Windows2000目錄服務(wù)講義目錄是存儲(chǔ)有關(guān)對(duì)象的信息的集合，這些對(duì)象之間按照某種方式彼此相關(guān)。我們可以將網(wǎng)絡(luò)目錄與電話目錄進(jìn)行對(duì)比，電話目存儲(chǔ)的是個(gè)人和企業(yè)的名稱、地址和電話號(hào)碼。電話目錄是屬性

Windows2000目錄服務(wù)講義

目錄是存儲(chǔ)有關(guān)對(duì)象的信息的集合，這些對(duì)象之間按照某種方式彼此相關(guān)。我們可以將網(wǎng)絡(luò)目錄與電話目錄進(jìn)行對(duì)比，電話目存儲(chǔ)的是個(gè)人和企業(yè)的名稱、地址和電話號(hào)碼。電話目錄是屬性(名稱和地址) 集合，這些屬性可作為搜索屬性，來查找存儲(chǔ)在目錄中的對(duì)象的有關(guān)信息。目錄服務(wù)(directory service) 唯一地標(biāo)識(shí)網(wǎng)絡(luò)上的用戶和資源，并提供組織和訪問這些用戶和資源的方法。

本頁的學(xué)習(xí)目標(biāo)：

● 描述目錄服務(wù)的功能

● 確定工作組和域之間的區(qū)別

● 描述Active Directory服務(wù)及其功能，并且識(shí)別Active Directory結(jié)構(gòu)組件。

一、目錄服務(wù)介紹

在分布式的計(jì)算系統(tǒng)或公共計(jì)算機(jī)網(wǎng)絡(luò)(如Internet ）中，要支持系統(tǒng)的話，有很多對(duì)象是必須的，例如用戶、文件服務(wù)、打印機(jī)、傳真服務(wù)器、應(yīng)用程序和數(shù)據(jù)庫。用戶希望能夠輕松而有效地查找和使用這些對(duì)象管理員希望能夠管理這些對(duì)象的使用方式，如果使用和管理這些對(duì)象所需要的所有信息都集中存儲(chǔ)在一個(gè)位置那么，這些資源的查找和管理過程便能大大地簡(jiǎn)化。這正是應(yīng)用目錄服務(wù)的地方。

目錄和目錄服務(wù)這兩個(gè)術(shù)語指的是在公共和專用網(wǎng)絡(luò)中找到目錄。目錄是一個(gè)網(wǎng)絡(luò)對(duì)象的數(shù)據(jù)庫，這些對(duì)象以很多不同的方式被引用。它存儲(chǔ)了網(wǎng)絡(luò)資源有關(guān)的信息，來簡(jiǎn)化對(duì)這些資源的查找和管理。在目錄信息來源(source)和對(duì)用戶提供的信息服務(wù)方面，目錄服務(wù)與目錄有所區(qū)別。

目錄服務(wù)提供組織和簡(jiǎn)化訪問網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)的方法。它使得我們可以根據(jù)對(duì)象的一個(gè)或多個(gè)屬性來查找對(duì)象。例如：管理員可能不知道一個(gè)對(duì)象的確切名稱，但知道哪個(gè)對(duì)象的一個(gè)或多個(gè)屬性。采用目錄服務(wù)，他們便能查詢目錄，以獲得與已知屬性相匹配的對(duì)象列表。例如，他們可以查詢與第3層屬性相關(guān)的所有彩色打印機(jī)對(duì)象所在的目錄或可能已經(jīng)設(shè)為第3層的位置屬性。

使用目錄服務(wù)可以實(shí)現(xiàn)如下一些功能：

實(shí)施安全性，以保護(hù)數(shù)據(jù)庫中的對(duì)象免受外部入侵者的入侵，或者沒有訪問那些對(duì)象權(quán)限的內(nèi)部用戶入侵。 ●

在網(wǎng)絡(luò)中同步復(fù)制目錄到其他的計(jì)算機(jī)，便得更多的用戶能利用它，并且能防止故障所帶來的災(zāi)難。 ●

將目錄分區(qū)到位于網(wǎng)絡(luò)上不同計(jì)算機(jī)的多個(gè)存儲(chǔ)位置。這使得該目錄在總體上能利用更多的空間，并且能夠存儲(chǔ)大量的對(duì)象。 ●

二、工作組和域

工作組(workgroup)是聯(lián)網(wǎng)計(jì)算機(jī)的邏輯分組，這些計(jì)算機(jī)共享文件和打印機(jī)這樣的資源。域是聯(lián)網(wǎng)計(jì)算機(jī)的邏輯分組，這些計(jì)算機(jī)共享中央目錄數(shù)據(jù)庫，在此數(shù)據(jù)庫中，包括用戶和域的安全信息。因?yàn)楣ぷ鹘M中的所有計(jì)算機(jī)能以同等的方式共享資源而沒有專用的服務(wù)器。如下圖所示(注：這是本人用平面畫的，與原圖的區(qū)別是，原圖畫的服務(wù)器還多一個(gè)主機(jī)，而這里服務(wù)器僅畫了一個(gè)顯示器做為表示），所以，工作組有時(shí)也叫做對(duì)等網(wǎng)絡(luò)。在每個(gè)工作組中的Windows2000 Server計(jì)算機(jī)和Windows2000 Professional計(jì)算機(jī)維護(hù)一個(gè)本地安全數(shù)據(jù)庫，數(shù)據(jù)庫中包含這個(gè)計(jì)算機(jī)的用戶賬戶和資源安全信息列表。

因?yàn)楣ぷ鹘M中的每臺(tái)計(jì)算機(jī)都維護(hù)一個(gè)本地安全數(shù)據(jù)庫，這就分散了用戶賬戶和資源安全的管理，在每臺(tái)用戶需要訪問的計(jì)算機(jī)上，用戶都必須擁有用戶賬戶。用戶賬的任何變化，例如修改密碼或添加新的賬戶均必須在每臺(tái)計(jì)算機(jī)上操作進(jìn)行。如果忘記在每個(gè)計(jì)算機(jī)上添加新的用戶賬戶，新用戶將不能登錄到哪個(gè)計(jì)算機(jī)，并且不能訪問其上的資源。 Windows2000 工作組具有下列優(yōu)點(diǎn)：

●

●

●工作組不需要運(yùn)行Windows2000 Server的計(jì)算機(jī)來容納集中的安全性信息。 設(shè)計(jì)和實(shí)現(xiàn)工作組是很簡(jiǎn)單的，它不需要域所需的廣泛的計(jì)劃和管理。 對(duì)于在封閉的相互接近的環(huán)境中使用有限數(shù)量的計(jì)算機(jī)來說，工作組是很方便的，但在超過10臺(tái)計(jì)算機(jī)的環(huán)境中，工作組方式很不實(shí)用。

●工作組比較適合技術(shù)用戶組成的小組，他們不需要集中進(jìn)行管理。

二、Windows2000域

Windows2000域(domain)是網(wǎng)絡(luò)計(jì)算機(jī)的邏輯分組，它們共享集中的目錄數(shù)據(jù)庫。目錄數(shù)據(jù)庫包括用戶賬戶和域的安全性信息。在Windows2000中，目錄數(shù)據(jù)庫稱作目錄，并用是Active Directory服務(wù)的數(shù)據(jù)庫部分，該Active Directory服務(wù)是Windows2000的目錄服務(wù)。在域中，目錄駐留在配置為域控制器的計(jì)算機(jī)上(下圖) ，域控制器(Domain controller) 是一臺(tái)服務(wù)器，它管理所有安全有關(guān)的用記/域交交互，并集中管理。

域不是指單獨(dú)的位置，也不是特定類型的網(wǎng)絡(luò)配置。域中的計(jì)算機(jī)能共享小型局域網(wǎng)的實(shí)際鄰近范圍，也可能位于世界上不同角落，通過各種連接進(jìn)行通信，包括模擬連接、綜合業(yè)務(wù)數(shù)字網(wǎng)(IDSN）或數(shù)字用戶線路等。

Windows2000域具有以下優(yōu)點(diǎn)：

●

●因?yàn)樗械挠脩粜畔⒍急患写鎯?chǔ)，所以，域提供了集中的管理。 域?yàn)橛脩籼峁┝双@得對(duì)等網(wǎng)絡(luò)資源訪問的單次登錄過程，使他們能夠訪問其擁有訪問權(quán)限的文件、打印和應(yīng)用程序資源。只要用戶有對(duì)資源的適當(dāng)權(quán)限，那么，他就能登錄到一臺(tái)計(jì)算機(jī)上，并能訪問網(wǎng)絡(luò)上另一計(jì)算機(jī)的資源。

●域提供了可伸縮性，這樣可以創(chuàng)建非常大的網(wǎng)絡(luò)。

三、Windows2000 Active Directory服務(wù)

Active Directory 服務(wù)包含在Windows2000的目錄服務(wù)。Active Directory 服務(wù)提供網(wǎng)絡(luò)管理的一個(gè)點(diǎn)使您可以輕松地添加、刪除和再定位用戶和資源。

Active Directory 服務(wù)包括目錄，它存儲(chǔ)關(guān)于網(wǎng)絡(luò)資源的信息，以及使信息可用和有用的所有服務(wù)。資源存儲(chǔ)在目錄中，像用戶數(shù)據(jù)、打印機(jī)、服務(wù)器、數(shù)據(jù)庫、計(jì)算機(jī)和安全策略都被稱為對(duì)象。

1:Active Directory的特性

Active Directory服務(wù)在域中分層組織資源。域(domain）是在一個(gè)獨(dú)立域名下的服務(wù)器和其它網(wǎng)絡(luò)資源的邏輯分組。在Windows2000網(wǎng)絡(luò)中，域是同步復(fù)制和安全性的基本單元。

每個(gè)域包括一個(gè)或更多的控制器。域控制器(domain controller) 是運(yùn)行Windows2000 Server 的計(jì)算機(jī)，它存儲(chǔ)或目錄的完整副本。為了簡(jiǎn)化管理，Active Directory 服務(wù)中所有域控制器都是對(duì)等的，所以，您可以改變?nèi)魏斡蚩刂破?，并將更新同步?fù)制到域中的所有其他的域控制器中。

●可伸縮性

在Active Directory服務(wù)中，目錄通過使用分區(qū)(partition)來存儲(chǔ)信息。分區(qū)邏輯劃分器，它將目錄組織為節(jié)(section),并且允許存儲(chǔ)大量的對(duì)象，所以，目錄能隨組織的增長(zhǎng)而擴(kuò)展，使您能夠從幾百個(gè)對(duì)象的小型安裝到具有上百萬個(gè)對(duì)象的大型安裝之間收放自如。

●開放標(biāo)準(zhǔn)支持

Active Directory服務(wù)與Windows NT目錄服務(wù)休成了名稱空間這一Internet 概念。該休成允許您統(tǒng)一和管理多個(gè)名稱空間，這些名稱空間當(dāng)前存在于公司網(wǎng)絡(luò)的異構(gòu)軟硬環(huán)境中。Active Directory服務(wù)為其名稱系統(tǒng)使用域系統(tǒng)DNA ，并且通過使用LDAP(輕量級(jí)目錄訪問協(xié)議）的任何應(yīng)用程序或目錄來交換信息。通過使用去持LDAP 版本2和版本3的其他目錄服務(wù)，例如Novell 目錄服務(wù)(NDS)，Active Directory服務(wù)也能共享信息。 ●DNS

因?yàn)锳ctive Directory 服務(wù)使用DNS 作為域命名和定位服務(wù)，所以Windows2000域名也是DNS 名。Windows2000 Server使用動(dòng)態(tài)DNS ，它能使客戶機(jī)動(dòng)態(tài)分配地址，使用DNS 服務(wù)器直接注冊(cè)，并且動(dòng)態(tài)更新DNS 表。動(dòng)態(tài)DNS 能消除對(duì)其他Internet 命名的需要，例如Windows Internet命名服務(wù)WINS 。

●LDAP

通過直接支持LDAP ，Active Directory服務(wù)進(jìn)一步包含了因特網(wǎng)的標(biāo)準(zhǔn)。LDAP 是用于訪問目錄服務(wù)的一個(gè)因特網(wǎng)標(biāo)準(zhǔn)，它已經(jīng)發(fā)展為x.500目錄訪問協(xié)議的更簡(jiǎn)單的替換標(biāo)準(zhǔn)。X.500是由國(guó)際標(biāo)準(zhǔn)化組織制訂的定義分布式目錄和應(yīng)用程序之間交換信息。 ●標(biāo)準(zhǔn)命名格式支持

Active Directory 服務(wù)支持幾個(gè)常見的標(biāo)準(zhǔn)命名格式，其結(jié)果是通過使用熟悉的格式，用戶和應(yīng)用程序可以訪問Active Directory服務(wù)。這些命名格式包括DFC822、LDAP URL和X.500 通用命名規(guī)則。在任何時(shí)間，該接口都決定命名標(biāo)準(zhǔn)。有時(shí)可能使用任何命名標(biāo)準(zhǔn)，然而，在其他的時(shí)間需要特定的標(biāo)準(zhǔn)。

●Active Directory結(jié)構(gòu)

Windows2000的Active Directory 服務(wù)提供設(shè)計(jì)目錄結(jié)構(gòu)的一種方法，以適應(yīng)組織的需要。所以在安裝Active Directory服務(wù)之前，應(yīng)該檢查組織的商業(yè)結(jié)構(gòu)和運(yùn)行情況。Active Directory服務(wù)將網(wǎng)絡(luò)分成兩種結(jié)構(gòu)：邏輯的和物理的。

1：邏輯的

在Active Directory 服務(wù)中，以邏輯結(jié)構(gòu)來組織資源。以邏輯方式分組的資源，可以通過名稱而不是通過實(shí)際的位置找到資源。

對(duì)象（object) 是代表網(wǎng)絡(luò)資源的明確命名的一組屬性的集合。對(duì)象屬性是目錄中對(duì)象的特征。例如用戶屬性可能包括名和姓、所在的部門和電子郵件地址。

在Active Directory服務(wù)中，可以按類組織對(duì)象。該類是對(duì)象的邏輯組合。 組織單元

組織單元是一個(gè)容器對(duì)象，可以使用它將域中的對(duì)象組織到邏輯上可管理的組中。OU 能包含這些對(duì)象。

域

域是Active Directory服務(wù)中邏輯的核心單元。通過組合對(duì)象到一個(gè)或更多的域上，便可以在網(wǎng)絡(luò)上反映公司的組織。

所有的網(wǎng)絡(luò)均在域中存在，并且，每個(gè)域只存儲(chǔ)域中對(duì)象的有關(guān)信息。從理論上說，域目錄能最多包括一千萬個(gè)對(duì)象，但是，每個(gè)域一百萬個(gè)對(duì)象是當(dāng)前支持的極限。

域是一個(gè)安全性邊軹，通過訪問控制列表ACL 來控制訪問域?qū)ο?，該列表中包含的是訪問控制項(xiàng)(Access Control Entry, ACE) 。從一個(gè)域到另一個(gè)域，所有安全策略和設(shè)置都是不交叉的，域管理員只在該域內(nèi)具有絕對(duì)的設(shè)置策略的權(quán)力。

在典型的域中，有下列類型計(jì)算機(jī)：

運(yùn)行Windows200 Server域控制器、運(yùn)行Windows2000 Server的成員服務(wù)器、運(yùn)行Windows2000 Professional的客戶機(jī)。

樹

樹是一個(gè)或更多Windows2000域分組或?qū)哟问桨才?，這些域允許進(jìn)行全局性的資源共享。一個(gè)權(quán)可以包括一個(gè)Windows2000域。然而，通過在層次結(jié)構(gòu)中加入多個(gè)域，便能創(chuàng)建一個(gè)更大的連續(xù)名稱空間。

下圖是一個(gè)父域wpsvia.com 和兩個(gè)子域dev.wpsvia.com 和

prlduce.wpsvia.com

樹的結(jié)構(gòu)中所有域共享信息和資源，作為單獨(dú)的單元起作用。域樹中只有一個(gè)目錄，但是每個(gè)域?yàn)樵撚蛑械挠脩艟S護(hù)一部分目錄，其中包括該用戶的賬戶信息。在樹中，只要用戶具有適當(dāng)權(quán)限，登妹到一個(gè)域中的用戶便能用另一個(gè)域中的資源。

在Active Directory中，樹的定義為：

●域的一個(gè)層次

●

●

●

●連續(xù)的名稱空間 在域之間的Kerberos 傳遞信任關(guān)系數(shù)。 公共架構(gòu) 能列出權(quán)中任何對(duì)象的全局編錄。

樹林

樹林是一個(gè)或更多樹的組合。樹林的定義為：

●一個(gè)或更多樹的集合

●

●

●

●在這些樹之間分離的名稱空間 在樹之間的Kerberos 傳遞信任關(guān)系 公共架構(gòu) 能列出樹林中任何對(duì)象的全局編錄

在樹林所有用戶對(duì)象均可使用構(gòu)成林的所有域樹對(duì)象。然而，當(dāng)訪問林中不同樹中的對(duì)象時(shí)，用戶必須知道完全確定的域名。

信任關(guān)系

樹中的域通過雙向的Kerberos 傳遞信任關(guān)系以透明的方式連接在一起，Kerberos 傳遞信任關(guān)系意味著，如果域A 信任域B ，并且域B 信任域C ，那么域A 信任域C ，所以，對(duì)于加入樹中的域，會(huì)立即與樹中每個(gè)域建立信任關(guān)系，這些信任關(guān)系使樹中所有域的所有對(duì)象，可供樹中所有其它的域使用。

信任關(guān)系是至少兩個(gè)域間的下人鏈接，在此鏈接中，信任域承信受信域的登錄身份驗(yàn)證。在受信域中定義的用戶賬戶和組能在信任域中授予權(quán)力和資源權(quán)限，取使那些賬戶在信任域的目錄數(shù)據(jù)庫中不存在。在NT 中，域間的信任是由域控制器間的單向受信域賬戶定義的，我們必須單獨(dú)建立和管理每個(gè)信任，在大型網(wǎng)絡(luò)中，要管理域間的顯式的單向信任關(guān)系，確實(shí)是一項(xiàng)復(fù)雜的任務(wù)。

傳遞信任關(guān)系

當(dāng)雙向信任關(guān)系不適合時(shí)，網(wǎng)絡(luò)管理員可以為特定的域定義顯式的單向信任賬戶。該能力可用來支持連接到現(xiàn)有NT 早斯的域，并且可以配置其它樹林中域的信任關(guān)系。

Windows2000的信任關(guān)系

當(dāng)一個(gè)域加入Windows2000域樹林中時(shí)，在新域和樹的根域或父域之間會(huì)自動(dòng)建立信任關(guān)系。

2：物理的

Active Directory服務(wù)的物理結(jié)構(gòu)影響域控制之間的同步復(fù)制的效率。

域控制器

域控制器是Windows2000 Server 計(jì)算機(jī)，它存儲(chǔ)目錄分區(qū)的副本。域中的所有域控制器無有該目錄的域部分的完整副本。當(dāng)執(zhí)行引起目錄更新的操作時(shí)，Windows2000將自動(dòng)對(duì)所有其他的域控制器的同步更新改變

站點(diǎn)

在Microsoft BackOffice 產(chǎn)品系列的實(shí)現(xiàn)中，站點(diǎn)的概念是我們非常熟悉的，該概念包含在Active Directory服務(wù)實(shí)現(xiàn)中，在Active Directory中，站點(diǎn)的概念使用網(wǎng)際協(xié)議子網(wǎng)，來決定用于同步復(fù)制通信量考慮的站點(diǎn)邊界。Active Directory站點(diǎn)定義為IP 子網(wǎng)范軒。基本上Active Directory站點(diǎn)是IP 子網(wǎng)范圍的集合。

Active Directory 服務(wù)的一個(gè)優(yōu)點(diǎn)是，通過使用WAN 鏈路連接的不同拓?fù)浣Y(jié)構(gòu)，該域可以跨越地理位置并且對(duì)用戶仍然保持透明性。然而，我們總要考慮可用的WAN 帶寬。通過將本地子網(wǎng)定義為站點(diǎn)，管理員可以控制子網(wǎng)間的同步復(fù)制通信量，所以也就能控制站點(diǎn)間的同步復(fù)制通信量。結(jié)果減少在WAN 鏈路上的同步復(fù)制通信量。站點(diǎn)的思想也用來定位客戶機(jī)。

本頁小結(jié)：

目錄服務(wù)提供了組織和簡(jiǎn)化訪問聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)資源的方法。Windows2000支持安全

的網(wǎng)絡(luò)環(huán)境，在此環(huán)境中，用戶可以共享公共資源，而不管網(wǎng)絡(luò)的規(guī)模如何。Windows2000支持兩種類型的網(wǎng)絡(luò)：工作組和域。Windows2000包含Active Directory 服務(wù)、提供單點(diǎn)網(wǎng)絡(luò)管理的目錄服務(wù)。利用Active Directory 服務(wù)，可以輕松添加、刪除和再定位用戶和資源。它將域?qū)哟蔚倪壿嫿Y(jié)構(gòu)從特理結(jié)構(gòu)中分離出來。邏輯結(jié)構(gòu)由對(duì)象、OU 、域、樹和樹林組成。當(dāng)一個(gè)域加入到Windows2000域樹中時(shí)，在新的域和該樹的根域或父域之間，便自動(dòng)建立了Kerberos 的傳遞信任關(guān)系。域?qū)哟谓Y(jié)構(gòu)的物理結(jié)構(gòu)由域控制器和站點(diǎn)構(gòu)成。