window本文提供了对活动目录的技术简介,活动目录是Microsoft Windows 2000 Server操作系统提供的一种新的目录服务。本文详细阐述了活动目录的重要概念、结构元素和特性。"重要概念"部分描述了在您使用活动目录之前需要理解的术语。接下来的两个部分"结构"及"活动目录特点"更详细地阐述了活动目录能够做什么,它给Windows带来了什么样的新特性以及这些特点的实现。"迁移"部分涵盖了从Windows NT 4.0的域模型和目录结构向Windows 2000的迁移的内容。最后一部分,即"常见问题",回答了有关活动目录服务和它运行时可能遇到的一系列实际问题。
目录服务是一个什么东西?就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中,目录就储存了有关文件的信息。
在一个分布式计算系统中或是一个公共计算机网络(如Internet)中,就有许多用户感兴趣的对象,如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象,而管理人员则想管理对这些对象的使用。
在此文档中,术语目录指在公共和私人网络中的目录。目录服务与目录的不同在于,它既是目录的信息源,而它的服务又可以使用户得到和利用信息。
为什么需要目录服务?目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性,而且可以查询目录来得到符合属性的对象列表,例如:"查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。
目录服务可以: 提高管理者定义的安全性来保证信息不受侵入者的损害。 将目录分布在一个网络中的多台计算机上。 复制目录使得更多用户获得它并且减少错误。 分配一个目录于多个存储介质中使得可以存储规模非常大的对象。
目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时,目录服务变得很重要。目录服务是一个大的分布系统的转换中心。
什么是活动目录?活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务,还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作,从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性,使得在大规模信息的管理及在其中漫游变得很简单,为管理者和终端用户都节省了时间。
重要概念
用来描述活动目录的概念和术语中有些是新的,而另外一些则不是。不幸的是,一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前,理解下面这些概念和术语在活动目录背景中如何定义是重要的。
范围活动目录的范围是巨大的。它可以包括所有单一的对象(打印机、文件或用户),所有的服务器及在一个单一广域网中的所有域。下面的一些术语不仅可应用于单一网络,因此意识到活动目录是可以伸缩的,从一台单一的计算机,到一个单一的计算机网络以及很多结合在一起的计算机网络是很重要的。
名字空间同任何目录服务一样,名字空间活动目录从根本上讲是一个名字空间。名字空间电话目录是一个名字空间。名字空间名字空间是任何有界的域,在其中一个给定的名字是可以解析的。名字解析是一种将一个名字翻译为一些对象表达的对象或信息。名字空间电话目录形成了一个名字空间,其中电话用户可以决定电话号码。Windows名字空间文件系统形成了一个名字空间,其中文件名字可以决定文件本身。
活动目录形成了一个名字空间,其中通过目录中对象的名字可以决定对象本身。
对象对象是对某具体事物属性的显著性命名,例如用户、打印机、或应用程序。属性包括目录对象用来识别主题的描述性数据。一个用户的属性可能包括用户的确定的名字、姓及电子邮件地址。
图1 一个用户对象和它的属性容器同一个对象一样具有属性,而且是活动目录名字空间的一部分。然而,与对象不同,它不代表某具体事物。它是一组对象或其它容器的容器。
树在此文档中,树始终用来描述对象及容器的分层结构关系。树的终点通常是对象。树的节点(树的分支点)是容器。树表明了对象是如何连接起来的或由一个对象到其它对象的路径。一个简单的目录是一个容器。一个计算机网络或域也是一个容器。临近的子树是树中任意完整的路径,包括那条路径中的所有容器。
图2 一个文件系统的连续子树
名字用来识别活动目录中的每一个对象。有两种不同类型的名字。
明确名字活动目录中的每一个对象都有一个明确名字(DN)。明确名字识别包括对象的域及通过容器分层结构到达对象的完整路径。一个典型的DN可以是:
/O=Internet/DC=COM/DC=Microsoft/
CN=Users/CN=James Smith
这个DN在Microsoft.com域中识别用户对象"James Smith"。
图3 明确名字的图形表示对象的相对明确名字(RDN)是属于对象本身属性的名字的一部分。在前面的例子中用户对象"James Smith"的RDN是CN=James Smith。父对象的RDN是CN=Users。
命名上下文和分区活动目录由一个或多个命名上下文或分区构成。命名环境是目录的任意临近的子树。命名上下文是复制的单位。
在活动目录中,一个单独的服务器通常最少包括三个命名上下文:
域树域树是由若干具有共同的模式、配置的域构成的,形成了一个临近的名字空间。在树中的域也是通过信任关系连接起来的。活动目录是一个或更多树的集合。
树可以通过两种途径表示。一种表示是域之间的关系,另一种表示是域树的名字空间。
表示信任关系您可以在个别域及它们如何相互信任的基础上画出一幅域树的图画。
Windows 2000域之间信任关系建立在Kerberos安全协议上。Kerberos信任是可传递的和分层次分层结构的--如果域A信任域B信任域C,域A也信任域C。
图4 一个域树以它的信任关系表示您也可以在名字空间的基础上绘制一幅域树的图画。您可以通过跟随域树的名字空间确定一个对象的显著性名称。这种表示对于把对象编为逻辑层次分层结构是很有益的。分层结构临近名字空间的主要优点在于从名字空间的深入查找可以查找整个分层结构。
图5 表示一个域树为名字空间森林是一个或多个不形成临近名字空间树的集合。森林中的树具有相同的模式、配置和全局目录。给定森林中的所有树通过及物的分层结构Kerberos信任关系相互信任。与树不同,一个森林不需要明确名字。森林作为相关对象的集合而存在,而且Kerberos信任关系对所有树成员来讲都是已知的。森林中的树为了Kerberos信任的目的形成了分层结构;位于信任树根部的树的名称可以用来确定一个给定的森林。
图6 森林中的多个树站点是网络中包括活动目录服务器的地点。站点定义为一个或多个良好连接的TCP/IP子网。"良好连接的"的意思是网络连接高度可靠而且迅速(例如,LAN速度为10,000,000比特每秒或更高)。定义站点为子网的集合使得管理员能够快速、简单的配置活动目录使用权及复制拓扑,从而有利于利用物理网络。当一个用户登录时,活动目录客户端在用户的同一站点查找活动目录服务其。由于从网络上讲在同一站点上的机器是靠近的,因此机器间的通讯是可靠的、迅速的和有效的。在登录时确定当地站点是容易实现的,因为用户的工作站已经知道它在什么TCP/IP子网上,并且直接转换为活动目录站点。
结构
这一个简短的部分介绍活动目录的一些基本结构元素。
数据模型活动目录数据模型来自于X.500数据模型。目录包括以属性描述的表征各类事物的对象。可以存入目录的对象的范围在模式中定义。对于每一个对象种类,模式定义了该种类情况下一定要具有什么属性,可以具有什么附加属性,及什么对象种类可以是现有对象种类的父本。
模式活动目录模式作为存储于目录中的对象种类情况的集合而应用。这与很多具有模式的目录不同,在它们的情况下,模式存储为文本文件以在启动时阅读。在目录中存储模式有很多优点。例如,用户应用程序可以阅读模式来确定什么对象和性质是可以得到的。
活动目录模式可以动态生计。也就是说,一个应用程序可以扩展模式的新属性和种类,而且可以立刻使用扩展的部分。模式的升级通过建立或改变目录中的模式对象实现。与活动目录中的所有对象相同,模式对象受访问访问控制列表(ACL)所保护,所以只有授权的用户可以改变模式。
安全模型目录是Windows 2000 Trusted Computing Base 的一部分而且是Windows 2000安全基本构造的完全参加者。ACLs保护了活动目录中的所有对象。Windows 2000访问验证历程采用ACL来确认任何对活动目录中对象或属性访问的尝试。
管理模型
授权的用户在活动目录中进行管理。一个经更高权限授权的用户可以对目录中某些确定子树中指定的对象及对象种类进行指定的操作。这叫做委托管理。委托管理可以完全地控制谁能够做什么,而且可以确立授权的委托而不必授予提高的特权。
目录系统代理(DSA)是管理目录物理存储的过程。客户采用一种支持的界面连接DSA,进而查找、阅读及写入目录对象和它们的属性。DSA使得客户与物理存储格式的目录数据孤立。
