活动目录

　　活动目录是 Windows 2000 Server 可扩展和调整的目录服务。它存储有关网络对象的信息并使管理员和用户可以方便地查找和使用该信息。活动目录的目录服务将结构化数据存储作为目录信息逻辑和分层组织的基础。

　　安全性通过登录验证以及对目录中对象的访问控制与活动目录相集成。使用单个网络登录，活动目录管理员可以通过自身的网络管理目录数据和组织，并且授权网络用户可以访问网络中各处的资源。基于策略的管理可以使即便是最复杂的网络管理变得轻而易举。

　　活动目录简介

　　目录是一个存储网络对象信息的分层结构。诸如活动目录的目录服务则提供存储目录数据和网络用户和管理员使用这些数据的方法。例如，活动目录存储诸如姓名、口令和电话号码等有关用户帐户的信息，并使同一网络中的其他授权用户可以访问这些信息。

　　目录程序

　　活动目录的目录服务具有以下特性:

　　数据存储，也称为目录，存储有关活动目录对象的信息。这些对象通常包括诸如服务器、文件、

　　一系列规则定义了目录中对象的类和属性、这些对象范例的限制以及名称的格式。

　　全局目录包含了目录中所有对象的信息。这使得用户和管理员可以在不管究竟目录中哪个域包含数据的情况下查找目录信息。

　　查询和索引机制使得网络用户或应用程序可以发布和查找对象及其属性。

　　复制服务负责在网络中分配目录数据。域中的所有控制器都参加复制并且包含域中所有目录信息的完整副本。任何对目录数据的更改都将复制到域中的所有域控制器。

　　为保证网络登录过程的安全，以及对目录数据查询和数据修改的访问控制，将安全子系统与之集成。

　　为获得活动目录的最大效益，通过网络访问活动目录的计算机必须运行正确的客户软件。未运行活动目录客户软件的计算机，显示的目录类似于 Windows NT 目录。

　　域

　　域在活动目录中定义安全边界。活动目录由一个或多个域组成。每个域均拥有与其他域相关的安全策略和安全关系。域提供以下便利:

　　两个不同域的安全策略和设置(诸如管理权限和访问控制列表)不能相互交叉。

　　分派管理权限消除了需要大量具有广泛管理权限管理员的必要。

　　将对象分成不同的组放入域中有助于在网络中反映公司的组织结构。

　　每个域只存储有关该域中对象的信息。活动目录可通过拆分目录信息的存储扩展至数量庞大的对象。

　　域也是复制的单元。活动目录使用多主复制模型。某特定域中的所有域控制器均可接收更改并通过域将这些更改复制到域中的所有域控制器。

　　单个域可以跨越多个物理位置或站点。使用单个域可以大大简化上级管理。

　　域目录树和目录林

　　将多域组合到一起的结构，称为域目录树和目录林。

　　域目录树

　　目录树中的第一个域称为目录树的根域。同一目录树中的其他域则称为子域。恰位于某域之上的另一个域被认为是子域的父类。

　　单个域目录树中的所有域共享一个等级命名结构。一个子域的域名就是将该子域的名称添加到父域的名称中。例如， headquarters.mycompany.com 是 mycompany.com 域的子域。共享公用根域的域被认为共享邻近的名称空间。

　　目录树中的域通过双向、传递的委托关系联接在一起。由于这些委托关系是双向和传递的，因此加入目录树的域会立即与目录树中的每个域建立委托关系。这些委托关系允许单个用户登录以验证用户并授权验证用户访问整个网络。这使得目录树中所有其他域中具有适当凭据的用户和计算机可以使用目录树所有域中的所有对象。

　　域目录树中管理权的传递特性并非固有的。可以通过限制域管理权的范围添加额外的安全层。

　　目录林

　　目录林包含一个或多个目录树。目录林中的目录树不共享公用根域。例如， headquarters.com 和 sales.com 域之间无明显的关系。不共享公用根域的目录树被认为是脱开的。

　　目录林所有目录树中的所有域必须共享以下特性:

　　域间的传递委托关系

　　域目录树间的传递委托关系

　　公用规划

　　公用全局目录

　　域目录树和目录林的组合可为邻近和脱开的命名约定提供相当的灵活性。这一点在某些情况下会非常有用，例如，公司中各独立部门必须保持各自的 DNS 名称。

　　要使域或域目录树中的资源得到广泛应用，只需将域加入目录树中或创建额外的与目录林相关联的域目录树。当域加入目录树后，将在加入域和父域间创建信任关系。当在目录林中创建新目录树时，将在每个目录树的根域间创建信任关系。基本信任关系是透明的，对其无须进一步的管理。

　　由于链接于目录林中的域目录树是通过传递、双向 Kerberos 信任关系链接的，故用户可以访问整个目录林任何域中的资源。使用活动目录安装向导将域加入目录树中并将两域相联组成目录林将创建双向、传递的 Kerberos 信任关系。

　　域信任关系

　　域信任关系是一种建立在域间的关系，它使得一个域中的用户可由另一域中的域控制器进行验证。所有域信任关系中只有两种域:信任关系域和被信任关系域。委托关系是由以下特性表征的:

　　传递

　　传递信任关系不受关系中两个域的约束，而是经父域向上传递给域目录树中的下一个域。传递信任关系总是双向的:关系中的两个域互相信任。默认情况下，域目录树或林中的所有 Windows 2000 信任关系都是传递的。通过大大减少需管理的委托关系数量，这将在很大程度上简化域的管理。 Windows 2000 中的委托关系基于 Kerberos 协议。

　　注释

　　传递信任关系只能存在于相同域目录树或林中 Windows 2000 的域间。

　　每次安装域控制器和创建新的子域时，将以隐含方式(自动)在父域和新的子域间创建一个传递委托关系。于是，传递委托关系将在其形成时经域目录树向上流动，并随后在域目录树中的所有域间创建传递信任关系。

　　如果域目录树配置为目录林的一部分，则将在域控制器的安装过程中新域目录树的根域之间自动创建传递委托关系，新域目录树将添加到目录林和目录林根节点(添加到目录林的第一个域目录树的根域)。新的域目录树将信任所有目录林根节点信任的域目录树。于是，传递委托关系将在目录林形成时流经域目录树，并随后在目录林的所有域间创建传递信任关系。

　　对于相同域目录树或林中的 Windows 2000 域，也可以显式(手工)地创建传递信任关系。这对于形成交叉链接信任关系是非常重要的。

　　不传递

　　不传递信任关系受关系中两个域的约束，并且不经父域向上传递到域目录树中的下一个域。以下图表将说明这一点:

　　必须显式地创建不传递信任关系。默认情况下，不传递信任关系是单向的，尽管也可以通过创建两个单向信任关系创建一个双向关系。所有不属于相同域目录树或林中 Windows 2000 域间建立的委托关系都是不传递的。

　　注释

　　所有 Windows 2000 域和 Windows NT 域之间的委托关系都是不传递的。当从 Windows NT 升级到 Windows 2000 时，所有已现有的 Windows NT 信任关系都将保持不变。在混合模式的网络中，所有 Windows NT 信任关系都是不传递的。

　　总之，不传递信任关系是以下对象委托关系的唯一形式:

　　Windows 2000 域和 Windows NT 域

　　目录林中的 Windows 2000 域和另一目录林中的 Windows 2000 域

　　Windows 2000 域和 MIT Kerberos V5 领域

　　单向

　　单向信任关系是单独的委托关系，即域 A 信任域 B 。所有单向关系都是不传递的。默认情况下，所有不传递信任关系都是单向的。

　　双向

　　双向信任关系包括一对单向委托关系，即域 A 信任域 B ，而域 B 也信任域 A 。所有传递信任关系都是双向的。为使不传递信任关系成为双向，必须在所涉及的域间创建两个单向信任关系。

　　可使用活动目录域和信任关系管理委托关系。

　　组织单位

　　域中包含的一类目录对象是组织单位。组织单位是活动目录容器，在其中可放置用户、组、计算机和其他组织单位。组织单位不能包含其他域中的对象。

　　组织单位是可指定组策略或代表管理权限的最小领域或单位。使用组织单位可在域中创建容器，该域表示组织中的等级和逻辑结构。这使得可以在组织模型基础上管理帐户和资源的配置及使用。

　　由于组织单位可包含其他组织单位，因此容器的分层结构可扩展用来建立域中组织分层结构的模型。使用组织单位将有助于把网络所需的域的数量减至最小。

　　可使用组织单位创建管理模型，该模型可调整为任何尺寸。可授予用户对域中所有组织单位或单个组织单位的管理权限。组织单位的管理员无须具有对域中任何其他组织单位的管理权限。

　　活动目录站点和服务

　　当用户登录后，将验证其凭据，并提供对网络资源的访问。由于活动目录使用多主管复制，故网络中的任何 Windows 2000 域控制器均可为所有请求提供服务，这包括域控制器域中用户对目录进行的修改。

　　如果连接好的计算机的配置较小，则任意选取域控制器不会引起问题。然而，如果悉尼的用户尝试使用拨号连接验证纽约的域控制器，则配置中虽包含广域网 (WAN) ，但会显得严重不足。活动目录站点和服务可以通过使用站点提高大多数配置目录服务的效率。

　　可以通过使用活动目录站点和服务向活动目录发布站点的方法提供有关网络物理结构的信息。活动目录使用该信息确定如何复制目录信息和处理服务的请求。

　　计算机站点是根据其在子网或一组已连接好子网中的位置指定的。子网提供一种表示网络分组的简单方法，这与

　　站点有助于:

　　验证。当客户使用域帐户登录时，登录机制首先搜索与客户处于同一站点内的域控制器。使用客户站点内的域控制器首先可以使网络传输本地化，这就提高了验证过程的效率。

　　复制。活动目录信息将在站点内部和之间进行复制。活动目录在站点内部复制信息的频率高于站点间的复制频率。这样做可以平衡对最新目录信息需求和可用网络带宽带来的限制。

　　您可通过站点链接来定制活动目录如何复制信息以指定站点的连接方法。活动目录使用有关站点如何连接的信息生成连接对象以便提供有效的复制和容错。

　　提供有关站点链接费用，链接使用次数，链接何时可用以及链接使用频度等信息。活动目录使用该信息确定应使用哪个站点复制信息以及何时使用该站点。定制复制计划使复制在特定时间(诸如网络传输空闲时)进行会使复制更为有效。

　　通常，所有域控制器用于站点间信息的交换，但也可以通过指定桥头堡服务器优先发送和接收站间复制信息的方法进一步控制复制行为。当拥有希望用于站间复制的特定服务器时，宁愿建立一个桥头堡服务器而不使用其他可用服务器。或在配置使用

　　活动目录的有效服务。可通过活动目录启用诸如服务绑定和配置等信息，以便使网络资源的管理和使用更为简单和有效。站点帮助构成和优化服务信息的分配，以便客户可以使用当前信息并使信息在网络中得以有效分配。

　　组

　　组是活动目录或本地计算机对象，它包含用户、联系、计算机和其他组。组用于:

　　管理用户和计算机对共享资源的访问，诸如活动目录对象及其属性、网络共享、文件、目录、打印机队列等等。

　　筛选组策略。

　　创建 e-mail 分配列表。

　　当为资源(文件共享、打印机等等)指定权限时，管理员应将权限指定给组而不是单个用户。权限应一次性指定给组，而不是分几次指定给单个用户。添加到组的每个帐户接收为该组定义的权利和权限。与组而不是单个用户工作有助于简化网络维护和管理。

　　使用组筛选组策略，授予用户权利或分配 e-mail 。要在域中创建对象的管理集合，请使用组织单位。组和组织单位因其使用的域边界而不同。组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。组织单位则只表示单个域中的对象集合(可包括组对象)。

　　组策略对象用于站点、域或组织单位，但决不用于组。组策略对象是影响用户或计算机的设置集合。组成员用于筛选(通过 Apply 组策略权限输入)哪些组策略对象用于站点、域或组织单位，这将影响组中的用户和计算机。

　　活动目录用户和计算机帐户

　　活动目录用户和计算机帐户表示诸如计算机或个人等物理实体。帐户为用户或计算机提供安全凭据，以便用户和计算机能够登录到网络并访问域资源。帐户用于:

　　验证用户或计算机的身份

　　授权对域资源的访问

　　审核使用用户或计算机帐户所执行的操作

　　使用活动目录的用户和计算机添加、禁用、重新设置和删除用户和计算机帐户。

　　活动目录用户帐户

　　活动目录用户帐户使用户以经验证和授权访问域资源的身份登录到计算机和域。用户帐户也可作为某些应用程序的服务帐户。

　　Windows 2000 提供可用于登录到 Windows 2000 计算机的预定义用户帐户。这些预定义帐户是:

　　管理员帐户

　　客户帐户

　　预定义帐户是默认的用户帐户，它用于使用户登录到本地计算机和访问其上的资源。这些主要是为初始登录和本地计算机配置而设计的。每个预定义帐户都有不同的权利和权限组合。管理员帐户具有最广泛的权利和权限，而客户帐户则只有有限的权利和权限。

　　如果网络管理员未修改或禁用预定义帐户的权利和权限，则任何使用管理员或客户身份登录到网络的用户或服务均可以使用它们。要获得用户验证和授权的安全性，请为每个用户创建独立用户帐户，这些用户需使用活动目录用户和计算机加入网络。之后，可将每个用户帐户(包括管理员和客户帐户)添加到 Window 2000 组中以控制指定给帐户的权利和权限。使用适合于网络的帐户和组可以保证识别登录到网络的用户且他们只能访问授权的资源。

　　计算机帐户

　　每个加入域的 Windows 2000 和 Windows NT 计算机都具有计算机帐户。与用户帐户类似，计算机帐户提供验证和审核计算机登录到网络以及访问域资源过程的方法。同样使用 活动目录 Users 和 Computers 创建计算机帐户。

　　注释

　　Windows 98 和 Windows 95 计算机不具备 Windows 2000 和 Windows NT 计算机所具有的高级安全特性，无法在 Windows 2000 域中为其指定计算机帐户。然而，可以登录到网络并在活动目录域中使用 Windows 98 和 Windows 95 计算机。

　　活动目录规划

　　活动目录规划是确定对象及有关对象信息类型的定义或元数据的列表，可以将其存储在活动目录中。组成规划的元数据有两种类型 ―― 类和属性。

　　类描述可以创建的可能活动目录对象。当创建一个活动目录对象(诸如新用户)时，便创建了一个类的范例。每个类都是一个属性集合。当创建一个对象时，属性将存储描述对象的信息。例如用户类是由很多属性组成的，包括电话号码、姓名等等。

　　属性是与类分开定义的，以便每个类只定义一次却可以在多个类中使用。例如，描述属性在很多类中使用，但为确保一致性，只在规划中定义一次。

　　类和属性定义自身(诸如用户类或电话号码属性)是存储在活动目录中的元数据对象。正是由于这一点，活动目录可以使用与管理目录中其他对象相同的对象管理操作来管理规划。

　　建议通过 Windows 2000 Software Developers Kit 中描述的活动目录服务接口 (ADSI) 以编程方式修改活动目录规划。也可使用 Windows 2000 Resource Kit 中的活动目录规划插件查看和修改活动目录规划。

　　活动目录的益处

　　信息安全性

　　安全性与活动目录完全集成在一起。不仅可以针对目录中的每个对象定义访问控制，还可对其每种属性进行操作。

　　权限指定哪些组用户可以查看或使用对象，以及可针对对象进行何种操作。例如，某个人可能具有更改对象属性的权限，另一个人则可以查看属性，而第三个人则可能根本没有查找对象的权限。

　　可以授予对对象每种单个属性选择性访问的权限。例如，可以授予所有用户查看网络中用户姓名和电话号码的权限，而与此同时却限制对用户对象所有其他属性的访问。

　　默认情况下，权限是可继承的。指定给某特定对象的权限会自动应用于该对象的所有子对象。也可以封锁权限的继承性。

　　活动目录为安全策略提供应用程序的存储和范围。安全策略可以包括帐户信息，诸如域宽口令限制或对某特定域资源的权利。安全策略通过组策略执行。

　　管理员可将某些特殊管理权利分派到其他个人和组。这种权限分派允许明确谁具有管理部分网络的权限。可以将特殊部分的管理分派给单个管理员，而不必拥有对大部分网络具有广泛权限的管理员。

　　Windows 2000 Server 支持多种网络安全协议，这些协议提供:

　　更强大、更有效的安全性

　　对 Internet 安全协议的支持

　　与早期 Windows 协议的兼容性

　　Windows 2000 支持的安全协议包括:

　　Kerberos v5

　　SSL ( Secure Sockets Layer - 安全套接字层)

　　DPA ( Distributed Password Authentication - 分布式口令验证)

　　Windows NT NTLM

　　Kerberos v5 协议是 Windows 2000 中网络验证的默认协议。 Kerberos 协议是一个已经成熟的安全标准。其益处包括客户机和服务器的相互验证以及与非 Windows 平台的内部可操作性。

　　Windows 2000 支持基于公用密钥的协议，提供 Internet 之上的保密性和可靠性。这包括对 SSL 3.0 的支持以及 Internet 浏览器和网络服务器间连接的标准。

　　Windows 2000 还支持 DPA ，它由诸如 Microsoft Network (MSN) 等最大的 Internet 成员组织使用。

　　还支持 Windows NT versions 4.0 和早期版本使用的 NTLM 协议，这是为确保 Windows 2000 Server 与运行 Windows NT 和 Windows NT 网络的客户机软件的计算机做到完全内部可操作。

　　基于策略的管理

　　活动目录的目录服务包括数据存储以及逻辑、分层结构。作为逻辑结构，它为策略应用程序提供上下文分层结构。作为目录，它存储指定给特定上下文的策略(称为组策略)。组策略表达一组业务规则，它包含应用于上下文的设置，它可确定:

　　对目录对象和域资源的访问

　　用户可使用哪些域资源(诸如应用程序)

　　这些域资源是如何配置的

　　例如，组策略可确定用户登录后在计算机上可看到哪些应用程序，当 Microsoft SQL Server 在服务器上启动时，有多少用户可与其连接，以及当文档或服务移至不同部门或组时，用户可访问哪些内容。组策略使得只需管理少数策略，而不是大量用户和计算机。活动目录使得可以将组策略应用于适当的上下文，而不管是整个组织还是组织中的某些单位。

　　扩展性

　　活动目录是可扩展的，这意味着管理员可以将对象的新类添加到规划中，而且还可以将新属性添加到已现有的对象类中。

　　例如，可以将 “ 购买权限 ” 属性添加到用户对象类型中，而后将每个用户的购买权限限制作为用户帐户进行存储。

　　可以使用活动目录规划插件或通过创建基于 ADSI 或 LDIFDE 或 CSVDE 命令行实用程序的脚本将对象和属性添加到目录中。

　　可调整性

　　活动目录可包括一个或多个域，每个又都带有一个或多个域控制器，这使得可调整目录以便满足任何网络的要求。多域可组合成域目录树或林。

　　目录将规划和配置信息分配给目录中的所有域控制器。该信息存储在初始域控制器中，而且可复制到目录中任何其他域控制器中。当目录配置成单域时，添加域控制器可在上部管理不涉及其他域的情况下调整目录。

　　将目录配置成域目录树或林使得可以针对不同策略上下文对目录的名称空间进行分区并调整目录使其容纳大量资源和对象。

　　信息复制

　　活动目录使用多主复制。目录存储在初始域控制器中并可复制到域、域目录树或林的每个域中。对目录数据所做的更改将复制到所有域控制器中。每个域控制器存储和保留一个目录的完整副本。

　　复制提供信息的有效性、容错、加载平衡和性能优点。在一个域中分派多个域控制器可提供容错和加载平衡。如果域中的某个域控制器减慢、停止或失败，同一域中的其他域控制器可提供必要的目录访问，其原因是它们包含着相同 的目录数据。域中的多个站点可提高目录的性能。在广域网中 (WAN) ，目录访问可由与每个网络客户机最近的域控制器执行。

　　与 DNS 集成

　　活动目录使用 DNS ( Domain Name System - 域名解析系统)。 DNS 是一个 Internet 的标准服务，它可以很容易地将可读主机名称，诸如 computer.microsoft.com 翻译成数字的 TCP/IP 地址。这可以在 TCP/IP 网络上启用与计算机和用户的标识和连接。

　　DNS 域和计算机名称使用分层结构的 “ 友好 ” 名称。例如，名称 maincampus.microsoft.com 既是 DNS 也是 Windows 2000 域名。

　　域名是以 DNS 分层命名结构为基础的，这是一个颠倒的目录树结构:单个根域，以下可以是父域和子域(枝和叶)。例如，诸如 child.parent.microsoft.com 的 Windows 2000 域名识别名为 “child，” 的域，此域是名为 “parent” 域的一个子域，而 “parent” 域自身又是根域 microsoft.com 的一个子域。

　　域中的每台计算机依靠其完整的合格域名识别。位于 child.parent.microsoft.com 域中计算机的完整合格域名应是 computername.child.parent.microsoft.com 。

　　与其他目录服务的内部操作

　　由于活动目录是基于工业标准的目录访问协议，诸如 Lightweight Directory Access Protocol (LDAP) version 3 和 Name Service Provider Interface (NSPI) ，它可以与使用这些协议的其他目录服务实现内部操作。

　　LDAP 是用于查询和检索活动目录信息的目录访问协议。由于它是基于工业标准的目录服务协议，使用 LDAP 的程序可以发展成与其他目录服务共享活动目录信息，这些目录服务同样支持 LDAP 。

　　NSPI 协议用于 Microsoft Exchange 4.0 和 5.x 客户机，活动目录对其进行支持以便为交换目录提供兼容性。

　　灵活的查询

　　用户和管理员可使用搜索菜单-网络邻居或活动目录用户和计算机快速查找网络上的对象，使用对象属性。例如，可通过名、姓、 e-mail 名称、办公室位置或该人用户帐户的其他属性。可通过使用活动目录生成的全局目录优化查找信息。