰来传书(活动目录复制)这样如果在光明顶的账本中记录新收一个明教弟子,每隔一段时间,老鹰就会把这个信息带个蝴蝶谷,蝴蝶谷更新账本,与光明顶账本保持一致。相反也同理。(这就是域控之间多主复制模式)前面没有提到的,这个账本中还有一个地址薄。这个地址薄标明了明教产业的具体地址(DNS 记录)和像光明顶一样的圣域的地址(SRV 记录)。可以想象就是AD 数据库集成了DNS 区域。当然,像丁家大院这样的产业中那里的鸽子也必须知道像光明顶这样的地方具体在哪?(成员计算机DNS 设置必须指示定位域控的DNS 是谁, 由于是AD 数据库集成了DNS 区域, 所以地址就是光明顶的地址)
三、域树
域树实际上描述了至少2个域的一种逻辑管理。从逻辑关系图上看,他们有关联关系。如果有两个域,他们可能是父子域关系.
(图2)
随着明教的势力增大. 明教人数越来越多, 需要一个明确的分工. 现在明教手下一个叫洪水旗的组织诞生了.
明教的洪水旗是明教的一直特别的队伍, 这帮人敢玩命, 不怕死, 爱打仗. 让他们与当今朝廷对抗是再合适不过了. 与之前的明教不同(单域) 明教洪水旗有独立的人事管理制度. 洪水旗的旗主是最高行政长官(子域管理员). 洪水旗有像光明顶一样的圣域(子域控制器) 我们这里编一个名字叫洪湖吧. 洪湖也有一个帐本(子域活动目录) 凡是加入明教洪水旗的产业(成员计算机) 记录到这个帐本中. 凡是加入明教洪水旗的弟子(子域用户) 也记录到这个帐本中.
(图3)
这样洪水旗的弟子进入洪水旗产业的时候需要去洪湖验证拿腰牌. 不过这样一来, 明教原来在光明顶帐本登记的弟子就要明教总教弟子了. 产业叫名教总教产业. 洪水旗弟子不能是总教弟子, 但是由于都是明教弟子. 洪水旗弟子可以进入明教总教的产业, 同理明教弟子也可以进入洪水旗的产业不过他们还是各自组织中的人(这里要通过父子域双向信任关系) 如果没有这个关系, 明教弟子就不能进入洪水旗的产业. 明教教主管理光明顶的帐本, 洪水旗旗主管理洪湖的帐本. 当然洪水旗如果不乖乖听话, 违反了明教的教规明教教主是可以将洪水旗逐出明教的(删除子域). 自然洪水旗旗主是没有权利解散明教的.
四、林
林是由两个命名没有直接关系的域组成的。他们共享一套林架构。
(图5)
上图明教和天鹰教就组成了一个域林结构。话说,明教一个法王白眉鹰王因为前任明教教主死亡,想当教主没成功就自己创立了天鹰教。那时候天鹰教和明教没有半毛钱的关系。后来鹰王的外孙当了明教的教主,鹰王宣布,天鹰教和明教以后是一家子了。这样就成为了一个域林。
我们抛开武侠小说,现假设,在外人眼里,明教天鹰教是一家子。明教和天鹰教成为一家后可以相互去对方的产业。(林信任)但是在明教弟子的眼里,天鹰教就是天鹰教,明教就是明教。明教的账本由明教教主管理。天鹰教的账本,由天鹰教教主管理。当然如果明教教主一不高兴,有将天鹰教逐出明教的权利。
因为写的匆忙,没有认真反复去斟酌,所以写的有限。比如有关,全局编录服务器,5大操控主机、站点等都没有相应的描述。如果有机会,再补充上。再一个水平有限,难免理解有误,欢迎指正。
一、活动目录的由来
谈到活动目录最使人容易想起的就是DOS 下的“目录”、“路径”和Windows9X/ME下“文件夹”,那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系,一个文件生成
之后相对来说这个文件的所在目录也就固定了(当然可以删除、转移等,现在不考虑这些),
也就是说它的属性也就相对固定了,是静态的。这个目录所能代表的仅是这个目录下所有文
件的存放位置和所有文件总的大小,并不能得出其它有关信息,这样就影响到了整体使用目
录的效率,也就是影响了系统的整体效率,使系统的整个管理变得复杂。因为没有相互关联,
所以在不同应用程序中同一对象要进行多次配置,管理起来相当繁锁,影响了系统资源的使
用效率。为了改变这种效率低下的关系和加强与Internet 上有关协议的关联Microsoft 公司
决定在WIN2K 中全面改革,也就是引入活动目录的概念。理解活动目录的关键就在于“活动”
两个字,千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解,那你我理来理去一定
还是不能脱离原来在DOS 下目录或Windows9x 下的文件夹,正因为这个目录是活动的,所
以它是动态的,它是一种包含服务功能的目录,它可以做到“由此及彼”的联想、映射,如找
到了一个用户名,就可联想到它的账号、出生信息、E-mail 、电话等所有基本信息,虽然组
成这些信息的文件可能不在一块。同时不同应用程序之间还可以对这些信息进行共享,减少
了系统开发资源的浪费,提高了系统资源的利用效率。
活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的
容器,从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一实体;而目录服务是使目录中所有信息和资源发挥作用的服务,活动
目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访
问,因为多台机上有相同的信息,所以在信息容氏方面具有很强的控制能力,正因如此,不
管用户从何处访问或信息处在何处,都对用户提供统一的视图。
二、相关名词术语 虽然活动目录中用到的许多技术在其他软件产品中也已经出现过,但作为全面的整体网络
方案还是首次亮相,其中有许多名词或术语或许是闻所未闻的,所以有必要详细了解
一下活动目录的有关名词或术语。 1、名字空间:从本质上讲,活动目录就是一个名字空间,我们可以把名字空间理解为任何
给定名字的解析边界,这个边界就是指这个名字所能提供或关联、映射的所有信息范围。通
俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和,如一个用户,
如果我们在服务器已给这个用户定义了讲如:用户名、用户密码、工作单位、联系电话、家
庭住址等,那上面所说的总和广义上理解就是“用户”这个名字的名字空间,因为我们只输入
一个用户名即可找到上面我所列的一切信息。名字解析是把一个名字翻译成该名字所代表的
对象或者信息的处理过程。举例来说,在一个电话目录形成一个名字空间中,我们可以从每
一个电话户头的名字可以被解析到相应的电话号码,而不是象现在一样名字是名字,号码归
号码,根本不能横向联系。Windows *作系统的文件系统也形成了一个名字空间,每一个文件名都可以被解析到文件本身(包含它应有的所有信息)。 2、对象:对象是活动目录中的信息实体,也即我们通常所见的“属性”,但它是一组属性的集合,往往代表了有形的实体,比如用户账户、文件名等。对象通过属性描述它的基本特征,比如,一个用户账号的属性中可能包括用户姓名、电话号码、电子邮件地址和家庭住址等。
3、容器:容器是活动目录名字空间的一部分,与目录对象一样,它也有属性,但与目录对象不同的是,它不代表有形的实体,而是代表存放对象的空间,因为它仅代表存放一个对象的空间,所以它比名字空间小。比如一个用户,它是一个对象,但这个对象的容器就仅限于从这个对象本身所能提供的信息空间,如它仅能提供用户名、用户密码。其它的如:工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。
4、目录树:在任何一个名字空间中,目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象,树的非叶子节点是容器。目录树表达了对象的连接方式,也显示了从一个对象到另一个对象的路径。在活动目录中,目录树是基本的结构,从每一个容器作为起点,层层深入,都可以构成一棵子树。一个简单的目录可以构成一棵树,一个计算机网络或者一个域也可以构成一棵树。这也很容易理解,我们最初学电脑时不就是在全面理解DOS 下的路径概念基础之上开始的吗,其实这“目录树”也就是一种“路径关系”,如果你理解了DOS 下的“路径”相信理解这“目录树”是没什么问题的! 5、域:域是WIN2K 网络系统的安全性边界。我们知道一个计算机网最基本的单元就是“域”,这一点不是WIN2K 所独有的,但活动目录可以贯穿一个或多个域。在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后,活动目录可以被多个信任域域共享 6、组织单元:包含在域中特别有用的目录对象类型就是组织单元。组织单元是可将用户、组、计算机和其他单元放入活动目录的容器中,组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单元,您可在组织单元中代表逻辑层次结构的域中创建容器,这样您就可以根据您的组织模型管理帐户、资源的配置和使用,可使用组织单元创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的管理权限,组织单元的管理员不需要具有域中任何其他组织单元的管理权,组织单元有点象我们在NT 时代的工作组,我们从管理权限上来讲可以这么理解。
7、域树:域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别越低,一个“.”代表一个层次,如域child.Microsoft.com 就比 Microsoft.com 这个域级别低,因为它有两个层次关系,而Microsoft.com 只有一个次。而域Grandchild.Child.Microsoft.com 双比 Child.Microsoft.com 级别低,道理一样。域树中的域是通过双向可传递信任关系连接在
一起。由于这些信任关系是双向的而且是可传递的,因此在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一登录过程,在域树或树林中的所有域上对用户进行身份验证,但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限,所以必须在每个域的基础上为用户指派相应的权利和权限。 8、域林:域林是指由一个或多个没有形成连续名字空间的域树组成,它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间,而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来,所以每个域树都知道Kerberos 信任关系,不同域树可以交叉引用其他域树中的对象。域林都有根域,域林的根域是域林中创建的第一个域,域林中所有域树的根域与域林的根域建立可传递的信任关系。 9、站点:站点是指包括活动目录域服务器的一个网络位置,通常是一个或多个通过TCP/IP连接起来的子网。站点内部的子网通过可靠、快速的网络连接起来。站点的划分使得管理员可以很方便地配置活动目录的复杂结构,更好地利用物理网络特性,使网络通信处于最优状态。当用户登录到网络时,活动目录客户机在同一个站点内找到活动目录域服务器,由于同一个站点内的网络通信是可靠、快速和高效的,所以对于用户来说,他可以在最快的时间内登录到网络系中。因为站点是以子网为边界的,所以活动目录在登录时很容易找到用户所在的站点,进而找到活动目录域服务器完成登录工作。
10、域控制器:域控制器是使用活动目录安装向导配置的WIN2K Server 的计算机。活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索,一个域可有一个或多个域控制器。为了获得高可用性和容错能力,使用单个局域网 (LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。
WIN2K Server 域控制器扩展了 WINNT Server 4.0 的域控制器所提供的能力和特性,WIN2K Server 多宿主复制使每个域控制器上的目录数据同步,以确保随着时间的推移这些信息仍能保持一致,也就是说是动态的,这就是活动目录的作用。多宿主复制是 WINNT Server 4.0 中使用的主域控制器和备份域控制器模型的发展,在 WINNT Server 4.0 中只有一个服务器,即主域控制器,拥有该目录的可读写副本。
三、安装活动目录的意义
我们说WIN2K 的成功和创造性之一就是成功的全面引入了活动目录服务,那么到底安装活动目录有什么意义呢?这是我们所有初学WIN2K 的人首要要问的一个问题。因为活动目录并不是WIN2K 系统必需安装的一种服务,要全面理解它又是非常的不容易,那么安装活动目录的意义在哪里呢?它主要体现在以下几个方面:
1、信息的安全性大大增强
安装活动目录后信息的安全性完全与活动目录集成,用户授权管理和目录进入控制已经整合在活动目录当中了(包括用户的访问和登录权限等),而它们都是WIN2K*作系统的关键安全措施。活动目录集中控制用户授权,目录进入控制不只能在每一个目录中的对象上定义,而且还能在每一个对象的每个属性上定义,这一点是以前任何系统所不能达到的,包括WINNT 4.0。除此之外,活动目录还可以提供存储和应用程序作用域的安全策略,提供安全策略的存储和应用范围。安全策略可包含帐户信息,如域范围内的密码限制或对特定域资源的访问权等。所以从一定程序上可以这么说WIN2K 的安全性就是活动目录所体现的安全性,由此可见对于网管来说如何配置好活动目录中对象及属性的安全性是一个网管配置好WIN2K 系统的关键。
2、引入基于策略的管理,使系统的管理更加明朗
活动目录服务包括目录对象数据存储和逻辑分层结构(指上面所讲的目录、目录树、域、域树、域林等所组成的层次结构),作为目录,它存储着分配给特定环境的策略,称为组策略对象。作为逻辑结构,它为策略应用程序提供分层的环境。组策略对象表示了一套商务规则,它包括与要应用的环境有关的设置,组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录,域,或组织单元的组策略对象(GPOs )中。GPOs 设置决定目录对象和域资源的进入权限,什么样的域资源可以被用户使用,以及这些域资源怎样使用等。例如,组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序,当它在服务器上启动时有多少用户可连接至 Server ,以及当用户转移到不同的部门或组时他们可访问什么文件或服务。组策略对象使您可以管理少量的策略而不是大量的用户和计算机。通过活动目录,您可将组策略设置应用于适当的环境中,不管它是您的整个单位还是您单位中的特定部门。 3、具有很强的可扩展性
WIN2K的活动目录具有很强的可扩展性,管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如,在电子商务上你可以给每一个用户对象增加一个购物授权属性,然后存储每一个用户购买权限作为用户帐号的一部分。
4、具有很强的可伸缩性
活动目录可包含在一个或多个域,每个域具有一个或多个域控制器,以便您可以调整目录的规模以满足任何网络的需要。多个域可组成为域树,多个域树又可组成为树林,活动目录也就随着域的伸缩而伸缩,较好地适应了单位网络的变化。目录将其架构和配置信息分发给目录中所有的域控制器,该信息存储在域的第一个域控制器中,并且复制到域中任何其他域控制器。当该目录配置为单个域时,添加域控制器将改变目录的规模,而不影响其他域的管理开销。将域添加到目录使您可以针对不同策略环境划分目录,并调整目录的规模以容纳大量的资源和对象。 5、智能的信息复制能力
信息复制为目录提供了信息可用性、容错、负载平衡和性能优势,活动目录使用多主机复
制,允许您在任何域控制器上而不是单个主域控制器上同步更新目录。多主机模式具有更大容错的优点,因为使用多域控制器,即使任何单独的域控制器停止工作,也可继续复制。由于进行了多主机复制,它们将更新目录的单个副本,在域控制器上创建或修改目录信息后,新创建或更改的信息将发送到域中的所有其他域控制器,所以其目录信息是最新的。域控制器需要最新的目录信息,但是要做到高效率,必须把自身的更新限制在只有新建或更改目录信息的时候,以免在网络高峰期进行同步而影响网络速度。在域控制器之间不加选择地交换目录信息能够迅速搞垮任何网络。通过活动目录就能达到只复制更改的目录信息,而不至于大量增加域控制器的负荷。
6、与 DNS 集成紧密
活动目录使用域名系统 (DNS)来为服务器目录命名,DNS 是将更容易理解的主机名(如 Mike.Mycompany.com )转换为数字 IP 地址的 Internet 标准服务,利于在TCP/IP网络中计算机之间的相互识别和通讯。DNS 的域名基于 DNS 分层命名结构,这是一种倒置的树状结构,单个根域,在它下面可以是父域和子域(分支和叶子)。关于这一点我会在后面以专门的篇章加以详细讲述,在此就仅作简单介绍。
7、与其他目录服务具有互*性 由于活动目录是基于标准的目录访问协议,许多应用程序界面(API )都允许开发者进入这些协议,例如活动目录服务界面(ADSI )、轻型目录访问协议 (LDAP) 第三版和名称服务提供程序接口 (NSPI),因此它可与使用这些协议的其他目录服务相互*作。LDAP 是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议,所以可使用 LDAP 开发程序,与同时支持 LDAP 的其他目录服务共享活动目录信息。活动目录支持 Microsoft Exchange 4.0 和 5.x 客户程序所用的 NSPI 协议,以提供与 Exchange 目录的兼容性。 8、具有灵活的查询
任何用户可使用“开始”菜单、“网上邻居”或“活动目录用户和计算机”上的“搜索”命令,通过对象属性快速查找网络上的对象。如您可通过名字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户,反之亦然。
从武侠门派的角度去解释域、域树、林的含义(上)
一直以来都想写一些关于活动目录技术的文章,但是一直没有一个好的切入点。有一天在在51CTO 的博客专题中乱转,发现了宋杨的一篇老博文《省钱之道--图解域域树域林根域的含义》看了以后觉得不错。但是也有点想法。我不敢妄自评判文章的好坏,只是想有没有更通俗的解法来描述这些抽象、专业的概念呢?于是想到了我从小很喜欢的武侠小说,突然发现,
原来这些东西就溶于我们的生活之中呀。废话少说,开始正文。 自从WINDOWS 98系统出现之后,WINDOWS 操作系统就不是孤立存在的,可以通过网络联机相互联系。当然,除非你只有一台计算机。默认安装的WINDOWS 操作系统是以工作组模
式运行。当然WINDOWS 联机的模式只有两种:域模式和工作组模式。 一、工作组。 很多专业的描述是工作组模式是由相互独立的计算机组成。他们再网络中的地位平等,各自独立、分散的维护和管理着自身。这个较抽象的描述是可以宏观表述的,看。在武侠世界里就体现着。就是金庸武侠小说中《笑傲江湖》里面五岳剑派。
(图1)
五岳剑派最初是由上图的五个门派组成的。最初的目的是为了团结起来对抗少林,武当,日月神教等大派。五岳剑派由嵩山左冷禅提议组建,最后华山岳不群当上所谓的盟主。实际上这五个门派就组成了一个工作组。
由5台计算机(五个门派)组成的一个工作组
工作组(workgroup)=五岳剑派
为什么是工作组呢?原来虽然这五个门派组成了所谓的五岳剑派,也有了所谓的盟主。但是五岳剑派实际上仍然是各自为政。比如恒山派掌门令狐冲(相当于华山这台机器的本地管理员)恒山派弟子(本地用户)的创建(招弟子)删除(逐出弟子)等问题仍然由令狐冲说的算,根本就不理睬盟主号令。另外恒山弟子(本地用户)也听令狐冲的号令。顶多是由嵩山派弟子来访(相当于来共享一个资源给他们访问)或者华山派被人揍了,请求恒山支援(可以想象成另一种资源的共享方式)。
二、域
什么是域?就是把我们企业IT 环境中的所有资源在逻辑上进行统一集中管理的一种手段。还有什么逻辑组织最小单元呀,什么安全边界了,有点抽象了。好吧,我告诉你,域就是一个门派:就是少林,就是武当,就是明教。(以下所有以明教举例)明教就是宏观存在的逻辑组织,明教教众在明教教主的带领下进行轰轰烈烈的革命。
关于域名和DNS 命令等问题在这里不介绍了,估计比较容易明白。
(图2)
看图2当看到mingjiao.com 这个表示一个单域的时候,你就可以想到明教。
(图3)
请大家认真看图3,我来解释一下这张图。域的实体是由计算机和人员组成的。我们先看几个转化公式.
明教教主=域管理员
明教弟子=域用户
加入域的成员计算机=丁家大院
加入域的成员服务器=明教钱庄
域控制器(DC)=光明顶
在域中要添加用户账户,就是域账户。而这里普通域用户账户就相当于明教弟子。
在域中计算机分别担任三种角色。
第一种,是安装WINDOWS 操作系统的计算机。比如WIN XP和WIN 7。加入域后这种计算机叫成员计算机。在这里我们可以想象明教是一个大派,全国各地都有人有地盘。由于我们是人去操作计算机,所以这里的计算机就可以想象成一个地盘(一个具体的实物,比如房屋)我这里叫做丁家大院。等于丁家大院就是明教的产业了。默认情况下,任何明教弟子(普通域用户)在登录验证后都可以进入丁家大院了。可以在里面休息,下棋等。(访问资源) 不过名教弟子毕竟不是丁家大院的所有者. 所以不可以拆墙, 建楼等行为(相对修改计算机系统) 那么谁是丁家大院的所有者呢? 有两个. 一个就是原丁家大院的主人(本地管理员), 一个就是明教教主(域管理员) 想想都是明教的产业了, 当然是所有者了。当然假如有一天丁家大院不再是明教的产业了. 被变卖了. 这个行为就相当于WINDOWS 计算机退出域. 只有上面的2个所有者有这个能力. 当然明教教主(域管理员) 可以委派一个明教弟子(域用户) 成为丁家大院主人(本地管理员)
第二种, 是安装WINDOWS SERVER 操作系统的计算机. 比如WIN 2003 SERVER 、WIN2008 SERVER 。加入域的这类计算机叫成员服务器。同样,这种机器也相当于明教的一个地盘或者叫产业。与上面相同的是,这个产业也有主人(本地管理员)。明教弟子(域普通用户)也可以进入这个产业(登录到该机器上)但是也有不同的,服务器一般都是提供共享资源应用的服务器。比如做一个文件服务器,一个WEB 服务器。所以这个产业中存放的是域用户的共用资源, 在这里相当于明教的一个钱庄(明教弟子把钱都放在这里,可以存取)
第三种,是安装WINDOWS SERVER 操作系统的计算机安装了AD (活动目录)这时候这台计算机就成了域控制器。活动目录是什么?活动目录就相当于一个数据库,一个明教的账本。这个账本记录了哪些是明教的产业(加入域的计算机)谁是明教弟子(域用户账户)甚至还有 明教钱庄的钱(共享资源)等。所以域控制器就相当于明教之圣地-光明顶。每一个加入明教的弟子(新建用户)每一个归入明教的产业(加入成员计算机)都要到光明顶的账本中登记(记录到活动目录中)不过,光明顶与上面的丁家大院与明教钱庄不同。光明顶不归入明教的产业,也就没有主人(本地账户)其次光明顶是神圣的地方,一般明教弟子是不准进入的(默认域用户无法登陆到域控中)当然,明教教主(域管理员)是可以进去,管理这个账本(活动目录)。也可以修改这个条例(修改默认域控策略)允许指定的明教弟子进入(登陆域控)。
好了,上面的图解释完了,下面解释一个比较重要的问题。域用户登陆域的问题。其实就好比明教弟子要进入自己的地盘一样。首先你是明教弟子(拥有域用户账号),其次你进入的是明教的地盘或叫产业(加入域的计算机)。否则,一个明教弟子跑到少林寺去非要进人家的藏经阁(非明教的产业)不被打出来才怪呢。再者你说你是明教弟子,你就是明教弟子了?别着急,明教有验证的办法。比如明教弟子王小五,要进入丁家大院。(用户王小五,要利用成员计算机登陆到域)首先报告给大院管家(计算机系统)大院管家收到信息后无法验证,这个时候把这个信息飞鸽传书到光明顶(域控制器)光明顶管家(DC 计算机系统)查看账本(活动目录)验证是否存在此人,确认后飞鸽传书一个腰牌给王小五。从此王小五就可以进入到丁家大院了。这个腰牌上面有一个特殊的信息,就是标明了王小五的身份,王小五在丁家大院能干什么不能干什么就靠这个了。当然王小五拿这个腰牌也可以直接在去明教钱庄。拿属于自己的钱(授权访问的资源)如果王小五出了明教的地盘(退出登录,注销等)腰牌自动收回。当然这个过程有一个关键,就是如果丁家大院与光明顶在飞鸽传书的过程中不顺利,比如鸽子没找到路,(相当于成员计算机无法找到域控)要么王小五就不能进丁家大院了。不过俗话说,一回生,二回熟。当王小五第二次进丁家大院的时候,会发生一点点变化。假如还是上面的过程,飞鸽传书换腰牌,但是没成功,但是王小五因为上次进了丁家大院,在六角亭摆了一牌棋自己和自己下,没下完就走了。这次王小五告诉丁家大院管家(计算机系统)他上面在哪牌棋,多少子,棋局如何。。管家一看,对呀。他是明教弟子,进来吧。(这就是利用当域控无法联系,但是用户之前登陆过,利用缓存凭证来登陆)有一个叫王小六的弟子是第一次进丁家大院,那么因为没有留下什么东西,谁也不知道他这鸟是不是明教弟子,自然无法进丁家大院(无法登陆)
额外域控
上面说了,明教弟子进入自己教内的产业或地盘需要通过光明顶(域控制器)中的账本(活动目录) 验证,通过飞鸽传书(域控与用户登陆的机器通信)发腰牌来完成。既然光明顶这么神圣重要,如果哪天六大门派来个围攻光明顶,把光明顶毁了,或者账本遗失了,那么明教的弟子就在也无法光顾自己的地盘了,干脆连谁是自己人都不知道(域控制器挂掉) 于是,明教必须再造一个类似光明顶的地方以备后患,这就诞生了一个新的光明顶---额外域控(我们叫蝴蝶谷吧)
(图1)
蝴蝶谷(额外域控)也有一个和光明顶一样的账本(安装活动目录数据库)里面记录的一模一样。而且两地之间用老鹰来传书(活动目录复制)这样如果在光明顶的账本中记录新收一个明教弟子,每隔一段时间,老鹰就会把这个信息带个蝴蝶谷,蝴蝶谷更新账本,与光明顶账本保持一致。相反也同理。(这就是域控之间多主复制模式)前面没有提到的,这个账本中还有一个地址薄。这个地址薄标明了明教产业的具体地址(DNS 记录)和像光明顶一样的圣域的地址(SRV 记录)。可以想象就是AD 数据库集成了DNS 区域。当然,像丁家大院这样的产业中那里的鸽子也必须知道像光明顶这样的地方具体在哪?(成员计算机DNS 设置必须指示定位域控的DNS 是谁, 由于是AD 数据库集成了DNS 区域, 所以地址就是光明顶的地址)
三、域树
域树实际上描述了至少2个域的一种逻辑管理。从逻辑关系图上看,他们有关联关系。如果有两个域,他们可能是父子域关系.
(图2)
随着明教的势力增大. 明教人数越来越多, 需要一个明确的分工. 现在明教手下一个叫洪水旗的组织诞生了.
明教的洪水旗是明教的一直特别的队伍, 这帮人敢玩命, 不怕死, 爱打仗. 让他们与当今朝廷对抗是再合适不过了. 与之前的明教不同(单域) 明教洪水旗有独立的人事管理制度. 洪水旗的旗主是最高行政长官(子域管理员). 洪水旗有像光明顶一样的圣域(子域控制器) 我们这里编一个名字叫洪湖吧. 洪湖也有一个帐本(子域活动目录) 凡是加入明教洪水旗的产业(成员计算机) 记录到这个帐本中. 凡是加入明教洪水旗的弟子(子域用户) 也记录到这个帐本中.
(图3)
这样洪水旗的弟子进入洪水旗产业的时候需要去洪湖验证拿腰牌. 不过这样一来, 明教原来在光明顶帐本登记的弟子就要明教总教弟子了. 产业叫名教总教产业. 洪水旗弟子不能是总教弟子, 但是由于都是明教弟子. 洪水旗弟子可以进入明教总教的产业, 同理明教弟子也可以进入洪水旗的产业不过他们还是各自组织中的人(这里要通过父子域双向信任关系) 如果没有这个关系, 明教弟子就不能进入洪水旗的产业. 明教教主管理光明顶的帐本, 洪水旗旗主管理洪湖的帐本. 当然洪水旗如果不乖乖听话, 违反了明教的教规明教教主是可以将洪水旗逐出明教的(删除子域). 自然洪水旗旗主是没有权利解散明教的.
四、林
林是由两个命名没有直接关系的域组成的。他们共享一套林架构。
(图5)
上图明教和天鹰教就组成了一个域林结构。话说,明教一个法王白眉鹰王因为前任明教教主死亡,想当教主没成功就自己创立了天鹰教。那时候天鹰教和明教没有半毛钱的关系。后来鹰王的外孙当了明教的教主,鹰王宣布,天鹰教和明教以后是一家子了。这样就成为了一个域林。
我们抛开武侠小说,现假设,在外人眼里,明教天鹰教是一家子。明教和天鹰教成为一家后可以相互去对方的产业。(林信任)但是在明教弟子的眼里,天鹰教就是天鹰教,明教就是明教。明教的账本由明教教主管理。天鹰教的账本,由天鹰教教主管理。当然如果明教教主一不高兴,有将天鹰教逐出明教的权利。
因为写的匆忙,没有认真反复去斟酌,所以写的有限。比如有关,全局编录服务器,5大操控主机、站点等都没有相应的描述。如果有机会,再补充上。再一个水平有限,难免理解有误,欢迎指正。
一、活动目录的由来
谈到活动目录最使人容易想起的就是DOS 下的“目录”、“路径”和Windows9X/ME下“文件夹”,那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系,一个文件生成
之后相对来说这个文件的所在目录也就固定了(当然可以删除、转移等,现在不考虑这些),
也就是说它的属性也就相对固定了,是静态的。这个目录所能代表的仅是这个目录下所有文
件的存放位置和所有文件总的大小,并不能得出其它有关信息,这样就影响到了整体使用目
录的效率,也就是影响了系统的整体效率,使系统的整个管理变得复杂。因为没有相互关联,
所以在不同应用程序中同一对象要进行多次配置,管理起来相当繁锁,影响了系统资源的使
用效率。为了改变这种效率低下的关系和加强与Internet 上有关协议的关联Microsoft 公司
决定在WIN2K 中全面改革,也就是引入活动目录的概念。理解活动目录的关键就在于“活动”
两个字,千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解,那你我理来理去一定
还是不能脱离原来在DOS 下目录或Windows9x 下的文件夹,正因为这个目录是活动的,所
以它是动态的,它是一种包含服务功能的目录,它可以做到“由此及彼”的联想、映射,如找
到了一个用户名,就可联想到它的账号、出生信息、E-mail 、电话等所有基本信息,虽然组
成这些信息的文件可能不在一块。同时不同应用程序之间还可以对这些信息进行共享,减少
了系统开发资源的浪费,提高了系统资源的利用效率。
活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的
容器,从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一实体;而目录服务是使目录中所有信息和资源发挥作用的服务,活动
目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访
问,因为多台机上有相同的信息,所以在信息容氏方面具有很强的控制能力,正因如此,不
管用户从何处访问或信息处在何处,都对用户提供统一的视图。
二、相关名词术语 虽然活动目录中用到的许多技术在其他软件产品中也已经出现过,但作为全面的整体网络
方案还是首次亮相,其中有许多名词或术语或许是闻所未闻的,所以有必要详细了解
一下活动目录的有关名词或术语。 1、名字空间:从本质上讲,活动目录就是一个名字空间,我们可以把名字空间理解为任何
给定名字的解析边界,这个边界就是指这个名字所能提供或关联、映射的所有信息范围。通
俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和,如一个用户,
如果我们在服务器已给这个用户定义了讲如:用户名、用户密码、工作单位、联系电话、家
庭住址等,那上面所说的总和广义上理解就是“用户”这个名字的名字空间,因为我们只输入
一个用户名即可找到上面我所列的一切信息。名字解析是把一个名字翻译成该名字所代表的
对象或者信息的处理过程。举例来说,在一个电话目录形成一个名字空间中,我们可以从每
一个电话户头的名字可以被解析到相应的电话号码,而不是象现在一样名字是名字,号码归
号码,根本不能横向联系。Windows *作系统的文件系统也形成了一个名字空间,每一个文件名都可以被解析到文件本身(包含它应有的所有信息)。 2、对象:对象是活动目录中的信息实体,也即我们通常所见的“属性”,但它是一组属性的集合,往往代表了有形的实体,比如用户账户、文件名等。对象通过属性描述它的基本特征,比如,一个用户账号的属性中可能包括用户姓名、电话号码、电子邮件地址和家庭住址等。
3、容器:容器是活动目录名字空间的一部分,与目录对象一样,它也有属性,但与目录对象不同的是,它不代表有形的实体,而是代表存放对象的空间,因为它仅代表存放一个对象的空间,所以它比名字空间小。比如一个用户,它是一个对象,但这个对象的容器就仅限于从这个对象本身所能提供的信息空间,如它仅能提供用户名、用户密码。其它的如:工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。
4、目录树:在任何一个名字空间中,目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象,树的非叶子节点是容器。目录树表达了对象的连接方式,也显示了从一个对象到另一个对象的路径。在活动目录中,目录树是基本的结构,从每一个容器作为起点,层层深入,都可以构成一棵子树。一个简单的目录可以构成一棵树,一个计算机网络或者一个域也可以构成一棵树。这也很容易理解,我们最初学电脑时不就是在全面理解DOS 下的路径概念基础之上开始的吗,其实这“目录树”也就是一种“路径关系”,如果你理解了DOS 下的“路径”相信理解这“目录树”是没什么问题的! 5、域:域是WIN2K 网络系统的安全性边界。我们知道一个计算机网最基本的单元就是“域”,这一点不是WIN2K 所独有的,但活动目录可以贯穿一个或多个域。在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后,活动目录可以被多个信任域域共享 6、组织单元:包含在域中特别有用的目录对象类型就是组织单元。组织单元是可将用户、组、计算机和其他单元放入活动目录的容器中,组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单元,您可在组织单元中代表逻辑层次结构的域中创建容器,这样您就可以根据您的组织模型管理帐户、资源的配置和使用,可使用组织单元创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的管理权限,组织单元的管理员不需要具有域中任何其他组织单元的管理权,组织单元有点象我们在NT 时代的工作组,我们从管理权限上来讲可以这么理解。
7、域树:域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别越低,一个“.”代表一个层次,如域child.Microsoft.com 就比 Microsoft.com 这个域级别低,因为它有两个层次关系,而Microsoft.com 只有一个次。而域Grandchild.Child.Microsoft.com 双比 Child.Microsoft.com 级别低,道理一样。域树中的域是通过双向可传递信任关系连接在
一起。由于这些信任关系是双向的而且是可传递的,因此在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一登录过程,在域树或树林中的所有域上对用户进行身份验证,但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限,所以必须在每个域的基础上为用户指派相应的权利和权限。 8、域林:域林是指由一个或多个没有形成连续名字空间的域树组成,它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间,而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来,所以每个域树都知道Kerberos 信任关系,不同域树可以交叉引用其他域树中的对象。域林都有根域,域林的根域是域林中创建的第一个域,域林中所有域树的根域与域林的根域建立可传递的信任关系。 9、站点:站点是指包括活动目录域服务器的一个网络位置,通常是一个或多个通过TCP/IP连接起来的子网。站点内部的子网通过可靠、快速的网络连接起来。站点的划分使得管理员可以很方便地配置活动目录的复杂结构,更好地利用物理网络特性,使网络通信处于最优状态。当用户登录到网络时,活动目录客户机在同一个站点内找到活动目录域服务器,由于同一个站点内的网络通信是可靠、快速和高效的,所以对于用户来说,他可以在最快的时间内登录到网络系中。因为站点是以子网为边界的,所以活动目录在登录时很容易找到用户所在的站点,进而找到活动目录域服务器完成登录工作。
10、域控制器:域控制器是使用活动目录安装向导配置的WIN2K Server 的计算机。活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索,一个域可有一个或多个域控制器。为了获得高可用性和容错能力,使用单个局域网 (LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。
WIN2K Server 域控制器扩展了 WINNT Server 4.0 的域控制器所提供的能力和特性,WIN2K Server 多宿主复制使每个域控制器上的目录数据同步,以确保随着时间的推移这些信息仍能保持一致,也就是说是动态的,这就是活动目录的作用。多宿主复制是 WINNT Server 4.0 中使用的主域控制器和备份域控制器模型的发展,在 WINNT Server 4.0 中只有一个服务器,即主域控制器,拥有该目录的可读写副本。
三、安装活动目录的意义
我们说WIN2K 的成功和创造性之一就是成功的全面引入了活动目录服务,那么到底安装活动目录有什么意义呢?这是我们所有初学WIN2K 的人首要要问的一个问题。因为活动目录并不是WIN2K 系统必需安装的一种服务,要全面理解它又是非常的不容易,那么安装活动目录的意义在哪里呢?它主要体现在以下几个方面:
1、信息的安全性大大增强
安装活动目录后信息的安全性完全与活动目录集成,用户授权管理和目录进入控制已经整合在活动目录当中了(包括用户的访问和登录权限等),而它们都是WIN2K*作系统的关键安全措施。活动目录集中控制用户授权,目录进入控制不只能在每一个目录中的对象上定义,而且还能在每一个对象的每个属性上定义,这一点是以前任何系统所不能达到的,包括WINNT 4.0。除此之外,活动目录还可以提供存储和应用程序作用域的安全策略,提供安全策略的存储和应用范围。安全策略可包含帐户信息,如域范围内的密码限制或对特定域资源的访问权等。所以从一定程序上可以这么说WIN2K 的安全性就是活动目录所体现的安全性,由此可见对于网管来说如何配置好活动目录中对象及属性的安全性是一个网管配置好WIN2K 系统的关键。
2、引入基于策略的管理,使系统的管理更加明朗
活动目录服务包括目录对象数据存储和逻辑分层结构(指上面所讲的目录、目录树、域、域树、域林等所组成的层次结构),作为目录,它存储着分配给特定环境的策略,称为组策略对象。作为逻辑结构,它为策略应用程序提供分层的环境。组策略对象表示了一套商务规则,它包括与要应用的环境有关的设置,组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录,域,或组织单元的组策略对象(GPOs )中。GPOs 设置决定目录对象和域资源的进入权限,什么样的域资源可以被用户使用,以及这些域资源怎样使用等。例如,组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序,当它在服务器上启动时有多少用户可连接至 Server ,以及当用户转移到不同的部门或组时他们可访问什么文件或服务。组策略对象使您可以管理少量的策略而不是大量的用户和计算机。通过活动目录,您可将组策略设置应用于适当的环境中,不管它是您的整个单位还是您单位中的特定部门。 3、具有很强的可扩展性
WIN2K的活动目录具有很强的可扩展性,管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如,在电子商务上你可以给每一个用户对象增加一个购物授权属性,然后存储每一个用户购买权限作为用户帐号的一部分。
4、具有很强的可伸缩性
活动目录可包含在一个或多个域,每个域具有一个或多个域控制器,以便您可以调整目录的规模以满足任何网络的需要。多个域可组成为域树,多个域树又可组成为树林,活动目录也就随着域的伸缩而伸缩,较好地适应了单位网络的变化。目录将其架构和配置信息分发给目录中所有的域控制器,该信息存储在域的第一个域控制器中,并且复制到域中任何其他域控制器。当该目录配置为单个域时,添加域控制器将改变目录的规模,而不影响其他域的管理开销。将域添加到目录使您可以针对不同策略环境划分目录,并调整目录的规模以容纳大量的资源和对象。 5、智能的信息复制能力
信息复制为目录提供了信息可用性、容错、负载平衡和性能优势,活动目录使用多主机复
制,允许您在任何域控制器上而不是单个主域控制器上同步更新目录。多主机模式具有更大容错的优点,因为使用多域控制器,即使任何单独的域控制器停止工作,也可继续复制。由于进行了多主机复制,它们将更新目录的单个副本,在域控制器上创建或修改目录信息后,新创建或更改的信息将发送到域中的所有其他域控制器,所以其目录信息是最新的。域控制器需要最新的目录信息,但是要做到高效率,必须把自身的更新限制在只有新建或更改目录信息的时候,以免在网络高峰期进行同步而影响网络速度。在域控制器之间不加选择地交换目录信息能够迅速搞垮任何网络。通过活动目录就能达到只复制更改的目录信息,而不至于大量增加域控制器的负荷。
6、与 DNS 集成紧密
活动目录使用域名系统 (DNS)来为服务器目录命名,DNS 是将更容易理解的主机名(如 Mike.Mycompany.com )转换为数字 IP 地址的 Internet 标准服务,利于在TCP/IP网络中计算机之间的相互识别和通讯。DNS 的域名基于 DNS 分层命名结构,这是一种倒置的树状结构,单个根域,在它下面可以是父域和子域(分支和叶子)。关于这一点我会在后面以专门的篇章加以详细讲述,在此就仅作简单介绍。
7、与其他目录服务具有互*性 由于活动目录是基于标准的目录访问协议,许多应用程序界面(API )都允许开发者进入这些协议,例如活动目录服务界面(ADSI )、轻型目录访问协议 (LDAP) 第三版和名称服务提供程序接口 (NSPI),因此它可与使用这些协议的其他目录服务相互*作。LDAP 是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议,所以可使用 LDAP 开发程序,与同时支持 LDAP 的其他目录服务共享活动目录信息。活动目录支持 Microsoft Exchange 4.0 和 5.x 客户程序所用的 NSPI 协议,以提供与 Exchange 目录的兼容性。 8、具有灵活的查询
任何用户可使用“开始”菜单、“网上邻居”或“活动目录用户和计算机”上的“搜索”命令,通过对象属性快速查找网络上的对象。如您可通过名字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户,反之亦然。