1.概念
活动目录(Active Directory)是面向WindowsStandard Server、Windows Enterprise Server以及 WindowsDatacenter Server的目录服务。活动目录服务是Windows Server 2000操作系统平台的中心组件之一。理解活动目录对于理解WindowsServer 2000的整体价值是非常重要的。这篇关于活动目录服务所涉及概念和技术的介绍文章描述了活动目录的用途,提供了对其工作原理的概述,并概括了该服务为不同组织和机构提供的关键性商务及技术便利。
2.简介
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行WindowsWeb Server的计算机进行管理)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
3.数据存储
人们经常将数据存储作为目录的代名词。目录包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位(OU)以及安全策略] 的信息。这些信息可以被发布出来,以供用户和管理员的使用。
目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
目录数据存储在域控制器上的Ntds.dit文件中。我们建议将该文件存储在一个NTFS分区上。有些数据保存在目录数据库文件中,而有些数据则保存在一个被复制的文件系统上,例如登录脚本和组策略。
有三种类型的目录数据会在各台域控制器之间进行复制:
·域数据。域数据包含了与域中的对象有关的信息。一般来说,这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息,管理员和用户可能都会对这些信息感兴趣。
例如,在向网络中添加了一个用户帐户的时候,用户帐户对象以及属性数据便被保存在域数据中。如果您修改了组织的目录对象,例如创建、删除对象或者修改了某个对象的属性,相关的数据都会被保存在域数据中。
·配置数据。 配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表,并且指出了域控制器和全局编录所处的位置。
·架构数据。架构是对目录中存储的所有对象和属性数据的正式定义。WindowsServer 2003提供了一个默认架构,该架构定义了众多的对象类型,例如用户和计算机帐户、组、域、组织单位以及安全策略。管理员和程序开发人员可以通过定义新的对象类型和属性,或者为现有对象添加新的属性,从而对该架构进行扩展。架构对象受访问控制列表(ACL)的保护,这确保了只有经过授权的用户才能够改变架构。
4.名词
1.名称空间。名称空间是一种命名规则,通常用来定义网络资源的惟一名称。活动目录本质上就是一个名称空间,包含了很多的对象,每个对象都有自己的名字。在这里,可以把他们的关系形象地理解成是一种解析关系。如:通讯录可以形成一个名称空间,每个人的名字都可以被解析为对应的地址等信息。windows的文件系统也可以形成一个名称空间,每个文件名都可以被解析为实际的某个文件。
2.对象。对象是活动目录中的信息实体。同时它也是一组属性的集合。
3.容器。容器是逻辑上包含其他对象的对象,容器同样也有属性,但容器与对象不同,容器不代表有形的实体,形象地说,容器是其他对象或容器的容器。在windowsserver2003中的活动目录中,可以将组、用户、计算机作为容器来显示。
4.目录树。目录树是指在名称空间中,由容器和对象构成的层次结构。树的末梢叶子结点是对象,而非叶子节点都是容器。目录树表达了对象的连接方式,也显示了从一个对象到另一个对象的路径。在活动目录中,目录树是基本的结构。
5.组织单位。组织单位是容器的一种,它是windowsserver 2003中新增加的一类对象,可以用它来容纳活动目录中的其他对象。组织单位中可以包含其他组织单位。这样,管理员可以根据需要来扩展容器层次而不需要建立新域。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。
使用组织单位可以将网络所需的域数量降到最低,用户可以拥有对域中所有组织单位或对单个组织单位的管理权限,而组织单位的管理员可以不具有域中任何其他组织单位的管理权限。
6.组。组是可以包含用户、计算机和其他组的活动目录对象,windowsserver 2003可以通过组来管理用户和计算机对网络共享资源的访问,还可以通过组来为用户和计算机指派统一的配额设置。
组织单位与组的不同之处在于:组织单位只是一个逻辑上的容器,用于在单个域中创建对象集,,但不授予成员身份;组则是用来管理其所包含的对象,组中的对象拥有该组定义的所有权限。
7.用户和计算机。它们是活动目录的具体对象。用户想要登录到网络中,需要有自己唯一的账户和密码。活动目录允许经过授权用户登录到计算机或域。活动目录中的计算机指加入域中的运行windowsserver2003、windows2000、windowsNT系统的计算机。
计算机与用户类似,也需要通过审核验证才能访问域资源。
8.域。域是网络对象(用户、组、计算机等)的分组,域中所有的对象都存储在活动目录中,活动目录由一个或多个域组成。域是windows2000或server2003网络系统的一个安全界限,即安全策略和访问控制设置等都不能跨越不同的域,每个域的管理员都有权设置属于该域的策略。
9.域树由多个域组成,这些域共享公共的架构、配置和全局编录能力,形成一个连续的名称空间,域树中的域通过相互信任连接起来。活动目录中可以包含一个或多个域树。也可以从名称空间解释域树的结构关系,域树中的一个域称为根域,其他或是根域中的子域。直接在一个域上层的域称为子域的父域。这样域树中的域根据子域和父域形成层次结构命名。其中各自的命名关系如下:根域为:abc.r;直接下层子域:child.abc.r;在下一层:grandchild.child.abc.r。在域树中的任何两个域之间都是双向可传递的信任关系。
10.林。一个或多个域树可以组成林,同一个林中的域也可以共享相同类的架构、站点和复制以及全局编录能力,但林中的域树之间并不形成连续的名称空间。在新林中创建的第一个域是该林的根域,林范围的管理组都位于该域,为了方便管理,新创建的域最好都位于林根域或子域。同一个林内的域是按双向可传输的信任关系进行链接的。而两个windowsserver 2003林间的信任,可以形成两个林内所有域间信任关系,林信任只能在每个林内的林根域间创建。林信任也是可以传递的,可以单向或双向,但都需要管理员手动建立林信任。
11.架构:对可以存储在目录中的对象全体的一组定义,对于每个对象类,架构都定义了该类的实例所必须拥有的属性和可能拥有的其他属性,或者可以是其父类的其他对象类。每个新创建的目录对象在写入该目录之前,都要针对架构中的相应对象定义进行验证。架构由对象类和属性组成,基础(默认)架构包含一组丰富的对象类别和属性以满足大多数单位的需要,并且还遵循目录服务国际标准组织X.500标准进行建模。架构是可以扩展的,因此可以在基础架构中修改和添加类别属性。
12.站点:活动目录中的站点代表网络的物理结构。活动目录使用拓扑信息(在目录中存储为站点和站点链接对象)来建立最有效的复制拓扑。可以在windowsserver2003域控制器上,使用活动目录站点和服务定义站点和站点链接。站点和域不同,站点代表网络的物理结构,而域代表网络组织的逻辑结构。
13.复制:复制是将更新过的数据从源计算机上的数据存储或文件系统,复制到一个或多个目标计算机上匹配的数据存储或文件系统,从而同步这些数据的过程。在活动目录中,通过复制可以同步域控制器之间的架构、配置、应用程序和域目录分区。
14.全局编录:应用程序和客户能够通过全局编录数据库,定位林内的任意对象。全局编录位于林内的一个或多个域控制器上,它包含林内所有域目录分区的部分副本,而这些部分副本是林内每一个对象的副本,通常这些部分副本是搜索操作中最常用的属性和定位对象的完全副本所需要的属性。在全局编录中存储所有域对象的最常搜索的属性,可以为用户提供高效的搜索,而不会以不必要的域控制器参考而影响网络性能。
5.功能
活动目录(Active Directory)主要提供以下功能:
①基础网络服务:包括DNS、WINS、DHCP、证书服务等。
②服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
③用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
④资源管理:管理打印机、文件共享服务等网络资源。
⑤桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑥应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
6.安全性
安全性通过登录身份验证以及目录对象的访问控制集成在ActiveDirectory之中。通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理,即便是那些最复杂的网络也是如此。
ActiveDirectory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为ActiveDirectory不但可以保存用户凭据,而且可以保存访问控制信息,所以登录到网络上的用户既能够获得身份验证,也可以获得访问系统资源所需的权限。例如,在用户登录到网络上的时候,安全系统首先利用存储在ActiveDirectory中的信息验证用户的身份。然后,在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表(DACL)中所定义的属性。
因为Active Directory允许管理员创建组帐户,管理员得以更加有效地管理系统的安全性。例如,通过调整文件的属性,管理员能够允许某个组中的所有用户读取该文件。通过这种办法,系统将根据用户的组成员身份控制其对ActiveDirectory域中对象的访问操作。
7.总结
在Windows 2000的原有基础之上,WindowsServer 2003中的Active Directory将重心放在了管理工作的简化、通用性以及无可匹敌的可靠性上面。和以往相比,ActiveDirectory已经成为了构建企业网络的坚实基础,因为它可以:
· 充分利用现有投资,以及对目录进行合并管理。
· 扩展管理控制的范围,减少冗余的管理工作。
· 简化远程集成,更有效地使用网络资源。
· 为基于目录的应用提供了一个强大、可靠的开发和部署环境。
· 降低TCO并且改善IT资源的利用效率
活动目录分为目录和目录服务两部分