搜索
ActiveDirectory结构操作系统白皮书摘要要发挥Microsoft®Windows®2000Server操作系统的最大作用,必须首先了解ActiveDirectory™目录服务。ActiveDirectory是Windows2000操作系统的新内容,它在实施组织的网络、进而实现组织的商业目标中占有重要地位。本文向网络管理员介绍ActiveDirectory,解释其结构,阐述其如何与应用程序及其他目录服务进行交互操作。本文以Windows2000Beta3发行时有效的信息为基础。在Windows2000Server的最终版本发行之前,本文提供的信息可能会随时更改。简介要想了解Windows2000操作系统如何实现其功能,及其对完成企业目标能够提供哪些帮助,就必须先了解ActiveDirectory™目录服务。本文从以下三个方面介绍ActiveDirectory:•存储。ActiveDirectory,即Windows®2000Server目录服务,可分层存储网络对象的信息,并向管理员、用户和应用程序提供这些信息。本文首先解释目录服务的概念、ActiveDirectory服务与Internet域名系统(DNS)的集成,以及当您将服务器指定为域控制器1时,ActiveDirectory是如何实现的。•结构。使用ActiveDirectory,可以根据结构组织网络及其对象,这些结构包括域、目录树、目录林、信任关系、部门(OU)和站点。本文第二节阐述这些ActiveDirectory组件的结构和功能,以及管理员采用该体系结构对网络实施管理的方式,从而有助于用户实现其商业目标。•相互通信。ActiveDirectory以标准目录访问协议为基础,因此能够与其他目录服务进行交互操作,并可接受遵守这些协议的第三方应用程序的访问。最后一节阐述ActiveDirectory与其他各种技术进行通信的方式。ActiveDirectory的优点在Windows2000操作系统中引入ActiveDirectory有以下优点:•与DNS集成。ActiveDirectory使用域名系统(DNS)。DNS是一种Internet标准服务,它将用户能够读取的计算机名称(例如mycomputer.microsoft.com)翻译成计算机能够读取的数字Internet协议(IP)地址(由英文句号分隔的四组数字)。这样,在TCP/IP网络计算机上运行的进程即可相互识别并进行连接。•灵活的查询。用户和管理员如果要通过对象属性快速查找网络中的对象,可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是ActiveDirectory用户和计算机管理单元。例如,您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。而且,使用全局编录优化了查找信息的操作。1•可扩展性。ActiveDirectory是可扩展的;也就是说,管理员既可以在架构中添加新的对象类别,也可在原有的对象类别中添加新属性。架构包含每个对象类别的定义,以及能够存储于目录中的每个对象类别的属性。例如,您可能会为User对象添加PurchaseAuthority属性,然后将每个用户的购买权限额保存为用户帐户的一部分。•基于策略的管理。组策略是在初始化时应用于计算机或用户的配置设置。所有组策略设置都包含在应用于ActiveDirectory站点、域或部门的组策略对象(GPO)中。GPO设置决定了对目录对象和域资源的访问权限、用户可使用的域资源(如应用程序),以及这些域资源针对其用途的配置方式。•可伸缩性。ActiveDirectory包括一个或多个域,每个域均有一个或多个域控制器,由此,您能够对目录进行自由扩展,从而满足所有网络的需求。多个域可合并成一个域目录树,多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中,该域既是一个目录树,又是一个目录林。•信息复制。ActiveDirectory使用多主机复制,使您可以更新任何域控制器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控制器包含同样的目录数据,所以,如果域内的一个域控制器速度变慢、停止或出现故障,同一域内的其他域控制器即可提供必要的目录访问功能。•信息安全。在Windows2000操作系统中,用户身份验证和访问控制的管理都与ActiveDirectory完全结合在一起,这是该系统的一项关键性安全功能。ActiveDirectory将身份验证集中进行。不仅可以定义对目录中每个对象的访问控制,还可定义对每个对象的每个属性的访问控制。此外,ActiveDirectory还为安全策略提供了存储区和应用范围。(关于ActiveDirectory登录身份验证和访问控制的详细信息,请参阅本文结尾外的“其它信息”。)•互操作性。由于ActiveDirectory以标准目录访问协议(例如轻型目录访问协议(LDAP))为基础,因此它能够与其他采用这些协议的目录服务进行交互操作。有些应用程序编程接口(API)--例如ActiveDirectory服务接口(ADSI)--允许开发者访问这些协议。在本文结尾,“附录A:工具”提供了一些软件工具的简要概述,您可以使用这些工具执行与ActiveDirectory有关的任务。ActiveDirectory目录服务在进入本文主要部分--ActiveDirectory结构与互操作性--之前,此节作为预备内容,从两个区别很大的角度简单介绍ActiveDirectory:•第一个角度是从ActiveDirectory的最抽象意义上介绍,即:ActiveDirectory是一个与Internet域名系统(DNS)集成的名称空间。•第二个角度是从ActiveDirectory的最普通意义上介绍,即:它是将服务器转换成域控制器的软件。在计算机网络上下文环境中,目录(又称数据存储区)是存储网络对象信息的分层结构。对象包括共享资源,如服务器、共享卷和打印机;网络用户和计算机帐户以;域、应用程序、服务、安全策略,以及网络上的其他所有内容。以下是网络目录可能存储的、与特殊对象类2型有关的、特定种类信息的一个示例:一般情况下,目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。目录服务与目录的不同之处在于:它既是目录信息源,又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。理想情况下,目录服务会使物理拓扑和协议(两个服务间传输数据所用的格式)透明化;这样,即使用户不知道资源的物理连接位置和连接方法,也能够访问资源。我们可以继续以用户帐户为例:正是目录服务使同一网络中的其他授权用户能够访问针对用户帐户对象所保存的目录信息(如电子邮件地址)。目录服务可支持多种不同的功能。有些目录服务与操作系统集成,有些则是一些应用程序,如电子邮件目录。ActiveDirectory等操作系统目录服务可提供对用户、计算机和共享资源的管理。MicrosoftExchange等处理电子邮件的目录服务使用户能够查找其他用户并发送电子邮件。ActiveDirectory是一种新型的目录服务,是Windows2000Server操作系统的核心,它只在域控制器中运行。ActiveDirectory不但为数据提供了存储区以及使该数据有效的服务,而且还保护了网络对象,使其免受未经授权的访问,并防止跨网络复制对象,这样,即使一个域控制器出现故障,也不会导致数据丢失。ActiveDirectory合并了DNSActiveDirectory和DNS都是名称空间。名称空间是任一有界区域,在其中对给定的名称进行解析。名称解析是把名称转换成该名称代表的某一对象或信息的过程。例如,电话号码簿组成了一个名称空间,其中的电话用户名可解析成电话号码。WindowsNTFS文件系统组成了一个名称空间,其中的文件名可解析为文件本身。DNS与Internet要理解Windows2000处理ActiveDirectory和DNS名称空间的方式,需要先了解有关DNS自身及其与Internet和TCP/IP之间关系的一些基本知识。Internet是一种TCP/IP网络。TCP/IP通讯协议连接计算机,并使计算机可通过网络传输数据。Internet或任何其他TCP/IP网络(如许多Windows网络)上的每台计算机都有一个IP地址。DNS定位TCP/IP主机(计算机)的方法是:将最终用户能理解的计算机名称解析成计算机能读懂的IP地址。可用分布到全球的DNS数据库来管理Internet上的IP地址,也可以在本地实施DNS,用于管理专用TCP/IP网络中的地址。DNS组织成不同层次的域,使整个Internet成为一个名称空间。DNS有几个顶级域,可进一步划分为第二级域。Internet域名空间的根由Internet职权部门(目前是Internet网络信息中心,简称InterNIC)管理,该部门负责代理对DNS名称空间顶级域名的管理职责,并负责注册第二级域名。顶级域名是一些大家熟悉的域类别,如商业组织(.com)、教育组织(.edu)、政府组织(.gov)等等。对于美国以外的国家和地区,则用两个字母的国家/地区代码来表示,如英国用.uk表示。第二级域名代表了以前在机构(和个体)中注册的名称空间,他们曾以这种方式实现了在Internet上的存在。图1显示了公司网络连接到InternetDNS名称空间的方式。3图1.Microsoft如何适应InternetDNS名称空间。DNS与ActiveDirectory名称空间的集成DNS与ActiveDirectory的集成是Windows2000Server操作系统的核心功能。DNS域和ActiveDirectory域对不同的名称空间使用相同的域名。因为两个名称空间共享一个相同的域结构,所以必须了解它们不是同一个名称空间。每个名称空间保存了不同的数据,因而管理不同的对象。DNS保存区域2以及资源记录;ActiveDirectory保存域和域对象。DNS的域名以DNS分层命名结构为基础,这是一个反向树结构:最上方是一个根域,下面是父域和子域(枝和叶)。例如,有个Windows2000域名是:child.parent.microsoft.com;这表明域名child是域名parent的子域,而parent本身也是域microsoft.com的一个子域。DNS域的每台计算机都可依据其完全合格的域名(FQDN)加以唯一识别。位于域child.parent.microsoft.com的计算机的FQDN是computername.child.parent.microsoft.com。每个Windows2000域都有一个DNS名称(如OrgName.com),并且每台基于Windows2000的计算机都有一个DNS名称(如AcctServer.OrgName.com)。因而,域和计算机都用ActiveDirectory对象和DNS节点来表示(DNS分层结构中的一个节点代表一个域或一台计算机)。DNS和ActiveDirectory均用数据库来解析名称:•DNS是一种名称解析服务。通过将DNS服务器接收的请求视为对DNS数据库的DNS查询,DNS将域名和计算机名解析成IP地址。具体地说,DNS客户机4把DNS名称查询发送到已配置的DNS服务器。DNS服务器先接收名称查询,然后通过本地保存的文件解析该名称查询,或咨询另一台DNS服务器进行解析。DNS不需要系统启动ActiveDirectory。•ActiveDirectory是一种目录服务。通过将域控制器接收的请求视为轻型目录访问协议(LDAP)3搜索,或改成对ActiveDirectory数据库的请求,ActiveDirectory将域对象名称解析成对象记录。具体而言,ActiveDirectory客户机使用LDAP向ActiveDirectory服务器发送查询。ActiveDirectory客户机通过查询DNS来定位ActiveDirecto