电脑技术学习

Active Directory概述(一)

dn001

目录服务是一种分布式数据库,用于存储与网络资源有关的信息,以便于查找和管理。Microsoft Active Directory 是用于 Windows 2000 的最新目录服务实现。涉及目录服务的基本问题围绕着可以将哪些信息存储在数据库中,存储的方式是什么,如何查询特定的信息,以及如何对结果进行处理。Active Directory 包含目录服务本身,以及允许访问支持 X.500 命名规则的数据库的从属服务。

可以使用某个用户名来查询目录,以获取相关信息,如用户的电话号码或者电子邮件地址。目录服务也是非常灵活的,可以进行归纳查询(“打印机在什么位置?或“服务器的名称是什么?),以查看可用打印机或服务器的归纳列表。

目录服务还具有给用户提供到整个企业网络的单个入口点的优点。用户可以查找和使用整个网络资源,而无需了解资源的确切名称或位置。也可以使用统一的网络组织及其资源逻辑视图来管理整个网络。

为确保设计出最有效、最可靠的 Active Directory,必须了解网络的逻辑结构和物理结构。研究和了解组织的业务结构和*作也是非常重要的。Active Directory 将域的逻辑结构从实际物理结构中独立出来。

逻辑结构

网络的逻辑结构是由无形的项目组成的,如对象、域、目录树和目录林。

Active Directory 的基本结构块是对象,这是一个代表网络资源的已命名特定属性集。对象属性是目录中对象的特征。对象也可以按类进行分组,类是对象的逻辑分组。用户、组和计算机是不同对象类的例子。

在最低一层,某些对象代表网络上的单个实体,如用户或计算机。这些实体称为叶对象,它们不能包含其它对象。但是,为了简化目录的管理和组织,可以将叶对象放在其它对象(称为容器对象)内部。容器对象也可以采用嵌套(或层次)形式包含其它容器。

容器对象最常用的类型是组织单元 (OU)。可以使用 OU 将对象进行分类,并将域变成某种类型的逻辑管理分组。尤其要注意的是,域中 OU 的结构和层次与任何其它域的结构无关。

所有网络对象只能在一个域中存在(无论是叶对象还是容器对象)。为反映组织网络的特点,可以使用域将相关对象分成一组。每个创建的域仅存储所包含对象的信息,而不存储其它对象的信息。目前,在域中可维护的对象数量的上限为一百万。

每个域表示一个安全边界。对每个域中对象的访问是由访问控制项 (ACE) 控制的,后者包含在访问控制列表 (ACL) 中。这些安全设置并不跨越域边界。在 Active Directory 中,域也可以称为“分区。因为域是 Active Directory 数据库的物理分区,所以您既可以按照业务功能(人力资源、销售或财务),也可以按照位置(地理或相对)建立其结构。

当将相关域分成一组以便共享全局资源时,您就创建了“目录树。尽管目录树可以只包含一个域,但是您可以将层次结构中相同名称空间的多个域合并在一起。可以使用基于 Kerberos 的安全功能,通过双向信任关系将目录树中的域透明地连接在一起。这些信任关系可以是永久性的(不能被删除),也可以是暂时的。换句话说,如果域 A 信任域 B,而域 B 信任域 C,则域 A 信任域 C。