Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
Microsoft Active Directory 服务是Windows 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
目录形式的数据存储
人们经常将数据存储作为目录的代名词。目录包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位(OU)以及安全策略] 的信息。这些信息可以被发布出来,以供用户和管理员的使用。
目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
目录数据存储在域控制器上的Ntds.dit文件中。我们建议将该文件存储在一个NTFS分区上。有些数据保存在目录数据库文件中,而有些数据则保存在一个被复制的文件系统上,例如登录脚本和组策略。
有三种类型的目录数据会在各台域控制器之间进行复制:
•域数据。域数据包含了与域中的对象有关的信息。一般来说,这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息,管理员和用户可能都会对这些信息感兴趣。
例如,在向网络中添加了一个用户帐户的时候,用户帐户对象以及属性数据便被保存在域数据中。如果您修改了组织的目录对象,例如创建、删除对象或者修改了某个对象的属性,相关的数据都会被保存在域数据中。
•配置数据。 配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表,并且指出了域控制器和全局编录所处的位置。
•架构数据。架构是对目录中存储的所有对象和属性数据的正式定义。Windows Server 2003提供了一个默认架构,该架构定义了众多的对象类型,例如用户和计算机帐户、组、域、组织单位以及安全策略。管理员和程序开发人员可以通过定义新的对象类型和属性,或者为现有对象添加新的属性,从而对该架构进行扩展。架构对象受访问控制列表(ACL)的保护,这确保了只有经过授权的用户才能够改变架构。
Active Directory和安全性
安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理,即便是那些最复杂的网络也是如此。
Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为Active Directory不但可以保存用户凭据,而且可以保存访问控制信息,所以登录到网络上的用户既能够获得身份验证,也可以获得访问系统资源所需的权限。例如,在用户登录到网络上的时候,安全系统首先利用存储在Active Directory中的信息验证用户的身份。然后,在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表(DCAL)中所定义的属性。
因为Active Directory允许管理员创建组帐户,管理员得以更加有效地管理系统的安全性。例如,通过调整文件的属性,管理员能够允许某个组中的所有用户读取该文件。通过这种办法,系统将根据用户的组成员身份控制其对Active Directory中对象的访问操作。
Active Directory 的架构
Active Directory的架构(Schema)是一组定义,它对能够存储在Active Directory中的各种对象――以及有关这些对象的各种信息――进行了定义。因为这些定义本身也作为对象进行存储,Active Directory可以像管理目录中的其它对象一样对架构对象加以管理。架构中包括了两种类型的定义:属性和分类。属性和分类还可以被称作架构对象或元数据。
分类
分类,又称对象分类,描述了管理员所能够创建的目录对象。每一个分类都是一组对象的集合。在您创建某个对象时,属性便存储了用来描述对象的信息。例如,“用户”分类便由多个属性组成,其中包括网络地址、主目录等等。Active Directory中的所有对象都是某个对象分类的一个实例。
架构的扩展
有经验的开发人员和网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。
架构的内容由充当架构操作主控角色的域控制器进行控制。架构的副本被复制到森林中的所有域控制器上。这种共用架构的使用方式确保了森林范围内的数据完整性和一致性。
此外,您还可以使用“Active Directory架构”管理单元对架构加以扩展。为了修改架构,您必须满足以下三个要求:
• 成为“Schema Administrators”(架构管理员)组的成员
• 在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元
• 拥有修改主控架构所需的管理员权限
在考虑对架构进行修改时,必须注意以下三个要点:
• 架构扩展是全局性的。 在您对架构进行扩展的时候,您实际上扩展了整个森林的架构,因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。
• 与系统有关的架构分类不能被修改。您不能修改Active Directory架构中的默认系统分类;但是,用来修改架构的应用程序可能会添加可选的系统分类,您可以对这些分类进行修改。
• 对架构的扩展不可撤销。某些属性或者分类的属性可以在创建后修改。在新的分类或者属性被添加到架构中之后,您可以将它置于非激活状态,但是不能删除它。但是,您可以废除相关定义并且重新使用对象标识符(OID)或者显示名称,您可以通过这种方式撤销一个架构定义。
有关架构修改的更多信息,请通过 [url]http://www.microsoft.com/reskit[/url]参阅 Microsoft Windows 资源工具包 。
Active Directory不支持架构对象的删除;但是,对象可以被标记为“非激活”,以便实现与删除同等的诸多益处。
属性
属性和分类单独进行定义。每一个属性仅仅定义一次,但是可以在多个分类中使用。例如,“Description”(描述)属性可以使用在多个分类中,但是只需在架构中定义一次即可,以保持数据的一致性。
属性用来描述对象。每一个属性都拥有它自己的定义,定义则描述了特定于该属性的信息类型。架构中的每一个属性都可以在“Attribute-Schema”分类中指定,该分类决定了每一个属性定义所必须包含的信息。
能够应用到某个特殊对象上的属性列表由分类(对象是该分类的一个实例)以及对象分类的任何超类所决定。属性仅仅定义一次,但是可以多次使用。这确保了共享同一个属性的所有分类能够保持一致性。
多值属性
属性可以是单值的也可以是多值的。属性的架构定义指定了属性的实例是否必须是多值的。单值属性的实例可以为空,也可以包含一个单值。多值属性的实例可以为空,也可以包含一个单值或多值。多值属性的每一个值都必须是唯一的。
索引属性
索引应用于属性,而不是分类。对属性进行索引有助于更快地查询到拥有该属性的对象。当您将一个属性标记为“已索引”之后,该属性的所有实例都会被添加到该索引,而不是仅仅将作为某个特定分类成员的实例添加到索引。
添加经过索引的属性会影响Active Directory的复制时间、可用内存以及数据库大小。因为数据库变得更大了,所以需要花费更多的时间进行复制。
多值属性也可以被索引。同单值属性的索引相比,多值属性的索引进一步增加了Active Directory的大小,并且需要更多的时间来创建对象。在选择需要进行索引的属性时,请确信所选择的共用属性,而且能够在开销和性能之间取得平衡。
一个经过索引的架构属性还可以被用来存储属性的容器所搜索,从而避免了对整个Active Directory数据库进行搜索。这样不仅缩短了搜索所需花费的时间,而且减少了在搜索期间需要使用的资源数量。
全局编录的角色
全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。此外,全局编录还存储了每个对象最常用的一些可搜索的属性。全局编录存储了它所在域的所有目录对象的完整副本,以及森林中其它域中所有目录对象的部分副本,所以您不必咨询域控制器即可实施有效的搜索操作。
全局编录在森林中最初的一台域控制器上自动创建。您可以为任何一台域控制器添加全局编录功能,或者将全局编录的默认位置修改到另一台域控制器上。
全局编录担当了以下目录角色:
• 查找对象 全局编录允许用户搜索森林所有域的目录信息,而不管数据存储在何处。森林内部的搜索可以利用最快的速度和最小的网络流量得以执行。
在您从“开始”菜单搜索人员或打印机,或者在某个查询的内部选择了“整个目录”选项的时候,您就是在对全局编录进行搜索。在您输入搜索请求之后,请求便会被路由到默认的全局编录端口3268,以便发送到一个全局编录进行解析。
• 提供了根据用户主名的身份验证。在进行身份验证的域控制器不知道某个账户是否合法时,全局编录便可以对用户的主名进行解析。例如,如果用户的账户位于example1.microsoft.com域,而用户决定利用
[email protected]这个用户主名从位于example2.microsoft.com的一台计算机上进行登录,那么example2.microsoft.com的域控制器将无法找到该用户的账户,然后,域控制器将于全局编录服务器联系,以完成整个登录过程。
• 在多域环境下提供通用组的成员身份信息。和存储在每个域的全局组成员身份不同,通用组成员身份仅仅保存在全局编录之中。例如,在属于一个通用组的用户登录到一个被设置为Windows 2000本机域功能级别或者更高功能级别的域的时候,全局组将为用户账户提供通用组的成员身份信息。
如果在用户登录到运行在Windows 2000本机或者更高级别中的域的时候,某个全局编录不可用并且用户先前曾经登录到该域,计算机将使用缓存下来的凭据让用户登录。如果用户以前没有在该域登录过,用户将仅仅能够登录到本地计算机。
说明:即便全局编录不可用,“Domain Administrators”(域管理员)组的成员也可以登录到网络中。
查找目录信息
正如前面所介绍的,Active Directory的设计目的在于为来自用户或应用程序的查询提供有关目录对象的信息。管理员和用户可以使用“开始”菜单中的“搜索”命令轻松对目录进行搜索和查找。客户端程序也可以使用Active Directory服务接口(ADSI)访问Active Directory中的信息。
Active Directory的主要益处就在于它能够存储有关网络对象的丰富信息。在Active Directory中发布的有关的用户、计算机、文件和打印机的信息可以被网络用户所使用。这种可用性能够通过查看信息所需的安全权限加以控制。
网络上的日常工作涉及用户彼此之间的通信,以及对已发布资源的连接和访问。这些工作需要查找名称和地址,以便发送邮件或者连接到共享资源。在这方面,Active Directory就像是一个在企业中共享的地址簿 。例如,您可以按照姓、名、电子邮件地址、办公室位置或者其它用户账户属性查找用户。如前所述,信息的查找过程由于使用了全局编录而得到了优化。
高效的搜索工具
管理员可以使用“Active Directory用户和计算机”管理单元中的高级“查找”对话框高效率地执行管理工作,并且轻松定制和筛选从目录取得的数据。此外,管理员还可以向组中快速添加对象,并且通过无需浏览的查询帮助查找可能的成员,从而将对网络的影响降低到最小限度。
Active Directory的复制
复制为目录信息提供了可用性、容错能力、负载平衡以及性能优势。Active Directory 使用多主控复制,您可以在任何一台域控制器上更新目录,而不是只能在一台特定的主域控制器上进行更新。多主控模式具有更出色的容错能力,因为使用了多台域控制器,即使在某一台域控制器停止工作的情况下,复制依然能够继续。
域控制器可以存储和复制:
• 架构信息。架构信息定义了可以在目录中创建的对象,以及每隔对象所能够拥有的属性。这些信息是森林中所有域的共用信息。架构数据被复制到森林中的所有域控制器上。
• 配置信息。配置信息描述了您的部署的逻辑结构,其中包括诸如域结构或者复制拓扑这样的信息。这些信息是森林中所有域的共用信息。配置数据被复制到森林中的所有域控制器上。
• 域信息。域信息描述了域中所有的对象。数据特定于具体的域,而且不会被分发到其它的任何域中。为了在整个域树或者森林中查找信息,所有域中的所有对象的属性的一个子集被保存在全局编录中。域数据将被复制到域中的所有域控制器上。
• 应用程序信息。存储在应用程序目录分区中的信息旨在满足用户对这些信息的复制需要,但是这些信息并不是在任何情况下都需要。应用程序数据可以被明确地重新路由到森林中特定于管理用途的域控制器上,以防止产生不必要的复制流量。或者,您可以进行设置,将这些信息复制到域中的所有域控制器上。
站点在复制过程中的角色
站点提高了目录信息的复制效率。目录架构和配置信息在整个森林范围内进行复制,而域数据则在域的所有域控制器之间进行复制,并且会被部分地复制到全局编录上。通过有策略地减少复制流量,网络的通信压力也会得到相应的减轻。
域控制器使用站点和复制变化控制从以下方面对复制实施优化:
• 通过对所使用的连接不时进行重新评估,Active Directory可以始终使用最有效的网络连接。
• Active Directory使用多条路由复制发生变化的目录数据,从而提供了容错能力。
• 由于仅仅需要复制发生了变化的信息,复制开销降到了最小。
如果某个部署没有按照站点加以组织,域控制器以及客户机之间的信息交换将是混乱和无序的。站点可以改善网络的利用效率。
Active Directory在站点内部复制目录信息的频度比在站点间的复制频度要更高。这样,拥有最佳连接条件的域控制器――它们很可能需要特殊的目录信息――可以首先得到复制。其它站点中的域控制器则可以获得所有发生了变化的目录信息,但是它们进行复制的频率要低一些,以便节省网络带宽。另外,由于数据在站点间进行复制时经过了压缩处理,所以复制操作所占用的带宽进一步得到了降低。为了实现高效复制,只有在添加或修改了目录信息之后才进行目录的更新。
如果目录更新始终被分发到域中的所有其它域控制器上,它们将占用大量的网络资源。虽然您可以手动添加或配置连接,或者强迫通过某条特定的连接进行复制,复制仍然可以根据您在“Active Directory Sites and Services”管理工具中提供的信息,通过Active Directory知识一致性检查程序(Knowledge Consistency Checker,KCC)得到自动优化。KCC负责构建和维护Active Directory的复制拓扑。特别地,KCC可以决定何时进行复制,以及每台服务器必须同哪些服务器开展复制。
Active Directory客户端
利用Active Directory客户端,Windows 2000 Professional 或者 Windows XP Professional所拥有的众多Active Directory特性可以被运行Windows 95、Windows 98以及Windows NT® 4.0操作系统的计算机所使用:
• 站点感知。您可以登录到网络中距离客户端最近的一台域控制器上。
• Active Directory 服务接口(ADSI)。您可以使用它为Active Directory编写脚本。ADSI还为Active Directory编程人员提供了一个公共的编程API。
• 分布式文件系统(DFS)容错客户端。您可以访问Windows 2000 以及运行Windows DFS 容错和故障转移文件共享的服务器,这些文件共享在Active Directory中指定。
• NTLM version 2 身份验证。您可以使用NT LanMan (NTLM) version 2中经过改进的身份验证特性。有关启用NTML version 2的更多信息,请参阅Microsoft 知识库文章Q239869,“如何启用NTLM 2 身份验证” : [url]http://support.microsoft.com/.[/url]
• Active Directory Windows 地址簿(WAB)属性页。您可以修改用户对象页上的属性,例如电话号码和地址。
• Active Directory的搜索能力。您可以通过“开始”按钮,查找Windows 2000 Server 或者Windows 域中的打印机和人员。有关在Active Directory中发布打印机的更多信息,请参阅Microsoft 知识库文章Q234619,“在 Windows 2000 Active Directory中发布打印机”: [url]http://support.microsoft.com.[/url]
Windows 2000 Professional 和 Windows XP Professional 提供了Windows 95、Windows 98和Windows NT 4.0上的Active Directory客户端所没有的一些功能,例如:对Kerberos version 5的支持;对组策略或者IntelliMirror® 管理技术的支持;以及服务主名或者相互验证。通过升级到Windows 2000 Professional或Windows XP Professional,您可以对这些附加特性加以充分利用。更多信息,请参看:
• 升级到Windows 2000 [url]http://www.microsoft.com/windows2000/professional/howtobuy/upgrading/default.asp.[/url]
• Windows XP Professional 升级中心 [url]http://www.microsoft.com/windowsxp/pro/howtobuy/upgrading/default.asp.[/url]
为了安装Active Directory客户端,请参阅Active Directory 客户端页面: [url]http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp[/url]
Active Directory的新增功能和改进特性
• 本白皮书的剩余部分概括了Windows Server 2003产品家族中的Active Directory在以下方面所拥有的一些新增功能和改进特性:
• 集成和生产力
• 性能和伸缩性
• 系统管理和配置管理
• 组策略特性
• 安全性增强
Active Directory 的集成和生产力
作为管理企业标识、对象和关系的主要手段,Active Directory中的接口(包括编程接口和用户界面)已经得到了改进,以提高管理工作的效率和系统的集成能力。
让Active Directory更加易于使用和管理
Active Directory包含了众多增强特性,例如对MMC管理单元的改进以及对象选择工具组件等,它们让Active Directory变得更加易于使用。MMC插件方便了多个对象的管理。管理员可以:
• 编辑多个用户对象。 一次选择并编辑多个对象属性。
• 保存查询。将针对Active Directory服务的查询保存下载以便今后使用。结果可以用XML格式导出。
• 使用经过改进的对象选择工具组件快速选择对象。该组件经过重新设计并且得到了加强,能够改善工作流和提高在大目录中查找对象的效率,同时还提供了一种更灵活的查询功能。各种用户界面均可以使用该组件,并且可以为第三方开发人员所使用。
更多的集成和生产力特性和改进
特性 描述
ACL 列表用户界面的修改 ACL用户界面已经得到了增强,以改善其易用性以及继承和特定的对象权限。
扩展性增强 那些拥有某个独立软件开发商(ISV)或者原始设备制造商(OEM)所开发的能够利用Active Directory的软件或设备的管理员拥有了更加出色的管理能力,并且可以添加任何对象分类作为组的成员。
来自其它LDAP目录的用户对象 在LDAP目录中定义的用户对象使用了RFC 2798中定义的inetOrgPerson类(例如Novell和Netscape),这些对象可以使用Active Directory用户界面进行定义。这个与Active Directory用户对象配合工作的用户界面可以处理inetOrgPerson对象。现在,任何需要使用inetOrgPerson类的应用程序或者客户都可以轻松实现它们的目的。
Passport 集成(通过IIS) Passport 身份验证现在可以通过Internet Information Services (IIS) 6.0进行,而且允许Active Directory用户对象被映射到他们相应的Passport标识符上(如果存在该标识)。本地安全机构(Local Security Authority,LSA)将为用户创建一个令牌,然后IIS 6.0将根据HTTP请求对其加以设置。现在,拥有相应Passport 标识的Internet用户可以使用他们的Passport访问资源,就如同使用他们的Active Directory凭据一样。
利用ADSI使用终端服务器 特定于终端服务器用户的属性可以通过使用Active Directory服务接口(ADSI)编写脚本进行设置。除了通过目录手动设置之外,用户属性可以利用脚本加以设定。这样做的一个好处就是:可以通过ADSI容易地实现属性的批量修改或编程修改。
复制和信任监视WMI提供者 Windows管理规范(WMI)类可以监视域控制器之间是否成功地对Active Directory信息进行了复制。因为众多的Windows 2000组件,例如Active Directory复制,都需要依赖于域间的相互信任,本特性还为监视信任关系是否能够正常工作提供了一种手段。管理员或者运营队伍可以通过WMI在发生复制问题时轻松获得报警。
MSMQ 分发列表 消息队列(Message Queuing,MSMQ)现在支持向驻留在Active Directory中的分发列表(Distribution Lists)发送消息。MSMQ用户可以通过Active Directory轻松管理分发列表。
Active Directory 性能和伸缩性
主要的修改体现在Windows Server 2003对Active Directory信息的复制和同步操作的管理方面。此外,还围绕安装、迁移和维护添加了新的功能,以便让Active Directory更加灵活、健壮和高效。
改善分支办公室的性能
分支办公室部署通常由众多的远程办公室组成,而且每个远程办公室均拥有自己的域控制器――但是一般使用慢速连接与公司连接中心或数据中心保持相连。在用户登录时,Windows Server 2003不再要求访问中央的全局编录服务器,从而加快了分支办公室的登录过程。现在,组织无需在拥有不可靠网络的地方为分支办公室部署一台全局编录服务器。
与在用户每次登录到域控制器时要求联系全局编录不同,当网络可用时,域控制器会将先前从该站点或者从离线全局编录服务器登录的用户的通用组成员关系缓存下来。然后,在登录时,用户无需让域控制器联系全局编录服务器,便可登录到网络上,从而减少了对慢速或者不可靠网络的需求。如果全局编录发生故障,无法处理用户的登录请求,这项改进还可以提供更多的可靠性。
其它性能特性和改进
特性 描述
禁止对站点间的复制流量进行压缩处理 禁止对不同站点的域控制器之间的复制流量进行压缩。可以减轻域控制器的CPU负担,从而在需要时提高性能。
群集化的虚拟服务器支持 群集对象现在也可以被定义为计算机对象。具有群集意识和Active Directory意识的应用程序可以将它们自己的配置信息与一个经过良好定义的对象建立关联。
并发LDAP绑定 出于对用户进行身份验证的目的,您可以对同一个连接上的多个轻量级目录访问协议(LDAP)实施绑定。应用程序开发人员可以利用本特性,极大提高LDAP绑定的性能,同时对向Active Directory发出的请求实施身份验证。
域控制器超载预防 如果域中已经包含大量域成员,而且这些成员已经升级到Windows 2000和Windows Server 2003,本特性能够防止在域中引入的第一台Active Directory域控制器出现过载现象。
Windows NT Server 4.0域可以包含Windows 2000和Windows Server 2003域成员,这些成员既可以是客户机也可以是服务器。在主域控制器(PDC)被升级到Windows 2000 Service Pack 2(SP2)或者升级到Windows Server 2003,它可以被配置,以模拟Windows NT 4.0域控制器的行为。Windows 2000和 Windows Server 2003域控制器和Windows NT 4.0域控制器没有什么区别。
为了适应管理员的特殊需要,运行Windows 2000 SP2或Windows Server 2003的域成员可以进行配置,以便通知运行Windows 2000 SP2或Windows Server 2003的域控制器不要为响应Windows NT 4域控制器而模拟其行为。
全局编录复制的优化 在进行全局编录复制的Windows Server 2003域中,您可以调整全局编录同步的状态而不是对其进行复位处理,由于仅仅传输被添加的属性即可,由于部分属性集(Partial Attribute Set,PAS)扩展而导致的工作将被降低到最小。其获得的整体优势便是:降低了复制流量并提高了PAS更新的效率。
组成员关系复制的改进 在森林被提升到Windows Server 2003的森林本机模式( Forest Native Mode)之后,组成员关系改为存储和 复制单个成员的值,而不是将整个成员关系作为一个单元加以对待。其结果便是:在复制期间更低的网络带宽和处理器占用,并且消除了由于同步更新造成更新数据丢失的可能。
LDAP得到了扩展,以支持动态条目的存活时间(Time to Live,TTL) Active Directory可以存储动态实体。这些实体指定了一个存活时间(TTL)值。用户可以修改TTL值,让实体的存活时间比现在更长一些。LDAP C 语言API已经得到了扩展,以支持这项新的功能。这使得应用程序的开发人员能够将不需要保持太长时间的信息保存在目录之中,并且在TTL到期后,让Active Directory自动删除这些信息。
支持64位部署 组策略设置现在可以用来管理64位软件部署。应用程序部署编辑器(Application Deployment Editor,ADE)中的选项能够帮助您确定32位的应用程序是否应该部署在64位客户机上。您可以使用组策略确保只有正确的应用程序部署在64位客户端上。
Active Directory 的系统管理和配置管理
Windows Server 2003 增强了管理员有效配置和管理Active Directory的能力,即便是拥有多个森林、域和站点的超大型企业也可以得到轻松的管理。
利用新的安装向导配置Active Directory
新的“配置您的服务器”向导简化了设置Active Directory的过程,并且针对特定的服务器角色提供了经过预先定义的设置,它的优点之一便是:能够帮助管理员对服务器的初始化部署方式实施标准化。
在服务器安装期间,管理员可以获得帮助,通过帮助用户安装他们在Windows安装过程中选择需要的可选组件,服务器的安装过程变得更加便利。他们可以使用该向导执行以下工作:
• 通过使用基本的默认设置自动配置DHCP、DNS和Active Directory,建立网络中的第一台服务器。
• 在用户安装文件服务器、打印服务器、Web和媒体服务器、应用服务器、RAS和路由或者IP地址管理服务器的时候,为用户指出完成安装所需的特性,从而帮助用户在网络中配置成员服务器。
管理员可以使用本特性进行灾难恢复,将服务器配置复制到多台计算机上,完成安装,配置服务器角色,或者在网络中建立第一个配置或主服务器。
其它管理特性和改进
特性 描述
自动创建DNS区域 在运行Windows Server 2003操作系统时,DNS区域和服务器可以自动创建并配置。您可以在企业中创建它们以托管新的区域。本特定可以极大减少手动配置每台DNS服务器所需的时间。
得到改进的站点间复制拓扑生成过程 站点间拓扑生成器(ISTG)已经得到更新,不仅可以利用改进过的算法,而且能够支持比在Windows 2000下拥有更多数量站点的森林。因为森林中的所有运行ISTG角色的域控制器都必须在站点间复制拓扑方面取得一致,新的算法在森林被提升到Windows Server 2003森林本机模式之前不会被激活。新的ISTG算法跨越森林提供了得到改善的复制性能。
DNS 配置增强 本特性简化了DNS错误配置的调试和报告过程,有助于正确配置Active Directory部署所需要的DNS基础结构。
这包括了在一个现有森林中提升某个域控制器的情况,“Active Directory安装向导”会与现有的一台域控制器进行联系,以更新目录并从该域控制器复制必需的目录部分。如果向导由于不正确的DNS配置而无法找到域控制器 ,或者域控制器发生故障无法使用,它将执行调试过程,报告产生故障的原因,并指出解决该故障的方法。
为了能够找到网络中的域控制器,所有的域控制器都必须登记它的域控制器定位DNS记录。“Active Directory安装向导”会验证DNS基础结构是否得到了正确的配置,以便新的域控制器能够进行域控制器定位DNS记录的动态更新。如果此项检查发现了不正确的DNS基础结构配置,它将报告相关问题,并给出解释,告知修复该问题的方法。
通过媒介安装副本 和通过网络复制Active Directory数据库的完整副本不同,本特性允许管理员通过文件创建初始副本,这些文件是在对现有域控制器或者全局编录服务器进行备份的时候所生成的。任何具有Active Directory意识的备份工具所创建的备份文件都可以使用媒介(例如磁带、CD、VCD或者网络文件复制)传输到候选域控制器上。
迁移工具增强 Active Directory迁移工具(ADMT)在Windows Server 2003中得到了增强,它可以提供:
口令迁移。ADMT version 2 允许用户将口令从Windows NT 4.0 迁移到 Windows 2000 或 Windows Server 2003 域中,也可以将口令从Windows 2000 域迁移到Windows Server 2003 域中。
新的脚本接口。对于大多数常见的迁移工作,例如用户迁移、组迁移和计算机迁移,我们提供了新的脚本接口。ADMT现在可以通过任何语言驱动,并且支持COM接口,例如Visual Basic® Script、Visual Basic以及Visual C++®开发系统。
命令行支持。脚本接口已经得到了扩展,以支持命令行。所有可以通过编写脚本来完成的工作都可以直接通过命令行或者批处理文件完成。
安全性转换改进。安全性转换(例如在ACL内重新调配资源)得到了扩展。现在,源域可以在安全性转换运行的时候被脱离。ADMT还可以指定一个映射文件,并用该文件作为安全性转换的输入。
ADMT version 2 让用户向Active Directory的迁移工作变得简单了,而且提供了能够实现自动化迁移的更多选项。
特性 描述
应用程序目录分区 Active Directory服务将允许用户创建新类型的命名上下文环境,或者分区(又称作应用程序分区)。该命名上下文环境可以包含除安全主体(用户、组和计算机)之外的各种类型对象的层次结构,而且能够被配置为复制森林中的任何域控制器集合,而不一定是相同域中的所有域控制器。
通过对复制范围和副本位置加以控制,本特性为用户提供了在Active Directory中托管动态数据的能力,而且不会对网络性能造成不利影响。
存储在应用程序分区中的集成化DNS区域 Active Directory 中的DNS区域可以在应用程序分区中存储和复制。通过使用应用程序分区存储DNS数据,减少了存储在全局编录中的对象数量。除此之外,当您在应用程序分区中存储DNS区域的时候,只有在应用程序分区中指定的部分域控制器会被复制。默认情况下,特定于DNS的应用程序分区仅仅包含那些运行DNS服务器的域控制器。此外,在应用程序分区中存储DNS区域使得DNS区域可以被复制到位于Active Directory森林其它域中充当DNS服务器的域控制器上。通过将DNS区域集成到应用程序分区中,我们可以限制需要复制的信息数量,并且降低复制所需的整体带宽。
得到改进的DirSync 控件 本特性改善了Active Directory对一个名为“DirSync”的LDAP控件的支持,该控件被用来从目录中获得发生了变化的信息。DirSync控件可以用来进行一些检查,这些检查类似于在正常的LDAP搜索上进行的检查。
功能级别 和Windows 2000的本机模式类似,本特性提供了一种版本控制机制,Active Directory的核心组件可以利用该机制确定域和森林中的每台域控制器都拥有那些功能特性。此外,本特性还可以用来防止Windows Server 2003以前的域控制器加入到一个全部使用Windows Server 2003的Active Directory特性的森林中。
取消架构属性和分类的激活状态 Active Directory已经得到了增强,以允许用户停用Active Directory架构中的某些属性和分类。如果原始定义中存在错误,属性和分类可以被重新定义。
在将属性或分类添加到架构中时,如果在设置一个永久性属性的时候发生了错误,停用操作将为用户提供了一种取代该定义的手段。本操作是可逆的,管理员可以撤销某个停用操作而不会产生任何不良的副作用。现在,管理员在管理Active Directory的架构方面拥有了更多的灵活性。
域的重命名 本特性允许用户修改森林中现有域的DNS和(或)NetBIOS名称,同时保证经过修改的森林依然保持良好的组织结构。经过重新命名的域由它的域全局唯一ID(GUID)所代表,它的域安全ID(SID)并没有发生改变。此外,计算机的域成员关系也不会因为其所在域的名称发生变化而变化。
本特性没有包括对森林根域的修改。虽然森林的根域也可以被重命名,但是您不能指定一个其它的域来代替现有的根域而变成一个新的森林根。
域的重命名会导致服务中断,因为它要求重新启动所有的域控制器。域的重命名还需要被重命名域中的所有成员计算机都必须重新启动两次。虽然本特性为域的重命名提供了一种受支持的手段,但是它既没有被视作一种例行的IT操作,也没有成为例行操作的意图。
升级森林和域 Active Directory已经在安全性和应用程序支持方面添加了很多改进。在现有域或森林中运行Windows Server 2003操作系统的第一台域控制器得到升级之前,森林和域必须为这些新的功能特性做好准备。Adprep便是一个新的工具,用来帮助用户准备森林和域的升级。如果您是从Windows NT 4.0进行升级,或者在运行Windows Server 2003的服务器上执行Active Directory的全新安装,那么您不需要使用Adprep工具。
复制和信任监视 本功能允许管理员对域控制器之间是否成功地复制了信息加以监视。因为很多Windows组件(例如Active Directory复制)都依赖于域间的相互信任,本特性还为信任关系正确发挥作用提供了一种方法。
Active Directory的组策略特性
组策略的管理
Microsoft 组策略管理控制台(GPMC)是针对组策略管理的最新解决方案,它能够帮助您更具成本效益地管理企业。该控制台由一个新的Microsoft 管理控制台(MMC)管理单元和一组编写脚本的组策略管理接口组成。在Windows Server 2003发布之前,GPMC将作为一个单独的组件提供给用户。
GPMC的目的
GPMC的设计目标在于:
• 通过为组策略的核心要素提供一个单一的管理位置,简化组策略的管理过程。您可以将GPMC 视作管理组策略的一个“一站式的购物场所”。
• 满足客户就组策略部署提出的主要要求,这主要通过以下手段得以实现:
• 一个能够让组策略变得更易于使用的用户界面。
• 组策略对象(GPO)的备份/恢复
• GPO的导入/导出和复制/粘贴,以及Windows管理规范(WMI)过滤器。
• 基于组策略实现的、更简单的安全性管理
• GPO设置的HTML报告
• 组策略结果和组策略建模数据(以前被称作策略结果集)的HTML报告
• 围绕该工具内部所暴露的GPO操作编写脚本――而不是围绕GPO设置编写脚本
在GPMC出现之前,管理员需要使用数个Microsoft工具来管理组策略。GPMC将这些工具所拥有的现有组策略功能以及上面所介绍的新增功能结合到了一个单一、统一的控制台中。
管理Windows 2000 和 Windows Server 2003 域
GPMC可以使用Active Directory 服务管理基于Windows 2000 和 Windows Server 2003的域。在这两种域之中,用来运行工具并且用作管理目的的计算机必须安装以下操作系统和组件之一:
• Windows Server 2003
• Windows XP Professional with Service Pack 1(SP1);SP1后的其它热修补程序;以及Microsoft .NET Framework。
更多信息,请参看利用组策略管理控制台实现企业管理。
其它组策略特性和改进
特性 描述
重新定向默认的用户和计算机容器 Windows Server 2003 提供的工具能够自动将新的用户和计算机对象重新定向到应用了组策略的指定组织单位中。
这种做法可以帮助管理员避免出现新添用户和计算机对象出现在域的根级别的默认容器中这种情况。类似这样的容器并不是为保存组策略链接而设计的,而且客户端也不能从这些容器上读取或应用组策略。本特性可以强迫使用这些容器的许多客户引入域级别的组策略,而在很多情况下,这种策略是难于使用的。
实际上,Microsoft建议用户创建一个富有逻辑层次的组织单位,并且使用它保存新近创建的用户和计算机对象。管理员可以使用两个新的资源工具包工具――RedirUsr 和 ReDirComp――为三个遗留的API(NetUserAdd()、NetGroupAdd()、NetJoinDomain() )指定一个备用的默认位置。这允许管理员重新将默认位置定向到更为适合的组织单位,然后直接在这些新的组织单位上应用组策略。
组策略结果 组策略结果(Group Policy Results)允许管理员确定并分析当前应用在某个特殊目标上的策略集合。通过组策略结果,管理员能够查看目标计算机上现有的策略设置。组策略结果以前被称作日志模式的策略结果集(Resultant Set of Policy)。
组策略建模 组策略建模(Group Policy Modeling)意在帮助管理员规划系统的增长和重新组织。它允许管理员挨个查看现有的策略设置、应用程序以及某个假设情境的安全性。在管理员决定必须对现有设置进行修改之后,他们可以进行一系列的测试,以查看在用户或用户组被移动到另一个位置、另一个安全组或者另一台计算机后,究竟会发生何种情况。这包括了在所做的修改生效之后,应该应用哪些策略设置或者自动加载哪些策略设置。
组策略建模为管理员带来了极大的便利,因为在网络中真正实施修改之前,管理员能够通过组策略建模对策略进行全面测试。
新的策略设置
Windows Server 2003 包括了超过150个的新的策略设置。这些策略设置为用户定制和控制操作系统针对特定用户组的行为提供了手段。这些新的策略设置可以影响到诸如错误报告、终端服务器、网络和拨号连接、DNS、网络登录请求、组策略以及漫游配置文件这样的功能。
Web 视图管理模板 该特性加强了“组策略管理模板”扩展管理单元,用户可以通过它查看与不同策略设置有关的详细信息。在选择了某个策略设置之后,有关该设置的行为的详细信息以及该项设置应用在何处的附加信息便显示在“管理”模板用户界面的“Web”视图中。此外,这些信息也可以通过每个设置的“属性”页面上的“解释”选项卡进行查看。
管理DNS客户端 管理员可以在Windows Server 2003上使用组策略配置DNS客户端设置。在调整DNS客户端设置时――例如启用和禁用客户端的DNS记录的动态注册,在名称解析时使用主DNS后缀以及填充DNS后缀列表等,这种做法可以大大简化域成员的配置过程。
“我的文档” 文件夹的重定向 管理员可以使用本特性将用户从一个主目录形式的旧有部署过渡到“我的文档”模式,同时和现有的主目录环境保持兼容性。
在登录时完全安装指派给用户的应用程序 应用程序部署编辑器(Application Deployment Editor)包含了一个新的选项,它允许一个指派给用户的程序在用户登录时进行完全的安装,而不是根据需要进行安装。这样,管理员便可以确保相应的应用程序能够自动安装在用户的计算机上。
Netlogon 本特性能够在基于Windows Server 2003的计算机上使用组策略配置Netlogon设置。在调整Netlogon设置(例如启用和禁用特定于域控制器的定位DNS记录的动态注册,定期刷新这样的记录,启用和禁用自动站点覆盖,以及其它许多Netlogon参数)的时候,它能够简化配置域成员所需的步骤。
网络和拨号连接 Windows Server 2003 网络配置用户界面可以通过组策略被特定的(有限制的)用户所使用。
分布式事件策略 WMI 事件基础结构经过了扩展,可以运行在一个分布式的环境之中。该项增强由数个能够完成WMI事件的订阅配置、筛选、关联、汇集和传输的组件组成。ISV 可以利用更多的用户接口和策略类型定义实现健康状况监视、事件日志、通知、自动恢复以及计费等功能。
禁用凭据管理器 作为Windows Server 2003拥有的一项新功能,凭据管理器(Credential Manager)简化了用户凭据的管理过程。组策略允许您禁用凭据管理器。
面向软件部署的支持URL 本特性能够为软件包编辑和添加一个支持URL。在应用程序出现在目标计算机上的“添加/删除程序”中时,用户可以通过这个支持URL前往支持页面。本特性有助于降低支持部门所接听支持电话的数量。
WMI 筛选 Windows管理规范(WMI)能够收集与计算机有关的大量数据,例如硬件和软件清单、设置、和配置信息等。WMI从注册表、驱动程序、文件系统、Active Directory、简单网络管理协议(SNMP)、Windows Installer服务、结构化查询语言(SQL)、网络以及Exchange Server处收集这些信息。Windows Server 2003 中的WMI 筛选(WMI Filtering)允许您根据对WMI数据的查询,动态地确定是否应用某个GPO。这些查询(又称作WMI过滤器)决定了哪些用户和计算机能够获得在您用来创建过滤器的GPO中配置的策略设置。本功能让您能够根据本地计算机的属性动态地应用组策略。
例如,某个GPO可能向特定组织单位中的用户指派了Office XP。但是,管理员不能肯定是否组织中所有的旧桌面计算机都拥有足够的硬盘空间来安装该软件。在这种情况下,管理员便可以结合使用WMI过滤器和GPO,只向拥有超过400MB以上剩余硬盘空间的用户指派Office XP。
终端服务器 管理员可以使用组策略管理用户使用终端服务器的方式,例如强制进行重定向,口令访问以及墙纸设置。
Active Directory的安全性增强
在Windows Server 2003产品家族中,Active Directory已经得到了增强,具有了更多的安全特性,从而让管理员管理多个森林和跨域信任的工作变得更轻松。此外,新的凭据管理器为用户凭据和X.509证书提供了一个安全的存储场所。
利用森林信任管理安全性
森林信任是一种新的Windows信任类型,可以对两个森林之间的安全关系加以管理。该特性极大地简化了跨森林的安全管理,并且允许信任森林在它信任的其它森林的安全主体名称上应用约束,以执行身份验证。本特性包括:
森林信任
• 通过在两个森林的根域之间建立一条信任链接,新的信任类型允许一个森林中的所有域(可传递)地信任另一个森林中的所有域。
• 森林信任在森林级别不能跨越三个或者更多的森林进行传递。如果森林A 信任森林B,而且森林B 信任森林C,那么这并不表明森林A和森林C之间能够建立任何信任关系。
• 森林信任可以是单向的,也可以是双向的。
信任管理
• 新的向导简化了所有类型的信任链接的创建过程,特别是森林信任。
• 新的属性页允许您管理与森林信任关联的被信任名称空间。
被信任的名称空间
• 受信任的名称空间用来路由针对特定安全主体的身份验证和授权请求,这些主体的帐户在被信任森林中进行维护。
• 一个森林所发布的域、用户主体名称(UPN)、服务主体名称(SPN)以及安全标识符(SID)的名称空间在森林信任创建之时会被自动收集,并且可以通过“Active Directory域和信任”用户界面得到刷新。
• 森林在受到信任后,在“先到先服务”的基础上,它便对它所发布的名称空间拥有了权威性,只要它们与现有森林信任关系的被信任名称空间不发生冲突。
被信任名称空间的相互重叠现象会自动得到预防。管理员也可以手动禁用某个被信任的名称空间。
其它安全特性和改进
特性 描述
跨森林身份验证 当用户帐户属于一个森林,而计算机帐户属于另一个森林时,跨森林的身份验证能够实现对资源的安全访问。本特性允许用户使用Kerberos或NTLM验证,安全地访问其它森林中的资源,而不必牺牲由于只需在用户的主森林中维护一个用户ID和口令所带来的单点登录和其它管理方面的好处。跨森林身份验证包括:
名称解析
当Kerberos和NTLM 不能在本地域控制器上解析一个主体名称时,它们会调用全局编录。
当全局编录无法解析该名称时,它将调用一个新的跨森林名称匹配功能。
该名称匹配功能将安全主体名称与来自所有被信任森林的被信任名称空间进行比较。如果找到匹配的名称空间,它便将被信任森林的名称作为一个路由提示返回。
请求的路由
Kerberos和NTLM使用路由提示将身份验证请求沿着信任路径从源域发送给可能的目标域。
对于Kerberos,密钥颁发中心(Key Distribution Centers,KDC)会生成沿着信任路径的引用,客户机以标准的Kerberos方式跟踪这些引用。
对于NTLM,域控制器使用pass-through身份验证,沿着信任路径穿过安全通道传递该请求。
受支持的身份验证
Kerberos 和 NTLM 网络登录,用来远程访问另一个森林中的服务器。
Kerberos 和 NTLM 交互式登录,用来进行用户主森林之外的物理登录。
到另一个森林中的N层应用的Kerberos 委派。
完全支持用户主体名称(UPN)凭据
跨森林授权 跨森林授权让管理员能够轻松地从被信任森林中选择用户和组,以便将他们包括在本地组或者ACL之中。本特性维护了森林安全边界的完整性,同时允许在森林之间建立信任关系。在来自被信任森林的用户试图访问受保护的资源时,它能让信任森林在它将要接受的安全标识符(SID)上施加某些约束和限制。
组成员关系和ACL管理
对象选取程序已经得到了增强,以便从被信任森林中选择用户或组。
名称必须完整输入。不支持枚举和通配符搜索。
名称-SID 转换
对象选取程序和ACL编辑器使用系统API存储组成员和ACL项目的SID,并且将其转换回友好名称以便于显示。
名称-SID转换API得到了增强,可以使用跨森林的路由提示,并且能够沿着信任路径充分利用域控制器之间的 NTLM安全通道,以解析来自被信任森林的安全主体名称或SID。
SID过滤
在授权数据从受信任森林的根域传递到信任森林的根域时,SID将受到过滤。信任森林仅仅接受和它信任的域有关并且接受其它森林管理的SID。其它任何SID都回被自动丢弃。
SID过滤自动应用在Kerberos和NTLM身份验证以及名称-SID转换上。
交叉证书增强 Windows Server 2003客户端的交叉证书特性已经得到了加强,它现在拥有了部门级和全局级的交叉证书能力。例如,WinLogon现在可以执行对交叉证书的查询,并且将它们下载到“企业信任/企业存储”中。随着链条的建立,所有的交叉证书都将被下载。
IAS 和跨森林身份验证 如果Active Directory森林处于“跨森林”模式,并且建立了双向信任,那么Internet身份验证服务/远程身份验证拨入用户服务器(IAS/RADIUS)便可以通过本特性对另一个森林中的用户进行身份验证。这使得管理员可以轻松地将新的森林与森林中现有的IAS/RADIUS服务集成在一起。
凭据管理器 凭据管理特性为用户凭据(包括口令和X.509证书)的存储提供了一个安全的场所。它还为包括漫游用户在内的用户提供了连续一致的单点登录体验。例如,在用户访问公司网络内部的某个业务应用的时候,对该应用的首次尝试需要身份验证,用户需要提供一个凭据。在用户提供了该凭据之后,凭据便与被请求的应用程序建立了关联。在用户对该应用的后续访问中,可以重复使用保存下来的凭据,而不会再次提示用户提供凭据。
总结
在Windows 2000的原有基础之上,Windows Server 2003中的Active Directory将重心放在了管理工作的简化、通用性以及无可匹敌的可靠性上面。和以往相比,Active Directory已经成为了构建企业网络的坚实基础,因为它可以:
• 充分利用现有投资,以及对目录进行合并管理。
• 扩展管理控制的范围,减少冗余的管理工作。
• 简化远程集成,更有效地使用网络资源。
• 为基于目录的应用提供了一个强大、可靠的开发和部署环境。
• 降低TCO并且改善IT资源的利用效率