活动目录的基本概念
活动目录服务是Windows 2000/2003 Server中最重要的核心任务之一。
什么是活动目录
活动目录是一种目录服务,目录服务包括三方面的功能:组织网络中的资源,提供对资源的管理,对资源的控制,活动目录的服务通过将对网络中的各种资源的信息,保存到一个数据库中,来为网络中的用户和管理员提供对这些资源的访问、管理和控制,这个数据库叫活动目录数据库。
通过活动目录服务,管理员可以实现整个网络的集中管理。
关于目录与目录服务
要想理解什么是活动目录(Active Directory),必须先了解什么是目录(Directory)和目录服务(Directory Service)。在计算机服务中使用的“目录”和现实生活使用的“目录”很相似,都是存储以某种方式相关联的对象的信息集,如:通讯录存储用户名称和相应的电话号码,还可能包括关于该用户的地址或其他信息。还有图书管的图书索引区,分区存储不同的类型图书的索引,在根据不同的区在细分详细的索引。
而目录服务是用户通其提供的服务来使用目录中的信息。一般用于识别网落上资源,并使用户和应用程序能访问这些资源,并将这些资源集中存储、使用和管理这些资源的全部信息,因而,简化了查找和管理这些资源的过程。如共享网络资源,没有目录服务的时候只能共享给所有人,有了目录服务以后们可以有征对性的将资源共享给某些需要的用户。还有在网络上查找打印机的时候可以很快的搜索象要查找的打印机。即使用户不知道资源的物理连接位置,也能够访问资源。
这里我们来讲一讲活动目录的优点与特性:
1、 与 DNS 集成。活动目录使用域名系统 (DNS)。DNS 是一种 Internet 标准服务,它将用户能够读取的计算机名称(例如xwg999.bh.com)翻译成计算机能够读取的数字 Internet 协议 (IP) 地址。这样,在 TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。
2、采用对象的管理:Active Directory可对网落上的资源全部以对象进行管理。管理员可以在任何一台计算机上登录,就能管理网上任何一台机器上的对象。总的来说分为对象类和对象的属性,以便于队资源的管理和控制。创建对象时,属性就存储了描述该对象的信息。如用户类,包含许多属性,如用户名属性、描述属性、电话号码属性等等。
3、增强的安全性。由于与 Active Directory 集成。不仅可在目录中的每个对象上定义访问控制权限,而且还可在每个对象的属性上定义访问控制权限。
什么是域和域控制器
域是活动目录的一种实现形式,也是活动目录最核心的管理单位和复制单位,一个域由域控制器和成员计算机组成。域控制器就是安装了活动目录服务的一台计算机。在域控制器上,每一个成员计算机都有一个计算机账号,每一个域用户有一个域用户账号。域管理员可以在域控制器上实现对域用户账号和计算机账号以及其他资源的管理。
域还是一种复制单位,我们在域中可以安装多台域控制器,域管理员可以在任何一台域控制器上创建和修改活动目录对象。域控制器之间可以自动的同步,或者是复制这样一种更新。
现在开始来说一些与活动目录精密相关内容:
组织单位(OU)
是活动目录中的一种对象,但它是一种容器类型的对象,也就是说OU可以包含其他对象。使用OU,我们可以在域中组织对象,以方便对域的管理。比如对域一个公司不同部门的用户的账户的管理。
使用OU,还可以实现委派管理控制以及在不同的OU上实现不同的组策略,委派管理控制是我们可以对每一个OU来指派一名或多名管理员。让OU管理员各自管理自己部门的对象。每一个OU可以实现不同的组策略设置,我们可以设置用户的工作环境,用户的软件安装,等 。。。。。
什么是树、森林和信任关系
活动目录可以通过分层结构来实施。树指的是根域和子域以及子域的子域所组成的这样一种逻辑结构。而森林,是由多棵树组成的。在一个树的内部,父域和子域之间是相互信任的,我们把这种信任关系称为父子信任,在一个森林内部,树和树之间也是相互信任的,这种信任关系称为树根信任。森林中的信任关系是双向可传递的,双向指的是信任是相互的,而可传递指的是域和域之间可以通过这种信任关系来建立起一种间接的信任。
有了这些信任关系后,当一个域中的用户登录之后,他可以在整个森林范围内来访问其他域中的资源。
什么是站点?Site
站点是活动目录的一种物理结构,站点的目的是为了优化域控制器之间的复制,当一个域跨越不同的城市的时候,城市和城市之间的连接速度慢于局域网的连接速度。为了控制不同城市直接的域控制器的复制流量,可以通过站点来实现,每一个站点之间都有一个站点连接,通过配置站点连接,我们可以控制不同站点之间的域控制器在什么时间来执行复制。可以配置在非工作期间进行复制,来完成域控制器之间的同步。可以减少域控制器在工作时间占用广域网带宽。