windows 2000活動目錄之結構篇

在上一篇對活動目錄有個基本瞭解之後下面我就來接觸一下活動目錄實質上的一面——活動目錄的結構。上篇我們講到活動目錄是包括兩方面：目錄和目錄相關的服務。目錄是儲存各種對象的一個物理上的容器，與我們平常所說的目錄沒什麼區別，目錄管理的基本對象是使用者、電腦、檔案以及印表機等資源。而目錄服務是使目錄中所有資訊和資源發揮作用的服務，如使用者和資源管理、基於目錄的網路服務、基於網路的應用管理，它才是WIN2K活動目錄的關鍵和精髓所在。目錄服務是WIN2K網路作業系統的核心支柱，也是中心管理機構，所以目錄服務的引入對整個作業系統帶來了革命性的變化，不僅系統平台上的各基礎模組，比如網路安全機制、使用者管理模組等發生了變化，而且上層應用的運作方式以及開發模式也有了相應的變化。這樣來理解“活動目錄”是不是覺得更加容易？

同時活動目錄是一個分布式的目錄服務，因為資訊可以分散在多台不同的電腦上，保證各電腦使用者快速存取和容錯；同時不管使用者從何處訪問或資訊處在何處，對使用者都提供統一的視圖，使使用者覺得更加容易理解和掌握WIN2K系統的使用。活動目錄集成了WIN2K伺服器的關鍵服務，如網域名稱服務 (DNS)(DNS)，訊息佇列服務（MSMQ），事務服務（MTS）等。在應用方面活動目錄集成了關鍵應用，如電子郵件、網路管理、ERP等。要理解活動目錄，我們必須從它的邏輯結構和物理結構入手。

一、活動目錄的邏輯結構

“邏輯”兩個字相信大家平時見的比較多，如我們常說的“邏輯思維、邏輯分析”等，也許大家一講到“邏輯”兩個字就覺得十分抽象，難以理解。其實我們在這裡所講的“邏輯結構”，我覺得還是很好理解的，“邏輯”一般與“物理”是對等的，我們知道“物理上的”是指實實在在的，那麼“邏輯上的”不就是指非物理上的，非實體的東西，它是一種抽象的東西，比如講一種“關係”、一個“空間、範圍”等。在第一篇我們講過活動目錄的邏輯結構非常靈活，有分類樹、域、域樹、域林等，這些名字都不是實實在在的一種實體，只是代表了一種關係，一種範圍，如分類樹就是由同一名字空間上的目錄組成，而域又是由不同的分類樹組成，同理域樹是由不同的域組成，域林是由多個域樹組成。它們是一種完全的樹狀、階層視圖，這種關係我們可以看成是一種動態關係。邏輯結構還與前面討論過的名字空間有直接關係，邏輯結構為使用者和管理員在一定的名字空間中尋找、定位對象提供了極大方便。活動目錄中的邏輯單元主要包括：

1、域、域樹、域林

域既是WIN2K網路系統的邏輯組織單元，是對象（如電腦、使用者等）的容器，這些對象有相同的安全需求、複製過程和管理，這一點對於網管人員應是相當容易理解的。在WIN2K中域中所有的網域控制站都是平等的（這一點與WINNT4.0不一樣，沒有主、副之分），域是安全邊界，網域系統管理員只能管理域的內部，除非其他的域顯式地賦予他系統管理權限，他才能夠訪問或管理其他的域。每個域都有自己的安全性原則，以及它與其他域的安全信任關係。在這裡就涉及到了不同域之間的信任關係及傳遞關係，下面就具體講一下WIN2K中的域信任關係。

域與域之間具有一定的信任關係，域信任關係使得一個域中的使用者可由另一域中的網域控制站進行驗證，才能使一個域中的使用者訪問另一個域中的資源。所有域信任關係中只有兩種域：信任關係域和被信任關係域。信任關係就是域A信任域B，則域B中的使用者可以通過域A中的網域控制站進行身分識別驗證後訪問域A中的資源，則域A與域B之間的關係就是信任關係。被信任關係就是被一個域信任的關係，在上面的例子中域B就是被域A信任，域B與域A的關係就是被信任關係。信任與被信任關係可以是單向的，也可以是雙向的，即域A與域B之間可以單方面的信任關係，也可以是雙方面的信任關係。

而在域中傳遞信任關係不受關係中兩個域的約束，是經父域向上傳遞給域分類樹中的下一個域，也就是說如果域A信任域B，則域A也就信任域B下面的子域域B1、域B2……，傳遞信任關係總是雙向的：關係中的兩個域互相信任（是指父域與子域之間）。預設情況下，域分類樹或目錄林（目錄林可以看做是同一域中的多個分類樹組成）中的所有WiIN2K 信任關係都是傳遞的。通過大大減少需管理的委託關係數量，這將在很大程度上簡化域的管理。

WIN2K中的域傳遞信任關係一般是系統自動的，但對於相同域分類樹或林中的WiIN2K域，也可以顯式（手工）地建立傳遞信任關係。這對於形成交叉連結信任關係是非常重要的。不傳遞信任關係受關係中兩個域的約束，並且不經父域向上傳遞到域分類樹中的下一個域。必須顯式地建立不傳遞信任關係。預設情況下，不傳遞信任關係是單向的，儘管也可以通過建立兩個單向信任關聯建立一個雙向關係。所有不屬於相同域分類樹或林中WiIN2K 域間建立的委託關係都是不傳遞的。所有WiIN2K域和WINNT域之間的委託關係都是不傳遞的，這一點對於一個企業同時使用WIN2K和WINNT網域控制站時應特別注意，當從 WindowsNT升級到WiIN2K時，所有已現有的WindowsNT信任關係都將保持不變。在混合模式的網路中，所有WindowsNT信任關係都是不傳遞的。WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和MITKerberosV5領域單向單向信任關係是單獨的委託關係。雙向信任關係包括一對單向委託關係，所有傳遞信任關係都是雙向的。為使不傳遞信任關係成為雙向，必須在所涉及的域間建立兩個單向信任關係。

2、組織單元（OU）

組織單元（OU）是一個容器物件，它也是活動目錄的邏輯結構的一部分，我們可以把域中的對象組織成邏輯組，它可以協助我們簡化管理工作。OU可以包含各種對象，比如使用者賬戶、使用者組、電腦、印表機等，甚至可以包括其他的OU，所以我們可以利用OU把域中的對象形成一個完全邏輯上的階層。對於企 業來講，可以按部門把所有的使用者和裝置群組成一個OU階層，也可以按地理位置形成階層，還可以按功能和許可權分成多個OU階層。很明顯，通過組織單元的包容，組織單元具有很清楚的階層，這種包容結構可以使管理者把組織單元切入到域中以反應出企業的組織圖並且可以委派任務與授權。建立包容結構的組織模型能夠協助我們解決許多問題，同時仍然可以使用大型的域、域樹中每個對象都可以顯示在全域目錄，從而使用者就可以利用一個服務功能輕易地找到某個對象而不管它在域樹結構中的位置。

由於OU階層局限於域的內部，所以一個域中的OU階層與另一個域中的OU階層沒有任何關係。因為活動目錄中的域可以比NT4的域容納更多個物件，所以一個企業有可能只用一個域來構造商業網路，這時候我們就可以使用OU 來對對象進行分組，形成多種管理階層，從而極大地簡化網路管理工作。組織中的不同部門可以成為不同的域，或者一個組織單元，從而採用層次化的命名方法來反映組織圖和進行管理授 權。順著組織圖進行顆粒化的管理授權可以解決很多管理上的頭疼問題，在加強中央管理的同時，又不失機動靈活性。

WINNT4.0中的很多域都可以成為OU，建立起更大的域和更簡化的域關係，藉助全域目錄(GlobalCatalog)，使用者和管理員仍然能夠迅速地找到對象和管理對象。 WIN2K可以在現存的WINNT4.0的環境中工作，保護現有的投資。