windows 2000活動目錄之基礎篇

我們知道WIN2K系統最大的突破性和成功之一就在於它全新引入的“活動目錄（Active Directory）服務”，使得WIN2K系統與Internet上的各項服務和協議更加聯絡緊密，因為它對目錄的命名方式成功地與”網域名稱“的命名方式一致，然後通過DNS進行解析，使得與在Internet上通過WINS解析取得一致的效果。 活動目錄也說明了Microsoft在網路結構方面的策略轉移，雖然在以前NT時代也有部分產品（如EXCHANGE SERVER、IIS等）提供過類似於活動目錄的服務，然而活動目錄作為一個全新的綜合服務方式是在WIN2K的誕生後隨之而來的。活動目錄的身影似乎在整個WIN2K系統中無處不在。然而要真正瞭解“活動目錄”的方方面面又談何容易，下面就想通過一些通俗的講解花幾個篇章對活動目錄的各主要方面作一詳盡的分析，希望對那些對WIN2K的活動目錄還存有畏懼心理的新手一個全面認識的機會。

一、活動目錄的由來

談到活動目錄最使人容易想起的就是DOS下的“目錄”、“路徑”和Windows9X/ME下“檔案夾”，那個時候的“目錄”或“檔案夾”僅代表一個檔案存在磁碟上的位置和層次關係，一個檔案產生之後相對來說這個檔案的所在目錄也就固定了（當然可以刪除、轉移等，現在不考慮這些），也就是說它的屬性也就相對固定了，是靜態。這個目錄所能代表的僅是這個目錄下所有檔案的存放位置和所有檔案總的大小，並不能得出其它有關資訊，這樣就影響到了整體使用目錄的效率，也就是影響了系統的整體效率，使系統的整個管理變得複雜。因為沒有相互關聯，所以在不同應用程式中同一對象要進行多次配置，管理起來相當繁鎖，影響了系統資源的使用效率。為了改變這種效率低下的關係和加強與Internet上有關協議的關聯，Microsoft公司決定在WIN2K中全面改革，也就是引入活動目錄的概念。理解活動目錄的關鍵就在於“活動”兩個字，千萬不要將“活動”兩個字去掉而僅僅從“目錄”兩個字去理解，那你我理來理去一定還是不能脫離原來在DOS下目錄或Windows9x下的檔案夾，正因為這個目錄是活動的，所以它是動態，它是一種包含服務功能的目錄，它可以做到“由此及彼”的聯想、映射，如找到了一個使用者名稱，就可聯想到它的帳號、出生資訊、E-mail、電話等所有基本資料，雖然組成這些資訊的檔案可能不在一塊。同時不同應用程式之間還可以對這些資訊進行共用，減少了系統開發資源的浪費，提高了系統資源的利用效率。

活動目錄包括兩個方面：目錄和與目錄相關的服務。目錄是儲存各種對象的一個物理上的容器，從靜態角度來理解這活動目錄與我們以前所結識的“目錄”和“檔案夾”沒有本質區別，僅僅是一個對象，是一實體；而目錄服務是使目錄中所有資訊和資源發揮作用的服務，活動目錄是一個分布式的目錄服務，資訊可以分散在多台不同的電腦上，保證使用者能夠快速存取，因為多台機上有相同的資訊，所以在資訊容氏方面具有很強的控制能力，正因如此，不管使用者從何處訪問或資訊處在何處，都對使用者提供統一的視圖。

二、相關名詞術語

雖然活動目錄中用到的許多技術在其他軟體產品中也已經出現過，但作為全面的整體網路方案還是首次亮相，其中有許多名詞或術語或許是聞所未聞的，所以有必要詳細瞭解一下活動目錄的有關名詞或術語。

1、名字空間：從本質上講，活動目錄就是一個名字空間，我們可以把名字空間理解為任何給定名字的解析邊界，這個邊界就是指這個名字所能提供或關聯、映射的所有資訊範圍。通俗地說就是我們在伺服器上通過尋找一個對象可以查到的所有關聯資訊總和，如一個使用者，如果我們在伺服器已給這個使用者定義了講如：使用者名稱、使用者密碼、工作單位、聯絡電話、家庭住址等，那上面所說的總和廣義上理解就是“使用者”這個名字的名字空間，因為我們只輸入一個使用者名稱即可找到上面我所列的一切資訊。名字解析是把一個名字翻譯成該名字所代表的對象或者資訊的處理過程。舉例來說，在一個電話目錄形成一個名字空間中，我們可以從每一個電話戶頭的名字可以被解析到相應的電話號碼，而不是象現在一樣名字是名字，號碼歸號碼，根本不能橫向聯絡。Windows 作業系統的檔案系統也形成了一個名字空間，每一個檔案名稱都可以被解析到檔案本身（包含它應有的所有資訊）。

2、對象： 對象是活動目錄中的資訊實體，也即我們通常所見的“屬性”，但它是一組屬性的集合，往往代表了有形的實體，比如使用者賬戶、 文 件名等。對象通過屬性描述它的基本特徵，比如，一個使用者帳號的屬性中可能包括使用者姓名、 電話號碼、 電子郵件地址和家庭住址等。

3、容器：容器是活動目錄名字空間的一部分，與目錄對象一樣，它也有屬性，但與目錄對象不同的是，它不代表有形的實體，而是代表存放對象的空間，因為它僅代表存放一個對象的空間，所以它比名字空間小。比如一個使用者，它是一個對象，但這個對象的容器就僅限於從這個對象本身所能提供的資訊空間，如它僅能提供使用者名稱、使用者密碼。其它的如：工作單位、聯絡電話、家庭住址等就不屬於這個對象的容器範圍了。

4、分類樹：在任何一個名字空間中，分類樹是指由容器和對象構成的階層。樹的葉子、節點往往是對象，樹的非葉子節點是容器。分類樹表達了對象的串連方式，也顯示了從一個對象到另一個對象的路徑。在活動目錄中，分類樹是基本的結構，從每一個容器作為起點，層層深入， 都可以構成一棵子樹。一個簡單的目錄可以構成一棵樹，一個電腦網路或者一個域也可以構成一棵樹。這也很容易理解，我們最初學電腦時不就是在全面理解DOS下的路徑概念基礎之上開始的嗎，其實這“分類樹”也就是一種“路徑關係”，如果你理解了DOS下的“路徑”相信理解這“分類樹”是沒什麼問題的！

5、域： 域是WIN2K網路系統的安全性邊界。我們知道一個電腦網最基本的單元就是“域”，這一點不是WIN2K所專屬的，但活動目錄可以貫穿一個或多個域。在獨立的電腦上，域即指電腦本身，一個域可以分布在多個物理位置上，同時一個物理位置又可以劃分不同網段為不同的域，每個域都有自己的安全性原則以及它與其他域的信任關係。當多個域通過信任關係串連起來之後，活動目錄可以被多個信任域域共用

6、組織單元：包含在域中特別有用的目錄物件類型就是組織單元。組織單元是可將使用者、組、電腦和其他單元放入活動目錄的容器中，組織單元不能包括來自其他域的對象。組織單元是可以指派組原則設定或委派系統管理權限的最小作用單位。使用組織單元，您可在組織單元中代表邏輯階層的域中建立容器，這樣您就可以根據您的組織模型管理帳戶、資源的配置和使用，可使用組織單元建立可縮放到任意規模的管理模型。可授予使用者對域中所有組織單元或對單個組織單元的系統管理權限，組織單元的管理員不需要具有域中任何其他組織單元的管理權，組織單元有點象我們在NT時代的工作群組，我們從系統管理權限上來講可以這麼理解。