|
我想如今用过win2000的人已经为数不少,他增加了许多新的特性,这其中当然少不了AD(活动目录),下面就让我们去了解一下这个看似神秘的东西。
首先让我们先了解一下AD的由来,谈到活动目录最使人容易想起的就是DOS下的"目录"、"路径"和Windows9X/ME下"文件夹",那个时候的"目录"或"文件夹"仅代表一个文件存在磁盘上的位置和层次关系,一个文件生成之后相对来说这个文件的所在目录也就固定了(当然可以删除、转移等,现在不考虑这些),也就是说它的属性也就相对固定了,是静态的。这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小,并不能得出其它有关信息,这样就影响到了整体使用目录的效率,也就是影响了系统的整体效率,使系统的整个管理变得复杂。因为没有相互关联,所以在不同应用程序中同一对象要进行多次配置,管理起来相当繁锁,影响了系统资源的使用效率。为了改变这种效率低下的关系和加强与Internet上有关协议的关联,Microsoft公司决定在WIN2K中全面改革,也就是引入活动目录的概念。理解活动目录的关键就在于"活动"两个字,千万不要将"活动"两个字去掉而仅仅从"目录"两个字去理解,那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹,正因为这个目录是活动的,所以它是动态的,它是一种包含服务功能的目录,它可以做到"由此及彼"的联想、映射,如找到了一个用户名,就可联想到它的账号、出生信息、E-mail、电话等所有基本信息,虽然组成这些信息的文件可能不在一块。同时不同应用程序之间还可以对这些信息进行共享,减少了系统开发资源的浪费,提高了系统资源的利用效率。
活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,从静态的角度来理解这活动目录与我们以前所结识的"目录"和"文件夹"没有本质区别,仅仅是一个对象,是一实体;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,因为多台机上有相同的信息,所以在信息容氏方面具有很强的控制能力,正因如此,不管用户从何处访问或信息处在何处,都对用户提供统一的视图。
下面我们了解一下活动目录的结构:
在上一篇对活动目录有个基本了解之后下面我就来接触一下活动目录实质上的一面--活动目录的结构。上篇我们讲到活动目录是包括两方面:目录和目录相关的服务。目录是存储各种对象的一个物理上的容器,与我们平常所说的目录没什么区别,目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务、基于网络的应用管理,它才是WIN2K活动目录的关键和精髓所在。目录服务是WIN2K网络操作系统的核心支柱,也是中心管理机构,所以目录服务的引入对整个操作系统带来了革命性的变化,不仅系统平台上的各基础模块,比如网络安全机制、用户管理模块等发生了变化,而且上层应用的运作方式以及开发模式也有了相应的变化。这样来理解"活动目录"是不是觉得更加容易?
同时活动目录是一个分布式的目录服务,因为信息可以分散在多台不同的计算机上,保证各计算机用户快速访问和容错;同时不管用户从何处访问或信息处在何处,对用户都提供统一的视图,使用户觉得更加容易理解和掌握WIN2K系统的使用。活动目录集成了WIN2K服务器的关键服务,如域名服务(DNS),消息队列服务(MSMQ),事务服务(MTS)等。在应用方面活动目录集成了关键应用,如电子邮件、网络管理、ERP等。要理解活动目录,我们必须从它的逻辑结构和物理结构入手。
一、活动目录的逻辑结构
"逻辑"两个字相信大家平时见的比较多,如我们常说的"逻辑思维、逻辑分析"等,也许大家一讲到"逻辑"两个字就觉得十分抽象,难以理解。其实我们在这里所讲的"逻辑结构",我觉得还是很好理解的,"逻辑"一般与"物理"是对等的,我们知道"物理上的"是指实实在在的,那么"逻辑上的"不就是指非物理上的,非实体的东西,它是一种抽象的东西,比如讲一种"关系"、一个"空间、范围"等。在第一篇我们讲过活动目录的逻辑结构非常灵活,有目录树、域、域树、域林等,这些名字都不是实实在在的一种实体,只是代表了一种关系,一种范围,如目录树就是由同一名字空间上的目录组成,而域又是由不同的目录树组成,同理域树是由不同的域组成,域林是由多个域树组成。它们是一种完全的树状、层次结构视图,这种关系我们可以看成是一种动态关系。逻辑结构还与前面讨论过的名字空间有直接关系,逻辑结构为用户和管理员在一定的名字空间中查找、定位对象提供了极大方便。活动目录中的逻辑单元主要包括:
1、域、域树、域林
域既是WIN2K网络系统的逻辑组织单元,是对象(如计算机、用户等)的容器,这些对象有相同的安全需求、复制过程和管理,这一点对于网管人员应是相当容易理解的。在WIN2K中域中所有的域控制器都是平等的(这一点与WINNT4.0不一样,没有主、副之分),域是安全边界,域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或管理其他的域。每个域都有自己的安全策略,以及它与其他域的安全信任关系。在这里就涉及到了不同域之间的信任关系及传递关系,下面就具体讲一下WIN2K中的域信任关系。
域与域之间具有一定的信任关系,域信任关系使得一个域中的用户可由另一域中的域控制器进行验证,才能使一个域中的用户访问另一个域中的资源。所有域信任关系中只有两种域:信任关系域和被信任关系域。信任关系就是域A信任域B,则域B中的用户可以通过域A中的域控制器进行身份验证后访问域A中的资源,则域A与域B之间的关系就是信任关系。被信任关系就是被一个域信任的关系,在上面的例子中域B就是被域A信任,域B与域A的关系就是被信任关系。信任与被信任关系可以是单向的,也可以是双向?br />
[1] [2] [3] [4] 下一页
|
