|
活动目录作为一个全新的综合服务方式是在Windows 的诞生后随之而来的活动目录的身影似乎在整个Windows 系统中无处不在 Windows Server活动目录是一个完全可扩展可伸缩的目录服务既能满足商业ISP的需要又能满足企业内部网和外联网的需要充分体现了微软产品集成性深入性和易用性等优点 集成性 Windows 活动目录的继承性主要是指它结合了三个方面的管理内容用户和资源管理基于目录的网络服务和基于网络的应用管理另外Windows 活动目录还广泛地采纳了Internet标准把众多的Internet服务都集成在一起增强自身网络管理功能 目录管理的基本对象是用户和计算机还包括文件打印机等资源用户对象的属性非常丰富不但有常见的账号名口令等还包括邮件信箱和个人主页地址在公司中的职位关系等可以在活动目录中给用户对象发送邮件和访问其个人主页等在活动目录中支持 全局性的查找比如查找在整个网络中的双面打印的彩色打印机等 基于活动目录的应用服务是Windows 平台上的新一代的应用程序它使应用开发员可以扩展活动目录的Schema 和UI两个对象通过ADSI/ADO编程在活动目录中发布服务绑定信息通过组策略配置应用程序比较典型的基于目录的应用的例子是NetMeeting在活动 目录的环境中你只要在NetMeeting中敲入同事的Email别名就可以通过活动目录中的定位服务与其进行对话和桌面协作等非常方便 活动目录完全采用了Internet标准协议甚至连用户帐号都可以用用户名@域名来表征进行网络登录单个域目录树中的所有域共享一个等级命名结构一个子域的域名就是将该子域的名称添加到父域的名称中例如headqu 是 域的子域共享公用根域的域被认为共享邻近的名称空间 目录树中的域通过双向传递的委托关系联接在一起由于这些委托关系是双向和传递的因此加入目录树的域会立即与目录树中的每个域建立委托关系这些委托关系允许单个用户登录以验证用户并授权验证用户访问整个网络这使得目录树中所有其他域中具有适当凭据的用户和计算机可以使用目录树所有域中的所有对象例如你的公司兼并了一家其他的公司你的域树可以和它们的域树建立起整个的域林来整个域林的所有对象只要安全性管理许可都可以用LDAP协议访问到 域名服务(domain name service DNS)在此充当了名字解析的功能建议用户使用与活动目录集成的DNS务器来保证动态更新域名和更好的复制能力在当今的Internet时代Windows 活动目录这种基于Internet标准的做法给用户带来了众多的益处 另外活动目录集成了关键服务如DNSMSMQ(消息队列服务)集成了关键应用如电子邮件网管ERP等集成了关键数据访问如ADSIOLE DB等还集成了关键的安全性如Kerberos第五版本和公开密钥基础设施等 深入性 Windows 活动目录的深入性主要体现在其企业级的可伸缩性安全性互操作性编程能力和升级能力上Windows 活动目录允许用户组建单域来管理少量的网络对象也允许用户通过域目录管理成万上亿个对象活动目录的伸缩性是通过为每个域创建一个目 录存储的方法来获得的在一个域目录存储中仅仅包括了这个域中的所有对象但是当域树建立起来之后每个域都有能力搜索整个域树中所有的目录存储这种划分整个域树的方法使用户查找所需要的信息变得更加方便快速 活动目录的域树和域森林的组建方法可帮助用户使用容器层次来模拟一个企业的组织结构组织中的不同部门可以成为不同的域或者一个域中有层次结构的组织单元从而采用层次化的命名方法来反映组织结构和进行管理授权顺着组织结构进行颗粒化的管理授权 可以解决很多管理上的头疼问题在加强中央管理的同时又不失机动灵活性用户可以将Windows NT 中的很多域都转换成活动目录的组织单元建立起更大的域和更简化的域关系另外借助全局目录(Global Catalog)用户和管理员仍然能够迅速地找到对象和管理对象由于有一系列的工具可以帮助NT 的用户迁移到Windows 的目录环境中Windows 可以在现存的Windows NT 的环境中工作保护现有的投资 Windows 活动目录和其安全性服务(如KerberosPKI和智能卡等)紧密结合相辅相成共同完成安全任务和协同管理活动目录存储了域安全政策的信息例如域用户口令的限制政策和系统访问权限等实施了基于对象的安全模型和访问控制机制在活动目录中的每个对象都有一个独有的安全性描述定义了浏览或更新对象属性所需要的访问权限不过当LDAP客户端访问域时不是由活动目录决定访问控制而是由系统来实施访问安全控制 易用性 Windows 活动目录主要体现在其简易的安装和管理上先说一下活动目录的安装在安装Windows Server活动目录时第一个域服务器都配置域控制器而其他所有新安装的计算机都是安装成为成员服务器并且目录服务可以事后用Dcpromo的命令进行特别安装而不用像在安装Windows NT 那样一开始就要定终身是域控制器还是成员服务器两者之间不可转换且目录服务不可以卸载Dcpromo是一个图形化的向导程序引导用户一步一步地建立域控制器可以新建一个域森林一棵域树或者仅仅是域控制器的另一个备份非常方便很多其他的网络服务比如DNS ServerDHCP Server和Certificate Server等都可以在以后与活动目录集成安装便于实施策略管理等 在活动目录安装之后主要有三个活动目录的管理界面(MMC)一个是活动目录用户和计算机管理主要用于实施对域的用户和计算机进行管理一个是活动目录的域和域信任关系的管理主要用于管理多域的委托和信任关系还有一个是活动目录的站点管理可以 把域控制器置于不同的站点进行管理一般情况下一个站点内的域控制器之间的复制是自动进行的站点间的域控制器之间的复制需要管理员设定以优化复制流量提高可伸缩性 对于SDOU管理员还可以方便地进行管理授权右击SDOU就可以启动管理授权向导一步一步地设定哪些管理员对于哪些对象有什么样的管理权限比如说企业内部技术支持中心的管理员只有复位用户口令的权限没有创建和删除用户账号的权限 另外活动目录还充分地考虑到了备份和恢复目录服务的需要Windows 备份工具中有专门备份活动目录的选项在出现意外事故的时候可以在机器启动时按F进入安全模式来进行目录服务的恢复保证减少灾难的恶性影响 通过本文对Win活动目录的三种特性的介绍能让读者对活动目录的相关信息更加明了希望能对读者有所帮助 |
