window 本文提供了對活動目錄的技術簡介,活動目錄是Microsoft Windows 2000 Server作業系統提供的一種新的目錄服務。本文詳細闡述了活動目錄的重要概念、結構元素和特性。"重要概念"部分描述了在您使用活動目錄之前需要理解的術語。接下來的兩個部分"結構"及"活動目錄特點"更詳細地闡述了活動目錄能夠做什麼,它給Windows帶來了什麼樣的新特性以及這些特點的實現。"遷移"部分涵蓋了從Windows NT 4.0的領域模型和目錄結構向Windows 2000的遷移的內容。最後一部分,即"常見問題",回答了有關活動目錄服務和它運行時可能遇到的一系列實際問題。
目錄服務是一個什麼東西?就是一個用於儲存使用者感興趣對象資訊的資訊源。如一個電話號碼目錄儲存了有關電話使用者的資訊。在一個檔案系統中,目錄就儲存了有關檔案的資訊。
在一個分散式運算系統中或是一個公用電腦網路(如Internet)中,就有許多使用者感興趣的對象,如印表機、傳真伺服器、應用程式、資料庫以及其他使用者。使用者想找到和使用這些對象,而管理員則想管理對這些對象的使用。
在此文檔中,術語目錄指在公用和私人網路中的目錄。目錄服務與目錄的不同在於,它既是目錄的資訊源,而它的服務又可以使使用者得到和利用資訊。
為什麼需要目錄服務?目錄服務是擴充的電腦系統的最重要組成元素之一。使用者及管理者經常不知道他們感興趣對象的精確名字。他們可能知道對象的一個或更多屬性,而且可以查詢目錄來得到符合屬性的對象列表,例如:"尋找在26樓中的所有雙工印表機。"目錄服務允許使用者按指定屬性尋找任何對象。
目錄服務可以: 提高管理者定義的安全性來保證資訊不受侵入者的損害。 將目錄分布在一個網路中的多台電腦上。 複製目錄使得更多使用者獲得它並且減少錯誤。 分配一個目錄於多個儲存介質中使得可以儲存規模非常大的對象。
目錄服務既是管理工具又是終端使用者工具。當網路中對象的數目增加時,目錄服務變得很重要。目錄服務是一個大的分布系統的轉換中心。
什麼是活動目錄?活動目錄是Windows 2000 Server的目錄服務。它擴充了以前基於Windows的目錄服務,還加入了一些全新的特點。活動目錄是安全的、分布式的、可分區的及可複製的。它設計成為可以在任何規模安裝下良好工作,從帶有幾百個對象的單一伺服器到成千個伺服器和上百萬個對象。活動目錄加入了很多新的特性,使得在大規模資訊的管理及在其中漫遊變得很簡單,為管理者和終端使用者都節省了時間。
重要概念
用來描述活動目錄的概念和術語中有些是新的,而另外一些則不是。不幸的是,一些已經採用一段時間的術語被用來表明不止一個特定事物。在繼續前進之前,理解下面這些概念和術語在活動目錄背景中如何定義是重要的。
範圍活動目錄的範圍是巨大的。它可以包括所有單一的對象(印表機、檔案或使用者),所有的伺服器及在一個單一廣域網路中的所有域。下面的一些術語不僅可應用於單一網路,因此意識到活動目錄是可以伸縮的,從一台單一的電腦,到一個單一的電腦網路以及很多結合在一起的電腦網路是很重要的。
名字空間同任何目錄服務一樣,名字空間活動目錄從根本上講是一個名字空間。名字空間電話目錄是一個名字空間。名字空間名字空間是任何有界的域,在其中一個給定的名字是可以解析的。名字解析是一種將一個名字翻譯為一些對象表達的對象或資訊。名字空間電話目錄形成了一個名字空間,其中電話使用者可以決定電話號碼。Windows名字空間檔案系統形成了一個名字空間,其中檔案名稱字可以決定檔案本身。
活動目錄形成了一個名字空間,其中通過目錄中對象的名字可以決定對象本身。
對象對象是對某具體事物屬性的顯著性命名,例如使用者、印表機、或應用程式。屬性包括目錄對象用來識別主題的描述性資料。一個使用者的屬性可能包括使用者的確定的名字、姓及電子郵件地址。
圖1 一個使用者物件和它的屬性容器同一個對象一樣具有屬性,而且是活動目錄名字空間的一部分。然而,與對象不同,它不代表某具體事物。它是一組對象或其它容器的容器。
樹在此文檔中,樹始終用來描述對象及容器的分層結構關係。樹的終點通常是對象。樹的節點(樹的分支點)是容器。樹表明了對象是如何串連起來的或由一個對象到其它對象的路徑。一個簡單的目錄是一個容器。一個電腦網路或域也是一個容器。臨近的子樹是樹中任意完整的路徑,包括那條路徑中的所有容器。
圖2 一個檔案系統的連續子樹
名字用來識別活動目錄中的每一個對象。有兩種不同類型的名字。
明確名字活動目錄中的每一個對象都有一個明確名字(DN)。明確名字識別包括對象的域及通過容器分層結構到達對象的完整路徑。一個典型的DN可以是:
/O=Internet/DC=COM/DC=Microsoft/
CN=Users/CN=James Smith
這個DN在Microsoft.com域中識別使用者物件"James Smith"。
圖3 明確名字的圖形表示對象的相對明確名字(RDN)是屬於對象本身屬性的名字的一部分。在前面的例子中使用者物件"James Smith"的RDN是CN=James Smith。父物件的RDN是CN=Users。
命名內容和分區活動目錄由一個或多個命名內容或分區構成。命名環境是目錄的任意臨近的子樹。命名內容是複製的單位。
在活動目錄中,一個單獨的伺服器通常最少包括三個命名內容:
模式 配置(複寫拓撲和相關的中繼資料) 一個或多個使用者命名內容(在目錄中包括實際對象的子樹)域是Windows NT 或Windows 2000電腦網路的獨立安全範圍。(要瞭解域的更多資訊,請看Windows 文檔)。活動目錄由一個或多個域構成。一個域可以跨越不止一個物理地點。每一個域都有它自己的安全性原則及域其它域見的安全關係。當多個域通過信任關係串連起來,而且擁有共同的模式、配置和全域目錄時,您就擁有了一個域樹。多個域樹可以串連起來形成一個森林。
域樹域樹是由若干具有共同的模式、配置的域構成的,形成了一個臨近的名字空間。在樹中的域也是通過信任關係串連起來的。活動目錄是一個或更多樹的集合。
樹可以通過兩種途徑表示。一種表示是域之間的關係,另一種表示是域樹的名字空間。
表示信任關係您可以在個別域及它們如何相互信任的基礎上畫出一幅域樹的圖畫。
Windows 2000域之間信任關係建立在Kerberos安全性通訊協定上。Kerberos信任是可傳遞的和分層次分層結構的--如果域A信任域B信任域C,域A也信任域C。
圖4 一個域樹以它的信任關係表示您也可以在名字空間的基礎上繪製一幅域樹的圖畫。您可以通過跟隨域樹的名字空間確定一個對象的顯著性名稱。這種表示對於把對象編為邏輯層次分層結構是很有益的。分層結構臨近名字空間的主要優點在於從名字空間的深入尋找可以尋找整個分層結構。
圖5 表示一個域樹為名字空間森林是一個或多個不形成臨近名字空間樹的集合。森林中的樹具有相同的模式、配置和全域目錄。給定森林中的所有樹通過及物的分層結構Kerberos信任關係相互信任。與樹不同,一個森林不需要明確名字。森林作為相關對象的集合而存在,而且Kerberos信任關係對所有樹成員來講都是已知的。森林中的樹為了Kerberos信任的目的形成了分層結構;位於信任樹根部的樹的名稱可以用來確定一個給定的森林。
圖6 森林中的多個樹網站是網路中包括活動目錄伺服器的地點。網站定義為一個或多個良好串連的TCP/IP子網。"良好串連的"的意思是網路連接高度可靠而且迅速(例如,LAN速度為10,000,000位元每秒或更高)。定義網站為子網的集合使得管理員能夠快速、簡單的配置活動目錄使用權及複寫拓撲,從而有利於利用物理網路。當一個使用者登入時,活動目錄用戶端在使用者的同一網站尋找活動目錄服務其。由於從網路上講在同一網站上的機器是靠近的,因此機器間的通訊是可靠的、迅速的和有效。在登入時確定當地網站是容易實現的,因為使用者的工作站已經知道它在什麼TCP/IP子網上,並且直接轉換為活動目錄網站。
結構
這一個簡短的部分介紹活動目錄的一些基本結構元素。
資料模型活動目錄資料模型來自於X.500資料模型。目錄包括以屬性描述的表徵各類事物的對象。可以存入目錄的對象的範圍在模式中定義。對於每一個對象種類,模式定義了該種類情況下一定要具有什麼屬性,可以具有什麼附加屬性,及什麼對象種類可以是現有對象種類的父本。
模式活動目錄模式作為儲存於目錄中的對象種類情況的集合而應用。這與很多具有模式的目錄不同,在它們的情況下,模式儲存為文字檔以在啟動時閱讀。在目錄中儲存模式有很多優點。例如,使用者應用程式可以閱讀模式來確定什麼對象和性質是可以得到的。
活動目錄模式可以動態生計。也就是說,一個應用程式可以擴充模式的新屬性和種類,而且可以立刻使用擴充的部分。模式的升級通過建立或改變目錄中的模式對象實現。與活動目錄中的所有對象相同,模式對象受訪問存取控制清單(ACL)所保護,所以只有授權的使用者可以改變模式。
安全模型目錄是Windows 2000 Trusted Computing Base 的一部分而且是Windows 2000安全基本構造的完全參與者。ACLs保護了活動目錄中的所有對象。Windows 2000訪問驗證曆程採用ACL來確認任何對活動目錄中對象或屬性訪問的嘗試。
管理模型
授權的使用者在活動目錄中進行管理。一個經更高許可權授權的使用者可以對目錄中某些確定子樹中指定的對象及對象種類進行指定的操作。這叫做委託管理。委託管理可以完全地控制誰能夠做什麼,而且可以確立授權的委託而不必授予提高的特權。
目錄系統代理程式(DSA)是管理目錄實體儲存體的過程。客戶採用一種支援的介面串連DSA,進而尋找、閱讀及寫入目錄對象和它們的屬性。DSA使得客戶與實體儲存體格式的目錄資料孤立。
