WINDOWS2000 中活动目录的功能是什么?

kuaidi.ping-jia.net  作者:佚名   更新日期:2024-07-03
WINDOWS2003或2000的活动目录有什么好处?

Windows2003 Server中,经常看到“活动目录”一词,活动目录的作用是什么?

"活动目录"系统服务项目E名为“Active Directory”
Active Directory 是一种企业级目录服务,该服务可伸缩、使用 Internet 标准技术从基础建立,并完全在操作系统级别上集成。Active Directory 简化了管理,使用户很容易找到各种资源。Active Directory 提供了非常广泛的特性和功能。
一般用在有点规模的公司里面,方便通过这台域控制器来管理客户端和作一些限制,如软件的分发使用,权限,网络资源等等

一、活动目录的由来
谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME下“文件夹”,那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系,一个文件生成之后相对来说这个文件的所在目录也就固定了(当然可以删除、转移等,现在不考虑这些),也就是说它的属性也就相对固定了,是静态的。这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小,并不能得出其它有关信息,这样就影响到了整体使用目录的效率,也就是影响了系统的整体效率,使系统的整个管理变得复杂。因为没有相互关联,所以在不同应用程序中同一对象要进行多次配置,管理起来相当繁锁,影响了系统资源的使用效率。为了改变这种效率低下的关系和加强与Internet上有关协议的关联Microsoft公司决定在WIN2K中全面改革,也就是引入活动目录的概念。理解活动目录的关键就在于“活动”两个字,千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解,那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹,正因为这个目录是活动的,所以它是动态的,它是一种包含服务功能的目录,它可以做到“由此及彼”的联想、映射,如找到了一个用户名,就可联想到它的账号、出生信息、E-mail、电话等所有基本信息,虽然组成这些信息的文件可能不在一块。同时不同应用程序之间还可以对这些信息进行共享,减少了系统开发资源的浪费,提高了系统资源的利用效率。
活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一实体;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,因为多台机上有相同的信息,所以在信息容氏方面具有很强的控制能力,正因如此,不管用户从何处访问或信息处在何处,都对用户提供统一的视图。

二、相关名词术语
虽然活动目录中用到的许多技术在其他软件产品中也已经出现过,但作为全面的整体网络方案还是首次亮相,其中有许多名词或术语或许是闻所未闻的,所以有必要详细了解
一下活动目录的有关名词或术语。
1、名字空间:从本质上讲,活动目录就是一个名字空间,我们可以把名字空间理解为任何给定名字的解析边界,这个边界就是指这个名字所能提供或关联、映射的所有信息范围。通俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和,如一个用户,如果我们在服务器已给这个用户定义了讲如:用户名、用户密码、工作单位、联系电话、家庭住址等,那上面所说的总和广义上理解就是“用户”这个名字的名字空间,因为我们只输入一个用户名即可找到上面我所列的一切信息。名字解析是把一个名字翻译成该名字所代表的对象或者信息的处理过程。举例来说,在一个电话目录形成一个名字空间中,我们可以从每一个电话户头的名字可以被解析到相应的电话号码,而不是象现在一样名字是名字,号码归号码,根本不能横向联系。Windows *作系统的文件系统也形成了一个名字空间,每一个文件名都可以被解析到文件本身(包含它应有的所有信息)。
2、对象: 对象是活动目录中的信息实体,也即我们通常所见的“属性”,但它是一组属性的集合,往往代表了有形的实体,比如用户账户、 文 件名等。对象通过属性描述它的基本特征,比如,一个用户账号的属性中可能包括用户姓名、 电话号码、 电子邮件地址和家庭住址等。
3、容器:容器是活动目录名字空间的一部分,与目录对象一样,它也有属性,但与目录对象不同的是,它不代表有形的实体,而是代表存放对象的空间,因为它仅代表存放一个对象的空间,所以它比名字空间小。比如一个用户,它是一个对象,但这个对象的容器就仅限于从这个对象本身所能提供的信息空间,如它仅能提供用户名、用户密码。其它的如:工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。
4、目录树:在任何一个名字空间中,目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象,树的非叶子节点是容器。目录树表达了对象的连接方式,也显示了从一个对象到另一个对象的路径。在活动目录中,目录树是基本的结构,从每一个容器作为起点,层层深入, 都可以构成一棵子树。一个简单的目录可以构成一棵树,一个计算机网络或者一个域也可以构成一棵树。这也很容易理解,我们最初学电脑时不就是在全面理解DOS下的路径概念基础之上开始的吗,其实这“目录树”也就是一种“路径关系”,如果你理解了DOS下的“路径”相信理解这“目录树”是没什么问题的!
5、域: 域是WIN2K网络系统的安全性边界。我们知道一个计算机网最基本的单元就是“域”,这一点不是WIN2K所独有的,但活动目录可以贯穿一个或多个域。在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后,活动目录可以被多个信任域域共享
6、组织单元:包含在域中特别有用的目录对象类型就是组织单元。组织单元是可将用户、组、计算机和其他单元放入活动目录的容器中,组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单元,您可在组织单元中代表逻辑层次结构的域中创建容器,这样您就可以根据您的组织模型管理帐户、资源的配置和使用,可使用组织单元创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的管理权限,组织单元的管理员不需要具有域中任何其他组织单元的管理权,组织单元有点象我们在NT时代的工作组,我们从管理权限上来讲可以这么理解。
7、域树:域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别越低,一个“.”代表一个层次,如域child.Microsoft.com 就比 Microsoft.com这个域级别低,因为它有两个层次关系,而Microsoft.com只有一个次。而域Grandchild.Child.Microsoft.com双比 Child.Microsoft.com级别低,道理一样。域树中的域是通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传递的,因此在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一登录过程,在域树或树林中的所有域上对用户进行身份验证,但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限,所以必须在每个域的基础上为用户指派相应的权利和权限。
8、域林:域林是指由一个或多个没有形成连续名字空间的域树组成,它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间,而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。域林都有根域,域林的根域是域林中创建的第一个域,域林中所有域树的根域与域林的根域建立可传递的信任关系。
9、站点:站点是指包括活动目录域服务器的一个网络位置,通常是一个或多个通过TCP/IP连接起来的子网。站点内部的子网通过可靠、快速的网络连接起来。站点的划分使得管理员可以很方便地配置活动目录的复杂结构,更好地利用物理网络特性,使网络通信处于最优状态。当用户登录到网络时,活动目录客户机在同一个站点内找到活动目录域服务器,由于同一个站点内的网络通信是可靠、快速和高效的,所以对于用户来说,他可以在最快的时间内登录到网络系中。因为站点是以子网为边界的,所以活动目录在登录时很容易找到用户所在的站点,进而找到活动目录域服务器完成登录工作。
10、域控制器:域控制器是使用活动目录安装向导配置的WIN2K Server 的计算机。活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索,一个域可有一个或多个域控制器。为了获得高可用性和容错能力,使用单个局域网 (LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。
WIN2K Server 域控制器扩展了 WINNT Server 4.0 的域控制器所提供的能力和特性,WIN2K Server 多宿主复制使每个域控制器上的目录数据同步,以确保随着时间的推移这些信息仍能保持一致,也就是说是动态的,这就是活动目录的作用。多宿主复制是 WINNT Server 4.0 中使用的主域控制器和备份域控制器模型的发展,在 WINNT Server 4.0 中只有一个服务器,即主域控制器,拥有该目录的可读写副本。

三、安装活动目录的意义
我们说WIN2K的成功和创造性之一就是成功的全面引入了活动目录服务,那么到底安装活动目录有什么意义呢?这是我们所有初学WIN2K的人首要要问的一个问题。因为活动目录并不是WIN2K系统必需安装的一种服务,要全面理解它又是非常的不容易,那么安装活动目录的意义在哪里呢?它主要体现在以下几个方面:
1、信息的安全性大大增强
安装活动目录后信息的安全性完全与活动目录集成,用户授权管理和目录进入控制已经整合在活动目录当中了(包括用户的访问和登录权限等),而它们都是WIN2K*作系统的关键安全措施。活动目录集中控制用户授权,目录进入控制不只能在每一个目录中的对象上定义,而且还能在每一个对象的每个属性上定义,这一点是以前任何系统所不能达到的,包括WINNT 4.0。除此之外,活动目录还可以提供存储和应用程序作用域的安全策略,提供安全策略的存储和应用范围。安全策略可包含帐户信息,如域范围内的密码限制或对特定域资源的访问权等。所以从一定程序上可以这么说WIN2K的安全性就是活动目录所体现的安全性,由此可见对于网管来说如何配置好活动目录中对象及属性的安全性是一个网管配置好WIN2K系统的关键。
2、引入基于策略的管理,使系统的管理更加明朗
活动目录服务包括目录对象数据存储和逻辑分层结构(指上面所讲的目录、目录树、域、域树、域林等所组成的层次结构),作为目录,它存储着分配给特定环境的策略,称为组策略对象。作为逻辑结构,它为策略应用程序提供分层的环境。组策略对象表示了一套商务规则,它包括与要应用的环境有关的设置,组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录,域,或组织单元的组策略对象(GPOs)中。GPOs设置决定目录对象和域资源的进入权限,什么样的域资源可以被用户使用,以及这些域资源怎样使用等。例如,组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序,当它在服务器上启动时有多少用户可连接至 Server,以及当用户转移到不同的部门或组时他们可访问什么文件或服务。组策略对象使您可以管理少量的策略而不是大量的用户和计算机。通过活动目录,您可将组策略设置应用于适当的环境中,不管它是您的整个单位还是您单位中的特定部门。
3、具有很强的可扩展性
WIN2K的活动目录具有很强的可扩展性,管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如,在电子商务上你可以给每一个用户对象增加一个购物授权属性,然后存储每一个用户购买权限作为用户帐号的一部分。
4、具有很强的可伸缩性
活动目录可包含在一个或多个域,每个域具有一个或多个域控制器,以便您可以调整目录的规模以满足任何网络的需要。多个域可组成为域树,多个域树又可组成为树林,活动目录也就随着域的伸缩而伸缩,较好地适应了单位网络的变化。目录将其架构和配置信息分发给目录中所有的域控制器,该信息存储在域的第一个域控制器中,并且复制到域中任何其他域控制器。当该目录配置为单个域时,添加域控制器将改变目录的规模,而不影响其他域的管理开销。将域添加到目录使您可以针对不同策略环境划分目录,并调整目录的规模以容纳大量的资源和对象。
5、智能的信息复制能力
信息复制为目录提供了信息可用性、容错、负载平衡和性能优势,活动目录使用多主机复制,允许您在任何域控制器上而不是单个主域控制器上同步更新目录。多主机模式具有更大容错的优点,因为使用多域控制器,即使任何单独的域控制器停止工作,也可继续复制。由于进行了多主机复制,它们将更新目录的单个副本,在域控制器上创建或修改目录信息后,新创建或更改的信息将发送到域中的所有其他域控制器,所以其目录信息是最新的。域控制器需要最新的目录信息,但是要做到高效率,必须把自身的更新限制在只有新建或更改目录信息的时候,以免在网络高峰期进行同步而影响网络速度。在域控制器之间不加选择地交换目录信息能够迅速搞垮任何网络。通过活动目录就能达到只复制更改的目录信息,而不至于大量增加域控制器的负荷。
6、与 DNS 集成紧密
活动目录使用域名系统 (DNS)来为服务器目录命名,DNS 是将更容易理解的主机名(如 Mike.Mycompany.com)转换为数字 IP 地址的 Internet 标准服务,利于在TCP/IP网络中计算机之间的相互识别和通讯。DNS 的域名基于 DNS 分层命名结构,这是一种倒置的树状结构,单个根域,在它下面可以是父域和子域(分支和叶子)。关于这一点我会在后面以专门的篇章加以详细讲述,在此就仅作简单介绍。
7、与其他目录服务具有互*性
由于活动目录是基于标准的目录访问协议,许多应用程序界面(API)都允许开发者进入这些协议,例如活动目录服务界面(ADSI)、轻型目录访问协议 (LDAP) 第三版和名称服务提供程序接口 (NSPI),因此它可与使用这些协议的其他目录服务相互*作。LDAP 是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议,所以可使用 LDAP 开发程序,与同时支持 LDAP 的其他目录服务共享活动目录信息。活动目录支持 Microsoft Exchange 4.0 和 5.x 客户程序所用的 NSPI 协议,以提供与 Exchange 目录的兼容性。
8、具有灵活的查询
任何用户可使用“开始”菜单、“网上邻居”或“活动目录用户和计算机”上的“搜索”命令,通过对象属性快速查找网络上的对象。如您可通过名字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户,反之亦然。

Microsoft® Active Directory® 服务是Windows® 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

通过在Windows 2000操作系统的基础之上进行扩展,Windows Server 2003产品家族改进了Active Directory的易管理性,并且简化了迁移和部署工作的复杂程度。特别地,对于应用程序开发人员以及独立软件开发商(ISV),他们会发现 Windows Server 2003中的Active Directory将是他们开发基于目录的应用程序的最佳选择。

Active Directory已经得到了增强,以便降低企业的整体拥有成本(TCO)和操作的复杂性。各种新的功能和改进特性被添加到了产品的各个层面上,以提高系统的通用性,简化管理以及提升可靠性。利用Windows Server 2003,组织可以在受益于成本节省的同时,提高各类不同企业要素的共享和管理效率。

本文面向IT管理员,网络系统设计人员或者任何渴望了解Windows Server 2003中的Active Directory所具有的主要增强和新增功能的人员。本文首先介绍了Active Directory的基本概念,然后重点讲述了Windows Server 2003产品家族中的Active Directory所拥有的新增特性和改进功能:

• 集成和生产力

• 性能和伸缩性

• 系统管理和配置管理

• 组策略功能

• 安全性增强

Active Directory 的基本概念

Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。

目录形式的数据存储

人们经常将数据存储作为目录的代名词。目录包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位(OU)以及安全策略] 的信息。这些信息可以被发布出来,以供用户和管理员的使用。

目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。

目录数据存储在域控制器上的Ntds.dit文件中。我们建议将该文件存储在一个NTFS分区上。有些数据保存在目录数据库文件中,而有些数据则保存在一个被复制的文件系统上,例如登录脚本和组策略。

有三种类型的目录数据会在各台域控制器之间进行复制:

• 域数据。域数据包含了与域中的对象有关的信息。一般来说,这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息,管理员和用户可能都会对这些信息感兴趣。

例如,在向网络中添加了一个用户帐户的时候,用户帐户对象以及属性数据便被保存在域数据中。如果您修改了组织的目录对象,例如创建、删除对象或者修改了某个对象的属性,相关的数据都会被保存在域数据中。

• 配置数据。 配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表,并且指出了域控制器和全局编录所处的位置。

• 架构数据。架构是对目录中存储的所有对象和属性数据的正式定义。Windows Server 2003提供了一个默认架构,该架构定义了众多的对象类型,例如用户和计算机帐户、组、域、组织单位以及安全策略。管理员和程序开发人员可以通过定义新的对象类型和属性,或者为现有对象添加新的属性,从而对该架构进行扩展。架构对象受访问控制列表(ACL)的保护,这确保了只有经过授权的用户才能够改变架构。

Active Directory和安全性

安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理,即便是那些最复杂的网络也是如此。

Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为Active Directory不但可以保存用户凭据,而且可以保存访问控制信息,所以登录到网络上的用户既能够获得身份验证,也可以获得访问系统资源所需的权限。例如,在用户登录到网络上的时候,安全系统首先利用存储在Active Directory中的信息验证用户的身份。然后,在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表(DCAL)中所定义的属性。

因为Active Directory允许管理员创建组帐户,管理员得以更加有效地管理系统的安全性。例如,通过调整文件的属性,管理员能够允许某个组中的所有用户读取该文件。通过这种办法,系统将根据用户的组成员身份控制其对Active Directory中对象的访问操作。

Active Directory 的架构

Active Directory的架构(Schema)是一组定义,它对能够存储在Active Directory中的各种对象——以及有关这些对象的各种信息——进行了定义。因为这些定义本身也作为对象进行存储,Active Directory可以像管理目录中的其它对象一样对架构对象加以管理。架构中包括了两种类型的定义:属性和分类。属性和分类还可以被称作架构对象或元数据。

分类

分类,又称对象分类,描述了管理员所能够创建的目录对象。每一个分类都是一组对象的集合。在您创建某个对象时,属性便存储了用来描述对象的信息。例如, “用户”分类便由多个属性组成,其中包括网络地址、主目录等等。Active Directory中的所有对象都是某个对象分类的一个实例。

架构的扩展

有经验的开发人员和网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。

架构的内容由充当架构操作主控角色的域控制器进行控制。架构的副本被复制到森林中的所有域控制器上。这种共用架构的使用方式确保了森林范围内的数据完整性和一致性。

此外,您还可以使用“Active Directory架构”管理单元对架构加以扩展。为了修改架构,您必须满足以下三个要求:

• 成为“Schema Administrators”(架构管理员)组的成员

• 在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元

• 拥有修改主控架构所需的管理员权限

在考虑对架构进行修改时,必须注意以下三个要点:

• 架构扩展是全局性的。 在您对架构进行扩展的时候,您实际上扩展了整个森林的架构,因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。

• 与系统有关的架构分类不能被修改。您不能修改Active Directory架构中的默认系统分类;但是,用来修改架构的应用程序可能会添加可选的系统分类,您可以对这些分类进行修改。

• 对架构的扩展不可撤销。某些属性或者分类的属性可以在创建后修改。在新的分类或者属性被添加到架构中之后,您可以将它置于非激活状态,但是不能删除它。但是,您可以废除相关定义并且重新使用对象标识符(OID)或者显示名称,您可以通过这种方式撤销一个架构定义。

有关架构修改的更多信息,请通过http://www.microsoft.com/reskit参阅 Microsoft Windows 资源工具包 。

Active Directory不支持架构对象的删除;但是,对象可以被标记为“非激活”,以便实现与删除同等的诸多益处。

属性

属性和分类单独进行定义。每一个属性仅仅定义一次,但是可以在多个分类中使用。例如,“Description”(描述)属性可以使用在多个分类中,但是只需在架构中定义一次即可,以保持数据的一致性。

属性用来描述对象。每一个属性都拥有它自己的定义,定义则描述了特定于该属性的信息类型。架构中的每一个属性都可以在“Attribute-Schema”分类中指定,该分类决定了每一个属性定义所必须包含的信息。

能够应用到某个特殊对象上的属性列表由分类(对象是该分类的一个实例)以及对象分类的任何超类所决定。属性仅仅定义一次,但是可以多次使用。这确保了共享同一个属性的所有分类能够保持一致性。

多值属性

属性可以是单值的也可以是多值的。属性的架构定义指定了属性的实例是否必须是多值的。单值属性的实例可以为空,也可以包含一个单值。多值属性的实例可以为空,也可以包含一个单值或多值。多值属性的每一个值都必须是唯一的。

索引属性

索引应用于属性,而不是分类。对属性进行索引有助于更快地查询到拥有该属性的对象。当您将一个属性标记为“已索引”之后,该属性的所有实例都会被添加到该索引,而不是仅仅将作为某个特定分类成员的实例添加到索引。

添加经过索引的属性会影响Active Directory的复制时间、可用内存以及数据库大小。因为数据库变得更大了,所以需要花费更多的时间进行复制。

多值属性也可以被索引。同单值属性的索引相比,多值属性的索引进一步增加了Active Directory的大小,并且需要更多的时间来创建对象。在选择需要进行索引的属性时,请确信所选择的共用属性,而且能够在开销和性能之间取得平衡。

一个经过索引的架构属性还可以被用来存储属性的容器所搜索,从而避免了对整个Active Directory数据库进行搜索。这样不仅缩短了搜索所需花费的时间,而且减少了在搜索期间需要使用的资源数量。

全局编录的角色

全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。此外,全局编录还存储了每个对象最常用的一些可搜索的属性。全局编录存储了它所在域的所有目录对象的完整副本,以及森林中其它域中所有目录对象的部分副本,所以您不必咨询域控制器即可实施有效的搜索操作。

全局编录在森林中最初的一台域控制器上自动创建。您可以为任何一台域控制器添加全局编录功能,或者将全局编录的默认位置修改到另一台域控制器上。

全局编录担当了以下目录角色:

• 查找对象 全局编录允许用户搜索森林所有域的目录信息,而不管数据存储在何处。森林内部的搜索可以利用最快的速度和最小的网络流量得以执行。

在您从“开始”菜单搜索人员或打印机,或者在某个查询的内部选择了“整个目录”选项的时候,您就是在对全局编录进行搜索。在您输入搜索请求之后,请求便会被路由到默认的全局编录端口3268,以便发送到一个全局编录进行解析。

• 提供了根据用户主名的身份验证。在进行身份验证的域控制器不知道某个账户是否合法时,全局编录便可以对用户的主名进行解析。例如,如果用户的账户位于example1.microsoft.com域,而用户决定利用user1@example1.microsoft.com这个用户主名从位于example2.microsoft.com的一台计算机上进行登录,那么example2.microsoft.com的域控制器将无法找到该用户的账户,然后,域控制器将于全局编录服务器联系,以完成整个登录过程。

• 在多域环境下提供通用组的成员身份信息。和存储在每个域的全局组成员身份不同,通用组成员身份仅仅保存在全局编录之中。例如,在属于一个通用组的用户登录到一个被设置为Windows 2000本机域功能级别或者更高功能级别的域的时候,全局组将为用户账户提供通用组的成员身份信息。

如果在用户登录到运行在Windows 2000本机或者更高级别中的域的时候,某个全局编录不可用并且用户先前曾经登录到该域,计算机将使用缓存下来的凭据让用户登录。如果用户以前没有在该域登录过,用户将仅仅能够登录到本地计算机。

说明:即便全局编录不可用,“Domain Administrators”(域管理员)组的成员也可以登录到网络中。

查找目录信息

正如前面所介绍的,Active Directory的设计目的在于为来自用户或应用程序的查询提供有关目录对象的信息。管理员和用户可以使用“开始”菜单中的“搜索”命令轻松对目录进行搜索和查找。客户端程序也可以使用Active Directory服务接口(ADSI)访问Active Directory中的信息。

Active Directory的主要益处就在于它能够存储有关网络对象的丰富信息。在Active Directory中发布的有关的用户、计算机、文件和打印机的信息可以被网络用户所使用。这种可用性能够通过查看信息所需的安全权限加以控制。

网络上的日常工作涉及用户彼此之间的通信,以及对已发布资源的连接和访问。这些工作需要查找名称和地址,以便发送邮件或者连接到共享资源。在这方面, Active Directory就像是一个在企业中共享的地址簿。例如,您可以按照姓、名、电子邮件地址、办公室位置或者其它用户账户属性查找用户。如前所述,信息的查找过程由于使用了全局编录而得到了优化。

高效的搜索工具

管理员可以使用“Active Directory用户和计算机”管理单元中的高级“查找”对话框高效率地执行管理工作,并且轻松定制和筛选从目录取得的数据。此外,管理员还可以向组中快速添加对象,并且通过无需浏览的查询帮助查找可能的成员,从而将对网络的影响降低到最小限度。

Active Directory的复制

复制为目录信息提供了可用性、容错能力、负载平衡以及性能优势。Active Directory 使用多主控复制,您可以在任何一台域控制器上更新目录,而不是只能在一台特定的主域控制器上进行更新。多主控模式具有更出色的容错能力,因为使用了多台域控制器,即使在某一台域控制器停止工作的情况下,复制依然能够继续。

域控制器可以存储和复制:

• 架构信息。架构信息定义了可以在目录中创建的对象,以及每隔对象所能够拥有的属性。这些信息是森林中所有域的共用信息。架构数据被复制到森林中的所有域控制器上。

• 配置信息。配置信息描述了您的部署的逻辑结构,其中包括诸如域结构或者复制拓扑这样的信息。这些信息是森林中所有域的共用信息。配置数据被复制到森林中的所有域控制器上。

• 域信息。域信息描述了域中所有的对象。数据特定于具体的域,而且不会被分发到其它的任何域中。为了在整个域树或者森林中查找信息,所有域中的所有对象的属性的一个子集被保存在全局编录中。域数据将被复制到域中的所有域控制器上。

• 应用程序信息。存储在应用程序目录分区中的信息旨在满足用户对这些信息的复制需要,但是这些信息并不是在任何情况下都需要。应用程序数据可以被明确地重新路由到森林中特定于管理用途的域控制器上,以防止产生不必要的复制流量。或者,您可以进行设置,将这些信息复制到域中的所有域控制器上。

站点在复制过程中的角色

站点提高了目录信息的复制效率。目录架构和配置信息在整个森林范围内进行复制,而域数据则在域的所有域控制器之间进行复制,并且会被部分地复制到全局编录上。通过有策略地减少复制流量,网络的通信压力也会得到相应的减轻。

域控制器使用站点和复制变化控制从以下方面对复制实施优化:

• 通过对所使用的连接不时进行重新评估,Active Directory可以始终使用最有效的网络连接。

• Active Directory使用多条路由复制发生变化的目录数据,从而提供了容错能力。

• 由于仅仅需要复制发生了变化的信息,复制开销降到了最小。

如果某个部署没有按照站点加以组织,域控制器以及客户机之间的信息交换将是混乱和无序的。站点可以改善网络的利用效率。

Active Directory在站点内部复制目录信息的频度比在站点间的复制频度要更高。这样,拥有最佳连接条件的域控制器——它们很可能需要特殊的目录信息——可以首先得到复制。其它站点中的域控制器则可以获得所有发生了变化的目录信息,但是它们进行复制的频率要低一些,以便节省网络带宽。另外,由于数据在站点间进行复制时经过了压缩处理,所以复制操作所占用的带宽进一步得到了降低。为了实现高效复制,只有在添加或修改了目录信息之后才进行目录的更新。

如果目录更新始终被分发到域中的所有其它域控制器上,它们将占用大量的网络资源。虽然您可以手动添加或配置连接,或者强迫通过某条特定的连接进行复制,复制仍然可以根据您在“Active Directory Sites and Services”管理工具中提供的信息,通过Active Directory知识一致性检查程序(Knowledge Consistency Checker,KCC)得到自动优化。KCC负责构建和维护Active Directory的复制拓扑。特别地,KCC可以决定何时进行复制,以及每台服务器必须同哪些服务器开展复制。

Active Directory客户端

利用Active Directory客户端,Windows 2000 Professional 或者 Windows XP Professional所拥有的众多Active Directory特性可以被运行Windows 95、Windows 98以及Windows NT® 4.0操作系统的计算机所使用:

• 站点感知。您可以登录到网络中距离客户端最近的一台域控制器上。

• Active Directory 服务接口(ADSI)。您可以使用它为Active Directory编写脚本。ADSI还为Active Directory编程人员提供了一个公共的编程API。

• 分布式文件系统(DFS)容错客户端。您可以访问Windows 2000 以及运行Windows DFS 容错和故障转移文件共享的服务器,这些文件共享在Active Directory中指定。

• NTLM version 2 身份验证。您可以使用NT LanMan (NTLM) version 2中经过改进的身份验证特性。有关启用NTML version 2的更多信息,请参阅Microsoft 知识库文章Q239869,“如何启用NTLM 2 身份验证” :http://support.microsoft.com/.
• Active Directory Windows 地址簿(WAB)属性页。您可以修改用户对象页上的属性,例如电话号码和地址。

• Active Directory的搜索能力。您可以通过“开始”按钮,查找Windows 2000 Server 或者Windows 域中的打印机和人员。有关在Active Directory中发布打印机的更多信息,请参阅Microsoft 知识库文章Q234619,“在 Windows 2000 Active Directory中发布打印机”:http://support.microsoft.com.
Windows 2000 Professional 和 Windows XP Professional 提供了Windows 95、Windows 98和Windows NT 4.0上的Active Directory客户端所没有的一些功能,例如:对Kerberos version 5的支持;对组策略或者IntelliMirror® 管理技术的支持;以及服务主名或者相互验证。通过升级到Windows 2000 Professional或Windows XP Professional,您可以对这些附加特性加以充分利用。更多信息,请参看:

• 升级到Windows 2000 http://www.microsoft.com/windows2000/professional/howtobuy/upgrading/default.asp.
• Windows XP Professional 升级中心 http://www.microsoft.com/windowsxp/pro/howtobuy/upgrading/default.asp.
为了安装Active Directory客户端,请参阅Active Directory 客户端页面: http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp
Active Directory的新增功能和改进特性

• 本白皮书的剩余部分概括了Windows Server 2003产品家族中的Active Directory在以下方面所拥有的一些新增功能和改进特性:

• 集成和生产力

• 性能和伸缩性

• 系统管理和配置管理

• 组策略特性

• 安全性增强

Active Directory 的集成和生产力

作为管理企业标识、对象和关系的主要手段,Active Directory中的接口(包括编程接口和用户界面)已经得到了改进,以提高管理工作的效率和系统的集成能力。

让Active Directory更加易于使用和管理

Active Directory包含了众多增强特性,例如对MMC管理单元的改进以及对象选择工具组件等,它们让Active Directory变得更加易于使用。MMC插件方便了多个对象的管理。管理员可以:

• 编辑多个用户对象。 一次选择并编辑多个对象属性。

• 保存查询。将针对Active Directory服务的查询保存下载以便今后使用。结果可以用XML格式导出。

• 使用经过改进的对象选择工具组件快速选择对象。该组件经过重新设计并且得到了加强,能够改善工作流和提高在大目录中查找对象的效率,同时还提供了一种更灵活的查询功能。各种用户界面均可以使用该组件,并且可以为第三方开发人员所使用。

更多的集成和生产力特性和改进

特性 描述

ACL 列表用户界面的修改 ACL用户界面已经得到了增强,以改善其易用性以及继承和特定的对象权限。

扩展性增强 那些拥有某个独立软件开发商(ISV)或者原始设备制造商(OEM)所开发的能够利用Active Directory的软件或设备的管理员拥有了更加出色的管理能力,并且可以添加任何对象分类作为组的成员。

来自其它LDAP目录的用户对象 在LDAP目录中定义的用户对象使用了RFC 2798中定义的inetOrgPerson类(例如Novell和Netscape),这些对象可以使用Active Directory用户界面进行定义。这个与Active Directory用户对象配合工作的用户界面可以处理inetOrgPerson对象。现在,任何需要使用inetOrgPerson类的应用程序或者客户都可以轻松实现它们的目的。

Passport 集成(通过IIS) Passport 身份验证现在可以通过Internet Information Services (IIS) 6.0进行,而且允许Active Directory用户对象被映射到他们相应的Passport标识符上(如果存在该标识)。本地安全机构(Local Security Authority,LSA)将为用户创建一个令牌,然后IIS 6.0将根据HTTP请求对其加以设置。现在,拥有相应Passport 标识的Internet用户可以使用他们的Passport访问资源,就如同使用他们的Active Directory凭据一样。

利用ADSI使用终端服务器 特定于终端服务器用户的属性可以通过使用Active Directory服务接口(ADSI)编写脚本进行设置。除了通过目录手动设置之外,用户属性可以利用脚本加以设定。这样做的一个好处就是:可以通过 ADSI容易地实现属性的批量修改或编程修改。

复制和信任监视WMI提供者 Windows管理规范(WMI)类可以监视域控制器之间是否成功地对Active Directory信息进行了复制。因为众多的Windows 2000组件,例如Active Directory复制,都需要依赖于域间的相互信任,本特性还为监视信任关系是否能够正常工作提供了一种手段。管理员或者运营队伍可以通过WMI在发生复制问题时轻松获得报警。

MSMQ 分发列表 消息队列(Message Queuing,MSMQ)现在支持向驻留在Active Directory中的分发列表(Distribution Lists)发送消息。MSMQ用户可以通过Active Directory轻松管理分发列表。

Active Directory 性能和伸缩性

主要的修改体现在Windows Server 2003对Active Directory信息的复制和同步操作的管理方面。此外,还围绕安装、迁移和维护添加了新的功能,以便让Active Directory更加灵活、健壮和高效。

改善分支办公室的性能

分支办公室部署通常由众多的远程办公室组成,而且每个远程办公室均拥有自己的域控制器——但是一般使用慢速连接与公司连接中心或数据中心保持相连。在用户登录时,Windows Server 2003不再要求访问中央的全局编录服务器,从而加快了分支办公室的登录过程。现在,组织无需在拥有不可靠网络的地方为分支办公室部署一台全局编录服务器。

与在用户每次登录到域控制器时要求联系全局编录不同,当网络可用时,域控制器会将先前从该站点或者从离线全局编录服务器登录的用户的通用组成员关系缓存下来。然后,在登录时,用户无需让域控制器联系全局编录服务器,便可登录到网络上,从而减少了对慢速或者不可靠网络的需求。如果全局编录发生故障,无法处理用户的登录请求,这项改进还可以提供更多的可靠性。

其它性能特性和改进

特性 描述

禁止对站点间的复制流量进行压缩处理 禁止对不同站点的域控制器之间的复制流量进行压缩。可以减轻域控制器的CPU负担,从而在需要时提高性能。

群集化的虚拟服务器支持 群集对象现在也可以被定义为计算机对象。具有群集意识和Active Directory意识的应用程序可以将它们自己的配置信息与一个经过良好定义的对象建立关联。

并发LDAP绑定 出于对用户进行身份验证的目的,您可以对同一个连接上的多个轻量级目录访问协议(LDAP)实施绑定。应用程序开发人员可以利用本特性,极大提高LDAP绑定的性能,同时对向Active Directory发出的请求实施身份验证。

域控制器超载预防 如果域中已经包含大量域成员,而且这些成员已经升级到Windows 2000和Wind