属性(attribute)--对象的单一属性。对象通过它们的属性值进行描 述。例如,可以用属性这样来定义一辆车:制造商、模型、颜色等等。属性这个术语和特性这个词可以相互使用,它们使完全一样的。属性也是用来描述对象的数据项,这些对象通过模式中定义的类来表现的。在模式中,属性和类使分开定义的;这样使得一个属性可以在多个类中使用。
对象(object)--由一组属性组成的集合,它代表的是具体的事物,例如用户、打印机或一个应用程序。属性就是用来描述目录对象可以标识的数据。一个用户的属性可能是用户姓、教名和电子邮件地址。
容器(container)--一种特殊的活动目录对象类型。容器与其他的活动目录对象一样具有属性,并且它是活动目录名字空间中的一部分。但是,与其他对象不同的是,它没有具体的表现形式。容器中可以包括一组对象和其他容器。。
组织单元(organizational unit,简称OU)--一个容器对象,它是活动目录可管理的划分。OU可以包含用户、小组、资源和其他OU。组织单元可以管理权限委托给目录中的子树。
授权(authentication)--确定用户的身份,即确定究竟是谁登录到计算机系统中的,或确定事物的完整性。
目录服务(directory service)--例如活动目录,提供存储目录数据并且使它可以被网络用户和管理员访问的方法。例如,活动目录存储有关用户帐号的信息,例如姓名、密码、电话号码等等,同时还可以使同一网络中的其他授权用户访问这些信息。
全局编录(global catalog,简称GC)--全局编录包括目录中每一个 Windows 2000域的复制。全局编录允许用户和应用程序在活动目录域树中寻找给定一个或多个属性的目标对象。它还包括目录分区的模式和配置。这就是说全局编录拥有 活动目录中每一个对象的复制,但是只包括每一个对象的一部分属性。活动目录中的属性都是一些在查询中经常使用的(例如用户的姓、名、登录名称等等)和那些 在定位对象的完全复制时需要使用的。GC允许用户在不知道对象属于哪个域以及不需要连续扩展名字空间时对它们进行查找。全局编录通过活动目录复制系统自动 创建。组策略(Group Policy)--指将策略应用到活动目录容器中的计算机组和 /或用户。所包括的策略类型不仅是出现在Windows NT服务器4.0中的基于注册的策略,还可以是目录服务所允许的用来存储策略数据的多种类型,例如:文件配置、应用程序配置、登录和注销脚本、启动和关机 脚本、域安全、Internet协议安全(Internet Protocol security,简称IPSec)等等。
【
全 局编录(Global Catalog,简称GC)是域林中所有对象的集合,是一台特殊的域控制器。默认情况下,在林中的初始域控制器上,会自动创建全局编录,其他域控制器也可 以被指派为全局编录服务器,用于实现网络负载平衡和冗余。全局编录服务器负责响应网络中所有的全局编录查询,一旦出现问题,用户将无法查询和登录
GC服务器中存储的数据都是用户搜索操作中最常用的部分,可以为用户提供高效的搜索,避免再去调用域控制器中的Active Directory数据库对网络性能带来的影响。
】
域(domain)--基于Windows NT的计算机网络的安全边界。活动目录由一个或多个域组成。在一个独立的工作站上,域就是计算机自身。域可以跨越多个物理区域。每一个域都有自己的安全策 略和与其他域的安全关系。当多个域通过信任关系连接起来,并且共享一个模式、配置和全局编录的时候,它们组成一个域树。多个域树可以组成一个森林。
域控制器(domain controller)--一个基于Windows NT的服务器拥有一个活动目录分区。
主域控制器(primary domain controller,简称PDC)--Windows NT Server 4.0或早期的域中,PDC是运行Windows NT Server 的计算机,这个计算机授权域登录并且维护域的目录数据库。PDC跟踪域中所有计算机帐户所做的改变。它是唯一可以直接接受变化的计算机。一个域只有一个主 域控制器。Windows 2000中,每一个域中的一个域控制器标记为PDC,它可以向下兼容客户机和服务器。
站点(site)--网络中拥有活动目录服务器的位置。站点是一个或多个完好连接的TCP/IP子网。完好连接是指网络连接高度可靠、速度快。(LAN的速度,10Mbps或更高的)。
在活动目录复制服务中站点起着非常重要的作用,它可以区分使用局域网连接(站点内复制)和慢速广域网(WAN)连接(站点间)的复制。管理员使用活动目录站点和服务管理器插件来管理站点内复制和站点间复制的复制拓扑关系图。
树(tree)--通过可传递、双向信任关系连接在一起的Windows NT域的集合,它们共享相同的模式、配置和全局编录。域必须组成层次式的名字空间,例如,a.com是树根,b.a.com是a.com的孩子,c.b.a.com是b.a.com的孩子等等。
森林(forest)--相互信任的一个或多个活动目录树形成的小组。森林中的所有树共享一 个模式、配置和全局编录。当一个森林包括多个树的时候,所有的树不是形成连续的名字空间。给定森林中的所有树通过信任关系的双向传递相互彼此信任。与树不 同的是,森林不需要一个可分辨的名称(DN)。森林作为一组交叉引用的对象和成员树之间的信任关系而存在。森林中的树形成一层次信任关系。
策略的集合称为组策略对象(Group Policy object,简称GPO)。
组策略对象(Group Policy object,简称GPO)--策略的虚拟 集合。它有一个唯一的名称,例如一个全局唯一标识符(globally unique identifier,简称GUID)。
策略设置:组策略容器(Group Policy container,简称GPC)(首选的)和组策略模板(Group Policy templet,简称GPT)。GPC是一个活动目录对象,存储版本信息、状态信息和其他策略信息(例如应用程序对象)。GPT用于基于文件的数据并且存 储软件策略、脚本和配置信息。GPT位于域控制器的系统卷文件夹上。
一个GPO可以于一个或多个活动目录容器相关,例如站点、域或组织单元。多个容器可以与相同的GPO相关联同时一个容器可以与一个或多个GPO相互关联。
此外,缺省的,每一个计算机接受一个只包含指定安全策略的局部组策略对象(local Group Policy object,简称LGPO)。管理员也可以在单个计算机上设置和应用不同的局部组策略。这对于那些不是域的成员或那些管理员希望删除从域中继承组策略的 计算机的情况是有力的。参见"组策略"。
轻型目录访问协议(Lightweight Directory Access Protocol ,简称LDAP)--用来访问目录服务 的一种协议。目前的 Web 浏览器和电子邮件程序中都实现了LDAP,这样就可以查询一个LDAP目录。LDAP是目录访问协议(Directory Access Procotol ,简称DAP)的一个简化版本,可以用来访问X.500目录。编写LDAP查询代码比DAP简单,但是LDAP的功能不是十分完善。例如,如果没有找到地 址,DAP可以在其他的服务器上进行初始化寻找,但是LDAP就不具备这个功能。LDAP是活动目录的主要的访问协议。
父子信任关系(parent-child trust relationship)--一种双向、可传递的信任关系,当向一个活动目录树添加域时建立。活动目录安装过程自动为正在创建的域(新的子域)和它的父域之间创建信任关系。