当前位置导航:炫浪网>>网络学院>>网络应用>>服务器架设>>Windows Server

活动目录


活动目录是 Windows 2000 Server 可扩展和调整的目录服务。它存储有关网络对象的信息并使管理员和用户可以方便地查找和使用该信息。活动目录的目录服务将结构化数据存储作为目录信息逻辑和分层组织的基础。

安全性通过登录验证以及对目录中对象的访问控制与活动目录相集成。使用单个网络登录,活动目录管理员可以通过自身的网络管理目录数据和组织,并且授权网络用户可以访问网络中各处的资源。基于策略的管理可以使即便是最复杂的网络管理变得轻而易举。

活动目录简介

目录是一个存储网络对象信息的分层结构。诸如活动目录的目录服务则提供存储目录数据和网络用户和管理员使用这些数据的方法。例如,活动目录存储诸如姓名、口令和电话号码等有关用户帐户的信息,并使同一网络中的其他授权用户可以访问这些信息。

目录程序

活动目录的目录服务具有以下特性:

数据存储,也称为目录,存储有关活动目录对象的信息。这些对象通常包括诸如服务器、文件、打印机、网络用户和计算机帐户等共享资源。

一系列规则定义了目录中对象的类和属性、这些对象范例的限制以及名称的格式。

全局目录包含了目录中所有对象的信息。这使得用户和管理员可以在不管究竟目录中哪个域包含数据的情况下查找目录信息。

查询和索引机制使得网络用户或应用程序可以发布和查找对象及其属性。

复制服务负责在网络中分配目录数据。域中的所有控制器都参加复制并且包含域中所有目录信息的完整副本。任何对目录数据的更改都将复制到域中的所有域控制器。

为保证网络登录过程的安全,以及对目录数据查询和数据修改的访问控制,将安全子系统与之集成。

为获得活动目录的最大效益,通过网络访问活动目录的计算机必须运行正确的客户软件。未运行活动目录客户软件的计算机,显示的目录类似于 Windows NT 目录。

域在活动目录中定义安全边界。活动目录由一个或多个域组成。每个域均拥有与其他域相关的安全策略和安全关系。域提供以下便利:

两个不同域的安全策略和设置(诸如管理权限和访问控制列表)不能相互交叉。

分派管理权限消除了需要大量具有广泛管理权限管理员的必要。

将对象分成不同的组放入域中有助于在网络中反映公司的组织结构。

每个域只存储有关该域中对象的信息。活动目录可通过拆分目录信息的存储扩展至数量庞大的对象。

域也是复制的单元。活动目录使用多主复制模型。某特定域中的所有域控制器均可接收更改并通过域将这些更改复制到域中的所有域控制器。

单个域可以跨越多个物理位置或站点。使用单个域可以大大简化上级管理。

域目录树和目录林

将多域组合到一起的结构,称为域目录树和目录林。

域目录树

目录树中的第一个域称为目录树的根域。同一目录树中的其他域则称为子域。恰位于某域之上的另一个域被认为是子域的父类。

单个域目录树中的所有域共享一个等级命名结构。一个子域的域名就是将该子域的名称添加到父域的名称中。例如, headquarters.mycompany.com 是 mycompany.com 域的子域。共享公用根域的域被认为共享邻近的名称空间。

目录树中的域通过双向、传递的委托关系联接在一起。由于这些委托关系是双向和传递的,因此加入目录树的域会立即与目录树中的每个域建立委托关系。这些委托关系允许单个用户登录以验证用户并授权验证用户访问整个网络。这使得目录树中所有其他域中具有适当凭据的用户和计算机可以使用目录树所有域中的所有对象。

域目录树中管理权的传递特性并非固有的。可以通过限制域管理权的范围添加额外的安全层。

目录林

目录林包含一个或多个目录树。目录林中的目录树不共享公用根域。例如, headquarters.com 和 sales.com 域之间无明显的关系。不共享公用根域的目录树被认为是脱开的。

目录林所有目录树中的所有域必须共享以下特性:

域间的传递委托关系

域目录树间的传递委托关系

公用规划

公用全局目录

域目录树和目录林的组合可为邻近和脱开的命名约定提供相当的灵活性。这一点在某些情况下会非常有用,例如,公司中各独立部门必须保持各自的 DNS 名称。

要使域或域目录树中的资源得到广泛应用,只需将域加入目录树中或创建额外的与目录林相关联的域目录树。当域加入目录树后,将在加入域和父域间创建信任关系。当在目录林中创建新目录树时,将在每个目录树的根域间创建信任关系。基本信任关系是透明的,对其无须进一步的管理。

由于链接于目录林中的域目录树是通过传递、双向 Kerberos 信任关系链接的,故用户可以访问整个目录林任何域中的资源。使用活动目录安装向导将域加入目录树中并将两域相联组成目录林将创建双向、传递的 Kerberos 信任关系。

域信任关系

域信任关系是一种建立在域间的关系,它使得一个域中的用户可由另一域中的域控制器进行验证。所有域信任关系中只有两种域:信任关系域和被信任关系域。委托关系是由以下特性表征的:

传递

传递信任关系不受关系中两个域的约束,而是经父域向上传递给域目录树中的下一个域。传递信任关系总是双向的:关系中的两个域互相信任。默认情况下,域目录树或林中的所有 Windows 2000 信任关系都是传递的。通过大大减少需管理的委托关系数量,这将在很大程度上简化域的管理。 Windows 2000 中的委托关系基于 Kerberos 协议。

注释

传递信任关系只能存在于相同域目录树或林中 Windows 2000 的域间。

每次安装域控制器和创建新的子域时,将以隐含方式(自动)在父域和新的子域间创建一个传递委托关系。于是,传递委托关系将在其形成时经域目录树向上流动,并随后在域目录树中的所有域间创建传递信任关系。

如果域目录树配置为目录林的一部分,则将在域控制器的安装过程中新域目录树的根域之间自动创建传递委托关系,新域目录树将添加到目录林和目录林根节点(添加到目录林的第一个域目录树的根域)。新的域目录树将信任所有目录林根节点信任的域目录树。于是,传递委托关系将在目录林形成时流经域目录树,并随后在目录林的所有域间创建传递信任关系。

对于相同域目录树或林中的 Windows 2000 域,也可以显式(手工)地创建传递信任关系。这对于形成交叉链接信任关系是非常重要的。

不传递

不传递信任关系受关系中两个域的约束,并且不经父域向上传递到域目录树中的下一个域。以下图表将说明这一点:

必须显式地创建不传递信任关系。默认情况下,不传递信任关系是单向的,尽管也可以通过创建两个单向信任关系创建一个双向关系。所有不属于相同域目录树或林中 Windows 2000 域间建立的委托关系都是不传递的。

注释

所有 Windows 2000 域和 Windows NT 域之间的委托关系都是不传递的。当从 Windows NT 升级到 Windows 2000 时,所有已现有的 Windows NT 信任关系都将保持不变。在混合模式的网络中,所有 Windows NT 信任关系都是不传递的。

总之,不传递信任关系是以下对象委托关系的唯一形式:

Windows 2000 域和 Windows NT 域

目录林中的 Windows 2000 域和另一目录林中的 Windows 2000 域

Windows 2000 域和 M99v Kerberos V5 领域

单向

相关内容
赞助商链接