活动目录服务提供了单一登录的能力并且为你的整个网络架构提供了一个集中的信息知识库,它大大的简化了用户和计算机的管理并且提供了网络资源的更好的访问方式。这篇文章为我们介绍了Windows Server 2003活动目录的优势、新的特性与改善。
益处
对于活动目录中传递密钥策略的改进可为中大型企业带来利益,因为这些改进可以提高管理员和用户的工作效率。基于对Windows2000底层的扩展,Windows Server 2003增强了活动目录的功能,可管理性以及可靠性。当共享和管理企业中不同资源时组织用户可从中获益,减少开销并提高效率。
优势 | 描述 |
更强的灵活性 | 活动目录引入的重要新特性确保了它成为今天的市场中最具灵活性的目录架构之一。由于与目录集成的应用变得更为普遍,因此组织能利用活动目录处理最为复杂的企业网络环境。从Internet数据中心到拥有大量分支机构的企业,由Windows Server 2003所提供的改善可以大大简化管理并且提高性能和效率,使它成为一个应用十分广泛的解决方案。 |
降低总拥有成本 | 活动目录在降低企业的总拥有成本及简化企业内部运作上得到了增强。新的特性和改进已加入到所有的产品中,从而增加了功能、简化了管理并增强了可靠性。 |
新的特性和改进
Windows Server 2003 对于活动目录进行了许多的改善,使得它功能更强大,更可靠也更经济。Windows Server 2003 中的活动目录提供了如下特性:
更易于部署和管理
Windows Server 2003增强了管理员的能力以使其即使在包含多个森林、域及站点的大企业中也能有效的配置和管理活动目录。改进的迁移和管理工具连同重命名域的功能,使得部署活动目录任务明显简化。工具也提供了更加人性化的拖曳、多对象的选择以及保存和重用查询的功能。另外对组策略进行了改进以使其能够被更加简单和有效地在活动目录环境中对大量用户和计算机进行管理。
优势 | 描述 |
ADMT 2.0 版本 | 通过对活动目录迁移工具(ADMT)的诸多改进,现在对于活动目录的迁移变得更加容易。ADMT 2.0现在允许从Windows NT® 4.0域到Windows 2000 和 Windows Server 2003域,或者从Windows 2000域 到Windows Server 2003域的口令的迁移。 |
重命名域 | 支持对当前森林中域的DNS名称与NetBIOS名称的更改,并且保证了森林仍然是“结构良好”的。管理员在活动目录部署后调整结构时有了更大的灵活性。可以对最初的设计进行修正,这使得企业在发生合并或重组时更容易改变现有的目录结构。 |
架构(Schema)重定义 | 活动目录的灵活性得到了增强,可以在活动目录架构中禁用定义的属性和类。这样,在初始的定义中出现了错误时,属性和类可以被重新定义。 |
活动目录应用模式(AD/AM) | 活动目录应用模式(AD/AM,Active Directory in Application Mode)是活动目录的新功能,它关注于一些基于目录的应用部署问题。AD/AM是作为一个非操作系统服务运行的,且不需要部署在域控制器上。作为一个非操作系统服务意味着AD/AM的多个实例可以在一台服务器上同时运行,每个实例都可以独立的配置。注意:AD/AM将作为Windows Server 2003的独立部件推出。 |
组策略的改进 | 微软将与Windows Server 2003一道推出一个新的组策略的管理工具,作为统一的组策略管理解决方案。微软的组策略管理控制台(GPMC)提供了一个管理所有与组策略相关任务的工具。GPMC使得管理员可以在一个森林中的多个站点或域中来管理组策略,所有这些操作都通过一个支持拖曳功能的简化的用户界面(UI)进行。它包括一些新的功能比如对于活动目录对象(GPO)的备份、恢复、导入、复制和报告。这些操作是完全脚本化的,从而使管理员可以实现自定义和自动的管理。这些特性也可以使组策略更加易用,帮助你更加经济高效地管理企业。 |
增强的用户界面 | 作为管理企业身份,对象以及关系的主要方法,管理界面的改进使得管理的效率和集成度被大大提升。微软的管理控制台(MMC)插件现在包括了拖曳功能,多对象选择能力,并且有保存和重用查询的功能。管理员现在可以同时编辑多个用户对象,将访问控制列表(ACL)中的权限项重置为缺省值,显示某个安全主体的有效权限,并且标明对象权限是否从父对象处继承。 |
更加安全
额外的安全特性使得管理多森林和跨域信任关系更加容易。跨森林的信任关系是有别于现有Windows信任关系的新类型,它可以管理两个森林间的安全关系——大大简化了跨森林的安全管理以及验证。用户可以在不用牺牲单一登录功能的情况下,访问其他森林的资源,并且由于只需在用户所在的森林中维护它的用户ID和口令,因此管理也被大大的简化了。这对于一些需要在某些分公司或区域拥有自己森林的场景提供了更好的灵活性,同时也有利于对活动目录的维护。此外,Windows Server 2003提供了一个新的凭证管理器来放置用户的凭证以及X.509证书。软件控制策略使得管理员可以阻止用户在网络中安装不被允许的程序。
优势 | 描述 |
跨森林验证 | 跨森林验证使得在用户账户位于一个森林而计算机账户位于另一个森林的情况下能够安全的访问资源。这个特性允许用户在不牺牲单一登录机制的前提下通过使用Kerberos或者NTLM来安全地访问另一个森林中的资源,而由于只存在一个需要维护的用户ID和口令,管理也被大大简化了。 |
跨森林授权 | 跨森林授权使得管理员可以更容易的将所信任的森林中的用户或组加到本地组或访问控制列表(ACL)中。这个特性在允许森林间信任时维护了森林安全边界的完整性。它使得信任森林在接收到来自于被信任的森林中用户访问其被保护的资源的企图时,通过控制哪些安全标识符(SID)可以接受来确保安全。 |
交叉认证的增强(Cross-Certification) | Windows Server 2003客户的交叉认证功能通过启用部门级和企业级的交叉认证得到增强。例如,WinLogon现在能够去查询交叉认证并将它们下载到“企业信任/企业存储”中。作为流程的一环,所有交叉认证都将被下载。 |
IAS和跨森林验证 | 如果活动目录森林工作在跨森林模式下,并且有着双向信任关系,那么Internet验证服务/远程验证拨入用户服务(IAS/RADIUS)可以使用这个特性来验证用户账号。它使得管理员拥有了将森林中现存的IAS/RADIUS服务和新的森林集成在一起的能力。 |
凭证管理器(Credential Manager) | 凭证管理器提供了一个放置用户凭证,包括口令和X.509证书的安全存储位置。这将提供给用户一个统一的单点登录方式的体验,包括用户漫游。例如,当一个用户在其企业内部网络访问一个商业流程应用程序时,第一次对应用程序的访问是需要验证的,用户将被提示提供凭证。当用户已经提供了凭证后,它将和被请求的应用程序关联在一起,将来用户再访问这个应用时,已经保存的凭证将被再次使用而不会对用户进行提示。 |
软件限制策略 | 软件限制策略用来规范未知和不被信任的软件的使用。使用软件限制策略,你可以通过指定哪些软件可以运行来保护当前的计算机应用环境不被非信任的软件影响。你可以在GPO中对于某个软件定义一个缺省的安全级别:未加约束或者是不允许,从而控制它是否允许运行。同时也可以针对某些软件在缺省安全级别中添加额外规则。 |
改进的性能与可靠性
Windows Server 2003能够更加有效的管理活动目录的复制与同步。不管是在域内还是在域间管理员都可以更好地控制需要在域控制器间进行同步的信息类型。此外,活动目录提供了许多技术可以智能地选择只将那些发生了更改的信息进行复制,而不是机械地复制整个目录数据库。
优势 | 描述 |
在远程办公室更容易登录 | 在没有域控制器的分支机构可以通过缓存的凭证让用户登录而不是联系全局编录服务器,从而提高了系统性能并对不可靠的广域网连接而言更为强壮。在分支机构和全局编录间丢失连接不再会影响分支机构的用户登录。可以为分支机构提供更好的支持并减少了广域网连接上的带宽占用。 |
组成员列表复制的增强 | 当添加、更改或删除组的成员时,只有更改的部分被复制,因此减少了对CPU和带宽资源的占用。这种作法也最大程度的消除了在并发更新中更新丢失的可能。 |
应用程序目录分区 | 某些目录信息并不需要在全局的范围内使用。这个特性通过控制复制的范围和副本放置等方式,从而在不影响网络性能的前提下,提供了在活动目录中放置数据的能力。 |
利用媒介安装副本 | 这个特性允许管理员在备份现有的域控制器或全局编录服务器时通过跟踪文件初始来源进行复制,而不是复制网络上一个活动目录数据库的完整副本。 |
可靠性的改善 | 活动目录包括了几个新特性来增强可靠性,比如健康监视器,这个功能允许管理员检验域控制器间的复制,全局编录的复制也被改进了,并且与Windows 2000相比,一个更新的站间复制拓扑发生器(ISTG)可以在拥有大量站点的森林中提供支持,从而增强了扩展性。 |