Windows2000目录服务讲义目录是存储有关对象的信息的集合，这些对象之间按照某种方式彼此相关。我们可以将网络目录与电话目录进行对比，电话目存储的是个人和企业的名称、地址和电话号码。电话目录是属性(名称和地址)集合，这些属性可作为搜索属性，来查找存储在目录中的对象的有关信息。目录服务(directory service)唯一地标识网络上的用户和资源，并提供组织和访问这些用户和资源的方法。本页的学习目标：● 描述目录服务的功能● 确定工作组和域之间的区别● 描述Active Directory服务及其功能，并且识别Active Directory结构组件。一、目录服务介绍在分布式的计算系统或公共计算机网络(如Internet）中，要支持系统的话，有很多对象是必须的，例如用户、文件服务、打印机、传真服务器、应用程序和数据库。用户希望能够轻松而有效地查找和使用这些对象管理员希望能够管理这些对象的使用方式，如果使用和管理这些对象所需要的所有信息都集中存储在一个位置那么，这些资源的查找和管理过程便能大大地简化。这正是应用目录服务的地方。目录和目录服务这两个术语指的是在公共和专用网络中找到目录。目录是一个网络对象的数据库，这些对象以很多不同的方式被引用。它存储了网络资源有关的信息，来简化对这些资源的查找和管理。在目录信息来源(source)和对用户提供的信息服务方面，目录服务与目录有所区别。目录服务提供组织和简化访问网络计算机系统的方法。它使得我们可以根据对象的一个或多个属性来查找对象。例如：管理员可能不知道一个对象的确切名称，但知道哪个对象的一个或多个属性。采用目录服务，他们便能查询目录，以获得与已知属性相匹配的对象列表。例如，他们可以查询与第3层属性相关的所有彩色打印机对象所在的目录或可能已经设为第3层的位置属性。使用目录服务可以实现如下一些功能：●实施安全性，以保护数据库中的对象免受外部入侵者的入侵，或者没有访问那些对象权限的内部用户入侵。●在网络中同步复制目录到其他的计算机，便得更多的用户能利用它，并且能防止故障所带来的灾难。●将目录分区到位于网络上不同计算机的多个存储位置。这使得该目录在总体上能利用更多的空间，并且能够存储大量的对象。二、工作组和域工作组(workgroup)是联网计算机的逻辑分组，这些计算机共享文件和打印机这样的资源。域是联网计算机的逻辑分组，这些计算机共享中央目录数据库，在此数据库中，包括用户和域的安全信息。因为工作组中的所有计算机能以同等的方式共享资源而没有专用的服务器。如下图所示(注：这是本人用平面画的，与原图的区别是，原图画的服务器还多一个主机，而这里服务器仅画了一个显示器做为表示），所以，工作组有时也叫做对等网络。在每个工作组中的Windows2000 Server计算机和Windows2000 Professional计算机维护一个本地安全数据库，数据库中包含这个计算机的用户账户和资源安全信息列表。因为工作组中的每台计算机都维护一个本地安全数据库，这就分散了用户账户和资源安全的管理，在每台用户需要访问的计算机上，用户都必须拥有用户账户。用户账的任何变化，例如修改密码或添加新的账户均必须在每台计算机上操作进行。如果忘记在每个计算机上添加新的用户账户，新用户将不能登录到哪个计算机，并且不能访问其上的资源。Windows2000 工作组具有下列优点：●工作组不需要运行Windows2000 Server的计算机来容纳集中的安全性信息。●设计和实现工作组是很简单的，它不需要域所需的广泛的计划和管理。●对于在封闭的相互接近的环境中使用有限数量的计算机来说，工作组是很方便的，但在超过10台计算机的环境中，工作组方式很不实用。●工作组比较适合技术用户组成的小组，他们不需要集中进行管理。二、Windows2000域Windows2000域(domain)是网络计算机的逻辑分组，它们共享集中的目录数据库。目录数据库包括用户账户和域的安全性信息。在Windows2000中，目录数据库称作目录，并用是Active Directory服务的数据库部分，该Active Directory服务是Windows2000的目录服务。在域中，目录驻留在配置为域控制器的计算机上(下图)，域控制器(Domain controller)是一台服务器，它管理所有安全有关的用记/域交交互，并集中管理。域不是指单独的位置，也不是特定类型的网络配置。域中的计算机能共享小型局域网的实际邻近范围，也可能位于世界上不同角落，通过各种连接进行通信，包括模拟连接、综合业务数字网(IDSN）或数字用户线路等。Windows2000域具有以下优点：●因为所有的用户信息都被集中存储，所以，域提供了集中的管理。●域为用户提供了获得对等网络资源访问的单次登录过程，使他们能够访问其拥有访问权限的文件、打印和应用程序资源。只要用户有对资源的适当权限，那么，他就能登录到一台计算机上，并能访问网络上另一计算机的资源。●域提供了可伸缩性，这样可以创建非常大的网络。三、Windows2000 Active Directory服务Active Directory服务包含在Windows2000的目录服务。Active Directory服务提供网络管理的一个点使您可以轻松地添加、删除和再定位用户和资源。Active Directory服务包括目录，它存储关于网络资源的信息，以及使信息可用和有用的所有服务。资源存储在目录中，像用户数据、打印机、服务器、数据库、计算机和安全策略都被称为对象。1:Active Directory的特性Active Directory服务在域中分层组织资源。域(domain）是在一个独立域名下的服务器和其它网络资源的逻辑分组。在Windows2000网络中，域是同步复制和安全性的基本单元。每个域包括一个或更多的控制器。域控制器(domain controller)是运行Windows2000 Server的计算机，它存储或目录的完整副本。为了简化管理，Active Directory服务中所有域控制器都是对等的，所以，您可以改变任何域控制器，并将更新同步复制到域中的所有其他的域控制器中。●可伸缩性在Active Directory服务中，目录通过使用分区(partition)来存储信息。分区逻辑划分器，它将目录组织为节(section),并且允许存储大量的对象，所以，目录能随组织的增长而扩展，使您能够从几百个对象的小型安装到具有上百万个对象的大型安装之间收放自如。●开放标准支持Active Directory服务与Windows NT目录服务休成了名称空间这一Internet概念。该休成允许您统一和管理多个名称空间，这些名称空间当前存在于公司网络的异构软硬环境中。Active Directory服务为其名称系统使用域系统DNA，并且通过使用LDAP(轻量级目录访问协议）的任何应用程序或目录来交换信息。通过使用去持LDAP版本2和版本3的其他目录服务，例如Novell目录服务(NDS)，Active Directory服务也能共享信息。●DNS因为Active Directory服务使用DNS作为域命名和定位服务，所以Windows2000域名也是DNS名。Windows2000 Server使用动态DNS，它能使客户机动态分配地址，使用DNS服务器直接注册，并且动态更新DNS表。动态DNS能消除对其他Internet命名的需要，例如Windows Internet命名服务WINS。●LDAP通过直接支持LDAP，Active Directory服务进一步包含了因特网的标准。LDAP是用于访问目录服务的一个因特网标准，它已经发展为x.500目录访问协议的更简单的替换标准。X.500是由国际标准化组织制订的定义分布式目录和应用程序之间交换信息。●标准命名格式支持Active Directory服务支持几个常见的标准命名格式，其结果是通过使用熟悉的格式，用户和应用程序可以访问Active Directory服务。这些命名格式包括DFC822、LDAP URL和X.500 通用命名规则。在任何时间，该接口都决定命名标准。有时可能使用任何命名标准，然而，在其他的时间需要特定的标准。●Active Directory结构Windows2000的Active Directory服务提供设计目录结构的一种方法，以适应组织的需要。所以在安装Active Directory服务之前，应该检查组织的商业结构和运行情况。Active Directory服务将网络分成两种结构：逻辑的和物理的。1：逻辑的在Active Directory服务中，以逻辑结构来组织资源。以逻辑方式分组的资源，可以通过名称而不是通过实际的位置找到资源。对象（object)是代表网络资源的明确命名的一组属性的集合。对象属性是目录中对象的特征。例如用户属性可能包括名和姓、所在的部门和电子邮件地址。在Active Directory服务中，可以按类组织对象。该类是对象的逻辑组合。组织单元组织单元是一个容器对象，可以使用它将域中的对象组织到逻辑上可管理的组中。OU能包含这些对象。域域是Active Directory服务中逻辑的核心单元。通过组合对象到一个或更多的域上，便可以在网络上反映公司的组织。所有的网络均在域中存在，并且，每个域只存储域中对象的有关信息。从理论上说，域目录能最多包括一千万个对象，但是，每个域一百万个对象是当前支持的极限。域是一个安全性边轵，通过访问控制列表ACL来控制访问域对象，该列表中包含的是访问控制项(Access Control Entry, ACE)。从一个域到另一个域，所有安全策略和设置都是不交叉的，域管理员只在该域内具有绝对的设置策略的权力。在典型的域中，有下列类型计算机：运行Windows200 Server域控制器、运行Windows2000 Server的成员服务器、运行Windows2000 Professional的客户机。树树是一个或更多Windows2000域分组或层次式安排，这些域允许进行全局性的资源共享。一个权可以包括一个Windows2000域。然而，通过在层次结构中加入多个域，便能创建一个更大的连续名称空间。下图是一个父域wpsvia.com和两个子域dev.wpsvia.com和prlduce.wpsvia.com树的结构中所有域共享信息和资源，作为单独的单元起作用。域树中只有一个目录，但是每个域为该域中的用户维护一部分目录，其中包括该用户的账户信息。在树中，只要用户具有适当权限，登妹到一个域中的用户便能用另一个域中的资源。在Active Directory中，树的定义为：●域的一个层次●连续的名称空间●在域之间的Kerberos传递信任关系数。●公共架构●能列出权中任何对象的全局编录。树林树林是一个或更多树的组合。树林的定义为：●一个或更多树的集合●在这些树之间分离的名称空间●在树之间的Kerberos传递信任关系●公共架构●能列出树林中任何对象的全局编录在树林所有用户对象均可使用构成林的所有域树对象。然而，当访问林中不同树中的对象时，用户必须知道完全确定的域名。信任关系树中的域通过双向的Kerberos传递信任关系以透明的方式连接在一起，Kerberos传递信任关系意味着，如果域A信任域B，并且域B信任域C，那么域A信任域C，所以，对于加入树中的域，会立即与树中每个域建立信任关系，这些信任关系使树中所有域的所有对象，可供树中所有其它的域使用。信任关系是至少两个域间的下人链接，在此链接中，信任域承信受信域的登录身份验证。在受信域中定义的用户账户和组能在信任域中授予权力和资源权限，取使那些账户在信任域的目录数据库中不存在。在NT中，域间的信任是由域控制器间的单向受信域账户定义的，我们必须单独建立和管理每个信任，在大型网络中，要管理域间的显式的单向信任关系，确实是一项复杂的任务。传递信任关系当双向信任关系不适合时，网络管理员可以为特定的域定义显式的单向信任账户。该能力可用来支持连接到现有NT早斯的域，并且可以配置其它树林中域的信任关系。Windows2000的信任关系当一个域加入Windows2000域树林中时，在新域和树的根域或父域之间会自动建立信任关系。2：物理的Active Directory服务的物理结构影响域控制之间的同步复制的效率。域控制器域控制器是Windows2000 Server计算机，它存储目录分区的副本。域中的所有域控制器无有该目录的域部分的完整副本。当执行引起目录更新的操作时，Windows2000将自动对所有其他的域控制器的同步更新改变站点在Microsoft BackOffice产品系列的实现中，站点的概念是我们非常熟悉的，该概念包含在Active Directory服务实现中，在Active Directory中，站点的概念使用网际协议子网，来决定用于同步复制通信量考虑的站点边界。Active Directory站点定义为IP子网范轩。基本上Active Directory站点是IP子网范围的集合。Active Directory服务的一个优点是，通过使用WAN链路连接的不同拓扑结构，该域可以跨越地理位置并且对用户仍然保持透明性。然而，我们总要考虑可用的WAN带宽。通过将本地子网定义为站点，管理员可以控制子网间的同步复制通信量，所以也就能控制站点间的同步复制通信量。结果减少在WAN链路上的同步复制通信量。站点的思想也用来定位客户机。本页小结：目录服务提供了组织和简化访问联网计算机系统资源的方法。Windows2000支持安全的网络环境，在此环境中，用户可以共享公共资源，而不管网络的规模如何。Windows2000支持两种类型的网络：工作组和域。Windows2000包含Active Directory服务、提供单点网络管理的目录服务。利用Active Directory服务，可以轻松添加、删除和再定位用户和资源。它将域层次的逻辑结构从特理结构中分离出来。逻辑结构由对象、OU、域、树和树林组成。当一个域加入到Windows2000域树中时，在新的域和该树的根域或父域之间，便自动建立了Kerberos的传递信任关系。域层次结构的物理结构由域控制器和站点构成。