語言 :
SWEWE 會員 :登錄 |註冊
搜索
百科社區 |百科問答 |提交問題 |詞彙知識 |上傳知識
上一頁 1 下一頁 選擇頁數

活動目錄

活動目錄(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目錄服務。活動目錄服務是Windows 2000操作系統平台的中心組件之一。理解活動目錄對於理解Windows 2000的整體價值是非常重要的。這篇關於活動目錄服務所涉及概念和技術的介紹文章描述了活動目錄的用途,提供了對其工作原理的概述,並概括了該服務為不同組織和機構提供的關鍵性商務及技術便利。簡介

活動目錄(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目錄服務。 (Active Directory不能運行在Windows Web Server上,但是可以通過它對運行Windows Web Server的計算機進行管理。)Active Directory存儲了有關網絡對象的信息,並且讓管理員和用戶能夠輕鬆地查找和使用這些信息。 Active Directory使用了一種結構化的數據存儲方式,並以此作為基礎對目錄信息進行合乎邏輯的分層組織。

Microsoft Active Directory 服務是Windows 平台的核心組件,它為用戶管理網絡環境各個組成要素的標識和關係提供了一種有力的手段。 [1]

數據存儲

人們經常將數據存儲作為目錄的代名詞。目錄包含了有關各種對象[例如用戶、用戶組、計算機、域、組織單位(OU)以及安全策略] 的信息。這些信息可以被發佈出來,以供用戶和管理員的使用。

目錄存儲在被稱為域控制器的服務器上,並且可以被網絡應用程序或者服務所訪問。一個域可能擁有一台以上的域控制器。每一台域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器複製到域、域樹或者森林中的其它域控制器上。由於目錄可以被複製,而且所有的域控制器都擁有目錄的一個可寫副本,所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。

目錄數據存儲在域控制器上的Ntds.dit文件中。我們建議將該文件存儲在一個NTFS分區上。有些數據保存在目錄數據庫文件中,而有些數據則保存在一個被複製的文件系統上,例如登錄腳本和組策略。

有三種類型的目錄數據會在各台域控制器之間進行複制:

·域數據。域數據包含了與域中的對像有關的信息。一般來說,這些信息可以是諸如電子郵件聯繫人、用戶和計算機帳戶屬性以及已發布資源這樣的目錄信息,管理員和用戶可能都會對這些信息感興趣。

例如,在向網絡中添加了一個用戶帳戶的時候,用戶帳戶對像以及屬性數據便被保存在域數據中。如果您修改了組織的目錄對象,例如創建、刪除對像或者修改了某個對象的屬性,相關的數據都會被保存在域數據中。

·配置數據。配置數據描述了目錄的拓撲結構。配置數據包括一個包含了所有域、域樹和森林的列表,並且指出了域控制器和全局編錄所處的位置。

·架構數據。架構是對目錄中存儲的所有對象和屬性數據的正式定義。 Windows Server 2003提供了一個默認架構,該架構定義了眾多的對像類型,例如用戶和計算機帳戶、組、域、組織單位以及安全策略。管理員和程序開發人員可以通過定義新的對像類型和屬性,或者為現有對象添加新的屬性,從而對該架構進行擴展。架構對象受訪問控制列表(ACL)的保護,這確保了只有經過授權的用戶才能夠改變架構。

概念簡述

1.名稱空間。名稱空間是一種命名規則,通常用來定義網絡資源的惟一名稱。活動目錄本質上就是一個名稱空間,包含了很多的對象,每個對像都有自己的名字。在這裡,可以把他們的關係形像地理解成是一種解析關係。如:通訊錄可以形成一個名稱空間,每個人的名字都可以被解析為對應的地址等信息。 windows的文件系統也可以形成一個名稱空間,每個文件名都可以被解析為實際的某個文件。

2.對象。對像是活動目錄中的信息實體。同時它也是一組屬性的集合。

3.容器。容器是邏輯上包含其他對象的對象,容器同樣也有屬性,但容器與對像不同,容器不代表有形的實體,形像地說,容器是其他對像或容器的容器。在windows server2003中的活動目錄中,可以將組、用戶、計算機作為容器來顯示。

4.目錄樹。目錄樹是指在名稱空間中,由容器和對象構成的層次結構。樹的末梢葉子結點是對象,而非葉子節點都是容器。目錄樹表達了對象的連接方式,也顯示了從一個對像到另一個對象的路徑。在活動目錄中,目錄樹是基本的結構。

5.組織單位。組織單位是容器的一種,它是windows server 2003中新增加的一類對象,可以用它來容納活動目錄中的其他對象。組織單位中可以包含其他組織單位。這樣,管理員可以根據需要來擴展容器層次而不需要建立新域。組織單元是可以指派組策略設置或委派管理權限的最小作用單位。

使用組織單位可以將網絡所需的域數量降到最低,用戶可以擁有對域中所有組織單位或對單個組織單位的管理權限,而組織單位的管理員可以不具有域中任何其他組織單位的管理權限。

6.組。組是可以包含用戶、計算機和其他組的活動目錄對象,windows server 2003可以通過組來管理用戶和計算機對網絡共享資源的訪問,還可以通過組來為用戶和計算機指派統一的配額設置。

組織單位與組的不同之處在於:組織單位只是一個邏輯上的容器,用於在單個域中創建對象集,,但不授予成員身份;組則是用來管理其所包含的對象,組中的對象擁有該組定義的所有權限。

7.用戶和計算機。它們是活動目錄的具體對象。用戶想要登錄到網絡中,需要有自己唯一的賬戶和密碼。活動目錄允許經過授權用戶登錄到計算機或域。活動目錄中的計算機指加入域中的運行windows server2003、windows2000、windowsNT系統的計算機。

計算機與用戶類似,也需要通過審核驗證才能訪問域資源。

8.域。域是網絡對象(用戶、組、計算機等)的分組,域中所有的對像都存儲在活動目錄中,活動目錄由一個或多個域組成。域是windows2000或server2003網絡系統的一個安全界限,即安全策略和訪問控制設置等都不能跨越不同的域,每個域的管理員都有權設置屬於該域的策略。

9.域樹由多個域組成,這些域共享公共的架構、配置和全局編錄能力,形成一個連續的名稱空間,域樹中的域通過相互信任連接起來。活動目錄中可以包含一個或多個域樹。也可以從名稱空間解釋域樹的結構關係,域樹中的一個域稱為根域,其他或是根域中的子域。直接在一個域上層的域稱為子域的父域。這樣域樹中的域根據子域和父域形成層次結構命名。其中各自的命名關係如下:根域為:abc.r;直接下層子域:child.abc.r;在下一層:grandchild.child.abc.r。在域樹中的任何兩個域之間都是雙向可傳遞的信任關係。

10.林。一個或多個域樹可以組成林,同一個林中的域也可以共享相同類的架構、站點和復制以及全局編錄能力,但林中的域樹之間並不形成連續的名稱空間。在新林中創建的第一個域是該林的根域,林範圍的管理組都位於該域,為了方便管理,新創建的域最好都位於林根域或子域。同一個林內的域是按雙向可傳輸的信任關係進行鏈接的。而兩個windows server 2003林間的信任,可以形成兩個林內所有域間信任關係,林信任只能在每個林內的林根域間創建。林信任也是可以傳遞的,可以單向或雙向,但都需要管理員手動建立林信任。

11.架構:對可以存儲在目錄中的對象全體的一組定義,對於每個對像類,架構都定義了該類的實例所必須擁有的屬性和可能擁有的其他屬性,或者可以是其父類的其他對像類。每個新創建的目錄對像在寫入該目錄之前,都要針對架構中的相應對象定義進行驗證。架構由對像類和屬性組成,基礎(默認)架構包含一組豐富的對像類別和屬性以滿足大多數單位的需要,並且還遵循目錄服務國際標準組織X.500標准進行建模。架構是可以擴展的,因此可以在基礎架構中修改和添加類別屬性。

12.站點:活動目錄中的站點代表網絡的物理結構。活動目錄使用拓撲信息(在目錄中存儲為站點和站點鏈接對象)來建立最有效的複制拓撲。可以在windows server2003域控制器上,使用活動目錄站點和服務定義站點和站點鏈接。站點和域不同,站點代表網絡的物理結構,而域代表網絡組織的邏輯結構。

13.複製:複製是將更新過的數據從源計算機上的數據存儲或文件系統,複製到一個或多個目標計算機上匹配的數據存儲或文件系統,從而同步這些數據的過程。在活動目錄中,通過複製可以同步域控制器之間的架構、配置、應用程序和域目錄分區。


上一頁 1 下一頁 選擇頁數
用戶 評論
還沒有評論
我要評論 [遊客 (3.234.*.*) | 登錄 ]

語言 :
| 校驗代碼 :


搜索

版权申明 | 隐私权政策 | 版權 @2018 世界百科知識