荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Jobs (温少), 信区: WinNT
标 题: Microsoft Windows 活动目录白皮书
发信站: BBS 荔园晨风站 (Tue Jan 11 21:02:07 2000), 站内信件
操作系统
Microsoft Windows 活动目录:
下一代的目录服务介绍
白皮书
概述
本白皮书介绍了微软公司为Microsoft Windows 2000 Server而设计的下一代目录
服务——活动目录(Active Directory)。活动目录通过所谓“名称空间”(
name space)的Internet概念实现了集中的管理和复制、目录的分级查看、可扩
展性、可伸缩性、分布式安全性和多主机的复制。
本文阐述了活动目录的关键特性和组件,并详细解释了这些服务对企业的计算环
境将产生的影响。
© 1999 微软公司,保留所有权利。
这份文档中的内容反应了目前微软公司关于所讨论问题的观点。由于微软公司将
会根据市场的变化做出反应,此份文档不能够被认为是Microsoft做出的承诺,并
且对以下提到的信息在发布以后的准确性不负任何责任。
白皮书仅用于交换信息。Microsoft在此份文档中没有作出任何直接表述的或暗示
的保证。
Microsoft、MSDN、Outlook、Visual Basic、Visual C++、Visual J++、Win32、
Windows和Windows NT都是Microsft公司在美国和其他国家的注册商标。
文中提到其他产品或公司名称都属于各自的公司所有。
Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399
•
USA
0399
目录
简介 1
新一代的目录服务 1
优于传统的目录 1
活动目录作为一个服务供应者 2
特性和优点总结 2
活动目录概述 4
统一的目录 4
单点管理 4
可伸缩性 4
操作系统集成 5
支持开放的标准和标准的名称格式 6
支持DNS 6
建立符合Internet标准的名称 6
建立一个更加容易管理的DNS环境 7
对LDAP 的支持 8
对标准名称格式的支持 8
RFC822 名称 8
LDAP URL和X.500 名称 8
应用软件编程接口 10
活动目录服务接口 (ADSI) 10
Windows Messaging API (MAPI) 12
LDAP C API 12
具有很大的可伸缩性 13
使用域树和域森林 13
使用容器的分级结构来反映公司的结构 14
获得细致的管理 14
提高安全性 14
通过可扩展的计划(Schema)来扩展目录服务 15
全局目录 15
多主体复制 16
在一个多主体的环境下更新目录 16
分布式安全性 18
私人密钥安全性 18
公用密钥安全性 18
管理工具 19
拖放式的管理 19
脚本编辑和自动化 19
保证向下的兼容性 20
从Windows NT 3.51 和 4.0方便的移植 20
从Windows NT 4.0 移植到活动目录 20
从Microsoft Exchange 目录结构方便的移植 22
总结 23
如需更多的信息 23
简介
假设你目前在一个很大的公司里工作,你想找到某个文件,但你却不知道它确切
的存储位置,甚至你还不知道它到底位于网络中的哪台服务器中,你能够用什么
办法来查看你的整个网络的目录结构吗?如果你甚至不知道所有服务器的名字,
你要如何才能够“深入”到每一台服务器中去呢?假设你管理着一个大型企业的
网络,你有一些面向你的用户的内部服务器,以及一些存储了敏感数据的服务器
,你还管理着一个企业内联网络,在这个网络中既有公开的区域,也有严格保密
的区域,同时你还管理着一个公共的Internet站点,你怎样才能够从一个角度来
环视所有这一些呢?你要如何设置限制来防止旁人访问那些敏感数据呢?你怎样
才能够复制数据,使得它既有效又能受到控制?最重要的是:你要如何才能够保
证你的目录方案在整个网络和操作系统的范围内都起作用,同时还能够随着你的
网络一起成长?
如今,Microsoft® Windows NT® Server网络操作系统提供了Windows NT 目录服
务,这个目录能够为顾客提供它们最需要的东西——单一的网络登录,单点管理
和复制。因为这些功能在商务活动中是非常重要的,所以Windows NT Server的企
业客户需要并且希望从目录服务中获得更多,这一趋势是日渐明显了。他们要求
有以下这些特性如多层次的目录结构,可扩展性,可伸缩性,分布式的安全性,
以及多主体复制等等。为了满足客户的这些需求,微软公司开发了活动目录服务
,计划在即将推出的Windows® 2000 Server中完全实现。
新一代的目录服务
由于计算机联网规模的不断扩大使得顾客们越来越需要一个功能更强的,透明的
,并且紧密集成的目录系统。现在LAN和WAN正变得越来越庞大,越来越复杂,现
在网络都与Internet相连接,现在应用程序需要从网络中获得更多并且还需要通
过公司的企业内联网络与其它的系统相连接,所有这一切都对目录服务提出了更
多的要求。
一个目录所支持的协议和对象格式反映了它的公开性——也即目录能够在多大程
度上为那些超出设计之外的顾客提供服务。它所支持的应用程序编程接口(API)
定义了那些能够直接利用目录服务的工具和应用程序的范围。目录服务必须成为
统一的一点,提供一种顺序和结构,尤其是当你要从一个与Windows相竞争的网络
操作系统(NOS)和应用程序目录中管理信息时。
活动目录支持许多明确定义的协议和格式,并且提供强大的,灵活的,以及易于
使用的APIs。此外,活动目录还为管理员和用户提供了一个有关资源和管理信息
的来源。
优于传统的目录
一般来说,目录服务是一个在计算机系统中进行组织、管理和定位“有兴趣的”
对象的工具。所谓“有兴趣的”对象是指那些用户完成他们的工作所需要的东西
(和应用程序):如打印机,文档,电子邮件地址,数据库,用户,分布式组件
,以及其它资源。
目录服务最简单的形式就好象电话号码簿的白页。输入一些具体的信息(比如说
,一个人的名字),用户就能够得到相应的输出(那个人的地址和电话号码)。
目录服务还提供了相当于黄页的功能。输入一些具体的信息(比如说,“打印机
在那里?”),用户就会得到一系列能够浏览的打印机资源列表。
即使不与Internet的全球环境相连接,网络环境也正变得越来越庞大,越来越复
杂,所以目录服务还应该能够做得更多。活动目录的建立正是为了迎接统一化和
理顺纷繁复杂的服务器层次结构或名称空间所带来的挑战。
活动目录作为一个服务供应者
除了要担负起传统目录服务所处理的管理任务之外,活动目录还能够满足广泛的
命名、查询、管理、注册和决议需求。下面这个图表总结了活动目录在系统中的
全部功能。
图1.该目录是一个服务供应者,能够用于定位所有的网络服务和信息。
活动目录的结构使得它无论是最小的企业还是大型的跨国集团,甚至是整个政府
部门及机构都能够适应。
活动目录使用了一系列紧密集成的APIs和协议,能够在多个名称空间中扩展其服
务,并且还能够收集和提供那些驻留在不同操作系统和远处的目录资源信息。例
如,微软公司现在为Novell NetWare 3.x/4.x顾客提供了一系列丰富的具有互操
作性的组件。因为协议在不断地发展,微软公司将会和整个行业一起合作使得与
其它环境进行通讯标准化。为了使移植到活动目录服务的工作尽可能地简单,微
软公司还确保了Windows NT Server的早期版本与最新版本的互操作性。
特性和优点总结
活动目录包括下列特性和优点:
· 支持公开标准,促进跨平台的目录服务,其中包括对域名服务(DNS)的
支持和对标准协议如LDAP的支持。
· 支持标准的名称格式,确保易于移植和易于使用。
· 一系列丰富的APIs,对于脚本编写者和C/C++编程者来说易于使用。
· 通过一个简单的域层次结构和对拖放式管理的使用实现了简单、直观的
管理。
· 通过一个可扩展的计划来实现目录对象的可扩展性。
· 通过全局目录来实现快速查找。
· 通过多主体复制来实现快捷、方便的更新。
· 与Windows NT 操作系统以前版本的向前兼容性。
· 与NetWare 环境的互操作性。
本文接下来的部分将进一步探讨Windows 2000 Server 活动目录的设计目的和具
体实现,并且还将介绍一个企业要如何准备和确保顺利地移植到新一代目录服务
中去。
活动目录概述
活动目录是一个目录服务,它完全与Windows 2000集成,并且还提供了所有商业
客户都需要的分级查看,可扩展性、可伸缩性以及分布式的安全性。网络管理员
,开发者和用户第一次能够获得一个这样的目录服务:
· 与Internet和企业内联网络环境都紧密集成。
· 为其包含的对象提供了简单、直观的命名。
· 从最小的企业到最大的集团都能够支持。
· 提供了简单而强大的开放式应用程序编程接口。
活动目录是分布式系统的一个重要组成部分。它允许管理员和用户把目录服务和
管理服务用做一种信息来源。
统一的目录
活动目录把Internet中名称空间的概念和操作系统中的目录服务结合起来,这样
企业就能够统一和管理现存于公司网络的不同软件和硬件环境中的多名称空间。
它采用轻型目录访问协议(LDAP)作为其核心协议,并且还能够在不同的操作系
统中使用,与多个名称空间集成。它能够包含和管理特定的目录,以及其它的基
于NOS的目录,它还提供了一个通用的目录,能够减轻管理负担,降低有关维护多
个名称空间的成本。
活动目录不是一个X.500目录。相反,它把LDAP作为它的访问协议,同时支持
X.500信息模型,而不要求系统负担整个X.500开销。其结果就是管理现实世界和
不同的网络具有高级别的互操作性。
单点管理
活动目录允许从一点来管理所有发布的资源,其中可以包括文件、外围设备、主
机连接、数据库、Web访问、以及其它任意的对象、服务等等。它使用Internet域
名服务(Internet Domain Name Service ,DNS)作为它的定位服务,把域中的
对象组织为一个层次结构的组织单元(organizational units,OU),同时允许
多个域组织成一个树状结构。管理工作被进一步简化了,因为现在已经没有主域
控制器(primary domain controller ,PDC)或者备份域控制器(backup domain
controller ,BDC)的概念了。活动目录只使用域控制器(domain controllers
,DC),所有的域控制器都是对等的。管理员能够对任何一台域控制器做调整,而
他所做的更新将会被复制到其它所有的域控制器中。
可伸缩性
Microsoft Exchange 4.0的目录结构和存储引擎为活动目录提供了基础。
Microsoft Exchange 的存储引擎为快速修复提供了多个索引,并且还为存储稀疏
对象提供了一种有效的方式。也就是说,对象可以支持很多属性,但这些属性并
不见得总是有值。在这个基础上微软公司开发了通用的目录服务,它的适应范围
很广,从只有几百到几千个对象的小型安装到拥有数以百万计对象的大型安装过
程都可以。
活动目录支持多个存储器,每个存储器能够容纳超过一百万个对象,这样,它在
维护一个简单的层次结构和其易于管理的特性时就具有无以比拟的可伸缩性。当
它与微软分布式文件系统(Microsoft Distributed File System,计划将和
Windows 2000 Server一起发布)相结合之后,活动目录将把网络进一步带向单一
全局名称空间的目的。
操作系统集成
活动目录与Windows 2000 Server结合得天衣无缝,Windows 2000 Server是唯一
一个把传统的文件、打印、应用程序、通讯、以及国际互联网络/企业内联网络支
持内置到基础产品中去的操作系统。对于一个企业所有的信息和资源共享需求来
说,Windows 2000 Server是最好的文件和打印服务器,其出色的表现足以傲视目
前流行的其它所有操作系统。它还是一个最好的应用程序服务器,在整个这一行
中它的可伸缩性/价格比是最好的。此外,Windows 2000 Server还是一个优秀的
通讯平台,能够提供诸如远程访问服务、TAPI和PPTP等特性。
支持开放的标准和标准的名称格式
活动目录的目的就是要为网络提供统一的查看方式,这将极大地减少目录和名称
空间的数目,而这正是网络管理员(和用户)一直要致力争取的。活动目录是特
别为包含和管理其它的目录而设计的,不管这些目录的位置在那里,也不管它们
的操作系统是什么。为了做到这一点,活动目录实现了对目前大部分标准和协议
的支持,其中包括标准的名称格式,它还提供了应用程序编程接口(API),这极
大地方便了它与其它目录之间的通讯。
活动目录使用域名服务(DNS)作为它的定位服务,同时它能够与其它任何使用轻
型目录访问协议(LDAP)的应用程序或目录交换信息。
支持DNS
活动目录综合了DNS作为一个定位器服务的优势和X.500的优势,同时又回避了二
者的缺陷,并向高级的Internet标准靠拢。
DNS是目前世界上用得最广泛的目录服务。DNS也是应用在Internet和目前大部分
专用内部网络中的定位器服务,定位器服务用于把一个名称——例如
MyMachine.Myco.com——翻译为TCP/IP地址。DNS可以容纳很大的系统(它支持整
个Internet),同时它又保持了足够的“苗条”能够用于一个只有几台计算机的
系统中。
建立符合Internet标准的名称
活动目录也使用DNS作为它的定位器服务。在活动目录中,Windows NT的域名就是
DNS名。用户会发现,在活动目录中的命名原则和Internet中一样简单。Myco.com
既能够作为一个DNS域(也就是一个地址范围),也能够作为一个Windows NT域。
JamesSmith@Myco.com 可以同时作为一个Internet的电子邮件地址,和一个
Myco.com域中的用户名。Windows 2000的域能够像任何定位在Internet中的资源
一样定位在国际互联网络和内联网络中——用DNS的方式。如下图所示:
图1. DNS 是Windows NT 的定位器服务
建立一个更加容易管理的DNS环境
以前DNS有点难以管理,因为它要求手工维护那些包含了企业中每一台计算机的名
称——地址映射的文本文件。在Windows NT的4.0版中,微软公司引入了一个带内
置的Windows® Internet命名服务集成的DNS服务器。Windows NT中的DNS服务器包
括一个图形化的管理工具用于进行方便的DNS文件编辑。为了减少手工分配地址的
麻烦,Windows NT中的DNS服务器与Windows Internet命名服务紧密结合在一起,
后者能够动态地更新名称——地址映射文件。
在一个基于Windows NT Server的网络中,客户端计算机在启动的时候通过动
态主机配置协议(Dynamic Host Configuration Protocol,简称DHCP)自动获得
TCP/IP地址。然后客户端计算机在Windows Internet Naming Service中注册它们
的名称和地址,如图2所示:
Windows NT中的DNS服务器使用Windows Internet Naming Service来辨识它不能
识别的名称。
图2、DNS和WINS相互集成以实现动态的DNS更新。
微软为动态更新DNS表而提出的解决方案——把DNS和Windows Internet Naming
Service集成在一起——是一个暂时的解决方案。DNS的Internet标准已经修改为
支持动态DNS(Dynamic DNS)。 动态DNS将不再需要WINS的帮助,因为它能够让
那些动态获得地址的客户直接向DNS服务器进行注册并实时地更新DNS表。 那些运
行活动目录的服务器将使用动态DNS来把它们自己公布到DNS上。现在,通过部署
Windows NT 4.0、DNS和WINS,系统管理员为活动目录和动态DNS打下了一个良好
的基础。
图4、活动目录支持LDAP v2 和 v3 协议。
对LDAP 的支持
活动目录通过直接支持轻型目录访问协议(LDAP)更进一步地向Internet标准靠
拢。
LDAP是访问目录服务的一个Internet提议标准(RFC2251),它被发展成X.500 DAP
协议的简化替代协议。微软公司在LDAP标准的发展过程中一直是一个积极的参与
者,在活动目录中既支持LDAP的第2版本也支持其第3版本。
对标准名称格式的支持
用户和应用软件都受到目录服务中的名称格式的影响。如果一个用户或者应用软
件需要查找或者使用一个对象,他在定位对象之前必须知道对象的名称或者某种
属性。目录中的名称有几种常见的格式,有的是正式的标准,有的是约定俗成的
标准,活动目录支持许多这样的格式。这种对不同名称格式的支持使得用户和应
用软件在访问活动目录时能够使用他们最熟悉的名称格式。下面介绍了其中的一
些格式。
RFC822 名称
RFC822名称的格式是somename@somedomain ,绝大多数用户熟悉的Internet
电子邮件的地址就是这种格式,比如:JamesSmith@myco.com。 活动目录为所有
用户提供了一种RFC822格式的友好的名称格式。例如,一个用户可以把一个友好
名称作为电子邮件的地址,打印在商务名片上,或者作为登录的名称。
LDAP URL和X.500 名称
活动目录支持从任何使用LDAP的客户端通过LDAP协议进行的访问,LDAP名称
没有Internet名称那么直观,但是LDAP命名的复杂性往往被隐藏在一个应用软件
的内部。LDAP名称使用叫做属性命名的X.500命名规范,一个LDAP URL指定了支持
活动目录服务的服务器以及对象的 属性名,比如:
LDAP://SomeServer.Myco.com/CN=jamessmith,OU=Sys,OU=Product,
OU=Division,DC=myco,DC=Com
应用软件编程接口
活动目录提供了功能强大的、灵活和便于使用的应用软件编程接口(API)。内容
丰富的目录服务API的出现鼓励了那些使用目录服务的应用软件和工具的开发。活
动目录包括三种主要的API集合:
· ADSI, 活动目录服务接口,这是处理和查询多个目录服务的一组组件对
象模型(COM)接口。
· MAPI, Windows® 公开服务结构消息处理API。
· LDAP C API (RFC1823), 用C语言编写LDAP应用软件的实际标准。
这些API在下面将详细介绍。
活动目录服务接口 (ADSI)
为了更加容易地编写使用目录的活动软件,它能够访问活动目录和其它使用
LDAP的目录,微软公司开发了活动目录服务接口(ADSI)。ADSI是一套可扩展的
,易于使用的编程界面,用它编写的应用程序能够访问和管理下面这些:
· 活动目录
· 任何基于LDAP的目录
· 在客户网络中的其它目录服务,其中包括NDS
ADSI是开放式目录服务接口(ODSI)的一部分,其结构是用于生成和查询多个
目录服务的Windows®开放式服务结构(WOSA)。ADSI的对象对于Windows NT 4.x
,Novell NetWare 3.x 和4.x,以及活动目录还有其它支持LDAP协议的目录服务
来说都可以使用。
活动目录服务接
口综合了来自不同网络供应者的目录服务的各项功能,为管理网络资源提供了一
系列目录服务接口。它极大地简化了分布式应用程序的开发和分布式系统的管理
。开发者和管理员能够利用这一套单一的目录服务接口来列举和管理目录服务中
的资源,不管这些资源位于哪个网络环境中。ADSI简化了普通管理任务的处理过
程,如增加新用户,管理打印机,以及在整个分布式计算环境中定位资源等等。
ADSI还使得管理员能够更加容易地让他们的应用程序“能够使用目录”。
ADSI的设计目的是为了满足传统的C和C++编程者,系统管理员,以及熟练用户
的需求。有了ADSI,开发能够使用目录的应用程序就变得更加快捷更加容易。
ADSI把目录作为一系列COM对象,它能够让你完成除了数据之外的一些操作。例如
,应用程序能够使用一个ADSI PrintQueue对象来检索数据,如队列的属性,和暂
停排队。在Visual Basic®开发系统中这很容易实现:
Dim MyQueue as IOleDsPrintQueue
set MyQueue = GetObject(“DS://Myco.com/Division/Product/Printers/MyPrinter”)
MyQueue.Pause
因为ADSI对象对于许多流行的目录服务来说都能够获得,因此ADSI是一个构建
与多个目录一起工作的应用程序的理想工具。此外,一个服务供应者编写员可以
通过支持OLE DB接口来选择支持丰富的查询。这样,利用OLE DB接口的工具也能
够使用活动目录服务供应者。
ADSI的设计目的是为了满足下列三种主要用户的需求:
· 开发者。一般来说这类使用者主要还是通过一种编译的语言如C++来使用
ADSI,尽管Microsoft Visual Basic也可以用于编写应用程序。例如一个开发者
能够编写一个应用程序来完成管理多个目录、进行网络打印,备份数据库等任务
。
· 系统管理员。一般来说这类使用者能够通过一种脚本编辑语言如
Microsoft Visual Basic来访问ADSI,尽管C/C++也能够用来提高性能。例如,有
了活动目录管理员能够通过编写一个脚本来向系统中增加100名新用户,并把他们
设置为某个选定的安全组中的成员。
· 用户。就像系统管理员一样,这类使用者也是通过一种脚本编写语言来
访问ADSI。例如,用户可以编写一个脚本来定位一个打印队列组中的所有打印任
务,并且显示每一个任务的状态。
Windows Messaging API (MAPI)
活动目录提供了对MAPI的支持,因此原来的MAPI 能够继续与活动目录一起工作。
因为这,我们鼓励新应用程序的编写者使用ADSI来构建他们的能够使用目录的应
用程序。
LDAP C API
LDAP API为那些需要让他们的应用程序与许多不同类型的顾客一起工作的开发者
提供了一种最好的兼顾方案。同样的,现有的LDAP应用程序能够基于活动目录服
务运行,除了扩展该应用程序对活动目录所独有的对象类型的支持以外不需要进
行修改或者只需要进行少量的修改。我们鼓励LDAP应用程序的开发者移植到ADSI
,后者能够支持任何使用LDAP的目录服务。
具有很大的可伸缩性
微软公司认识到,所有的企业不是一样的大小,如果一个目录既让中小型企业在
低端感觉不好,也让大型企业在高端感觉糟糕,那么这个目录是无甚价值的。这
也是为什么活动目录不仅在一台计算机上表现良好,同样也能够扩展到一个大型
的企业环境中。
Windows NT 4.0 的可伸缩性很好,它最多能够容纳超过100,000名用户
,但是活动目录的可伸缩性更好,它在一个单一的域中最多能够容纳超过一百万
名用户,在一个域树或者一个域森林中它甚至还能够容纳更多的用户。活动目录灵活的管理
尺度使得用户能够建立易于管理的小型域,也允许支持他们的公司和
网络增长到很大的规模。大型企业的管理和中小型企业的管理并没有什么两样—
—他们只是有更多的管理员而已。
活动目录的伸缩能够通过为每个域建立一个目录存储的拷贝来实现。在目录存
储的这个拷贝中包含有仅仅用于这个域的对象。如果多个域是相互关联的,那么
它们能够组织成为一个域树。在这个域树中,每个域都有自己的目录存储的拷贝
,其中包含它自己的对象,同时还能够在目录存储树中找到其它域的拷贝。
如果仅仅建立一个单一的目录拷贝,那么它会变得越来越庞大,因此在活动目
录还不如建立一个由许多比较小的部分所组成的目录树,每一部分中所包含的信
息能够让它找到其它所有的部分。活动目录把目录划分为许多部分,而那些某人
使用得最多的部分往往会离他们最近。在其它位置的其它用户可能也会要用到目
录中同样的部分,此时就会有一份拷贝离他也比较近。这一部分目录的所有拷贝
都会保持同步。如果在某个拷贝中的一条记录被修改了,这一变化很快就会传播
到其它拷贝中去。正是这一点使得活动目录具有极好的可伸缩性,能够在一个树
中容纳数百万个用户。
使用域树和域森林
域树是活动目录可伸缩性的关键所在。与目录不同的是,目录服务包含了一个
单一的树结构,它需要一个复杂的自上而下的划分过程,而活动目录则提供了一
个简单而直观的从下向上的方法来建立一个大型的树。在活动目录中一个单一的
域是目录的一个完整分区。按照不同的管理目的,域能够被进一步地划分为不同
的组织单元(Ous)。如图5所示:
图5. 活动目录使用域树和组织单元(OU)来提供一个倒的树型结构。
一个单一的能够从非常小的规模开始直至发展到所包含的对象超过一千万个。如
果要求建立一个更加复杂的组织结构或者如果要存储非常大数目的对象时,多个
Windows NT 域能够很容易的连接在一起形成一个域树。多个域树则形成一个域森
林。域森林允许企业用不相关的DNS名来组织Windows NT域,例如MyCo.com和
MyCoResearch.com。
使用容器的分级结构来反映公司的结构
活动目录中容器分级结构的功能是把组织单元分级地放入域中(以及其它的组织
单元中),从而提供一个分级的名称空间,管理员可以用它来反映他们公司的情
况,并且进行授权管理控制。容器包含一系列内容,比如说公司主要部门情况等
。在这个例子中能够进行在前一级部门下选择一个部门然后再打开它等操作。
就像这里使用的模型一样,转而使用一个具有细致的管理模型的容器分级结构能
够解决任何问题。大型的域仍然能够使用,但是查找事物却变得更加容易。在域
树中存在的所有东西都能够在全局目录中显示出来,有一个服务能够让用户轻松
地查找一个对象,不管这个对象是在域树还是在域森林中。
获得细致的管理
活动目录所提供的域树功能非常强大,相对其它目录服务的单树组织结构而言,
它提供了更多的管理灵活性。尽管活动目录也能够建立单树域,一个更好的管理
办法就是建立一个域树,每个域树有着自己的安全分界线。域的分级结构既能够
让用户获得细致的管理,又不会危及安全性。如果一个用户在组织单元的基础上
被赋予权限(或者向别人赋予权限),那么权限能够沿着树向下传递。这个域树
结构能够轻松地适应企业的种种变化,如部门裁减、转移、合并等。
域树中的每一个域都有一份目录服务的拷贝,其中包含该域的所有对象和有关
域树的元数据,如计划,域树中的域列表,全局目录服务器的位置等等。既然一
个单一的目录服务存储不需要包含所有域中的所有对象,那么就可以建立一个很
大的树,而不至于影响性能。
提高安全性
活动目录提供了细致的管理结构,允许在不降低安全性的同时实现分散的
管理。因为每一个域是一个安全分界线,因此可能出现多个安全分界线。在这种
设计中,域A的管理员不一定是域B的管理员。容器的分级结构非常重要,因为现
在管理的范围限定在一个域内,一个域的管理员对域中的所有对象和服务有完全
的权限。活动目录根据用户在一个给定范围内必须行使的特定功能来给他们赋予
权限。管理范围可以包括一个整域、一个域中的组织单元树、或者一个单一的组
织单元。
利用活动目录可以创建很大结构的用户组织,每一个用户都可能访问存储
在目录中的所有信息,但是安全分界线仍然很清楚。安全分界线还可以比域更小
,比如,当创建一个用户帐户时,它将和一个特定的域相联系起来,但是它还可
以放到一个组织单元中。在一个组织单元中创建用户的许可可以被授权,这样就
可以让一个人只在那个组织单元中拥有权利,在那里创建用户或者其他的目录对
象。此外,还可以创建分级的组织单元结构。活动目录引入了许多非常特殊的许
可,这些许可都可以在一个范围内授权或者限制。
通过可扩展的计划(Schema)来扩展目录服务
为了让管理员能够创建他们自己的目录对象类型,活动目录可以通过一种
计划机制来进行扩展。如果一个用户有一个非常重要的信息需要在目录中发布,
他或者她可以创建一个全新的对象类型并在目录中发布。例如,一个批发经销商
可能需要创建一个仓库对象并把它放到目录中,而这个对象是专门为他的生意服
务的。可以定义新的对象类并添加实例。
目录服务自己也定义了大量的类型。比如,活动目录提供了一些标准的对
象如域、组织单元、用户、组、计算机、卷集和打印队列,以及Winsock、RPC和
DCOOM服务用来发布它们的绑定信息的丰富的“连接点”对象。
全局目录
所有存储在活动目录中的对象都在全局目录(Global Catalog)中有对应
的一项,全局目录是一种服务,它包含从树结构中所有源域搜集到的目录信息。
全局目录能够让用户方便地查找一个对象——不论它在树结构中的什么地方——
还可以根据选定的属性进行搜索。这些属性包含在一个简化的目录中。这种技术
叫做部分复制,这样许多一般的查询就可以在GC中解决而不需要在源域中进行搜
索。
全局仕途可能包含任何类型的对象,比如用户、服务或者计算机。一个对
全局视图的典型应用是为邮件或者使用邮件的应用软件提供一个全局的地址本。
图6显示了全局目录的结构。
图6、全局目录结构提供对完全和部分复制的访问。
多主体复制
一个目录服务存储信息的方式直接决定了这个目录服务的性能和可伸缩性
。和更新的数目相比,目录服务必须处理大量的查询,通常是百分之一的更新,
百分之九十九的查询。正是由于这个原因,复制的存储就非常重要了。通过创建
目录的多个复制品并保持它们的一致性就可以在不降低性能的同时提高处理的查
询的数目。这种复制和同步目录信息的过程叫做多主体复制。
在一个多主体的环境下更新目录
活动目录实现了真正的多主体的复制。一些目录服务使用一种主——从的
方式来实现更新:所有的更新都必须在目录的主拷贝上进行,然后这些更新被复
制到从拷贝上。这种方式对于那些目录拷贝数量较少并且所有改变可以集中进行
的环境下是足够的,但是这种方式对于那些规模较大的公司来说就不适用了,同
时对那些分散的机构来说也不能满足其要求。因为活动目录实现了多主体复制机
制,在目录的一个拷贝上做出的修改自动地复制到所有其它目录的拷贝上,不管
是通过点对点的连接还是存储-发送方式的连接。
一些目录服务使用时间标志来跟踪更新。在一种主——从目录结构下,所
有的更新都集中进行,这种方式是完全可行的,但是在一个多主体的目录复制过
程中,采用时间标志的办法就会出问题。除非在目录的所有拷贝之间实现理想的
时间同步,否则总会出现数据的丢失或者目录的残缺。活动目录不根据时间标志
来检测更新,它使用更新序列号(Update Sequence Numbers,简称USN)。对更
新的跟踪是这样实现的:任何时候当一个用户向目录中的一个对象进行写操作时
,他得到了一个USN,每一台计算机都保留一份USN,当发生对那个对象的任何修
改的时候,USN就加一。如果一台计算机上的一个用户更新了一条用户记录,那台
计算机上的更新序列号增加一,并被写入到对象中,一起写入的还有对象的改变
和写入改变的第一台计算机的一个唯一的标志。对象的每一个属性都有一个USN,
当一个属性发生改变时,新的USN就得到更新。
所有的修改都得到记录,一个计算机的复制伙伴查询所有比上次收到的
USN更大的值所对应的修改,源计算机将在整个目录中进行搜索,找到那些比复制
伙伴的更新序列号更大的对象。
属性的改变是逐个调整的,当一个改变被复制时,只有拥有更高的USN的属性
被更新。如果发生冲突的情况(当两台不同的计算机在更新同样一个属性)时间
靠后发生的改变起作用,这里时间所起的作用只是简单地选择一个改变,因此不
同计算机上时间的同步并不重要,逐个属性的调整能够把冲突的情况限制到最小
。
分布式安全性
私人密钥安全性
下一个版本的Windows 2000 Server除了实现活动目录之外,还实现了一
种分布式的安全模式。这种分布式的安全模式是建立在MIT的Kerberos验证协议的
基础之上的,Kerberos验证适用于一棵树内的分布式安全性,它使用Windows
2000操作系统相同的访问控制链表(ACL)提供公用和私人密钥的安全性。活动目
录为包括用户帐户、组和域的安全性系统提供存储地点,它替代了注册表帐户数
据库,是本地安全管理部件(LSA)中的被信任组件。
对Windows 2000域树的单一登录能够让用户访问公司网络中任何地方的资源
,使用方便的安全性策略和帐户管理的管理员工具能够减少部署Windows 2000操
作系统的费用。Windows 2000还为Microsoft BackOffice家族的产品,包括
Microsoft Exchange、Microsoft SQL Server、Microsoft SNA Server和
Microsoft Systems Management Server的集成的安全性提供了基础。
MIT Kerberos V5验证协议不仅得到基于密码(秘密密钥)的验证支持,
还得到了基于公用密钥验证的扩展的支持。
公用密钥安全性
活动目录还支持使用X.509 v3公用密钥证书来为那些没有Kerberos证书的
对象(如用户)赋予访问资源的许可,这些类型的用户通常是那些来自于公司外
部但是需要访问公司内部资源的人。例如,一家航天公司可能需要招聘承包商,
而这些承包商需要访问公司的规范和计划等资源,活动目录能够把由一家受信任
的权威机构颁发的X.509 v3证书映射到Windows NT的安全性组上。这样,一个拥
有证书的非Windows NT的用户就可以被赋予访问资源的权利,这和带有Kerberos
证书的用户的情况是一样的。
管理工具
拖放式的管理
活动目录提供了直观和功能强大的管理工具。可以分级地组织对象以适应
大型企业的结构。同时,图形化的用户界面提供了一个最受欢迎的管理工具——
一个拖放式的控制台。这个控制台有一个图形化的用户界面并提供了一个对象—
—视图方式的管理。比如,如果要实现对域树的修剪的话,管理员只需要点中需
要合并的树,然后把它拖到目标域,这时将出现一个对话框,要求管理员确认他
的操作。当然,管理员在被合并的树结构中必须拥有把它与其他树合并的权利,
同时在合并到的树结构中拥有加入一个新的树结构的权利。
脚本编辑和自动化
任何可以通过一个用户界面所做的事情都可以通过编程或者脚本来实现。
为了让一个管理员能够编写命令行过程,活动目录提供了对自动化和脚本编辑的
完全的支持。这就可以通过使用活动目录,以及一种脚本编辑语言比如Visual
Basic、Java或者其它语言来编写脚本以控制添加、修改、移动、拷贝和其它的管
理功能。
保证向下的兼容性
对那些安装了Windows NT Server 3.51或者4.0的客户来说,向下的兼容
性是非常重要的。活动目录从设计之初就内置了向下的兼容性,活动目录能够完
全模拟Windows 3.51和4.0的目录服务,使用Win32 API的管理工具和应用软件在
活动目录中不加任何修改就可以使用,在一个Windows NT 3.51或者4.0域结构中
安装的下一代Windows NT域控制器不论是看上去还是实际使用都和一个Windows
NT 4.0域控制器完全一样,这意味着对现有的Windows NT网络基础结构和应用软
件的投资得到了保护。今天部署Windows NT Server 4.0的客户可以完全相信他们
的投资将支持向活动目录的平滑的升级。
从Windows NT 3.51 和 4.0方便的移植
为了实现平滑和无故障的移植,活动目录被设计成能够在一种混合环境下
操作。在一个既包含下一代域控制器又包含“低级”的Windows NT 3.51和4.0的
域控制器的混合域结构能够象一个Windows NT 4.0域一样正常地工作 。
从低级的服务器移植到活动目录可以逐个按域控制器进行。一旦Windows
NT 4.x的域中的主域控制器得到升级,域就可以加入到一棵树。下节将举例介绍
如何进行此类移植。
从Windows NT 4.0 移植到活动目录
这个例子使用一个带有三个域控制器的 Windows NT 4.x域:一个主域控
制器(PDC)和两个备份域控制器(BDC)。图7显示初始的配置情况。
图7、包括一个主域控制器(PDC)和两个备份域控制器(BDC)的一个简单的
Windows NT 4.x域。
进行移植时,你首先需要把主域控制器(PDC)升级成Windows 2000和活
动目录。
在升级过程中,新的DC/PDC从Windows NT 4.0域结构转移到了活动目录。
(见图8)
图8.混合型域结构
当你在PDC上安装Windows 2000时,你就把活动目录当作了域结构的主拷
贝。这时,你可以使用Windows 2000的图形化工具来执行域中的系统管理和帐户
的维护。域结构中的Windows NT 3.51和4.0BDC以及客户端不会感受到这些变化,
它们将继续正常工作。
你最后的升级工作将是把每一个BDC升级到Windows 2000。当每一个BDC都
被转化之后,它们的地位和PDC将是相同的。Windows NT 4.0的复制将被Windows
2000的多主体复制所替代(见图9)。
图9.单纯的域——原来的BDC现在和开始的Windows 2000 DC的地位是相同的。
当所有BDC被升级以后,混合的域结构将成为一个单纯的活动目录
/Windows 2000域结构。低级的客户端系统继续把域当成一个Windows 3.51或者
4.0的域结构。下一代的客户端将把域当成下一代的域结构并能够完全使用活动目
录的功能。
从Microsoft Exchange 目录结构方便的移植
许多公司现在部署了Microsoft Exchange来实现消息和群件的基础结构,
这些公司在活动目录发布时将对Microsoft Exchange的目录结构做出很大的投资
,今后的Microsoft Exchange的版本将使用活动目录,这样就不需要维护一个单
独的Microsoft Exchange目录。Microsoft Exchange的正式版将提供一个把
Microsoft Exchange目录中的内容透明地移植到活动目录中去的目录移植工具。
这种方法有助于保护客户在Microsoft Exchange数据和组织结构上所做出
的投资并提供了一种从Microsoft Exchange目录平滑移植到活动目录的途径。
总结
微软承诺将在下一个版本的Windows 2000 Server中增强它现在的Windows
NT Server的目录服务。在这个版本中,微软将实现目录服务:为满足在一个分布
式计算环境中进行操作的客户的需求而特别设计的合乎标准的目录服务。
微软的活动目录为企业提供了他们所需要的互操作性,利用这种互操作性
他们可以统一并管理存在于企业网络混合软件和硬件环境中的多种名称空间。由
于结合了DNS和X.50命名标准的优点、LDAP、其它关键协议和丰富的API,活动目
录能够在一个地点管理对所有的资源进行管理,包括:文件、外部设备、主机连
接、数据库、Web访问、用户、任何其它对象、服务和网络资源。活动目录支持对
用户、组和计算机帐户信息的分级的名称空间,并且可以包含和管理其它的目录
以实现一个全面的目录服务,这样就可以减少与维护多个名称空间相关的管理负
担及费用。
活动目录强有力地结合了开放的标准、拖放式的管理、全局目录、可扩展
性、多主体复制、分布式安全性、可伸缩性和与Windows NT 3.51及4.0完全的向
下兼容性,这一切使得它成为现在管理混合网络的理想平台,以及今后统一的分
布式计算环境的基础。
如需更多的信息
如果需要了解关于Windows NT Server的更多的信息,请访问位于
http://www.microsoft.com/backoffice的Web站点,或者Microsoft Network上的
Windows NT Server论坛(输入关键字:MSNTS)。
--
☆ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: bbs@192.168.11.111]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店