Windows2000目錄服務(wù)講義目錄是存儲有關(guān)對象的信息的集合，這些對象之間按照某種方式彼此相關(guān)。我們可以將網(wǎng)絡(luò)目錄與電話目錄進(jìn)行對比，電話目存儲的是個人和企業(yè)的名稱、地址和電話號碼。電話目錄是屬性

Windows2000目錄服務(wù)講義

目錄是存儲有關(guān)對象的信息的集合，這些對象之間按照某種方式彼此相關(guān)。我們可以將網(wǎng)絡(luò)目錄與電話目錄進(jìn)行對比，電話目存儲的是個人和企業(yè)的名稱、地址和電話號碼。電話目錄是屬性(名稱和地址) 集合，這些屬性可作為搜索屬性，來查找存儲在目錄中的對象的有關(guān)信息。目錄服務(wù)(directory service) 唯一地標(biāo)識網(wǎng)絡(luò)上的用戶和資源，并提供組織和訪問這些用戶和資源的方法。

本頁的學(xué)習(xí)目標(biāo)：

● 描述目錄服務(wù)的功能

● 確定工作組和域之間的區(qū)別

● 描述Active Directory服務(wù)及其功能，并且識別Active Directory結(jié)構(gòu)組件。

一、目錄服務(wù)介紹

在分布式的計算系統(tǒng)或公共計算機(jī)網(wǎng)絡(luò)(如Internet ）中，要支持系統(tǒng)的話，有很多對象是必須的，例如用戶、文件服務(wù)、打印機(jī)、傳真服務(wù)器、應(yīng)用程序和數(shù)據(jù)庫。用戶希望能夠輕松而有效地查找和使用這些對象管理員希望能夠管理這些對象的使用方式，如果使用和管理這些對象所需要的所有信息都集中存儲在一個位置那么，這些資源的查找和管理過程便能大大地簡化。這正是應(yīng)用目錄服務(wù)的地方。

目錄和目錄服務(wù)這兩個術(shù)語指的是在公共和專用網(wǎng)絡(luò)中找到目錄。目錄是一個網(wǎng)絡(luò)對象的數(shù)據(jù)庫，這些對象以很多不同的方式被引用。它存儲了網(wǎng)絡(luò)資源有關(guān)的信息，來簡化對這些資源的查找和管理。在目錄信息來源(source)和對用戶提供的信息服務(wù)方面，目錄服務(wù)與目錄有所區(qū)別。

目錄服務(wù)提供組織和簡化訪問網(wǎng)絡(luò)計算機(jī)系統(tǒng)的方法。它使得我們可以根據(jù)對象的一個或多個屬性來查找對象。例如：管理員可能不知道一個對象的確切名稱，但知道哪個對象的一個或多個屬性。采用目錄服務(wù)，他們便能查詢目錄，以獲得與已知屬性相匹配的對象列表。例如，他們可以查詢與第3層屬性相關(guān)的所有彩色打印機(jī)對象所在的目錄或可能已經(jīng)設(shè)為第3層的位置屬性。

使用目錄服務(wù)可以實現(xiàn)如下一些功能：

實施安全性，以保護(hù)數(shù)據(jù)庫中的對象免受外部入侵者的入侵，或者沒有訪問那些對象權(quán)限的內(nèi)部用戶入侵。 ●

在網(wǎng)絡(luò)中同步復(fù)制目錄到其他的計算機(jī)，便得更多的用戶能利用它，并且能防止故障所帶來的災(zāi)難。 ●

將目錄分區(qū)到位于網(wǎng)絡(luò)上不同計算機(jī)的多個存儲位置。這使得該目錄在總體上能利用更多的空間，并且能夠存儲大量的對象。 ●

二、工作組和域

工作組(workgroup)是聯(lián)網(wǎng)計算機(jī)的邏輯分組，這些計算機(jī)共享文件和打印機(jī)這樣的資源。域是聯(lián)網(wǎng)計算機(jī)的邏輯分組，這些計算機(jī)共享中央目錄數(shù)據(jù)庫，在此數(shù)據(jù)庫中，包括用戶和域的安全信息。因為工作組中的所有計算機(jī)能以同等的方式共享資源而沒有專用的服務(wù)器。如下圖所示(注：這是本人用平面畫的，與原圖的區(qū)別是，原圖畫的服務(wù)器還多一個主機(jī)，而這里服務(wù)器僅畫了一個顯示器做為表示），所以，工作組有時也叫做對等網(wǎng)絡(luò)。在每個工作組中的Windows2000 Server計算機(jī)和Windows2000 Professional計算機(jī)維護(hù)一個本地安全數(shù)據(jù)庫，數(shù)據(jù)庫中包含這個計算機(jī)的用戶賬戶和資源安全信息列表。

因為工作組中的每臺計算機(jī)都維護(hù)一個本地安全數(shù)據(jù)庫，這就分散了用戶賬戶和資源安全的管理，在每臺用戶需要訪問的計算機(jī)上，用戶都必須擁有用戶賬戶。用戶賬的任何變化，例如修改密碼或添加新的賬戶均必須在每臺計算機(jī)上操作進(jìn)行。如果忘記在每個計算機(jī)上添加新的用戶賬戶，新用戶將不能登錄到哪個計算機(jī)，并且不能訪問其上的資源。 Windows2000 工作組具有下列優(yōu)點：

●

●

●工作組不需要運行Windows2000 Server的計算機(jī)來容納集中的安全性信息。 設(shè)計和實現(xiàn)工作組是很簡單的，它不需要域所需的廣泛的計劃和管理。 對于在封閉的相互接近的環(huán)境中使用有限數(shù)量的計算機(jī)來說，工作組是很方便的，但在超過10臺計算機(jī)的環(huán)境中，工作組方式很不實用。

●工作組比較適合技術(shù)用戶組成的小組，他們不需要集中進(jìn)行管理。

二、Windows2000域

Windows2000域(domain)是網(wǎng)絡(luò)計算機(jī)的邏輯分組，它們共享集中的目錄數(shù)據(jù)庫。目錄數(shù)據(jù)庫包括用戶賬戶和域的安全性信息。在Windows2000中，目錄數(shù)據(jù)庫稱作目錄，并用是Active Directory服務(wù)的數(shù)據(jù)庫部分，該Active Directory服務(wù)是Windows2000的目錄服務(wù)。在域中，目錄駐留在配置為域控制器的計算機(jī)上(下圖) ，域控制器(Domain controller) 是一臺服務(wù)器，它管理所有安全有關(guān)的用記/域交交互，并集中管理。

域不是指單獨的位置，也不是特定類型的網(wǎng)絡(luò)配置。域中的計算機(jī)能共享小型局域網(wǎng)的實際鄰近范圍，也可能位于世界上不同角落，通過各種連接進(jìn)行通信，包括模擬連接、綜合業(yè)務(wù)數(shù)字網(wǎng)(IDSN）或數(shù)字用戶線路等。

Windows2000域具有以下優(yōu)點：

●

●因為所有的用戶信息都被集中存儲，所以，域提供了集中的管理。 域為用戶提供了獲得對等網(wǎng)絡(luò)資源訪問的單次登錄過程，使他們能夠訪問其擁有訪問權(quán)限的文件、打印和應(yīng)用程序資源。只要用戶有對資源的適當(dāng)權(quán)限，那么，他就能登錄到一臺計算機(jī)上，并能訪問網(wǎng)絡(luò)上另一計算機(jī)的資源。

●域提供了可伸縮性，這樣可以創(chuàng)建非常大的網(wǎng)絡(luò)。

三、Windows2000 Active Directory服務(wù)

Active Directory 服務(wù)包含在Windows2000的目錄服務(wù)。Active Directory 服務(wù)提供網(wǎng)絡(luò)管理的一個點使您可以輕松地添加、刪除和再定位用戶和資源。

Active Directory 服務(wù)包括目錄，它存儲關(guān)于網(wǎng)絡(luò)資源的信息，以及使信息可用和有用的所有服務(wù)。資源存儲在目錄中，像用戶數(shù)據(jù)、打印機(jī)、服務(wù)器、數(shù)據(jù)庫、計算機(jī)和安全策略都被稱為對象。

1:Active Directory的特性

Active Directory服務(wù)在域中分層組織資源。域(domain）是在一個獨立域名下的服務(wù)器和其它網(wǎng)絡(luò)資源的邏輯分組。在Windows2000網(wǎng)絡(luò)中，域是同步復(fù)制和安全性的基本單元。

每個域包括一個或更多的控制器。域控制器(domain controller) 是運行Windows2000 Server 的計算機(jī)，它存儲或目錄的完整副本。為了簡化管理，Active Directory 服務(wù)中所有域控制器都是對等的，所以，您可以改變?nèi)魏斡蚩刂破?，并將更新同步?fù)制到域中的所有其他的域控制器中。

●可伸縮性

在Active Directory服務(wù)中，目錄通過使用分區(qū)(partition)來存儲信息。分區(qū)邏輯劃分器，它將目錄組織為節(jié)(section),并且允許存儲大量的對象，所以，目錄能隨組織的增長而擴(kuò)展，使您能夠從幾百個對象的小型安裝到具有上百萬個對象的大型安裝之間收放自如。

●開放標(biāo)準(zhǔn)支持

Active Directory服務(wù)與Windows NT目錄服務(wù)休成了名稱空間這一Internet 概念。該休成允許您統(tǒng)一和管理多個名稱空間，這些名稱空間當(dāng)前存在于公司網(wǎng)絡(luò)的異構(gòu)軟硬環(huán)境中。Active Directory服務(wù)為其名稱系統(tǒng)使用域系統(tǒng)DNA ，并且通過使用LDAP(輕量級目錄訪問協(xié)議）的任何應(yīng)用程序或目錄來交換信息。通過使用去持LDAP 版本2和版本3的其他目錄服務(wù)，例如Novell 目錄服務(wù)(NDS)，Active Directory服務(wù)也能共享信息。 ●DNS

因為Active Directory 服務(wù)使用DNS 作為域命名和定位服務(wù)，所以Windows2000域名也是DNS 名。Windows2000 Server使用動態(tài)DNS ，它能使客戶機(jī)動態(tài)分配地址，使用DNS 服務(wù)器直接注冊，并且動態(tài)更新DNS 表。動態(tài)DNS 能消除對其他Internet 命名的需要，例如Windows Internet命名服務(wù)WINS 。

●LDAP

通過直接支持LDAP ，Active Directory服務(wù)進(jìn)一步包含了因特網(wǎng)的標(biāo)準(zhǔn)。LDAP 是用于訪問目錄服務(wù)的一個因特網(wǎng)標(biāo)準(zhǔn)，它已經(jīng)發(fā)展為x.500目錄訪問協(xié)議的更簡單的替換標(biāo)準(zhǔn)。X.500是由國際標(biāo)準(zhǔn)化組織制訂的定義分布式目錄和應(yīng)用程序之間交換信息。 ●標(biāo)準(zhǔn)命名格式支持

Active Directory 服務(wù)支持幾個常見的標(biāo)準(zhǔn)命名格式，其結(jié)果是通過使用熟悉的格式，用戶和應(yīng)用程序可以訪問Active Directory服務(wù)。這些命名格式包括DFC822、LDAP URL和X.500 通用命名規(guī)則。在任何時間，該接口都決定命名標(biāo)準(zhǔn)。有時可能使用任何命名標(biāo)準(zhǔn)，然而，在其他的時間需要特定的標(biāo)準(zhǔn)。

●Active Directory結(jié)構(gòu)

Windows2000的Active Directory 服務(wù)提供設(shè)計目錄結(jié)構(gòu)的一種方法，以適應(yīng)組織的需要。所以在安裝Active Directory服務(wù)之前，應(yīng)該檢查組織的商業(yè)結(jié)構(gòu)和運行情況。Active Directory服務(wù)將網(wǎng)絡(luò)分成兩種結(jié)構(gòu)：邏輯的和物理的。

1：邏輯的

在Active Directory 服務(wù)中，以邏輯結(jié)構(gòu)來組織資源。以邏輯方式分組的資源，可以通過名稱而不是通過實際的位置找到資源。

對象（object) 是代表網(wǎng)絡(luò)資源的明確命名的一組屬性的集合。對象屬性是目錄中對象的特征。例如用戶屬性可能包括名和姓、所在的部門和電子郵件地址。

在Active Directory服務(wù)中，可以按類組織對象。該類是對象的邏輯組合。 組織單元

組織單元是一個容器對象，可以使用它將域中的對象組織到邏輯上可管理的組中。OU 能包含這些對象。

域

域是Active Directory服務(wù)中邏輯的核心單元。通過組合對象到一個或更多的域上，便可以在網(wǎng)絡(luò)上反映公司的組織。

所有的網(wǎng)絡(luò)均在域中存在，并且，每個域只存儲域中對象的有關(guān)信息。從理論上說，域目錄能最多包括一千萬個對象，但是，每個域一百萬個對象是當(dāng)前支持的極限。

域是一個安全性邊軹，通過訪問控制列表ACL 來控制訪問域?qū)ο?，該列表中包含的是訪問控制項(Access Control Entry, ACE) 。從一個域到另一個域，所有安全策略和設(shè)置都是不交叉的，域管理員只在該域內(nèi)具有絕對的設(shè)置策略的權(quán)力。

在典型的域中，有下列類型計算機(jī)：

運行Windows200 Server域控制器、運行Windows2000 Server的成員服務(wù)器、運行Windows2000 Professional的客戶機(jī)。

樹

樹是一個或更多Windows2000域分組或?qū)哟问桨才?，這些域允許進(jìn)行全局性的資源共享。一個權(quán)可以包括一個Windows2000域。然而，通過在層次結(jié)構(gòu)中加入多個域，便能創(chuàng)建一個更大的連續(xù)名稱空間。

下圖是一個父域wpsvia.com 和兩個子域dev.wpsvia.com 和

prlduce.wpsvia.com

樹的結(jié)構(gòu)中所有域共享信息和資源，作為單獨的單元起作用。域樹中只有一個目錄，但是每個域為該域中的用戶維護(hù)一部分目錄，其中包括該用戶的賬戶信息。在樹中，只要用戶具有適當(dāng)權(quán)限，登妹到一個域中的用戶便能用另一個域中的資源。

在Active Directory中，樹的定義為：

●域的一個層次

●

●

●

●連續(xù)的名稱空間 在域之間的Kerberos 傳遞信任關(guān)系數(shù)。 公共架構(gòu) 能列出權(quán)中任何對象的全局編錄。

樹林

樹林是一個或更多樹的組合。樹林的定義為：

●一個或更多樹的集合

●

●

●

●在這些樹之間分離的名稱空間 在樹之間的Kerberos 傳遞信任關(guān)系 公共架構(gòu) 能列出樹林中任何對象的全局編錄

在樹林所有用戶對象均可使用構(gòu)成林的所有域樹對象。然而，當(dāng)訪問林中不同樹中的對象時，用戶必須知道完全確定的域名。

信任關(guān)系

樹中的域通過雙向的Kerberos 傳遞信任關(guān)系以透明的方式連接在一起，Kerberos 傳遞信任關(guān)系意味著，如果域A 信任域B ，并且域B 信任域C ，那么域A 信任域C ，所以，對于加入樹中的域，會立即與樹中每個域建立信任關(guān)系，這些信任關(guān)系使樹中所有域的所有對象，可供樹中所有其它的域使用。

信任關(guān)系是至少兩個域間的下人鏈接，在此鏈接中，信任域承信受信域的登錄身份驗證。在受信域中定義的用戶賬戶和組能在信任域中授予權(quán)力和資源權(quán)限，取使那些賬戶在信任域的目錄數(shù)據(jù)庫中不存在。在NT 中，域間的信任是由域控制器間的單向受信域賬戶定義的，我們必須單獨建立和管理每個信任，在大型網(wǎng)絡(luò)中，要管理域間的顯式的單向信任關(guān)系，確實是一項復(fù)雜的任務(wù)。

傳遞信任關(guān)系

當(dāng)雙向信任關(guān)系不適合時，網(wǎng)絡(luò)管理員可以為特定的域定義顯式的單向信任賬戶。該能力可用來支持連接到現(xiàn)有NT 早斯的域，并且可以配置其它樹林中域的信任關(guān)系。

Windows2000的信任關(guān)系

當(dāng)一個域加入Windows2000域樹林中時，在新域和樹的根域或父域之間會自動建立信任關(guān)系。

2：物理的

Active Directory服務(wù)的物理結(jié)構(gòu)影響域控制之間的同步復(fù)制的效率。

域控制器

域控制器是Windows2000 Server 計算機(jī)，它存儲目錄分區(qū)的副本。域中的所有域控制器無有該目錄的域部分的完整副本。當(dāng)執(zhí)行引起目錄更新的操作時，Windows2000將自動對所有其他的域控制器的同步更新改變

站點

在Microsoft BackOffice 產(chǎn)品系列的實現(xiàn)中，站點的概念是我們非常熟悉的，該概念包含在Active Directory服務(wù)實現(xiàn)中，在Active Directory中，站點的概念使用網(wǎng)際協(xié)議子網(wǎng)，來決定用于同步復(fù)制通信量考慮的站點邊界。Active Directory站點定義為IP 子網(wǎng)范軒?；旧螦ctive Directory站點是IP 子網(wǎng)范圍的集合。

Active Directory 服務(wù)的一個優(yōu)點是，通過使用WAN 鏈路連接的不同拓?fù)浣Y(jié)構(gòu)，該域可以跨越地理位置并且對用戶仍然保持透明性。然而，我們總要考慮可用的WAN 帶寬。通過將本地子網(wǎng)定義為站點，管理員可以控制子網(wǎng)間的同步復(fù)制通信量，所以也就能控制站點間的同步復(fù)制通信量。結(jié)果減少在WAN 鏈路上的同步復(fù)制通信量。站點的思想也用來定位客戶機(jī)。

本頁小結(jié)：

目錄服務(wù)提供了組織和簡化訪問聯(lián)網(wǎng)計算機(jī)系統(tǒng)資源的方法。Windows2000支持安全

的網(wǎng)絡(luò)環(huán)境，在此環(huán)境中，用戶可以共享公共資源，而不管網(wǎng)絡(luò)的規(guī)模如何。Windows2000支持兩種類型的網(wǎng)絡(luò)：工作組和域。Windows2000包含Active Directory 服務(wù)、提供單點網(wǎng)絡(luò)管理的目錄服務(wù)。利用Active Directory 服務(wù)，可以輕松添加、刪除和再定位用戶和資源。它將域?qū)哟蔚倪壿嫿Y(jié)構(gòu)從特理結(jié)構(gòu)中分離出來。邏輯結(jié)構(gòu)由對象、OU 、域、樹和樹林組成。當(dāng)一個域加入到Windows2000域樹中時，在新的域和該樹的根域或父域之間，便自動建立了Kerberos 的傳遞信任關(guān)系。域?qū)哟谓Y(jié)構(gòu)的物理結(jié)構(gòu)由域控制器和站點構(gòu)成。