什么是活动目录,它有哪些部分组成,各部分又有怎样的含义?
来源:学生作业帮助网 编辑:六六作业网 时间:2024/11/16 11:24:33
什么是活动目录,它有哪些部分组成,各部分又有怎样的含义?
什么是活动目录,它有哪些部分组成,各部分又有怎样的含义?
什么是活动目录,它有哪些部分组成,各部分又有怎样的含义?
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务.活动目录服务是Windows 2000操作系统平台的中心组件之一.理解活动目录对于理解Windows 2000的整体价值是非常重要的.这篇关于活动目录服务所涉及概念和技术的介绍文章描述了活动目录的用途,提供了对其工作原理的概述,并概括了该服务为不同组织和机构提供的关键性商务及技术便利.
Active Directory简介
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务.(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理.)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息.Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织.
Microsoft Active Directory 服务是Windows 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段.
目录形式的数据存储
人们经常将数据存储作为目录的代名词.目录包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位(OU)以及安全策略] 的信息.这些信息可以被发布出来,以供用户和管理员的使用.
目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问.一个域可能拥有一台以上的域控制器.每一台域控制器都拥有它所在域的目录的一个可写副本.对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上.由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息.
目录数据存储在域控制器上的Ntds.dit文件中.我们建议将该文件存储在一个NTFS分区上.有些数据保存在目录数据库文件中,而有些数据则保存在一个被复制的文件系统上,例如登录脚本和组策略.
有三种类型的目录数据会在各台域控制器之间进行复制:
·域数据.域数据包含了与域中的对象有关的信息.一般来说,这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息,管理员和用户可能都会对这些信息感兴趣.
例如,在向网络中添加了一个用户帐户的时候,用户帐户对象以及属性数据便被保存在域数据中.如果您修改了组织的目录对象,例如创建、删除对象或者修改了某个对象的属性,相关的数据都会被保存在域数据中.
·配置数据. 配置数据描述了目录的拓扑结构.配置数据包括一个包含了所有域、域树和森林的列表,并且指出了域控制器和全局编录所处的位置.
·架构数据.架构是对目录中存储的所有对象和属性数据的正式定义.Windows Server 2003提供了一个默认架构,该架构定义了众多的对象类型,例如用户和计算机帐户、组、域、组织单位以及安全策略.管理员和程序开发人员可以通过定义新的对象类型和属性,或者为现有对象添加新的属性,从而对该架构进行扩展.架构对象受访问控制列表(ACL)的保护,这确保了只有经过授权的用户才能够改变架构.
活动目录功能
活动目录(Active Directory)主要提供以下功能:
①基础网络服务:包括DNS、WINS、DHCP、证书服务等.
②服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略.
③用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略.
④资源管理:管理打印机、文件共享服务等网络资源.
⑤桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等.
⑥应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统.
Active Directory升级方法
在windwons server上启用AD的方法:
1、打开运行对话框
2、在运行对话框里输入dcpromo,进入AD安装向导
Active Directory和安全性
安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中.通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,经过授权的网络用户可以访问网络任意位置的资源.基于策略的管理则简化了网络的管理,即便是那些最复杂的网络也是如此.
Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息.因为Active Directory不但可以保存用户凭据,而且可以保存访问控制信息,所以登录到网络上的用户既能够获得身份验证,也可以获得访问系统资源所需的权限.例如,在用户登录到网络上的时候,安全系统首先利用存储在Active Directory中的信息验证用户的身份.然后,在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表(DCAL)中所定义的属性.
因为Active Directory允许管理员创建组帐户,管理员得以更加有效地管理系统的安全性.例如,通过调整文件的属性,管理员能够允许某个组中的所有用户读取该文件.通过这种办法,系统将根据用户的组成员身份控制其对Active Directory中对象的访问操作.
Active Directory 的架构
简述
Active Directory的架构(Schema)是一组定义,它对能够存储在Active Directory中的各种对象——以及有关这些对象的各种信息——进行了定义.因为这些定义本身也作为对象进行存储,Active Directory可以像管理目录中的其它对象一样对架构对象加以管理.架构中包括了两种类型的定义:属性和分类.属性和分类还可以被称作架构对象或元数据.
分类
分类,又称对象分类,描述了管理员所能够创建的目录对象.每一个分类都是一组对象的集合.在您创建某个对象时,属性便存储了用来描述对象的信息.例如,“用户”分类便由多个属性组成,其中包括网络地址、主目录等等.Active Directory中的所有对象都是某个对象分类的一个实例.
架构的扩展
有经验的开发人员和网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构.
架构的内容由充当架构操作主控角色的域控制器进行控制.架构的副本被复制到森林中的所有域控制器上.这种共用架构的使用方式确保了森林范围内的数据完整性和一致性.
此外,您还可以使用“Active Directory架构”管理单元对架构加以扩展.为了修改架构,您必须满足以下三个要求:
· 成为“Schema Administrators”(架构管理员)组的成员
· 在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元
· 拥有修改主控架构所需的管理员权限
在考虑对架构进行修改时,必须注意以下三个要点:
· 架构扩展是全局性的. 在您对架构进行扩展的时候,您实际上扩展了整个森林的架构,因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上.
· 与系统有关的架构分类不能被修改.您不能修改Active Directory架构中的默认系统分类;但是,用来修改架构的应用程序可能会添加可选的系统分类,您可以对这些分类进行修改.
· 对架构的扩展不可撤销.某些属性或者分类的属性可以在创建后修改.在新的分类或者属性被添加到架构中之后,您可以将它置于非激活状态,但是不能删除它.但是,您可以废除相关定义并且重新使用对象标识符(OID)或者显示名称,您可以通过这种方式撤销一个架构定义.
有关架构修改的更多信息,请通过参阅 Microsoft Windows 资源工具包 .
Active Directory不支持架构对象的删除;但是,对象可以被标记为“非激活”,以便实现与删除同等的诸多益处.