目录服务功能是Windows 2000的最重要的新功能之一,它可将网络中各种对象组织前来进行管理,方便了网络对象的查找,加强了网络的安全性,并大大有利于用户对网络的管理。通过活动目录,用户可以对用户和计算机、域和信任关系、以及站点和服务进行管理。本章将着重介绍活动目录及其应用。
活动目录是一种目录服务,它存储有关网络对象的信息,例如,用户、组、计算机、共享资源、打印机和联系人等,并使管理员和用户可以方便地查找和使用网络信息。活动目录的应用起源于Windows NT 4.0,在Windows 2000 Server中得到进一步的发展和应用,具有可扩展性和可调整性,并将结构化数据存储作为目录信息逻辑和分层组织的基础。
域(domain)仍然是Windows 2000目录服务的基本管理单位,但增进了许多新的功能。域模式的最大好处就是它的单一网络登录能力,任何用户只要在域中有一个帐户,就可以漫游网络。域目录树中的每一个节点都有自己的安全边界,这种层次结构既保证了安全性,又
做到细致兼备。但是以前的域的信任关系过分强调安全性而可调整性不够。新一代的动态目录服务增强了信任关系,扩展了域目录树的灵活性。它把一个域作为一个完整的目录,域之间能够通过一种基于Kerberos认证的可传递的信任关系建立起树状连接,从而使单一帐户在
该树状结构中的任何地方都有效,这样在网络管理和扩展时就比较轻松了。同时动态目录服务把域又详细划分成组织单元,组织单元是一个逻辑单位,它是域中一些用户和组、文件与打印机等资源对象的集合。组织单元中还可以再划分下级组织单元,并且下级组织单元能够
继承父单元的访问许可权。每一个组织单元可以有自己单独的管理员并指定其管理权限,他们管理着不同的任务,从而实现了对资源和用户的分级管理。动态目录服务通过这种域内的组织单元树和域之间的可传递信任树来组织其信认对象,实现颗粒式管理,为动态活动目录
的管理和扩展带来了极大的方便。这样,在Windows 2000网络中,一个域能够轻松地管理数万个对象,而一棵域树则可以是包含上亿个对象的庞大的网络。
在Windows 2000中,域中所有域控制器之间都是平等的关系,不再区分主域控制器和备份域控制器,这主要是因为Windows 2000采用了动态活动目录服务,在进行目录复制时不是沿用一般目录服务的主从方式,而是采用多主复制方式。Windows 2000在复制目录库时对各
个对象的修改顺序数进行大小比较,判断它们被修改的先后顺序,结果最新修改的对象属性被保留,旧的属性就被新的属性所取代,这就保证每一个域控制器上的目录服务数据库都是最新的。通过这种方式,任何一个域控制器上的目录库的变更都会自动复制到其他域控制器
上的副本中。另外, Windows 2000也不再划分全局组和本地组,组内可以包含任何用户和其他组帐户,而不管它们在域目录树的什么位置,这样就有利于用户对组进行管理。
Windows 2000动态目录服务的另一大特点是把DNS作为其定位服务,增强其与Internet的融合。为了克服DNS管理难度大的缺点, Windows 2000将DNS与其特有的DHCP和WINS紧密配合,同时支持动态DNS,从而使DNS管理变得更加方便。另外, Windows 2000广泛地支持
标准的命名规则,例如, WWW使用的HTTPURL命名规则、Internet电子邮件使用的RFC822命名规则、NetBIOS采用的UNC命名规则以及LDAPURLs和X. 500命名规则等。
为了扩展的需要, Windows 2000动态目录服务内置了目录访问C语言、动态目录组件、开放服务信息处理等API接口,为目录服务的应用和开发提供了强大的工具。在向上发展的同时,Windows 2000也向下兼容,Windows NT和旧的BackOffice系统可以很容易融进Windows 2000动态活动目录,或者直接升级到Windows 2000系统。