Windows2000目錄服務講義目錄是存儲有關對象的信息的集合，這些對象之間按照某種方式彼此相關。我們可以將網(wǎng)絡目錄與電話目錄進行對比，電話目存儲的是個人和企業(yè)的名稱、地址和電話號碼。電話目錄是屬性

Windows2000目錄服務講義

目錄是存儲有關對象的信息的集合，這些對象之間按照某種方式彼此相關。我們可以將網(wǎng)絡目錄與電話目錄進行對比，電話目存儲的是個人和企業(yè)的名稱、地址和電話號碼。電話目錄是屬性(名稱和地址) 集合，這些屬性可作為搜索屬性，來查找存儲在目錄中的對象的有關信息。目錄服務(directory service) 唯一地標識網(wǎng)絡上的用戶和資源，并提供組織和訪問這些用戶和資源的方法。

本頁的學習目標：

● 描述目錄服務的功能

● 確定工作組和域之間的區(qū)別

● 描述Active Directory服務及其功能，并且識別Active Directory結構組件。

一、目錄服務介紹

在分布式的計算系統(tǒng)或公共計算機網(wǎng)絡(如Internet ）中，要支持系統(tǒng)的話，有很多對象是必須的，例如用戶、文件服務、打印機、傳真服務器、應用程序和數(shù)據(jù)庫。用戶希望能夠輕松而有效地查找和使用這些對象管理員希望能夠管理這些對象的使用方式，如果使用和管理這些對象所需要的所有信息都集中存儲在一個位置那么，這些資源的查找和管理過程便能大大地簡化。這正是應用目錄服務的地方。

目錄和目錄服務這兩個術語指的是在公共和專用網(wǎng)絡中找到目錄。目錄是一個網(wǎng)絡對象的數(shù)據(jù)庫，這些對象以很多不同的方式被引用。它存儲了網(wǎng)絡資源有關的信息，來簡化對這些資源的查找和管理。在目錄信息來源(source)和對用戶提供的信息服務方面，目錄服務與目錄有所區(qū)別。

目錄服務提供組織和簡化訪問網(wǎng)絡計算機系統(tǒng)的方法。它使得我們可以根據(jù)對象的一個或多個屬性來查找對象。例如：管理員可能不知道一個對象的確切名稱，但知道哪個對象的一個或多個屬性。采用目錄服務，他們便能查詢目錄，以獲得與已知屬性相匹配的對象列表。例如，他們可以查詢與第3層屬性相關的所有彩色打印機對象所在的目錄或可能已經設為第3層的位置屬性。

使用目錄服務可以實現(xiàn)如下一些功能：

實施安全性，以保護數(shù)據(jù)庫中的對象免受外部入侵者的入侵，或者沒有訪問那些對象權限的內部用戶入侵。 ●

在網(wǎng)絡中同步復制目錄到其他的計算機，便得更多的用戶能利用它，并且能防止故障所帶來的災難。 ●

將目錄分區(qū)到位于網(wǎng)絡上不同計算機的多個存儲位置。這使得該目錄在總體上能利用更多的空間，并且能夠存儲大量的對象。 ●

二、工作組和域

工作組(workgroup)是聯(lián)網(wǎng)計算機的邏輯分組，這些計算機共享文件和打印機這樣的資源。域是聯(lián)網(wǎng)計算機的邏輯分組，這些計算機共享中央目錄數(shù)據(jù)庫，在此數(shù)據(jù)庫中，包括用戶和域的安全信息。因為工作組中的所有計算機能以同等的方式共享資源而沒有專用的服務器。如下圖所示(注：這是本人用平面畫的，與原圖的區(qū)別是，原圖畫的服務器還多一個主機，而這里服務器僅畫了一個顯示器做為表示），所以，工作組有時也叫做對等網(wǎng)絡。在每個工作組中的Windows2000 Server計算機和Windows2000 Professional計算機維護一個本地安全數(shù)據(jù)庫，數(shù)據(jù)庫中包含這個計算機的用戶賬戶和資源安全信息列表。

因為工作組中的每臺計算機都維護一個本地安全數(shù)據(jù)庫，這就分散了用戶賬戶和資源安全的管理，在每臺用戶需要訪問的計算機上，用戶都必須擁有用戶賬戶。用戶賬的任何變化，例如修改密碼或添加新的賬戶均必須在每臺計算機上操作進行。如果忘記在每個計算機上添加新的用戶賬戶，新用戶將不能登錄到哪個計算機，并且不能訪問其上的資源。 Windows2000 工作組具有下列優(yōu)點：

●

●

●工作組不需要運行Windows2000 Server的計算機來容納集中的安全性信息。 設計和實現(xiàn)工作組是很簡單的，它不需要域所需的廣泛的計劃和管理。 對于在封閉的相互接近的環(huán)境中使用有限數(shù)量的計算機來說，工作組是很方便的，但在超過10臺計算機的環(huán)境中，工作組方式很不實用。

●工作組比較適合技術用戶組成的小組，他們不需要集中進行管理。

二、Windows2000域

Windows2000域(domain)是網(wǎng)絡計算機的邏輯分組，它們共享集中的目錄數(shù)據(jù)庫。目錄數(shù)據(jù)庫包括用戶賬戶和域的安全性信息。在Windows2000中，目錄數(shù)據(jù)庫稱作目錄，并用是Active Directory服務的數(shù)據(jù)庫部分，該Active Directory服務是Windows2000的目錄服務。在域中，目錄駐留在配置為域控制器的計算機上(下圖) ，域控制器(Domain controller) 是一臺服務器，它管理所有安全有關的用記/域交交互，并集中管理。

域不是指單獨的位置，也不是特定類型的網(wǎng)絡配置。域中的計算機能共享小型局域網(wǎng)的實際鄰近范圍，也可能位于世界上不同角落，通過各種連接進行通信，包括模擬連接、綜合業(yè)務數(shù)字網(wǎng)(IDSN）或數(shù)字用戶線路等。

Windows2000域具有以下優(yōu)點：

●

●因為所有的用戶信息都被集中存儲，所以，域提供了集中的管理。 域為用戶提供了獲得對等網(wǎng)絡資源訪問的單次登錄過程，使他們能夠訪問其擁有訪問權限的文件、打印和應用程序資源。只要用戶有對資源的適當權限，那么，他就能登錄到一臺計算機上，并能訪問網(wǎng)絡上另一計算機的資源。

●域提供了可伸縮性，這樣可以創(chuàng)建非常大的網(wǎng)絡。

三、Windows2000 Active Directory服務

Active Directory 服務包含在Windows2000的目錄服務。Active Directory 服務提供網(wǎng)絡管理的一個點使您可以輕松地添加、刪除和再定位用戶和資源。

Active Directory 服務包括目錄，它存儲關于網(wǎng)絡資源的信息，以及使信息可用和有用的所有服務。資源存儲在目錄中，像用戶數(shù)據(jù)、打印機、服務器、數(shù)據(jù)庫、計算機和安全策略都被稱為對象。

1:Active Directory的特性

Active Directory服務在域中分層組織資源。域(domain）是在一個獨立域名下的服務器和其它網(wǎng)絡資源的邏輯分組。在Windows2000網(wǎng)絡中，域是同步復制和安全性的基本單元。

每個域包括一個或更多的控制器。域控制器(domain controller) 是運行Windows2000 Server 的計算機，它存儲或目錄的完整副本。為了簡化管理，Active Directory 服務中所有域控制器都是對等的，所以，您可以改變任何域控制器，并將更新同步復制到域中的所有其他的域控制器中。

●可伸縮性

在Active Directory服務中，目錄通過使用分區(qū)(partition)來存儲信息。分區(qū)邏輯劃分器，它將目錄組織為節(jié)(section),并且允許存儲大量的對象，所以，目錄能隨組織的增長而擴展，使您能夠從幾百個對象的小型安裝到具有上百萬個對象的大型安裝之間收放自如。

●開放標準支持

Active Directory服務與Windows NT目錄服務休成了名稱空間這一Internet 概念。該休成允許您統(tǒng)一和管理多個名稱空間，這些名稱空間當前存在于公司網(wǎng)絡的異構軟硬環(huán)境中。Active Directory服務為其名稱系統(tǒng)使用域系統(tǒng)DNA ，并且通過使用LDAP(輕量級目錄訪問協(xié)議）的任何應用程序或目錄來交換信息。通過使用去持LDAP 版本2和版本3的其他目錄服務，例如Novell 目錄服務(NDS)，Active Directory服務也能共享信息。 ●DNS

因為Active Directory 服務使用DNS 作為域命名和定位服務，所以Windows2000域名也是DNS 名。Windows2000 Server使用動態(tài)DNS ，它能使客戶機動態(tài)分配地址，使用DNS 服務器直接注冊，并且動態(tài)更新DNS 表。動態(tài)DNS 能消除對其他Internet 命名的需要，例如Windows Internet命名服務WINS 。

●LDAP

通過直接支持LDAP ，Active Directory服務進一步包含了因特網(wǎng)的標準。LDAP 是用于訪問目錄服務的一個因特網(wǎng)標準，它已經發(fā)展為x.500目錄訪問協(xié)議的更簡單的替換標準。X.500是由國際標準化組織制訂的定義分布式目錄和應用程序之間交換信息。 ●標準命名格式支持

Active Directory 服務支持幾個常見的標準命名格式，其結果是通過使用熟悉的格式，用戶和應用程序可以訪問Active Directory服務。這些命名格式包括DFC822、LDAP URL和X.500 通用命名規(guī)則。在任何時間，該接口都決定命名標準。有時可能使用任何命名標準，然而，在其他的時間需要特定的標準。

●Active Directory結構

Windows2000的Active Directory 服務提供設計目錄結構的一種方法，以適應組織的需要。所以在安裝Active Directory服務之前，應該檢查組織的商業(yè)結構和運行情況。Active Directory服務將網(wǎng)絡分成兩種結構：邏輯的和物理的。

1：邏輯的

在Active Directory 服務中，以邏輯結構來組織資源。以邏輯方式分組的資源，可以通過名稱而不是通過實際的位置找到資源。

對象（object) 是代表網(wǎng)絡資源的明確命名的一組屬性的集合。對象屬性是目錄中對象的特征。例如用戶屬性可能包括名和姓、所在的部門和電子郵件地址。

在Active Directory服務中，可以按類組織對象。該類是對象的邏輯組合。 組織單元

組織單元是一個容器對象，可以使用它將域中的對象組織到邏輯上可管理的組中。OU 能包含這些對象。

域

域是Active Directory服務中邏輯的核心單元。通過組合對象到一個或更多的域上，便可以在網(wǎng)絡上反映公司的組織。

所有的網(wǎng)絡均在域中存在，并且，每個域只存儲域中對象的有關信息。從理論上說，域目錄能最多包括一千萬個對象，但是，每個域一百萬個對象是當前支持的極限。

域是一個安全性邊軹，通過訪問控制列表ACL 來控制訪問域對象，該列表中包含的是訪問控制項(Access Control Entry, ACE) 。從一個域到另一個域，所有安全策略和設置都是不交叉的，域管理員只在該域內具有絕對的設置策略的權力。

在典型的域中，有下列類型計算機：

運行Windows200 Server域控制器、運行Windows2000 Server的成員服務器、運行Windows2000 Professional的客戶機。

樹

樹是一個或更多Windows2000域分組或層次式安排，這些域允許進行全局性的資源共享。一個權可以包括一個Windows2000域。然而，通過在層次結構中加入多個域，便能創(chuàng)建一個更大的連續(xù)名稱空間。

下圖是一個父域wpsvia.com 和兩個子域dev.wpsvia.com 和

prlduce.wpsvia.com

樹的結構中所有域共享信息和資源，作為單獨的單元起作用。域樹中只有一個目錄，但是每個域為該域中的用戶維護一部分目錄，其中包括該用戶的賬戶信息。在樹中，只要用戶具有適當權限，登妹到一個域中的用戶便能用另一個域中的資源。

在Active Directory中，樹的定義為：

●域的一個層次

●

●

●

●連續(xù)的名稱空間 在域之間的Kerberos 傳遞信任關系數(shù)。 公共架構 能列出權中任何對象的全局編錄。

樹林

樹林是一個或更多樹的組合。樹林的定義為：

●一個或更多樹的集合

●

●

●

●在這些樹之間分離的名稱空間 在樹之間的Kerberos 傳遞信任關系 公共架構 能列出樹林中任何對象的全局編錄

在樹林所有用戶對象均可使用構成林的所有域樹對象。然而，當訪問林中不同樹中的對象時，用戶必須知道完全確定的域名。

信任關系

樹中的域通過雙向的Kerberos 傳遞信任關系以透明的方式連接在一起，Kerberos 傳遞信任關系意味著，如果域A 信任域B ，并且域B 信任域C ，那么域A 信任域C ，所以，對于加入樹中的域，會立即與樹中每個域建立信任關系，這些信任關系使樹中所有域的所有對象，可供樹中所有其它的域使用。

信任關系是至少兩個域間的下人鏈接，在此鏈接中，信任域承信受信域的登錄身份驗證。在受信域中定義的用戶賬戶和組能在信任域中授予權力和資源權限，取使那些賬戶在信任域的目錄數(shù)據(jù)庫中不存在。在NT 中，域間的信任是由域控制器間的單向受信域賬戶定義的，我們必須單獨建立和管理每個信任，在大型網(wǎng)絡中，要管理域間的顯式的單向信任關系，確實是一項復雜的任務。

傳遞信任關系

當雙向信任關系不適合時，網(wǎng)絡管理員可以為特定的域定義顯式的單向信任賬戶。該能力可用來支持連接到現(xiàn)有NT 早斯的域，并且可以配置其它樹林中域的信任關系。

Windows2000的信任關系

當一個域加入Windows2000域樹林中時，在新域和樹的根域或父域之間會自動建立信任關系。

2：物理的

Active Directory服務的物理結構影響域控制之間的同步復制的效率。

域控制器

域控制器是Windows2000 Server 計算機，它存儲目錄分區(qū)的副本。域中的所有域控制器無有該目錄的域部分的完整副本。當執(zhí)行引起目錄更新的操作時，Windows2000將自動對所有其他的域控制器的同步更新改變

站點

在Microsoft BackOffice 產品系列的實現(xiàn)中，站點的概念是我們非常熟悉的，該概念包含在Active Directory服務實現(xiàn)中，在Active Directory中，站點的概念使用網(wǎng)際協(xié)議子網(wǎng)，來決定用于同步復制通信量考慮的站點邊界。Active Directory站點定義為IP 子網(wǎng)范軒?；旧螦ctive Directory站點是IP 子網(wǎng)范圍的集合。

Active Directory 服務的一個優(yōu)點是，通過使用WAN 鏈路連接的不同拓撲結構，該域可以跨越地理位置并且對用戶仍然保持透明性。然而，我們總要考慮可用的WAN 帶寬。通過將本地子網(wǎng)定義為站點，管理員可以控制子網(wǎng)間的同步復制通信量，所以也就能控制站點間的同步復制通信量。結果減少在WAN 鏈路上的同步復制通信量。站點的思想也用來定位客戶機。

本頁小結：

目錄服務提供了組織和簡化訪問聯(lián)網(wǎng)計算機系統(tǒng)資源的方法。Windows2000支持安全

的網(wǎng)絡環(huán)境，在此環(huán)境中，用戶可以共享公共資源，而不管網(wǎng)絡的規(guī)模如何。Windows2000支持兩種類型的網(wǎng)絡：工作組和域。Windows2000包含Active Directory 服務、提供單點網(wǎng)絡管理的目錄服務。利用Active Directory 服務，可以輕松添加、刪除和再定位用戶和資源。它將域層次的邏輯結構從特理結構中分離出來。邏輯結構由對象、OU 、域、樹和樹林組成。當一個域加入到Windows2000域樹中時，在新的域和該樹的根域或父域之間，便自動建立了Kerberos 的傳遞信任關系。域層次結構的物理結構由域控制器和站點構成。