Windows 2000 Server活动目录是一个完全可扩展、可伸缩的目录服务,既能满足商业ISP的需要,又能满足企业内部网和外联网的需要,充分体现了微软产品集成性、深入性和易用性等优点。
集成性
Windows 2000活动目录的继承性主要是指它结合了三个方面的管理内容:用户和资源管理、基于目录的网络服务和基于网络的应用管理。另外, Windows 2000活动目录还广泛地采纳了Internet标准,把众多的Internet服务都集成在一起,增强自身网络管理功能。
目录管理的基本对象是用户和计算机,还包括文件、打印机等资源。用户对象的属性非常丰富,不但有常见的账号名、口令等,还包括邮件信箱和个人主页地址、在公司中的职位关系等,可以在活动目录中给用户对象发送邮件和访问其个人主页等。在活动目录中,支持
全局性的查找,比如查找在整个网络中的双面打印的彩色打印机等。
基于活动目录的应用服务是Windows 2000平台上的新一代的应用程序,它使应用开发员可以扩展活动目录的Schema 和UI两个对象,通过ADSI/ADO编程在活动目录中发布服务绑定信息,通过组策略配置应用程序。比较典型的基于目录的应用的例子是NetMeeting。在活动
目录的环境中,你只要在NetMeeting中敲入同事的E-mail别名,就可以通过活动目录中的定位服务,与其进行对话和桌面协作等,非常方便。
活动目录完全采用了Internet标准协议,甚至连用户帐号都可以用“用户名@域名”来表征,进行网络登录。单个域目录树中的所有域共享一个等级命名结构。一个子域的域名就是将该子域的名称添加到父域的名称中。例如,headquarters.mycompany.com 是mycompany.com 域的子域。共享公用根域的域被认为共享邻近的名称空间。目录树中的域通过双向、传递的委托关系联接在一起。由于这些委托关系是双向和传递的,因此加入目录树的域会立即与目录树中的每个域建立委托关系。这些委托关系允许单个用户登录以验证用户并授权验证用户访问整个网络。这使得目录树中所有其他域中具有适当凭据的用户和计算机可以使用目录树所有域中的所有对象。例如,你的公司兼并了一家其他的公司,你的域树可以和它们的域树othercom.com建立起整个的域林来。整个域林的所有对象,只要安全性管理许可,都可以用LDAP协议访问到。域名服务(domain name service, DNS)在此充当了名字解析的功能,建议用户使用与活动目录集成的DNS务器,来保证动态更新域名和更好的复制能力。在当今的Internet时代,Windows 2000活动目录这种基于Internet标准的做法,给用户带来了众多的益处。
另外,活动目录集成了关键服务,如DNS、MSMQ(消息队列服务);集成了关键应用,如电子邮件、网管、ERP等;集成了关键数据访问,如ADSI、OLE DB等;还集成了关键的安全性,如Kerberos第五版本和公开密钥基础设施等。
深入性
Windows 2000活动目录的深入性主要体现在其企业级的可伸缩性、安全性、互操作性、编程能力和升级能力上。Windows 2000活动目录允许用户组建单域来管理少量的网络对象,也允许用户通过域目录管理成万上亿个对象。活动目录的伸缩性是通过为每个域创建一个目
录存储的方法来获得的。在一个域目录存储中仅仅包括了这个域中的所有对象。但是,当域树建立起来之后,每个域都有能力搜索整个域树中所有的目录存储。这种划分整个域树的方法,使用户查找所需要的信息变得更加方便、快速。
活动目录的域树和域森林的组建方法,可帮助用户使用容器层次来模拟一个企业的组织结构。组织中的不同部门可以成为不同的域,或者一个域中有层次结构的组织单元,从而采用层次化的命名方法来反映组织结构和进行管理授权。顺着组织结构进行颗粒化的管理授权
可以解决很多管理上的头疼问题,在加强中央管理的同时,又不失机动灵活性。用户可以将Windows NT 4.0中的很多域都转换成活动目录的组织单元,建立起更大的域和更简化的域关系。另外,借助全局目录(Global Catalog),用户和管理员仍然能够迅速地找到对象和管理对象。由于有一系列的工具可以帮助NT 4.0 的用户迁移到Windows 2000 的目录环境中,Windows 2000可以在现存的Windows NT 4.0的环境中工作,保护现有的投资。
Windows 2000活动目录和其安全性服务(如Kerberos,PKI和智能卡等)紧密结合,相辅相成,共同完成安全任务和协同管理。活动目录存储了域安全政策的信息,例如域用户口令的限制政策和系统访问权限等,实施了基于对象的安全模型和访问控制机制。在活动目录中的每个对象都有一个独有的安全性描述,定义了浏览或更新对象属性所需要的访问权限。不过,当LDAP客户端访问域时,不是由活动目录决定访问控制,而是由系统来实施访问安全控制。
易用性
Windows 2000活动目录主要体现在其简易的安装和管理上。先说一下活动目录的安装。在安装Windows 2000 Server活动目录时,第一个域服务器都配置域控制器,而其他所有新安装的计算机都是安装成为成员服务器,并且目录服务可以事后用Dcpromo的命令进行特别安装。而不用像在安装Windows NT 4.0那样,一开始就要定终身:是域控制器还是成员服务器,两者之间不可转换,且目录服务不可以卸载。Dcpromo是一个图形化的向导程序,引导用户一步一步地建立域控制器,可以新建一个域森林,一棵域树,或者仅仅是域控制器的另一个备份,非常方便。很多其他的网络服务,比如DNS Server、DHCP Server和Certificate Server等,都可以在以后与活动目录集成安装,便于实施策略管理等。
在活动目录安装之后,主要有三个活动目录的管理界面(MMC),一个是活动目录用户和计算机管理,主要用于实施对域的用户和计算机进行管理;一个是活动目录的域和域信任关系的管理,主要用于管理多域的委托和信任关系;还有一个是活动目录的站点管理,可以
把域控制器置于不同的站点进行管理。一般情况下,一个站点内的域控制器之间的复制是自动进行的;站点间的域控制器之间的复制需要管理员设定,以优化复制流量,提高可伸缩性。
对于SDOU,管理员还可以方便地进行管理授权。右击SDOU就可以启动”管理授权向导”,一步一步地设定哪些管理员对于哪些对象有什么样的管理权限。比如说企业内部技术支持中心的管理员,只有复位用户口令的权限,没有创建和删除用户账号的权限。
另外,活动目录还充分地考虑到了备份和恢复目录服务的需要。Windows 2000备份工具中有专门备份活动目录的选项,在出现意外事故的时候,可以在机器启动时按F8进入安全模式,来进行目录服务的恢复,保证减少灾难的恶性影响。
