Windows 2000活動目錄詳解

window|詳解

我們知道WIN2K系統最大的突破性和成功之一就在於它全新引入的“活動目錄（Active Directory）服務”，使得WIN2K系統與Internet上的各項服務和協議更加聯絡緊密，因為它對目錄的命名方式成功地與”網域名稱“的命名方式一致，然後通過DNS進行解析，使得與在Internet上通過WINS解析取得一致的效果。 活動目錄也說明了Microsoft在網路結構方面的策略轉移，雖然在以前NT時代也有部分產品（如EXCHANGE SERVER、IIS等）提供過類似於活動目錄的服務，然而活動目錄作為一個全新的綜合服務方式是在WIN2K的誕生後隨之而來的。活動目錄的身影似乎在整個WIN2K系統中無處不在。

一、活動目錄的由來

談到活動目錄最使人容易想起的就是DOS下的“目錄”、“路徑”和Windows9X/ME下“檔案夾”，那個時候的“目錄”或“檔案夾”僅代表一個檔案存在磁碟上的位置和層次關係，一個檔案產生之後相對來說這個檔案的所在目錄也就固定了（當然可以刪除、轉移等，現在不考慮這些），也就是說它的屬性也就相對固定了，是靜態。這個目錄所能代表的僅是這個目錄下所有檔案的存放位置和所有檔案總的大小，並不能得出其它有關資訊，這樣就影響到了整體使用目錄的效率，也就是影響了系統的整體效率，使系統的整個管理變得複雜。因為沒有相互關聯，所以在不同應用程式中同一對象要進行多次配置，管理起來相當繁鎖，影響了系統資源的使用效率。為了改變這種效率低下的關係和加強與Internet上有關協議的關聯，Microsoft公司決定在WIN2K中全面改革，也就是引入活動目錄的概念。理解活動目錄的關鍵就在於“活動”兩個字，千萬不要將“活動”兩個字去掉而僅僅從“目錄”兩個字去理解，那你我理來理去一定還是不能脫離原來在DOS下目錄或Windows9x下的檔案夾，正因為這個目錄是活動的，所以它是動態，它是一種包含服務功能的目錄，它可以做到“由此及彼”的聯想、映射，如找到了一個使用者名稱，就可聯想到它的帳號、出生資訊、E-mail、電話等所有基本資料，雖然組成這些資訊的檔案可能不在一塊。同時不同應用程式之間還可以對這些資訊進行共用，減少了系統開發資源的浪費，提高了系統資源的利用效率。

活動目錄包括兩個方面：目錄和與目錄相關的服務。目錄是儲存各種對象的一個物理上的容器，從靜態角度來理解這活動目錄與我們以前所結識的“目錄”和“檔案夾”沒有本質區別，僅僅是一個對象，是一實體；而目錄服務是使目錄中所有資訊和資源發揮作用的服務，活動目錄是一個分布式的目錄服務，資訊可以分散在多台不同的電腦上，保證使用者能夠快速存取，因為多台機上有相同的資訊，所以在資訊容氏方面具有很強的控制能力，正因如此，不管使用者從何處訪問或資訊處在何處，都對使用者提供統一的視圖。

二、相關名詞術語

雖然活動目錄中用到的許多技術在其他軟體產品中也已經出現過，但作為全面的整體網路方案還是首次亮相，其中有許多名詞或術語或許是聞所未聞的，所以有必要詳細瞭解一下活動目錄的有關名詞或術語。

1、名字空間：從本質上講，活動目錄就是一個名字空間，我們可以把名字空間理解為任何給定名字的解析邊界，這個邊界就是指這個名字所能提供或關聯、映射的所有資訊範圍。通俗地說就是我們在伺服器上通過尋找一個對象可以查到的所有關聯資訊總和，如一個使用者，如果我們在伺服器已給這個使用者定義了講如：使用者名稱、使用者密碼、工作單位、聯絡電話、家庭住址等，那上面所說的總和廣義上理解就是“使用者”這個名字的名字空間，因為我們只輸入一個使用者名稱即可找到上面我所列的一切資訊。名字解析是把一個名字翻譯成該名字所代表的對象或者資訊的處理過程。舉例來說，在一個電話目錄形成一個名字空間中，我們可以從每一個電話戶頭的名字可以被解析到相應的電話號碼，而不是象現在一樣名字是名字，號碼歸號碼，根本不能橫向聯絡。Windows 作業系統的檔案系統也形成了一個名字空間，每一個檔案名稱都可以被解析到檔案本身（包含它應有的所有資訊）。

2、對象： 對象是活動目錄中的資訊實體，也即我們通常所見的“屬性”，但它是一組屬性的集合，往往代表了有形的實體，比如使用者賬戶、 文 件名等。對象通過屬性描述它的基本特徵，比如，一個使用者帳號的屬性中可能包括使用者姓名、 電話號碼、 電子郵件地址和家庭住址等。

3、容器：容器是活動目錄名字空間的一部分，與目錄對象一樣，它也有屬性，但與目錄對象不同的是，它不代表有形的實體，而是代表存放對象的空間，因為它僅代表存放一個對象的空間，所以它比名字空間小。比如一個使用者，它是一個對象，但這個對象的容器就僅限於從這個對象本身所能提供的資訊空間，如它僅能提供使用者名稱、使用者密碼。其它的如：工作單位、聯絡電話、家庭住址等就不屬於這個對象的容器範圍了。

4、分類樹：在任何一個名字空間中，分類樹是指由容器和對象構成的階層。樹的葉子、節點往往是對象，樹的非葉子節點是容器。分類樹表達了對象的串連方式，也顯示了從一個對象到另一個對象的路徑。在活動目錄中，分類樹是基本的結構，從每一個容器作為起點，層層深入， 都可以構成一棵子樹。一個簡單的目錄可以構成一棵樹，一個電腦網路或者一個域也可以構成一棵樹。這也很容易理解，我們最初學電腦時不就是在全面理解DOS下的路徑概念基礎之上開始的嗎，其實這“分類樹”也就是一種“路徑關係”，如果你理解了DOS下的“路徑”相信理解這“分類樹”是沒什麼問題的！ 

5、域： 域是WIN2K網路系統的安全性邊界。我們知道一個電腦網最基本的單元就是“域”，這一點不是WIN2K所專屬的，但活動目錄可以貫穿一個或多個域。在獨立的電腦上，域即指電腦本身，一個域可以分布在多個物理位置上，同時一個物理位置又可以劃分不同網段為不同的域，每個域都有自己的安全性原則以及它與其他域的信任關係。當多個域通過信任關係串連起來之後，活動目錄可以被多個信任域域共用

6、組織單元：包含在域中特別有用的目錄物件類型就是組織單元。組織單元是可將使用者、組、電腦和其他單元放入活動目錄的容器中，組織單元不能包括來自其他域的對象。組織單元是可以指派組原則設定或委派系統管理權限的最小作用單位。使用組織單元，您可在組織單元中代表邏輯階層的域中建立容器，這樣您就可以根據您的組織模型管理帳戶、資源的配置和使用，可使用組織單元建立可縮放到任意規模的管理模型。可授予使用者對域中所有組織單元或對單個組織單元的系統管理權限，組織單元的管理員不需要具有域中任何其他組織單元的管理權，組織單元有點象我們在NT時代的工作群組，我們從系統管理權限上來講可以這麼理解。

7、域樹：域樹由多個域組成，這些域共用同一表結構和配置，形成一個連續的名字空間。樹中的域通過信任關係串連起來，活動目錄包含一個或多個域樹。域樹中的域層次越深層級越低，一個“.”代表一個層次，如域child.Microsoft.com 就比 Microsoft.com這個域層級低，因為它有兩個層次關係，而Microsoft.com只有一個層次。而域Grandchild.Child.Microsoft.com雙比 Child.Microsoft.com層級低，道理一樣。

域樹中的域是通過雙向可傳遞信任關係串連在一起。由於這些信任關係是雙向的而且是可傳遞的，因此在域樹或樹林中新建立的域可以立即與域樹或樹林中每個其他的域建立信任關係。這些信任關係允許單一登入過程，在域樹或樹林中的所有域上對使用者進行身分識別驗證，但這不一定意味著經過身分識別驗證的使用者在域樹的所有域中都擁有相同的權利和許可權。因為域是安全界限，所以必須在每個域的基礎上為使用者指派相應的權利和許可權。

8、域林：域林是指由一個或多個沒有形成連續名字空間的域樹組成，它與上面所講的域樹最明顯的區別就在於這些域樹之間沒有形成連續的名字空間，而域樹則是由一些具有連續名字空間的域組成。但域林中的所有域樹仍共用同一個表結構、配置和全域目錄。域林中的所有域樹通過Kerberos 信任關係建立起來，所以每個域樹都知道Kerberos信任關係，不同域樹可以交叉引用其他域樹中的對象。域林都有根域，域林的根域是域林中建立的第一個域，域林中所有域樹的根域與域林的根域建立可傳遞的信任關係。

9、網站：網站是指包括活動目錄網域服務器的一個網路位置，通常是一個或多個通過TCP/IP串連起來的子網。網站內部的子網通過可靠、快速的網路連接起來。網站的劃分使得管理員可以很方便地配置活動目錄的複雜結構，更好地利用物理網路特性，使網路通訊處於最優狀態。當使用者登入到網路時，活動目錄客戶機在同一個網站內找到活動目錄網域服務器，由於同一個網站內的網路通訊是可靠、快速和高效的，所以對於使用者來說，他可以在最快的時間內登入到網路系統中。因為網站是以子網為邊界的，所以活動目錄在登入時很容易找到使用者所在的網站，進而找到活動目錄網域服務器完成登入工作。

10、網域控制站：網域控制站是使用活動目錄安裝嚮導配置的WIN2K Server 的電腦。活動目錄安裝嚮導安裝和配置為網路使用者和電腦提供活動目錄服務的組件供使用者選擇使用。網域控制站儲存著目錄資料並系統管理使用者域的互動關係，其中包括使用者登入過程、身分識別驗證和目錄搜尋，一個域可有一個或多個網域控制站。為了獲得高可用性和容錯能力，使用單個區域網路 (LAN) 的小單位可能只需要一個具有兩個網域控制站的域。具有多個網路位置的大公司在每個位置都需要一個或多個網域控制站以提供高可用性和容錯能力。

WIN2K Server 網域控制站擴充了 WINNT Server 4.0 的網域控制站所提供的能力和特性，WIN2K Server 多重主機複製使每個網域控制站上的目錄資料同步，以確保隨著時間的推移這些資訊仍能保持一致，也就是說是動態，這就是活動目錄的作用。多重主機複製是 WINNT Server 4.0 中使用的主網域控制站和備份網域控制站模型的發展，在 WINNT Server 4.0 中只有一個伺服器，即主網域控制站，擁有該目錄的可讀寫副本。

三、安裝活動目錄的意義

我們說WIN2K的成功和創造性之一就是成功的全面引入了活動目錄服務，那麼到底安裝活動目錄有什麼意義呢？這是我們所有初學WIN2K的人首要要問的一個問題。因為活動目錄並不是WIN2K系統必需安裝的一種服務，要全面理解它又是非常的不容易，那麼安裝活動目錄的意義在哪裡呢？它主要體現在以下幾個方面：

1、資訊的安全性大大增強 

安裝活動目錄後資訊的安全性完全與活動目錄集成，使用者授權管理和目錄進入控制已經整合在活動目錄當中了（包括使用者的訪問和登入許可權等），而它們都是WIN2K作業系統的關鍵安全措施。活動目錄集中控制使用者授權，目錄進入控制不只能在每一個目錄中的對象上定義，而且還能在每一個對象的每個屬性上定義，這一點是以前任何系統所不能達到的，包括WINNT 4.0。除此之外，活動目錄還可以提供儲存和Application 領域的安全性原則，提供安全性原則的儲存和應用範圍。安全性原則可包含帳戶資訊，如域範圍內的密碼限制或對特定域資源的訪問權等。所以從一定程式上可以這麼說WIN2K的安全性就是活動目錄所體現的安全性，由此可見對於網管來說如何配置好活動目錄中對象及屬性的安全性是一個網管配置好WIN2K系統的關鍵。

2、引入原則式管理，使系統的管理更加明朗

活動目錄服務包括目錄對象資料存放區和邏輯分層結構（指上面所講的目錄、分類樹、域、域樹、域林等所組成的階層），作為目錄，它儲存著分配給特定環境的策略，稱為組策略對象。作為邏輯結構，它為策略應用程式提供分層的環境。組策略對象表示了一套商務規則，它包括與要應用的環境有關的設定，組策略是使用者或電腦初始化時用到的配置設定。所有的組原則設定都包含在應用到活動目錄，域，或組織單元的組策略對象（GPOs）中。GPOs設定決定目錄對象和域資源的進入許可權，什麼樣的域資源可以被使用者使用，以及這些域資源怎樣使用等。例如，組策略對象可以決定當使用者登入時使用者在他們的電腦上看到什麼應用程式，當它在伺服器上啟動時有多少使用者可串連至 Server，以及當使用者轉移到不同的部門或組時他們可訪問什麼檔案或服務。組策略對象使您可以管理少量的策略而不是大量的使用者和電腦。通過活動目錄，您可將組原則設定應用於適當的環境中，不管它是您的整個單位還是您單位中的特定部門。

3、具有很強的可擴充性

WIN2K的活動目錄具有很強的可擴充性，管理員可以在計劃中增加新的對象類，或者給現有的對象類增加新的屬性。計劃包括可以儲存在目錄中的每一個對象類的定義和對象類的屬性。例如，在電子商務上你可以給每一個使用者物件增加一個購物授權屬性，然後儲存每一個使用者購買許可權作為使用者帳號的一部分。

4、具有很強的延展性

活動目錄可包含在一個或多個域，每個域具有一個或多個網域控制站，以便您可以調整目錄的規模以滿足任何網路的需要。多個域可組成為域樹，多個域樹又可組成為樹林，活動目錄也就隨著域的伸縮而伸縮，較好地適應了單位網路的變化。目錄將其架構和配置資訊分發給目錄中所有的網域控制站，該資訊儲存在域的第一個網域控制站中，並且複製到域中任何其他網域控制站。當該目錄配置為單個域時，添加網域控制站將改變目錄的規模，而不影響其他域的管理開銷。將域添加到目錄使您可以針對不同策略環境劃分目錄，並調整目錄的規模以容納大量的資源和對象。

5、智能的資訊複製能力

資訊複製為目錄提供了資訊可用性、容錯、Server Load Balancer和效能優勢，活動目錄使用多主機複製，允許您在任何網域控制站上而不是單個主網域控制站上同步更新目錄。多主機模式具有更大容錯的優點，因為使用多網域控制站，即使任何單獨的網域控制站停止工作，也可繼續複製。由於進行了多主機複製，它們將更新目錄的單個副本，在網域控制站上建立或修改目錄資訊後，新建立或更改的資訊將發送到域中的所有其他網域控制站，所以其目錄資訊是最新的。網域控制站需要最新的目錄資訊，但是要做到高效率，必須把自身的更新限制在只有建立或更改目錄資訊的時候，以免在網路高峰期進行同步而影響網路速度。在網域控制站之間不加選擇地交換目錄資訊能夠迅速搞垮任何網路。通過活動目錄就能達到只複製更改的目錄資訊，而不至於大量增加網域控制站的負荷。 

6、與 DNS 整合緊密

活動目錄使用網域名稱系統 (DNS)來為伺服器目錄命名，DNS 是將更容易理解的主機名稱（如 Mike.Mycompany.com）轉換為數字 IP 位址的 Internet 標準服務，利於在TCP/IP網路中電腦之間的相互識別和通訊。DNS 的網域名稱基於 DNS 分層命名結構，這是一種倒置的樹狀結構，單個根域，在它下面可以是父域和子域（分支和葉子）。關於這一點我會在後面以專門的篇章加以詳細講述，在此就僅作簡單介紹。

7、與其他目錄服務具有互操性

由於活動目錄是基於標準的目錄訪問協議，許多應用程式介面（API）都允許開發人員進入這些協議，例如活動目錄服務介面（ADSI）、輕量型目錄存取通訊協定 (LDAP) 第三版和名稱服務提供者介面 (NSPI)，因此它可與使用這些協議的其他目錄服務相互操作。LDAP 是用於在活動目錄中查詢和檢索資訊的目錄訪問協議。因為它是一種工業標準服務合約，所以可使用 LDAP 開發程式，與同時支援 LDAP 的其他目錄服務共用活動目錄資訊。活動目錄支援 Microsoft Exchange 4.0 和 5.x 客戶程式所用的 NSPI 協議，以提供與 Exchange 目錄的相容性。

8、具有靈活的查詢

任何使用者可使用“開始”菜單、“網路位置”或“活動目錄使用者和電腦”上的“搜尋”命令，通過對象屬性快速尋找網路上的對象。如您可通過名字、姓氏、電子郵件名、辦公室位置或使用者帳戶的其他屬性來尋找使用者，反之亦然。 在上一篇對活動目錄有個基本瞭解之後下面我就來接觸一下活動目錄實質上的一面——活動目錄的結構。上篇我們講到活動目錄是包括兩方面：目錄和目錄相關的服務。目錄是儲存各種對象的一個物理上的容器，與我們平常所說的目錄沒什麼區別，目錄管理的基本對象是使用者、電腦、檔案以及印表機等資源。而目錄服務是使目錄中所有資訊和資源發揮作用的服務，如使用者和資源管理、基於目錄的網路服務、基於網路的應用管理，它才是WIN2K活動目錄的關鍵和精髓所在。目錄服務是WIN2K網路作業系統的核心支柱，也是中心管理機構，所以目錄服務的引入對整個作業系統帶來了革命性的變化，不僅系統平台上的各基礎模組，比如網路安全機制、使用者管理模組等發生了變化，而且上層應用的運作方式以及開發模式也有了相應的變化。這樣來理解“活動目錄”是不是覺得更加容易？

同時活動目錄是一個分布式的目錄服務，因為資訊可以分散在多台不同的電腦上，保證各電腦使用者快速存取和容錯；同時不管使用者從何處訪問或資訊處在何處，對使用者都提供統一的視圖，使使用者覺得更加容易理解和掌握WIN2K系統的使用。活動目錄集成了WIN2K伺服器的關鍵服務，如網域名稱服務 (DNS)(DNS)，訊息佇列服務（MSMQ），事務服務（MTS）等。