活动目录是 Windows 2000 Server 可扩展和调整的目录服务。它存储有关网络对象的信息并使管理员和用户可以方便地查找和使用该信息。活动目录的目录服务将结构化数据存储作为目录信息逻辑和分层组织的基础。
安全性通过登录验证以及对目录中对象的访问控制与活动目录相集成。使用单个网络登录,活动目录管理员可以通过自身的网络管理目录数据和组织,并且授权网络用户可以访问网络中各处的资源。基于策略的管理可以使即便是最复杂的网络管理变得轻而易举。
活动目录简介
目录是一个存储网络对象信息的分层结构。诸如活动目录的目录服务则提供存储目录数据和网络用户和管理员使用这些数据的方法。例如,活动目录存储诸如姓名、口令和电话号码等有关用户帐户的信息,并使同一网络中的其他授权用户可以访问这些信息。
目录程序
活动目录的目录服务具有以下特性:
数据存储,也称为目录,存储有关活动目录对象的信息。这些对象通常包括诸如服务器、文件、打印机、网络用户和计算机帐户等共享资源。
一系列规则定义了目录中对象的类和属性、这些对象范例的限制以及名称的格式。
全局目录包含了目录中所有对象的信息。这使得用户和管理员可以在不管究竟目录中哪个域包含数据的情况下查找目录信息。
查询和索引机制使得网络用户或应用程序可以发布和查找对象及其属性。
复制服务负责在网络中分配目录数据。域中的所有控制器都参加复制并且包含域中所有目录信息的完整副本。任何对目录数据的更改都将复制到域中的所有域控制器。
为保证网络登录过程的安全,以及对目录数据查询和数据修改的访问控制,将安全子系统与之集成。
为获得活动目录的最大效益,通过网络访问活动目录的计算机必须运行正确的客户软件。未运行活动目录客户软件的计算机,显示的目录类似于 Windows NT 目录。
域
域在活动目录中定义安全边界。活动目录由一个或多个域组成。每个域均拥有与其他域相关的安全策略和安全关系。域提供以下便利:
两个不同域的安全策略和设置(诸如管理权限和访问控制列表)不能相互交叉。
分派管理权限消除了需要大量具有广泛管理权限管理员的必要。
将对象分成不同的组放入域中有助于在网络中反映公司的组织结构。
每个域只存储有关该域中对象的信息。活动目录可通过拆分目录信息的存储扩展至数量庞大的对象。
域也是复制的单元。活动目录使用多主复制模型。某特定域中的所有域控制器均可接收更改并通过域将这些更改复制到域中的所有域控制器。
单个域可以跨越多个物理位置或站点。使用单个域可以大大简化上级管理。
域目录树和目录林
将多域组合到一起的结构,称为域目录树和目录林。
域目录树
目录树中的第一个域称为目录树的根域。同一目录树中的其他域则称为子域。恰位于某域之上的另一个域被认为是子域的父类。
单个域目录树中的所有域共享一个等级命名结构。一个子域的域名就是将该子域的名称添加到父域的名称中。例如, headquarters.mycompany.com 是 mycompany.com 域的子域。共享公用根域的域被认为共享邻近的名称空间。
目录树中的域通过双向、传递的委托关系联接在一起。由于这些委托关系是双向和传递的,因此加入目录树的域会立即与目录树中的每个域建立委托关系。这些委托关系允许单个用户登录以验证用户并授权验证用户访问整个网络。这使得目录树中所有其他域中具有适当凭据的用户和计算机可以使用目录树所有域中的所有对象。
域目录树中管理权的传递特性并非固有的。可以通过限制域管理权的范围添加额外的安全层。
目录林
目录林包含一个或多个目录树。目录林中的目录树不共享公用根域。例如, headquarters.com 和 sales.com 域之间无明显的关系。不共享公用根域的目录树被认为是脱开的。
目录林所有目录树中的所有域必须共享以下特性:
域间的传递委托关系
域目录树间的传递委托关系
公用规划
公用全局目录
域目录树和目录林的组合可为邻近和脱开的命名约定提供相当的灵活性。这一点在某些情况下会非常有用,例如,公司中各独立部门必须保持各自的 DNS 名称。
要使域或域目录树中的资源得到广泛应用,只需将域加入目录树中或创建额外的与目录林相关联的域目录树。当域加入目录树后,将在加入域和父域间创建信任关系。当在目录林中创建新目录树时,将在每个目录树的根域间创建信任关系。基本信任关系是透明的,对其无须进一步的管理。
由于链接于目录林中的域目录树是通过传递、双向 Kerberos 信任关系链接的,故用户可以访问整个目录林任何域中的资源。使用活动目录安装向导将域加入目录树中并将两域相联组成目录林将创建双向、传递的 Kerberos 信任关系。
域信任关系
域信任关系是一种建立在域间的关系,它使得一个域中的用户可由另一域中的域控制器进行验证。所有域信任关系中只有两种域:信任关系域和被信任关系域。委托关系是由以下特性表征的:
传递
传递信任关系不受关系中两个域的约束,而是经父域向上传递给域目录树中的下一个域。传递信任关系总是双向的:关系中的两个域互相信任。默认情况下,域目录树或林中的所有 Windows 2000 信任关系都是传递的。通过大大减少需管理的委托关系数量,这将在很大程度上简化域的管理。 Windows 2000 中的委托关系基于 Kerberos 协议。
注释
传递信任关系只能存在于相同域目录树或林中 Windows 2000 的域间。
每次安装域控制器和创建新的子域时,将以隐含方式(自动)在父域和新的子域间创建一个传递委托关系。于是,传递委托关系将在其形成时经域目录树向上流动,并随后在域目录树中的所有域间创建传递信任关系。
如果域目录树配置为目录林的一部分,则将在域控制器的安装过程中新域目录树的根域之间自动创建传递委托关系,新域目录树将添加到目录林和目录林根节点(添加到目录林的第一个域目录树的根域)。新的域目录树将信任所有目录林根节点信任的域目录树。于是,传递委托关系将在目录林形成时流经域目录树,并随后在目录林的所有域间创建传递信任关系。
对于相同域目录树或林中的 Windows 2000 域,也可以显式(手工)地创建传递信任关系。这对于形成交叉链接信任关系是非常重要的。
不传递
不传递信任关系受关系中两个域的约束,并且不经父域向上传递到域目录树中的下一个域。以下图表将说明这一点:
必须显式地创建不传递信任关系。默认情况下,不传递信任关系是单向的,尽管也可以通过创建两个单向信任关系创建一个双向关系。所有不属于相同域目录树或林中 Windows 2000 域间建立的委托关系都是不传递的。
注释
所有 Windows 2000 域和 Windows NT 域之间的委托关系都是不传递的。当从 Windows NT 升级到 Windows 2000 时,所有已现有的 Windows NT 信任关系都将保持不变。在混合模式的网络中,所有 Windows NT 信任关系都是不传递的。
总之,不传递信任关系是以下对象委托关系的唯一形式:
Windows 2000 域和 Windows NT 域
目录林中的 Windows 2000 域和另一目录林中的 Windows 2000 域
Windows 2000 域和 MIT Kerberos V5 领域
单向
单向信任关系是单独的委托关系,即域 A 信任域 B 。所有单向关系都是不传递的。默认情况下,所有不传递信任关系都是单向的。
双向
双向信任关系包括一对单向委托关系,即域 A 信任域 B ,而域 B 也信任域 A 。所有传递信任关系都是双向的。为使不传递信任关系成为双向,必须在所涉及的域间创建两个单向信任关系。
可使用活动目录域和信任关系管理委托关系。
组织单位
域中包含的一类目录对象是组织单位。组织单位是活动目录容器,在其中可放置用户、组、计算机和其他组织单位。组织单位不能包含其他域中的对象。
组织单位是可指定组策略或代表管理权限的最小领域或单位。使用组织单位可在域中创建容器,该域表示组织中的等级和逻辑结构。这使得可以在组织模型基础上管理帐户和资源的配置及使用。
由于组织单位可包含其他组织单位,因此容器的分层结构可扩展用来建立域中组织分层结构的模型。使用组织单位将有助于把网络所需的域的数量减至最小。
可使用组织单位创建管理模型,该模型可调整为任何尺寸。可授予用户对域中所有组织单位或单个组织单位的管理权限。组织单位的管理员无须具有对域中任何其他组织单位的管理权限。
活动目录站点和服务
当用户登录后,将验证其凭据,并提供对网络资源的访问。由于活动目录使用多主管复制,故网络中的任何 Windows 2000 域控制器均可为所有请求提供服务,这包括域控制器域中用户对目录进行的修改。
如果连接好的计算机的配置较小,则任意选取域控制器不会引起问题。然而,如果悉尼的用户尝试使用拨号连接验证纽约的域控制器,则配置中虽包含广域网 (WAN) ,但会显得严重不足。活动目录站点和服务可以通过使用站点提高大多数配置目录服务的效率。
可以通过使用活动目录站点和服务向活动目录发布站点的方法提供有关网络物理结构的信息。活动目录使用该信息确定如何复制目录信息和处理服务的请求。
计算机站点是根据其在子网或一组已连接好子网中的位置指定的。子网提供一种表示网络分组的简单方法,这与邮政编码将地址分组类似。将子网格式化成可方便发送有关网络与目录连接物理信息的形式。将计算机置于一个或多个连接好的子网中充分体现了站点所有计算机必须连接良好这一标准,原因是同一子网中计算机的连接情况通常优于网络中任意选取的计算机。
站点有助于:
验证。当客户使用域帐户登录时,登录机制首先搜索与客户处于同一站点内的域控制器。使用客户站点内的域控制器首先可以使网络传输本地化,这就提高了验证过程的效率。
复制。活动目录信息将在站点内部和之间进行复制。活动目录在站点内部复制信息的频率高于站点间的复制频率。这样做可以平衡对最新目录信息需求和可用网络带宽带来的限制。
您可通过站点链接来定制活动目录如何复制信息以指定站点的连接方法。活动目录使用有关站点如何连接的信息生成连接对象以便提供有效的复制和容错。
提供有关站点链接费用,链接使用次数,链接何时可用以及链接使用频度等信息。活动目录使用该信息确定应使用哪个站点复制信息以及何时使用该站点。定制复制计划使复制在特定时间(诸如网络传输空闲时)进行会使复制更为有效。
通常,所有域控制器用于站点间信息的交换,但也可以通过指定桥头堡服务器优先发送和接收站间复制信息的方法进一步控制复制行为。当拥有希望用于站间复制的特定服务器时,宁愿建立一个桥头堡服务器而不使用其他可用服务器。或在配置使用代理服务器时建立一个桥头堡服务器,用于通过防火墙发送和接收信息。
活动目录的有效服务。可通过活动目录启用诸如服务绑定和配置等信息,以便使网络资源的管理和使用更为简单和有效。站点帮助构成和优化服务信息的分配,以便客户可以使用当前信息并使信息在网络中得以有效分配。
组
组是活动目录或本地计算机对象,它包含用户、联系、计算机和其他组。组用于:
管理用户和计算机对共享资源的访问,诸如活动目录对象及其属性、网络共享、文件、目录、打印机队列等等。
筛选组策略。
创建 e-mail 分配列表。
当为资源(文件共享、打印机等等)指定权限时,管理员应将权限指定给组而不是单个用户。权限应一次性指定给组,而不是分几次指定给单个用户。添加到组的每个帐户接收为该组定义的权利和权限。与组而不是单个用户工作有助于简化网络维护和管理。
使用组筛选组策略,授予用户权利或分配 e-mail 。要在域中创建对象的管理集合,请使用组织单位。组和组织单位因其使用的域边界而不同。组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。组织单位则只表示单个域中的对象集合(可包括组对象)。
组策略对象用于站点、域或组织单位,但决不用于组。组策略对象是影响用户或计算机的设置集合。组成员用于筛选(通过 Apply 组策略权限输入)哪些组策略对象用于站点、域或组织单位,这将影响组中的用户和计算机。
活动目录用户和计算机帐户
活动目录用户和计算机帐户表示诸如计算机或个人等物理实体。帐户为用户或计算机提供安全凭据,以便用户和计算机能够登录到网络并访问域资源。帐户用于:
验证用户或计算机的身份
授权对域资源的访问
审核使用用户或计算机帐户所执行的操作
使用活动目录的用户和计算机添加、禁用、重新设置和删除用户和计算机帐户。
活动目录用户帐户
活动目录用户帐户使用户以经验证和授权访问域资源的身份登录到计算机和域。用户帐户也可作为某些应用程序的服务帐户。
Windows 2000 提供可用于登录到 Windows 2000 计算机的预定义用户帐户。这些预定义帐户是:
管理员帐户
客户帐户
预定义帐户是默认的用户帐户,它用于使用户登录到本地计算机和访问其上的资源。这些主要是为初始登录和本地计算机配置而设计的。每个预定义帐户都有不同的权利和权限组合。管理员帐户具有最广泛的权利和权限,而客户帐户则只有有限的权利和权限。
如果网络管理员未修改或禁用预定义帐户的权利和权限,则任何使用管理员或客户身份登录到网络的用户或服务均可以使用它们。要获得用户验证和授权的安全性,请为每个用户创建独立用户帐户,这些用户需使用活动目录用户和计算机加入网络。之后,可将每个用户帐户(包括管理员和客户帐户)添加到 Window 2000 组中以控制指定给帐户的权利和权限。使用适合于网络的帐户和组可以保证识别登录到网络的用户且他们只能访问授权的资源。
计算机帐户
每个加入域的 Windows 2000 和 Windows NT 计算机都具有计算机帐户。与用户帐户类似,计算机帐户提供验证和审核计算机登录到网络以及访问域资源过程的方法。同样使用 活动目录 Users 和 Computers 创建计算机帐户。
注释
Windows 98 和 Windows 95 计算机不具备 Windows 2000 和 Windows NT 计算机所具有的高级安全特性,无法在 Windows 2000 域中为其指定计算机帐户。然而,可以登录到网络并在活动目录域中使用 Windows 98 和 Windows 95 计算机。
活动目录规划