域結(jié)構(gòu)簡(jiǎn)介1、域的含義：域是由一群以網(wǎng)絡(luò)連接在一起的計(jì)算機(jī)所組成的，它們將計(jì)算機(jī)內(nèi)的資源共享給其他人使用。2、與工作組結(jié)構(gòu)網(wǎng)絡(luò)區(qū)別：域內(nèi)所有的計(jì)算機(jī)共享一個(gè)集中式的目錄數(shù)據(jù)庫(kù)，它包括整個(gè)域內(nèi)的用戶與安

域結(jié)構(gòu)簡(jiǎn)介

1、域的含義：

域是由一群以網(wǎng)絡(luò)連接在一起的計(jì)算機(jī)所組成的，它們將計(jì)算機(jī)內(nèi)的資源共享給其他人使用。

2、與工作組結(jié)構(gòu)網(wǎng)絡(luò)區(qū)別：

域內(nèi)所有的計(jì)算機(jī)共享一個(gè)集中式的目錄數(shù)據(jù)庫(kù)，它包括整個(gè)域內(nèi)的用戶與安全數(shù)據(jù)。而工作組結(jié)構(gòu)的網(wǎng)絡(luò)，每臺(tái)計(jì)算機(jī)的位置平等。可以相互的共享。

3、域中的計(jì)算機(jī)類型：

A 、 域控制器：只有WIN2000SERVER 才可以做域控制器，域控制器在一個(gè)網(wǎng)絡(luò)中可以有多個(gè)。一臺(tái)的目錄數(shù)據(jù)庫(kù)可以自動(dòng)復(fù)制到別一個(gè)域服務(wù)器的目錄數(shù)據(jù)庫(kù)中，域可以審核登錄用戶的用戶名和密碼。多臺(tái)域服務(wù)器共同審核用戶的登錄可以提高效率

B 、 成員服務(wù)器：域內(nèi)的WIN2000服務(wù)器如果不是域控制器，就是成員服務(wù)器，如果不加入域就獨(dú)立服務(wù)器，成員服務(wù)器沒有活動(dòng)目錄，不能審核域用戶的登錄，但它們都自己的本地安全數(shù)據(jù)庫(kù)。以審核本地用戶。

C 、 其他計(jì)算機(jī)：其他計(jì)算機(jī)可以用來訪問這些計(jì)算機(jī)的資源。

活動(dòng)目錄定義

一個(gè)電話本：其中有姓名、電話號(hào)、地址等，這些就是目錄，我可以很容易從找到所需的數(shù)據(jù)。目錄服務(wù)：就讓用戶很容易在目錄中查找所要的數(shù)據(jù)。而在WIN2000中，存儲(chǔ)用戶、組、打印機(jī)等對(duì)象相關(guān)數(shù)據(jù)的位置稱為目錄數(shù)據(jù)庫(kù)，負(fù)責(zé)提供目錄服務(wù)的組件稱為活動(dòng)目錄。

1、 適用范圍

應(yīng)用范圍很廣，可以在一臺(tái)計(jì)算機(jī)、一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，大至數(shù)據(jù)廣域網(wǎng)的組合。

2、 名稱空間

A 、 名稱空間的含義：就是一塊劃好的區(qū)域。在這個(gè)區(qū)域內(nèi)，可以利用某個(gè)名字來找到與這個(gè)名字有關(guān)的信息。

B 、 WIN2000中的活動(dòng)目錄就是“名稱空間”，可以利用對(duì)象名稱找到相關(guān)的數(shù)據(jù)。

C 、 WIN2000的名稱結(jié)構(gòu)采用了DNS 的結(jié)構(gòu)。

3、對(duì)象與屬性

WIN2000中的資源都是以對(duì)象的形式存在，而一個(gè)對(duì)象通過屬性來描述其特征。如用戶就是一個(gè)對(duì)象類別。用戶的姓、名、電話，就是用戶的屬性。

4、容量與組織單位

A 、容量與對(duì)象相似，也有自己的名稱，也有自己的屬性，但它不是一個(gè)實(shí)體，而可以一組對(duì)象和其它容量。

B 、組織單位，就是一個(gè)容量，可以包括其他對(duì)象和組織單位。

5、域目錄樹

A 、 域目錄樹：對(duì)一個(gè)包含多個(gè)域的網(wǎng)絡(luò)，則可以將網(wǎng)絡(luò)設(shè)置成域目錄樹的結(jié)構(gòu)，也就是說這些域以樹狀的形式存在。

B 、域目錄樹中的子域名包含著父域的域名

C 、域目錄樹中的所有的域共享一個(gè)活動(dòng)目錄。但活動(dòng)目錄中的數(shù)據(jù)分散地存儲(chǔ)在各個(gè)域內(nèi)。將各個(gè)域內(nèi)的數(shù)據(jù)合并為一個(gè)活動(dòng)目錄。

6、信任

兩個(gè)域之間，必須建立信任關(guān)系，才可以訪問對(duì)方域內(nèi)的資源，一個(gè)域加入到一個(gè)域目錄樹中后，這個(gè)域會(huì)自動(dòng)信任其上一層域，并且這些信任關(guān)系具備雙傳遞性。

7、域目錄林

如果一個(gè)網(wǎng)絡(luò)設(shè)置成多個(gè)域目錄樹的結(jié)構(gòu)，那么可以讓這些域目錄樹合并為一個(gè)域目錄林。如Abc.com 域與zyx.com 域。

8、架構(gòu)

在活動(dòng)目錄內(nèi)的對(duì)象類別等數(shù)據(jù)定義在架構(gòu)內(nèi)，如定義了用戶這個(gè)對(duì)象類別內(nèi)飲食了哪些屬性等。在一個(gè)域目錄林中的所有域目錄樹共享一個(gè)架構(gòu)。

9、全局編錄

A 、 全局編錄的原因：活動(dòng)目錄內(nèi)的數(shù)據(jù)分散存儲(chǔ)在各個(gè)域內(nèi)，而每一個(gè)域只存儲(chǔ)與些域本身相關(guān)數(shù)據(jù)。WIN2000將存儲(chǔ)在各個(gè)域內(nèi)的數(shù)據(jù)合并為一個(gè)活動(dòng)目錄。為了讓W(xué)IN2000用戶可以快速找到其它域內(nèi)的資源，WIN2000才設(shè)計(jì)了“全局編錄”。

B 、 “全局編錄”內(nèi)包含著目錄服務(wù)器中的每一個(gè)對(duì)象，不過只存儲(chǔ)每個(gè)對(duì)象的部分屬性，而不是全部屬性。

C 、 “全局編錄”的數(shù)據(jù)存儲(chǔ)在全局編錄服務(wù)器，系統(tǒng)默認(rèn)第一臺(tái)域控制器就是全局編錄服務(wù)器。在域目錄林共享一個(gè)全局編錄服務(wù)器。

10、站點(diǎn)

A 、 站點(diǎn)的含義：指的是一個(gè)或多個(gè)IP 子網(wǎng)，這些子網(wǎng)之間是通過高速（512K ），這些子網(wǎng)就是站點(diǎn)。

B 、 站點(diǎn)與域的區(qū)別：域是實(shí)體的分組，而站點(diǎn)是實(shí)體的分組，、每個(gè)站點(diǎn)可能會(huì)包含多個(gè)域，而一個(gè)域也可以同時(shí)屬于多個(gè)站點(diǎn)。

11、名稱

活動(dòng)目錄內(nèi)，每個(gè)對(duì)象都有一個(gè)名稱，并且利用名稱來識(shí)別每個(gè)對(duì)象。

A 可分辨的名稱（ND ）：它包含對(duì)象所在的完整路徑，abc.com

orthsalesobyong.

B 、 相對(duì)可分辨的名稱（RDN ）：RDN 是DN 的完整路徑中。

C 、 全局標(biāo)識(shí)符：GUID 是一個(gè)128的數(shù)值，所建立的任何一個(gè)對(duì)象，系統(tǒng)都會(huì)自動(dòng)給這個(gè)對(duì)象指定一個(gè)唯一的GUID 。GUID 永遠(yuǎn)不會(huì)改變的。

D 、 用戶主體名稱：todayhero@abc.com這是一個(gè)用戶的主體名稱。

活動(dòng)目錄介紹

（一）目錄服務(wù)

目錄，是一個(gè)數(shù)據(jù)庫(kù)，存貯了網(wǎng)絡(luò)資源相關(guān)的信息，包括了資源的位置、管理等信息。 目錄服務(wù) 是一種網(wǎng)絡(luò)服務(wù)，目錄服務(wù)標(biāo)記管理網(wǎng)絡(luò)中的所有實(shí)體資源（比如計(jì)算機(jī)、用戶、打印機(jī)、文件、應(yīng)用等），并且提供了命名、描述、查找、訪問以及保護(hù)這些實(shí)體信息的一致的方法，使網(wǎng)絡(luò)中的所有用戶和應(yīng)用都能訪問到這些資源。

（二）活動(dòng)目錄（Active Directory）

活動(dòng)目錄 是Windows 2000完全實(shí)現(xiàn)的目錄服務(wù)，也是Windows 2000網(wǎng)絡(luò)體系的基本結(jié)構(gòu)模型，是Windows 2000網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心管理機(jī)構(gòu)。

Microsoft 在Windows 2000中提供的活動(dòng)目錄是一個(gè)全面的目錄服務(wù)管理方案，也是一個(gè)企業(yè)級(jí)的目錄服務(wù)，具有很好的可伸縮性?；顒?dòng)目錄采用了Internet 的標(biāo)準(zhǔn)協(xié)議，它與操作系統(tǒng)緊密地集成在一起?；顒?dòng)目錄不僅可以管理基本的網(wǎng)絡(luò)資源，比如計(jì)算機(jī)對(duì)象、用戶賬戶、打印機(jī)等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了基本的管理對(duì)象模型，比如用戶賬戶對(duì)象具有辦公電話、手機(jī)、呼機(jī)、住址、上司、下屬、電子郵件等屬性。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動(dòng)目錄也具有很好的擴(kuò)充能力，允許應(yīng)用程序定制目錄中對(duì)象的屬性或者添加新的對(duì)象類型。

（三）活動(dòng)目錄的用處

（四）活動(dòng)目錄的邏輯結(jié)構(gòu)

活動(dòng)目錄的邏輯結(jié)構(gòu)非常靈活，它為活動(dòng)目錄提供了完全的樹狀層次結(jié)構(gòu)視圖，邏輯結(jié)構(gòu)與前面我們討論過的名字空間有直接的關(guān)系。邏輯結(jié)構(gòu)為用戶和管理員查找、定位對(duì)象提供了極大的方便?；顒?dòng)目錄中的邏輯單元包括：域、組織單元（Organizational Unit ，簡(jiǎn)稱OU ）、域樹、域森林。

1、 域（Domain ）

域 既是Windows 網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，也是Internet 的邏輯組織單元，在Windows 2000系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或者管理其他的域。每個(gè)域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。

2、 OU(Organizational Unit)

OU 是一個(gè)容器對(duì)象，我們可以把域中的對(duì)象組織成邏輯組，所以O(shè)U 純粹是一個(gè)邏輯概念，它可以幫助我們簡(jiǎn)化管理工作。OU 可以包含各種對(duì)象，比如用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)，甚至可以包括其他的OU 。所以我們可以利用OU 把域中的對(duì)象形成一個(gè)完全邏輯上的層次結(jié)構(gòu)，對(duì)于一個(gè)企業(yè)來講，我們可以按部門把所有的用戶和設(shè)備組成一個(gè)OU 層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個(gè)OU 層次結(jié)構(gòu)。由于OU 層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個(gè)域中的OU 層次結(jié)構(gòu)與另一個(gè)域中的OU 層次結(jié)構(gòu)完全獨(dú)立。

3、 樹

當(dāng)多個(gè)域通過信任關(guān)系連接起來之后，所有的域共享公共的表結(jié)構(gòu)(schema) 、配置和全局目錄(global catalog) ，從而形成 域樹 。域樹由多個(gè)域組成，這些域共享同一個(gè)表結(jié)構(gòu)和配置，形成一個(gè)連續(xù)的名字空間。樹中的域通過信任關(guān)系連接起來?；顒?dòng)目錄包含一個(gè)或多個(gè)域樹。

4、 森林

域森林 是指一個(gè)或多個(gè)沒有形成連續(xù)名字空間的域樹。域林中的所有域樹共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹通過Kerberos 信任關(guān)系建立起來，所以每個(gè)域樹都知道Kerberos 信任關(guān)系，不同域樹可以交叉引用其他域樹中的對(duì)象。

（五）其它

（1）域控制器(Domain Controller)

域控制器是指運(yùn)行Windows 2000 Server版本的服務(wù)器，它保存了活動(dòng)目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個(gè)域中的其他域控制器上。域控制器也負(fù)責(zé)用戶的登錄過程，以及其他與域有關(guān)的操作，比如身份認(rèn)證、目錄信息查找等。 一個(gè)域可以有多個(gè)域控制器。規(guī)模較小的域可以只需要兩個(gè)域控制器，一個(gè)實(shí)際使用，另一個(gè)用于容錯(cuò)性檢查；規(guī)模較大的域可以使用多個(gè)域控制器。 Windows 2000的域結(jié)構(gòu)與Windows NT 4的域結(jié)構(gòu)不同的是，活動(dòng)目錄中的域控制器沒有主次之分，活動(dòng)目錄采用了多主機(jī)復(fù)制方案，每一個(gè)域控制器都有一個(gè)可寫入的目錄副本。在某一個(gè)時(shí)刻，不同的域控制器中的目錄信息可能有所不同，一旦活動(dòng)目錄中的所有域控制器執(zhí)行同步操作之后，最新的變化信息就會(huì)一致。

（2）活動(dòng)目錄與DNS

活動(dòng)目錄使用域名服務(wù)DNS 作為它的定位服務(wù)，同時(shí)也對(duì)標(biāo)準(zhǔn)的DNS 作了擴(kuò)充。在活動(dòng)目錄中使用DNS 的最大好處在于，我們可以使Windows 2000域與Internet 上的域統(tǒng)一起來，即Windo ws 域名也是DNS 域名。

（3）Active Directory命名規(guī)范

a. 辨別名( distinguished name (DN))

活動(dòng)目錄中的每一個(gè)對(duì)象都會(huì)有一個(gè)唯一的辨別名DN 。DN 由域名、對(duì)象名組成： DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶對(duì)象James Smith 在contoso.com 域中的Users 組織單元中的Teacher 單元中．

b.User Principal Name : 由用戶登錄名和域名組成，如 JamesS@contoso.com。

域運(yùn)行模式

（1） 混合模式 。混合模式的域既可以有Windows 2000的域控制器，也可以有Windows NT 4的域控制器。這是一個(gè)過渡模式，利用這種模式，我們可以對(duì)現(xiàn)有的系統(tǒng)逐步升級(jí)。但是，在混合模式下，活動(dòng)目錄中有些功能不能很好地發(fā)揮出來。 （2） 準(zhǔn)模式 。活動(dòng)目錄的標(biāo)準(zhǔn)模式要求所有的域控制器都必須運(yùn)行Windows 2000。只有在這個(gè)時(shí)候，活動(dòng)目錄的所有功能和特性才能充分體現(xiàn)出來。