ActiveDirectory概述

1、Active Directory 概述目錄服務(wù)是一種分布式數(shù)據(jù)庫，用于存儲(chǔ)與網(wǎng)絡(luò)資源有關(guān)的信息，以便于查找和管理。 Microsoft Active Directory 是用于 Windows 2000 的最新目錄服務(wù)實(shí)現(xiàn)。涉及目錄服務(wù)的基本問題圍繞著可以將哪些信息存儲(chǔ)在數(shù)據(jù)庫中，存儲(chǔ)的方式是什么，如何查詢特定的信息，以及如何對結(jié)果進(jìn)行處理。 Active Directory 包含目錄服務(wù)本身，以及允許訪問支持 X.500 命名規(guī)則的數(shù)據(jù)庫的從屬服務(wù)?？梢允褂媚硞€(gè)用戶名來查詢目錄， 以獲取相關(guān)信息， 如用戶的電話號(hào)碼或者電子郵件地址。目錄服務(wù)也是非常靈活的，可以進(jìn)行歸納查詢（ “打印機(jī)在什么位

2、置？ ”或 “服務(wù)器的名稱是什么？ ”），以查看可用打印機(jī)或服務(wù)器的歸納列表。目錄服務(wù)還具有給用戶提供到整個(gè)企業(yè)網(wǎng)絡(luò)的單個(gè)入口點(diǎn)的優(yōu)點(diǎn)。 用戶可以查找和使用整個(gè)網(wǎng)絡(luò)資源， 而無需了解資源的確切名稱或位置。 也可以使用統(tǒng)一的網(wǎng)絡(luò)組織及其資源邏輯視圖來管理整個(gè)網(wǎng)絡(luò)。為確保設(shè)計(jì)出最有效、最可靠的構(gòu)。研究和了解組織的業(yè)務(wù)結(jié)構(gòu)和Active Directory ，必須了解網(wǎng)絡(luò)的邏輯結(jié)構(gòu)和物理結(jié)* 作也是非常重要的。Active Directory將域的邏輯結(jié)構(gòu)從實(shí)際物理結(jié)構(gòu)中獨(dú)立出來。邏輯結(jié)構(gòu)網(wǎng)絡(luò)的邏輯結(jié)構(gòu)是由無形的項(xiàng)目組成的，如對象、域、目錄樹和目錄林。Active Directory的基本結(jié)構(gòu)塊是對

3、象，這是一個(gè)代表網(wǎng)絡(luò)資源的已命名特定屬性集。對象屬性是目錄中對象的特征。 對象也可以按類進(jìn)行分組，類是對象的邏輯分組。 用戶、組和計(jì)算機(jī)是不同對象類的例子。在最低一層， 某些對象代表網(wǎng)絡(luò)上的單個(gè)實(shí)體， 如用戶或計(jì)算機(jī)。 這些實(shí)體稱為葉對象，它們不能包含其它對象。 但是，為了簡化目錄的管理和組織， 可以將葉對象放在其它對象 （稱為容器對象）內(nèi)部。容器對象也可以采用嵌套（或?qū)哟危┬问桨渌萜?。容器對象最常用的類型是組織單元(OU) ?？梢允褂贸赡撤N類型的邏輯管理分組。尤其要注意的是，域中OU構(gòu)無關(guān)。OU 將對象進(jìn)行分類，并將域變的結(jié)構(gòu)和層次與任何其它域的結(jié)所有網(wǎng)絡(luò)對象只能在一個(gè)域中存在 （無論

4、是葉對象還是容器對象） 。為反映組織網(wǎng)絡(luò)的特點(diǎn)， 可以使用域?qū)⑾嚓P(guān)對象分成一組。 每個(gè)創(chuàng)建的域僅存儲(chǔ)所包含對象的信息， 而不存儲(chǔ)其它對象的信息。目前，在域中可維護(hù)的對象數(shù)量的上限為一百萬。每個(gè)域表示一個(gè)安全邊界。對每個(gè)域中對象的訪問是由訪問控制項(xiàng)(ACE)控制的，后者包含在訪問控制列表(ACL)中。這些安全設(shè)置并不跨越域邊界。在 Active Directory中，域也可以稱為 “分區(qū) ”。因?yàn)橛蚴茿ctive Directory數(shù)據(jù)庫的物理分區(qū)，所以您既可以按照業(yè)務(wù)功能（人力資源、銷售或財(cái)務(wù)），也可以按照位置（地理或相對）建立其結(jié)構(gòu)。當(dāng)將相關(guān)域分成一組以便共享全局資源時(shí)， 您就創(chuàng)建了 “目錄

5、樹 ”。盡管目錄樹可以只包含一個(gè)域，但是您可以將層次結(jié)構(gòu)中相同名稱空間的多個(gè)域合并在一起?？梢允褂没贙erberos 的安全功能，通過雙向信任關(guān)系將目錄樹中的域透明地連接在一起。這些信任關(guān)系可以是永久性的（不能被刪除），也可以是暫時(shí)的。換句話說，如果域A信任域域 B 信任域C，則域A信任域C。B，而目錄樹中的所有域共享所有對象類型的正式定義（稱為 “架構(gòu) ”）。此外，任何給定目錄樹中的所有域還共享全局編錄 (GC)。GC 是目錄樹中對象的中央儲(chǔ)存庫。每個(gè)目錄樹也可以由鄰接的名稱空間表示。例如，如果公司的根域?yàn)?“”，則可以給銷售和技術(shù)支持部門創(chuàng)建單獨(dú)的域，它們的域名分別為 “和” “ 。這”

6、些域稱為子域。與 Windows NT 4.0 不同，每個(gè)域自動(dòng)生成信任關(guān)系。在最高一級，可以將單獨(dú)的目錄樹分成一組形成“目錄林 ”?？墒褂媚夸浟?，將組織中的不同部門， 甚至不同組織組合到一起。這些部門不必共享相同的命名架構(gòu)并且獨(dú)立運(yùn)作，彼此之間可以進(jìn)行通信。目錄林中的所有目錄樹共享相同的架構(gòu)、全局編錄和配置容器。者，基于Kerberos 的安全功能在目錄樹之間提供了信任關(guān)系。但再Windows 2000 載 Active Directory 加 Active Directory目錄服務(wù)的另一個(gè)優(yōu)點(diǎn)是，無需重新安裝整個(gè)服務(wù)器* 作系統(tǒng)，即可卸。要想使一個(gè)成員服務(wù)器成為DC ，您只需運(yùn)行DCPR

7、OMO工具來添服務(wù)器即可。要想刪除Active Directory服務(wù)器，您同樣只需運(yùn)行DCPROMO工具即可。物理結(jié)構(gòu)域控制器和站點(diǎn)是處理局域網(wǎng)配置物理結(jié)構(gòu)的兩個(gè)基本組件。與 Windows NT 4.0 不同，僅由運(yùn)行 Windows 2000 的計(jì)算機(jī)組成的網(wǎng)絡(luò)沒有主域控制器 (PDC) 和備份域控制器 (BDC) 。在 Windows 2000 環(huán)境中， 將所有參與網(wǎng)絡(luò)管理的服務(wù)器均看作是域控制器。域控制器 (DC) 存儲(chǔ)目錄數(shù)據(jù)庫的復(fù)制副本，并且域中控制器之間的復(fù)制是自動(dòng)完成的。對于跨多個(gè)地理位置的企業(yè)網(wǎng)絡(luò)，要了解目錄數(shù)據(jù)庫復(fù)制對域控制器和網(wǎng)絡(luò)性能的影響，了解廣域網(wǎng)設(shè)計(jì)和結(jié)構(gòu)的含義是

8、非常重要的。名稱空間名稱空間是有特定邊界的指定區(qū)域， 可以在此處解析分配給計(jì)算機(jī)的邏輯名稱。 名稱空間的主要用途是組織資源的說明， 使用戶按其特性或?qū)傩詠聿檎屹Y源。 可以使用給定名稱空間的目錄數(shù)據(jù)庫找到某個(gè)對象， 而無需知道它的名稱。 如果用戶知道某個(gè)資源的名稱， 就可以查詢有關(guān)該對象的有用信息。尤其要注意的是， 名稱空間的設(shè)計(jì)最終決定了： 隨著目錄數(shù)據(jù)庫的增長， 它對用戶到底有多大用處。排序和搜索算法不能解決邏輯目錄設(shè)計(jì)中的缺陷在邏輯層次上，Windows 2000 Active DirectoryDirectory中，兩個(gè)主要信息類型存儲(chǔ)：只不過是另一個(gè)名稱空間。在Active? 對象的邏

9、輯位置。? 有關(guān)該對象的屬性列表。可以給這些對象分配屬性 (如電話號(hào)碼、房間位置等等 )，并可用這些屬性查找目錄數(shù)據(jù)庫中對象的位置。隨著 Active Directory 架構(gòu)的擴(kuò)大（修改），使用屬性進(jìn)行搜索就變得越來越重要了。當(dāng)將對象、對象類和 /或這些對象的屬性添加到目錄數(shù)據(jù)庫中時(shí)，對于目錄用戶而言，它們的結(jié)構(gòu)決定了它們的用途。目錄樹中的每個(gè)容器和對象都有一個(gè)唯一的名稱。 這些名稱空間是目錄樹中所有容器和對象、或分支和葉對象的完全路徑。對象在目錄樹中的位置決定了其可分辨的名稱。對象的可分辨名稱 (DN) 包含從特定名稱空間的頂層到整個(gè)目錄樹層次結(jié)構(gòu)的完整路徑。因?yàn)?DN 對于組織目錄數(shù)據(jù)庫

10、非常有用，但對于記住該對象沒有幫助，所以在ActiveDirectory中也使用相對可分辨的名稱(RDN) 。RDN是對象名的一部分，也是對象本身的一個(gè)屬性。很多網(wǎng)絡(luò)使用的名稱空間是基于當(dāng)前 Internet 上使用的域名系統(tǒng) (DNS) 。這種 DNS 關(guān)系有助于確定 Active Directory 目錄樹的形狀以及對象彼此之間的關(guān)系。 域控制器項(xiàng)目是可分辨名稱中列出的域，而公用名稱 (CN) 項(xiàng)目則是針對目錄中用戶對象的特定路徑。全局編錄全局編錄包含目錄中每個(gè) Windows 2000 域的部分副本， 它是由 Active Directory 復(fù)制系統(tǒng)自動(dòng)創(chuàng)建的。這樣，只要給出目標(biāo)對象的

11、一個(gè)或幾個(gè)屬性，用戶和應(yīng)用程序就可以在Active Directory域目錄樹中找到這些對象。全局編錄還包含目錄分區(qū)的架構(gòu)和配置。這就是說，全局編錄存儲(chǔ)Active Directory中每個(gè)對象的副本， 但只存儲(chǔ)它們的很少一部分屬性。全局編錄中的屬性是搜索* 作中那些最常使用的屬性（如用戶的名和姓、登錄名等等），這些屬性是查找對象完整副本位置所必需的。使用這種公用信息，用戶可以很快找到要找的對象，而無需知道這些對象在哪個(gè)域中，也不要求知道企業(yè)中相鄰的擴(kuò)展名稱空間。 如果在全局編錄中找不到該對象， 則搜索功能將查詢本地域分區(qū)以獲得信息。您可以使用架構(gòu)管理器工具更改架構(gòu)，并定義在全局編錄中存儲(chǔ)哪些

12、屬性。由于對所有全局編錄服務(wù)器進(jìn)行的更改都要復(fù)制全局編錄， 所以出于性能和維護(hù)的目的， 最好限制本地分區(qū)中存儲(chǔ)的屬性數(shù)量。DNS 與 AD的集成DNS 和 Active Directory 的集成是 Windows 2000 Server 的一個(gè)核心特征。 DNS 域和 Active Directory 域?qū)Σ煌拿Q空間使用完全相同的域名。即使兩個(gè)名稱空間共享相同的域結(jié)構(gòu)， 它們也是不同的名稱空間，了解這一點(diǎn)是非常重要的。每個(gè)名稱空間存儲(chǔ)不同的數(shù)據(jù)并管理不同的對象。DNS 使用區(qū)域和資源記錄，而Active Directory使用域和域?qū)ο?。例如，如果對象的某個(gè)屬性是服務(wù)器的完全合格域名（如

13、SERVER1.SALES.MYCOMPANY.COM)， Active Directory就會(huì)向TCP/IP 地址， Windows 2000請求者隨后可以建立與該服務(wù)器的DNSTCP/IP查詢該服務(wù)器的會(huì)話。Active Directory與DNS的集成是這樣實(shí)現(xiàn)的：每個(gè)Active Directory服務(wù)器將自己的地址發(fā)布在DNS主機(jī)上的服務(wù)資源記錄中。全球唯一標(biāo)識(shí)符因?yàn)榫W(wǎng)絡(luò)中的每個(gè)對象必須用唯一的屬性來標(biāo)識(shí)，所以 Active Directory通過將全局唯一標(biāo)識(shí)符(GUID)與每個(gè)對象關(guān)聯(lián)起來實(shí)現(xiàn)這一點(diǎn)。即使對象的邏輯名稱被更改，也應(yīng)保證這個(gè)號(hào)碼是唯一的且永遠(yuǎn)不會(huì)被目錄數(shù)據(jù)庫更改。當(dāng)

14、用戶或應(yīng)用程序首次在目錄中創(chuàng)建可分辨的名稱(DN)時(shí)，就會(huì)生成GUID 。復(fù)制雖然 Windows NT 4.0中的網(wǎng)絡(luò)結(jié)構(gòu)基于PDC 和 BDC 模型，但是Windows 2000網(wǎng)絡(luò)上的所有服務(wù)器均用作域控制器(DC) ，并且彼此之間沒有主次之分。對于ActiveDirectory ，所有DC 在站點(diǎn)中自動(dòng)復(fù)制，并支持多主機(jī)復(fù)制，以復(fù)制所有域控制器的ActiveDirectory信息。由于引入了多主機(jī)復(fù)制，管理員可以更新域中任何Windows 2000域控制器上的Active Directory 。多主機(jī)數(shù)據(jù)庫復(fù)制還有助于控制何時(shí)將更改同步， 哪些信息是最新的， 以及何時(shí)停止數(shù)據(jù)復(fù)制以避免

15、重復(fù)和冗余。為確定哪些信息需要更新， Active Directory 使用 64 位更新順序號(hào) (USN) 。這些號(hào)碼創(chuàng)建后與所有的屬性相關(guān)聯(lián)。每次更改一個(gè)對象之后，其 USN 都會(huì)遞增并與屬性一起保存。每個(gè) Active Directory服務(wù)器都保留站點(diǎn)內(nèi)所有復(fù)制伙伴的最新USN 的表格。 該表格包括每個(gè)屬性的最高USN 。 當(dāng)達(dá)到復(fù)制時(shí)間間隔時(shí)，則每個(gè)服務(wù)器只請求那些USN 比列在自己表格中的USN 大的更改。有時(shí)，在復(fù)制所有的更改之前，可能在兩個(gè)不同的 Active Directory 服務(wù)器上對同一屬性進(jìn)行了更改。 這就會(huì)導(dǎo)致復(fù)制沖突。 必須將其中一個(gè)更改聲明為更準(zhǔn)確的更改， 并將

16、此更改用作所有其他復(fù)制伙伴的復(fù)制源。為解決這種潛在的問題， Active Directory 使用了整個(gè)站點(diǎn)的屬性版本號(hào) (PVN) 值。當(dāng)發(fā)生起始寫入操作時(shí)， PVN 就會(huì)遞增。起始寫入操作就是直接在某個(gè)特定 Active Directory 服務(wù)器上發(fā)生的寫入操作。當(dāng)在不同位置的具有相同的PVN的兩個(gè)或多個(gè)屬性值被更改時(shí)，接收更改的Directory服務(wù)器就會(huì)對每個(gè)更改的時(shí)間戳進(jìn)行檢查，并使用最新的一個(gè)進(jìn)行更新。此問題Active的最重要分枝是網(wǎng)絡(luò)中心時(shí)鐘的安裝和維護(hù)。另一個(gè)復(fù)制問題就是循環(huán)。Active Directory可使管理員配置多個(gè)路徑以達(dá)到冗余的目的。為了避免更改無止境地更新下

17、去，Active Directory在每個(gè)服務(wù)器上創(chuàng)建USN 對的列表。這些列表被稱為最新矢量(UDV) 。它們保存每個(gè)起始寫入操作的最高USN。每個(gè)UDV均列出在其所在的站點(diǎn)中的所有其他服務(wù)器。當(dāng)發(fā)生復(fù)制時(shí)，請求服務(wù)器就把自己的UDV發(fā)送到發(fā)送服務(wù)器。每個(gè)起始寫入操作的最高USN 都可用來確定是否仍需要復(fù)制更改。如果 USN 號(hào)碼相同或更高，則不需要進(jìn)行更改，因?yàn)檎埱蟮姆?wù)器已經(jīng)被更新了。組的更改Active Directory的邏輯規(guī)劃過程的另一個(gè)方面就是組的概念。在 Windows NT 4.0中，管理員可以使用兩個(gè)基本的組類型，即本地和全局?？紤]到這種結(jié)構(gòu)固有的限制，Windows20

18、00 為網(wǎng)絡(luò)管理員提供了以下組，其功能更強(qiáng)大并且靈活性更高? 作用域?yàn)楸镜氐慕M（也稱為 “本地組 ”）? 作用域?yàn)橛虮镜氐慕M（也稱為 “域本地組 ”）? 作用域?yàn)槿值慕M（也稱為 “全局組 ”）? 作用域?yàn)橥ㄓ玫慕M（也稱為 “通用組 ”）一個(gè)值得注意的重要修改是， 全局組現(xiàn)在可以包含其它的全局組。 雖然全局組仍用于收集用戶， 但是它能夠?qū)⒁粋€(gè)組放在另一個(gè)組之內(nèi)， 從而使管理員可以將它們放在目錄林的任何地方，使得維護(hù)非常方便。但是，全局組只能包括來自 Active Directory 目錄林中某個(gè)域的用戶和組。因?yàn)楹芏嗑W(wǎng)絡(luò)混用 Windows 2000 和 Windows NT 4.0 服務(wù)器， 所以在創(chuàng)建組之前， 必須確定網(wǎng)絡(luò)上域的數(shù)量和類型以及哪些域是混合模式，哪些域是本地模式：? 混合模式域。默認(rèn)情況下， Windows 2000 操作系統(tǒng)以混合模式網(wǎng)絡(luò)配置進(jìn)行安裝?；旌夏Ｊ接蚴蔷W(wǎng)絡(luò)上的一組計(jì)算機(jī)，它們同時(shí)運(yùn)行Windows NT 4.0和 Windows 2000域控制器。（混合模式域也可以只運(yùn)行Windows 2000域控制器。）? 本地模式域。 當(dāng)域只包含 Windows 2000 Serve