Windows 2000 活動目錄的特性(轉)

Windows 2000 活動目錄的特性(轉)[@more@]

　　Windows 2000 Server活動目錄是一個完全可擴充套件、可伸縮的目錄服務，既能滿足商業ISP的需要，又能滿足企業內部網和外聯網的需要，充分體現了微軟產品整合性、深入性和易用性等優點。

　　整合性

　　Windows 2000活動目錄的繼承性主要是指它結合了三個方面的管理內容：使用者和資源管理、基於目錄的網路服務和基於網路的應用管理。另外， Windows 2000活動目錄還廣泛地採納了Internet標準，把眾多的Internet服務都整合在一起，增強自身網路管理功能。

　　目錄管理的基本物件是使用者和計算機，還包括檔案、印表機等資源。使用者物件的屬性非常豐富，不但有常見的賬號名、口令等，還包括郵件信箱和個人主頁地址、在公司中的職位關係等，可以在活動目錄中給使用者物件傳送郵件和訪問其個人主頁等。在活動目錄中，支援

　　全域性性的查詢，比如查詢在整個網路中的雙面列印的彩色印表機等。

　　基於活動目錄的應用服務是Windows 2000平臺上的新一代的應用程式，它使應用開發員可以擴充套件活動目錄的Schema 和UI兩個物件，透過ADSI/ADO程式設計在活動目錄中釋出服務繫結資訊，透過組策略配置應用程式。比較典型的基於目錄的應用的例子是NetMeeting。在活動

　　目錄的環境中，你只要在NetMeeting中敲入同事的E-mail別名，就可以透過活動目錄中的定位服務，與其進行對話和桌面協作等，非常方便。

　　活動目錄完全採用了Internet標準協議，甚至連使用者帳號都可以用“使用者名稱@域名”來表徵，進行網路登入。單個域目錄樹中的所有域共享一個等級命名結構。一個子域的域名就是將該子域的名稱新增到父域的名稱中。例如，headquarters.mycompany.com 是mycompany.com 域的子域。共享公用根域的域被認為共享鄰近的名稱空間。目錄樹中的域透過雙向、傳遞的委託關係聯接在一起。由於這些委託關係是雙向和傳遞的，因此加入目錄樹的域會立即與目錄樹中的每個域建立委託關係。這些委託關係允許單個使用者登入以驗證使用者並授權驗證使用者訪問整個網路。這使得目錄樹中所有其他域中具有適當憑據的使用者和計算機可以使用目錄樹所有域中的所有物件。例如，你的公司兼併了一家其他的公司，你的域樹可以和它們的域樹othercom.com建立起整個的域林來。整個域林的所有物件，只要安全性管理許可，都可以用LDAP協議訪問到。域名服務(domain name service, DNS)在此充當了名字解析的功能，建議使用者使用與活動目錄整合的DNS務器，來保證動態更新域名和更好的複製能力。在當今的Internet時代，Windows 2000活動目錄這種基於Internet標準的做法，給使用者帶來了眾多的益處。

　　另外，活動目錄整合了關鍵服務，如DNS、MSMQ（訊息佇列服務）；整合了關鍵應用，如電子郵件、網管、ERP等；整合了關鍵資料訪問，如ADSI、OLE DB等；還整合了關鍵的安全性，如Kerberos第五版本和公開金鑰基礎設施等。

　　深入性

　　Windows 2000活動目錄的深入性主要體現在其企業級的可伸縮性、安全性、互操作性、程式設計能力和升級能力上。Windows 2000活動目錄允許使用者組建單域來管理少量的網路物件，也允許使用者透過域目錄管理成萬上億個物件。活動目錄的伸縮性是透過為每個域建立一個目

　　錄儲存的方法來獲得的。在一個域目錄儲存中僅僅包括了這個域中的所有物件。但是，當域樹建立起來之後，每個域都有能力搜尋整個域樹中所有的目錄儲存。這種劃分整個域樹的方法，使使用者查詢所需要的資訊變得更加方便、快速。

　　活動目錄的域樹和域森林的組建方法，可幫助使用者使用容器層次來模擬一個企業的組織結構。組織中的不同部門可以成為不同的域，或者一個域中有層次結構的組織單元，從而採用層次化的命名方法來反映組織結構和進行管理授權。順著組織結構進行顆粒化的管理授權

　　可以解決很多管理上的頭疼問題，在加強中央管理的同時，又不失機動靈活性。使用者可以將Windows NT 4.0中的很多域都轉換成活動目錄的組織單元，建立起更大的域和更簡化的域關係。另外，藉助全域性目錄(Global Catalog)，使用者和管理員仍然能夠迅速地找到物件和管理物件。由於有一系列的工具可以幫助NT 4.0 的使用者遷移到Windows 2000 的目錄環境中，Windows 2000可以在現存的Windows NT 4.0的環境中工作，保護現有的投資。

　　Windows 2000活動目錄和其安全性服務（如Kerberos，PKI和智慧卡等）緊密結合，相輔相成，共同完成安全任務和協同管理。活動目錄儲存了域安全政策的資訊，例如域使用者口令的限制政策和系統訪問許可權等，實施了基於物件的安全模型和訪問控制機制。在活動目錄中的每個物件都有一個獨有的安全性描述，定義了瀏覽或更新物件屬性所需要的訪問許可權。不過，當LDAP客戶端訪問域時，不是由活動目錄決定訪問控制，而是由系統來實施訪問安全控制。

　　易用性

　　Windows 2000活動目錄主要體現在其簡易的安裝和管理上。先說一下活動目錄的安裝。在安裝Windows 2000 Server活動目錄時，第一個域伺服器都配置域控制器，而其他所有新安裝的計算機都是安裝成為成員伺服器，並且目錄服務可以事後用Dcpromo的命令進行特別安裝。而不用像在安裝Windows NT 4.0那樣，一開始就要定終身：是域控制器還是成員伺服器，兩者之間不可轉換，且目錄服務不可以解除安裝。Dcpromo是一個圖形化的嚮導程式，引導使用者一步一步地建立域控制器，可以新建一個域森林，一棵域樹，或者僅僅是域控制器的另一個備份，非常方便。很多其他的網路服務，比如DNS Server、DHCP Server和Certificate Server等，都可以在以後與活動目錄整合安裝，便於實施策略管理等。

　　在活動目錄安裝之後，主要有三個活動目錄的管理介面（MMC），一個是活動目錄使用者和計算機管理，主要用於實施對域的使用者和計算機進行管理；一個是活動目錄的域和域信任關係的管理，主要用於管理多域的委託和信任關係；還有一個是活動目錄的站點管理，可以

　　把域控制器置於不同的站點進行管理。一般情況下，一個站點內的域控制器之間的複製是自動進行的；站點間的域控制器之間的複製需要管理員設定，以最佳化複製流量，提高可伸縮性。

　　對於SDOU，管理員還可以方便地進行管理授權。右擊SDOU就可以啟動”管理授權嚮導”，一步一步地設定哪些管理員對於哪些物件有什麼樣的管理許可權。比如說企業內部技術支援中心的管理員，只有復位使用者口令的許可權，沒有建立和刪除使用者賬號的許可權。

　　另外，活動目錄還充分地考慮到了備份和恢復目錄服務的需要。Windows 2000備份工具中有專門備份活動目錄的選項，在出現意外事故的時候，可以在機器啟動時按F8進入安全模式，來進行目錄服務的恢復，保證減少災難的惡性影響。