Windows 2003 Active Diretory全攻略（一）--目錄服務

首先先來學習幾個重要的基本概念：

一、目錄服務

目錄是記載特定環境中一組對象的相關資訊，比如電話號碼簿記載一些地區的電話號碼。

目錄也就具有以下特性：1、查詢效能高，2、層次式結構，3、能夠區分對象，保持名稱唯一。

目錄服務也就是能夠提供查詢，建立，刪除，或修改目錄中的對象資訊。

目錄資料結構：如下分類樹，分為容器物件和非容器物件

對象的命名方式：1、給每一對象以RDN（Relative Distinguished Name--相對識別名稱），在分類樹中各對象允許相同的RDN，但在同一容器中的對象，RDN不能相同。RDN加上上層一直到頂所有對象的RDN形成DN,最底層的RDN放在DN的最左邊.例如，“C=US”表示此對象代表國家（COUNTRY）與對象名稱（US）；“O=FLAG”表示此對象代表機構組織（ORGANIZATION）與對象名“FLAG"，若是RDN為"DC=US",DC表示DOMAIN COMPONENT,OU=PRODUCT表示此對象代表單位(ORGANIZATION UNIT),CN=FRANKIE KE表示對象代表一般名稱(COMMON NAME).

在這裡提一下：目錄服務的主流標準---LDAP，即是目錄服務遵循的公開標準，讓不同的用戶端可以訪問目錄中的資訊。就如軟考制定出來的報考條件，不同學曆的人都可以報考。

二、Active Directory目錄服務

AD是目錄服務中的一種，也是以對象為單位，並採用層次式結構來組織對象。

AD中的對象有兩項特性：1、GUID（GLOBALLY UNIQUE IDENTIFIER）--全域惟一識別單元：是一組數字來識別。2、ACL：各對象中都有一份ACL，ACL其實是記載著安全性主體（如使用者、組、電腦）對對象的寫入、讀取、審核等的存取權限。就比如，系統管理員有完全控制的許可權，A使用者只有寫入許可權。在實際中，可根據需求，下層對象可繼承上層的ACL。