windows 2000活動目錄之結構篇(轉)

windows 2000活動目錄之結構篇(轉)[@more@]

　　在上一篇對活動目錄有個基本瞭解之後下面我就來接觸一下活動目錄實質上的一面——活動目錄的結構。上篇我們講到活動目錄是包括兩方面：目錄和目錄相關的服務。目錄是儲存各種物件的一個物理上的容器，與我們平常所說的目錄沒什麼區別，目錄管理的基本物件是使用者、計算機、檔案以及印表機等資源。而目錄服務是使目錄中所有資訊和資源發揮作用的服務，如使用者和資源管理、基於目錄的網路服務、基於網路的應用管理，它才是WIN2K活動目錄的關鍵和精髓所在。目錄服務是WIN2K網路作業系統的核心支柱，也是中心管理機構，所以目錄服務的引入對整個作業系統帶來了革命性的變化，不僅系統平臺上的各基礎模組，比如網路安全機制、使用者管理模組等發生了變化，而且上層應用的運作方式以及開發模式也有了相應的變化。這樣來理解“活動目錄”是不是覺得更加容易？

　　同時活動目錄是一個分散式的目錄服務，因為資訊可以分散在多臺不同的計算機上，保證各計算機使用者快速訪問和容錯；同時不管使用者從何處訪問或資訊處在何處，對使用者都提供統一的檢視，使使用者覺得更加容易理解和掌握WIN2K系統的使用。活動目錄整合了WIN2K伺服器的關鍵服務，如域名服務(DNS)，訊息佇列服務（MSMQ），事務服務（MTS）等。在應用方面活動目錄整合了關鍵應用，如電子郵件、網路管理、ERP等。要理解活動目錄，我們必須從它的邏輯結構和物理結構入手。

　　一、活動目錄的邏輯結構

　　“邏輯”兩個字相信大家平時見的比較多，如我們常說的“邏輯思維、邏輯分析”等，也許大家一講到“邏輯”兩個字就覺得十分抽象，難以理解。其實我們在這裡所講的“邏輯結構”，我覺得還是很好理解的，“邏輯”一般與“物理”是對等的，我們知道“物理上的”是指實實在在的，那麼“邏輯上的”不就是指非物理上的，非實體的東西，它是一種抽象的東西，比如講一種“關係”、一個“空間、範圍”等。在第一篇我們講過活動目錄的邏輯結構非常靈活，有目錄樹、域、域樹、域林等，這些名字都不是實實在在的一種實體，只是代表了一種關係，一種範圍，如目錄樹就是由同一名字空間上的目錄組成，而域又是由不同的目錄樹組成，同理域樹是由不同的域組成，域林是由多個域樹組成。它們是一種完全的樹狀、層次結構檢視，這種關係我們可以看成是一種動態關係。邏輯結構還與前面討論過的名字空間有直接關係，邏輯結構為使用者和管理員在一定的名字空間中查詢、定位物件提供了極大方便。活動目錄中的邏輯單元主要包括：

　　1、域、域樹、域林

　　域既是WIN2K網路系統的邏輯組織單元，是物件（如計算機、使用者等）的容器，這些物件有相同的安全需求、複製過程和管理，這一點對於網管人員應是相當容易理解的。在WIN2K中域中所有的域控制器都是平等的（這一點與WINNT4.0不一樣，沒有主、副之分），域是安全邊界，域管理員只能管理域的內部，除非其他的域顯式地賦予他管理許可權，他才能夠訪問或管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關係。在這裡就涉及到了不同域之間的信任關係及傳遞關係，下面就具體講一下WIN2K中的域信任關係。

　　域與域之間具有一定的信任關係，域信任關係使得一個域中的使用者可由另一域中的域控制器進行驗證，才能使一個域中的使用者訪問另一個域中的資源。所有域信任關係中只有兩種域：信任關係域和被信任關係域。信任關係就是域A信任域B，則域B中的使用者可以透過域A中的域控制器進行身份驗證後訪問域A中的資源，則域A與域B之間的關係就是信任關係。被信任關係就是被一個域信任的關係，在上面的例子中域B就是被域A信任，域B與域A的關係就是被信任關係。信任與被信任關係可以是單向的，也可以是雙向的，即域A與域B之間可以單方面的信任關係，也可以是雙方面的信任關係。

　　而在域中傳遞信任關係不受關係中兩個域的約束，是經父域向上傳遞給域目錄樹中的下一個域，也就是說如果域A信任域B，則域A也就信任域B下面的子域域B1、域B2……，傳遞信任關係總是雙向的：關係中的兩個域互相信任（是指父域與子域之間）。預設情況下，域目錄樹或目錄林（目錄林可以看做是同一域中的多個目錄樹組成）中的所有WiIN2K 信任關係都是傳遞的。透過大大減少需管理的委託關係數量，這將在很大程度上簡化域的管理。

　　WIN2K中的域傳遞信任關係一般是系統自動的，但對於相同域目錄樹或林中的WiIN2K域，也可以顯式（手工）地建立傳遞信任關係。這對於形成交叉連結信任關係是非常重要的。不傳遞信任關係受關係中兩個域的約束，並且不經父域向上傳遞到域目錄樹中的下一個域。必須顯式地建立不傳遞信任關係。預設情況下，不傳遞信任關係是單向的，儘管也可以透過建立兩個單向信任關係建立一個雙向關係。所有不屬於相同域目錄樹或林中WiIN2K 域間建立的委託關係都是不傳遞的。所有WiIN2K域和WINNT域之間的委託關係都是不傳遞的，這一點對於一個企業同時使用WIN2K和WINNT域控制器時應特別注意，當從 WindowsNT升級到WiIN2K時，所有已現有的WindowsNT信任關係都將保持不變。在混合模式的網路中，所有WindowsNT信任關係都是不傳遞的。WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和MITKerberosV5領域單向單向信任關係是單獨的委託關係。雙向信任關係包括一對單向委託關係，所有傳遞信任關係都是雙向的。為使不傳遞信任關係成為雙向，必須在所涉及的域間建立兩個單向信任關係。

　　2、組織單元（OU）

　　組織單元（OU）是一個容器物件，它也是活動目錄的邏輯結構的一部分，我們可以把域中的物件組織成邏輯組，它可以幫助我們簡化管理工作。OU可以包含各種物件，比如使用者賬戶、使用者組、計算機、印表機等，甚至可以包括其他的OU，所以我們可以利用OU把域中的物件形成一個完全邏輯上的層次結構。對於企 業來講，可以按部門把所有的使用者和裝置組成一個OU層次結構，也可以按地理位置形成層次結構，還可以按功能和許可權分成多個OU層次結構。很明顯，透過組織單元的包容，組織單元具有很清楚的層次結構，這種包容結構可以使管理者把組織單元切入到域中以反應出企業的組織結構並且可以委派任務與授權。建立包容結構的組織模型能夠幫助我們解決許多問題，同時仍然可以使用大型的域、域樹中每個物件都可以顯示在全域性目錄，從而使用者就可以利用一個服務功能輕易地找到某個物件而不管它在域樹結構中的位置。

　　由於OU層次結構侷限於域的內部，所以一個域中的OU層次結構與另一個域中的OU層次結構沒有任何關係。因為活動目錄中的域可以比NT4的域容納更多物件，所以一個企業有可能只用一個域來構造企業網路，這時候我們就可以使用OU 來對物件進行分組，形成多種管理層次結構，從而極大地簡化網路管理工作。組織中的不同部門可以成為不同的域，或者一個組織單元，從而採用層次化的命名方法來反映組織結構和進行管理授 權。順著組織結構進行顆粒化的管理授權可以解決很多管理上的頭疼問題，在加強中央管理的同時，又不失機動靈活性。

　　WINNT4.0中的很多域都可以成為OU，建立起更大的域和更簡化的域關係，藉助全域性目錄(GlobalCatalog)，使用者和管理員仍然能夠迅速地找到物件和管理物件。 WIN2K可以在現存的WINNT4.0的環境中工作，保護現有的投資。

　　二、活動目錄的物理結構

　　進位制-活動目錄中，物理結構與邏輯結構有很大的不同，它們是彼此獨立的兩個概念。邏輯結構側重於網路資源的管理，而物理結構則側重於網路的配置和最佳化。活動目錄的物理結構主要著眼於活動目錄資訊的複製和使用者登入網路時的效能最佳化。物理結構的兩個重要概念是站點和 域控制器。

　　1、站點

　　站點是由一個或多個IP子網組成，這些子網透過高速網路裝置連線在一起。站點往往由企業的物理位置分佈情況決定，可以依據站點結構配置活動目錄的訪問和複製拓撲關係，這樣能使得網路更有效地連線，並且可使複製策略更合理，使用者登入更快速， 活動目錄中的站點與域是兩個完全獨立的概念，一個站點中可以有多個域，多個站點也可以位於同一域中。

　　活動目錄站點和服務可以透過使用站點提高大多數配置目錄服務的效率。可以透過使用活動目錄站點和服務向活動目錄釋出站點的方法提供有關網路物理結構的資訊，活動目錄使用該資訊確定如何複製目錄資訊和處理服務的請求。計算機站點是根據其在子網或一組已連線好子網中的位置指定的，子網提供一種表示網路分組的簡單方法，這與我們常見的郵政編碼將地址分組類似。將子網格式化成可方便傳送有關網路與目錄連線物理資訊的形式，將計算機置於一個或多個連線好的子網中充分體現了站點所有計算機必須連線良好這一標準，原因是同一子網中計算機的連線情況通常優於網路中任意選取的計算機。使用站點的意義主要在於：

　　（1）、提高了驗證過程的效率

　　當客戶使用域帳戶登入時，登入機制首先搜尋與客戶處於同一站點內的域控制器，使用客戶站點內的域控制器首先可以使網路傳輸本地化，加快了身份驗證的速度，提高了驗證過程的效率。

　　（2）、平衡了複製頻率

　　活動目錄資訊可在站點內部或站點與站點之間進行資訊複製，但由於網路的原因，活動目錄在站點內部複製資訊的頻率高於站點間的複製頻率。這樣做可以平衡對最新目錄資訊需求和可用網路頻寬帶來的限制。您可透過站點連結來定製活動目錄如何複製資訊以指定站點的連線方法，活動目錄使用有關站點如何連線的資訊生成連線物件以便提供有效的複製和容錯。

　　（3）、可提供有關站點連結資訊

　　活動目錄可使用站點連結資訊費用，連結使用次數，連結何時可用以及連結使用頻度等資訊確定應使用哪個站點來複制資訊，以及何時使用該站點。定製複製計劃使複製在特定時間（諸如網路傳輸空閒時）進行會使複製更為有效。通常，所有域控制器都可用於站點間資訊的交換，但也可以透過指定橋頭堡伺服器優先傳送和接收站間複製資訊的方法進一步控制複製行為。當擁有希望用於站間複製的特定伺服器時，寧願建立一個橋頭堡伺服器而不使用其他可用伺服器。或在配置使用代理伺服器時建立一個橋頭堡伺服器，用於透過防火牆傳送和接收資訊。

　　2、域控制器

　　域控制器是指執行WIN2KServer版本的伺服器，它儲存了活動目錄資訊的副本。域控制器管理目錄資訊的變化，並把這些變化複製到同一個域中的其他域控制器上，使各域控制器上的目錄資訊處於同步。域控制器也負責使用者的登入過程以及其他與域有關的操作，比如身份鑑定、目錄資訊查詢等一個域可以有多個域控制器。規模較小的域可以只需要兩個域控制器，一個實際使用，另一個用於 容錯性檢查。規模較大的域可以使用多個域控制器。

　　WIN2K的域結構與WINNT的域結構不同的是，活動目錄中的域控制器沒有主次之分，活動目錄採用了多主機複製方案，每一個域控制器都有一個可寫入的目錄副本，這為目錄資訊 容錯帶來了無盡的好處。儘管在某一個時刻，不同的域控制器中的目錄資訊可能有所不同，但一旦 活動目錄中的所有域控制器執行同步操作之後，最新的變化資訊就會一致。

　　儘管活動目錄支援多主機複製方案，然而由於複製引起的通訊流量以及網路潛在的衝 突，變化的傳播並不一定能夠順利進行。因此有必要在域控制器中指定全域性目錄伺服器以及操 作主機。--全域性目錄是一個資訊倉庫，包含活動目錄中所有物件的一部分屬性，往往是在查詢過 程中訪問最為頻繁的屬性。利用這些資訊，可以定位到任何一個物件實際所在的位置，而全域性目 錄伺服器是一個域控制器，它儲存了全域性目錄的一份副本，並執行對全域性目錄的查詢操作。全域性 目錄伺服器可以提高活動目錄中大範圍內物件檢索的效能，比如在域林中查詢所有的印表機操 作。如果沒有一個全域性目錄伺服器，那麼這樣的查詢操作必須要調動域林中每一個域的查詢過 程。如果域中只有一個域控制器，那麼它就是全域性目錄伺服器如果有多個域控制器，那麼管理員 必須把一個域控制器配置為全域性目錄控制器。