[转载]活动目录结构与活动目录下的目录服务
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])[b]图文PDF格式在末尾...[/b]
何为目录服务?
活动目录(Active Directory,AD)是Windows2000中的核心组件。理解它对于理解Windows2000具有十分重要的作用。下面介绍提出AD的目的,它的作用,以及它是如何工作的。
因为网络的发展,对于操作系统而言,处理分布式资源成了必不可少的一种功能。目录服务提供了一种保存关于基于网络的实体(如应用程序,文件,打印机或用户)的地方。它提供了对个人资源的名字,描述,位置,访问,管理和安全信息的统一描述方法。而且它也是让网络上的分布资源共同工作的核心部件。因为它和操作系统的关系如此密切,因此有必要确保它的安全和一致性,在一个企业中它起的作用是举足轻重的。
为什么要有目录服务?
由于网络计算要求的提出,因此有必要提供一种强大的,透明和调度集成的目录服务。由于LAN,WAN以及Internet的发展,更加促进了这一趋势。下面是为什么要有目录服务的一些原因:
简化管理,它提供了一种对用户,应用程序和设备单一而且一致的管理;
安全性提高,对桌面用户,拨号用户和外部用户提供了强大和方便的的安全管理工具;
互操作性好,提供了对所有AD的标准访问,并支持其它流行的目录服务产品;
目录服务既是管理工作又是用户工作,因为网络中的对象增多,因此它的地位也就十分重要了,它的周围是一些分布式系统,依它而工作。Windows2000的目录服务正是为了以上的目的而提出的。
什么是活动目录?
Windows2000的活动目录是在NT 4的基础上对分布式网络环境进行加强而提出的一种目录服务。AD让企业可以更有效地管理共享资源,管理关于网络的用户和资源,而且它是网络认证权威,操作系统通过它控制用户的登录,审核权限,它还将操作系统的不同部分组合在一起完成管理任务。这使得管理任务得以大大简化。
活动目录集中进行目录,设备等管理,使管理简化。关键的一点在于企业可以利用活动目录和Internet产生关联。
Microsoft目录服务策略
许多开发商都将目录服务加入它们的产品中,这使得这些服务缺少一种标准的接口,使人比较难于集中管理,这样就带来了互操作性的问题,使用许多不兼容的目录服务意味着:
用户必须使用不同的口令登录不同的系统,而且必须明确知道所需要的信息在什么位置;
因为目录服务不兼容,管理员必须为同一个用户在不同的系统上进行管理;
开发者也必须针对不同服务开发产品;
企业可能不得不选择尽可能少的目录服务,而从长远看来,则需要一种标准的目录服务,并且和操作系统相集成。活动目录则达到了这种要求,而且它是和Internet集成的,因此它是一种比较理想的目录服务产品。
活动目录是如何工作的?
活动目录以树状,和面向对象的方法存储数据,并提供了多主复制的功能。
活动目录以对象代表网络资源(如用户,计算机等),以容器代表组织(如市场部)或一些资源的集合(如打印机),它以树状组织这些资源。
图一:活动目录的树状结构
活动目录提供了单一的,集中的和全局的资源视图,使得资源易于查询,管理。在上图中容器代表用户,机器或设备的集合,同时容器又可以包括容器。成组的对象可以让管理员对对象集进行管理,而不用一个对象一个对象地管理。
活动目录中的资源是以对象的方式存储的。如果你了解一点面向对象知识,了解起来就比较方便了,每个对象都有一定的属性,管理员可以通过对象内的属性精确地控制对象的动作,如下图所示:
图二:活动目录中的对象
为了提高效率,活动目录有许多目录复本,这些复本分布于网络上,对一个复本的修改可以被立刻同步到其它复本上,这称为目录复制。而与之相对的单域复制就是指所有的必须对一个集中存储的目录进行。
图三:多域复制
活动目录的优点
和Windows 2000 Server集成的活动目录使网络管理员可以花少一点的时间完成更多,更安全的管理任务,而且提高了互操作性。
在分布式环境中对网络进行管理可能是件十分烦心的事情,通过活动目录可以简化这些工作,它可以以相对集中的方式完成从桌面到安装软件的全部管理工作,大大简化了管理员的工作。因为活动目录中的对象是树型存储的,因此管理员可以对一组对象(或容器)进行管理
图四:活动目录对管理的简化
活动目录可以让管理员将管理任务下放到一些特定的用户,这样可以更充分地利用管理资源。上面图中就显示了一些类似的情况。活动目录还可以根据用户在企业中的不同工作自动为他提供相应的软件。例如:公司可以指定所有在personnel中的用户使用HR,无论它们地处何处。活动目录集中管理用户信息,自动安装指定的应用程序,并让用户无论在何处登录均可看到自己熟悉的界面。因为资源信息被集中存储,用户也可以从活动目录中获益,用户可以在开始菜单中查询特定位置的,具有特定属性的资源,并可以方便地使用它。
安全一直是分布式环境中的重要课题,而且也比较难于处理。活动目录的集中管理加强了基于企业内部员工工作身份的安全认证。它使得每个用户只拥有一个口令,而且安全认证对用户是透明的。它还可以对某个用户的权限进行细致地控制,如能不能安装软件,能不能看注册表等。因为活动目录内置了安全认证机制,因此可以方便地开展电子商务活动。下图是Windows 2000中的一些安全机制示意:
图五:安全机制
活动目录是认证的控制中心,而且它支持多种安全协议。无论用户是从何处登录都受到统一的安全限制。活动目录支持的各种安全认证协议可以让活动目录将安全机制扩展到电子商务的客户。
因为在许多地方已经有一些目录服务在工作,活动目录提供了与这些服务的接口,使得活动目录可以方便地和它们进行互操作。Windows 2000通过标准协议将自己的接口暴露在外,以便和其它目录服务互操作,这一点保证了Windows 2000的目录服务与其它是兼容的。
图六:互操作
由于有了这些接口,开发基于目录的应用程序也就方便了。活动目录允许管理员根据用户的不同需要为它们分配相应的硬件资源,如网络带宽。活动目录的好处不单在Windows平台上可以体现,通过同步机制可以保证Windows平台与其它应用程序,设备的互操作性。这一切都是通过统一的,符合标准的接口实现的。
活动目录结构
Windows2000是微软公司新一代的操作系统 ,它是在 Windows NT4.0操作系统的基础上开发的, 集Windows NT技术和Windows9X的优点于一身,并在此基础上发展了许多新的特性和功能.如智能镜像、终端服务、分布式文件系统、磁盘定额、DNS增强以及活动目录等等。其中最重要的特性是活动目录。
活动目录包括两方面:目录和目录相关的服务。目录是存储各种对象的一个物理上的容器,目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务、基于网络的应用管理。活动目录是一个分布式的目录服务。信息可以分散在多台不同的计算机上,保证快速访问和容错;同时不管用户从何处访问或信息处在何处,对用户都提供统一的视图。在当今网络计算的爆炸性增长的Internet时代,微软活动目录还广泛地采用了Internet标准,给用户带来了几乎无穷无尽的益处。活动目录集成了关键服务,如域名服务(DNS),消息队列服务(MSMQ),事务服务(MTS)等;集成了关键应用,如电子邮件、网管、ERP等;同时还集成了当今的关键的数据访问,如ADSI,OLE DB等。
由此看来,活动目录是Windows2000网络体系结构必不可少的、不可分割的重要组件,可以这样说:没有活动目录,就没有Windows2000。所以理解活动目录,对于理解Windows2000的整体价值是十分重要的。要理解活动目录。我们必须从它的逻辑结构和物理结构入手。在此,我为大家介绍活动目录的逻辑结构。
1、 层次化的目录结构
活动目录层次结构
如图1所示,Windows2000的活动目录是由组织单元(OU)、域(Domain)、域树(Tree)、森林(Forest)构成的层次结构。活动目录为每个域建立一个目录数据库的副本,这个副本只存储用于这个域的对象。如果多个域之间有相互关系,它们可以构成一个域树。在每个域树中,每个域都拥有自己的目录数据库副本存储自己的对象,并且可以查找域树中其它目录数据库的副本。多个域树构成了森林。Windows2000活动目录的这种层次结构使得企业网络具有很强的扩展性,便于组织、管理以及目录定位。这一点,NT4.0的域模型,不论是多主域模型还是完全信任域模型都无法与Windows2000活动目录结构模型相比。Windows2000活动目录更适合企业的目录服务。
2、面向对象的存储
正如前面所提到的,活动目录以对象的形式存储关于网络元素的信息,对象是对象类(模式:对象schema Object)的一个实例,而每个对象类都有很多属性,这些属性描述了某种对象类的特殊特征。这使得组织机构可以在目录中存储广泛的信息,从而便于组织、管理和控制对它的访问。这种面向对象的存储机制同时也实现了对象的安全,因为对象的属性被封装在对象内部。当然,所有这些对象都有一个全局唯一的标志。
3、域、域树、森林
域是NT活动目录的核心单元,是对象(如计算机、用户等)的容器,这些对象有相同的安全需求、复制过程和管理。在域中,所有的域控制器都是平等的。活动目录以多主复制模型在域控制器间实现目录复制。一个域可以是其它域的子域或父域,这些子域、父域构成了一棵树------域树。域树实现了连续的域名空间,域树上的域共享相同的DNS域名后缀。域树的第一个域是该域树的根(root),域树中的每一个域共享共同的配置、模式对象、全局目录(Global catalog)。多棵域树就构成了森林。森林中的域树不共享连续的命名空间。森林中的每一域树拥有它自己的唯一的命名空间。在森林中创建的第一棵域树缺省地被创建为该森林的根树(Root Tree).
4、使用包容结构建立组织模型
组织单元是组织、管理一个域内的对象的容器,它能包容用户帐号、用户组、计算机、打印机 和其它的组织单元。很明显,通过组织单元的包容,组织单元具有很清楚的层次结构。这种包容结构可以使管理者把组织单元切入到域中以反应出企业的组织结构并且可以委派任务与授权。建立包容结构的组织模型能够帮助我们解决许多问题,同时仍然可以使用大型的域、域树中每个对象都可以显示在全局目录,从而用户就可以利用一个服务功能轻易地找到某个对象而不管它在域树结构中的位置。 从上面我们对活动目录的逻辑结构的介绍,我们可以看出:活动目录的这种层次结构能帮助我们简化管理、加强网络安全、轻易地查找所需要的对象和资源,在大型企业网络环境下我们再也不会因为找不到共享资源而头痛。
目录服务
Active Directory提供集中组织、管理和控制对网络资源访问的方法。
1.Active Directory命名规范:
Distinguished Name: DC=com,DC=contoso,CN=Users,CN=James Smith表示用户对象James Smith在contoso.com域中
Relative Distinguished Name: 是Distinguished Name的一部分
User Principal Name: 由用户登录名和域名组成,如[email]JamesS@contoso.com[/email]
GUID: Active Directory中的每一个对象都有唯一的GUID
2.Active Directory的逻辑结构:
Domain:安全边界,每个域有自己的安全策略 Active Directory复制的单元有Mixed Mode和Native Mode(域控制器都是Win2000)
b Organizational Units:用于存放对象的容器,如用户账号、组、计算机等 可容纳对象和其他OU 可按地理或逻辑需要创建OU
Tree:共享连续的命名空间,管理员可在树中任何一个域进行管理
Forest:一组树构成了森林,但不共享连续的命名空间 Trust
Relationship:支持单向、非传递性的和双向、传递性的信任关系 双向信任在Win2000中是缺省的
3.Active Directory的物理结构:
Site:一个或多个通过高速连接的IP子网构成了Site Site允许配置目录访问和复制的拓扑结构 创建Site是为了优化复制流量和允许用户更好地访问域控制器
Domain Controller: Active Directory使用多主复制模型,不存在主域控制器,域控制器之间相互复制目录数据
Global Catalog: 包含Active Directory中对象属性的子集,最常访问的属性 被存放在Global Catalog中
4.Active Directory复制组件:
Knowledge Consistency Checker(KCC): Active Directory通过KCC自动配置域控制器之间的复制连接KCC是域控制器的内建进程,它创建连接以保持复制拓扑的完整性
Server Object: 当创建域控制器时,会自动创建一个Server Object,它和域控制器的Computer Object不一样,尽管都指向同一个计算机。Server Object主要用于域控制器的复制和站点管理。Server Object是Site Object的子对象。Site Object应包含域控制 器所在的子网。
NTDS Setting Object:包含Connection Object对象的容器
Connection Object:两个Server Object之间复制的一个单向连接可由KCC自动创建或管理员手动创建
5.在一个站点内复制:
当域控制器的对象发生了变化,产生一个Change notification进程,缺省等5分钟后发送消息给复制伙伴。而且复制流量是未压缩的。复制采用的协议 是RPC over IP(remote procedure call)---提供高速、一致的连接性。
6.在多个站点之间复制:
通过schedule、interval等值来进行配置。例如,schedule决定什么时候开始复制,而interval决定多长时间间隔域控制器检查改变是否发生。而且,复制流量是被压缩的,压缩比大约为10%-15% 。复制采用的协议是RPC over IP或 SMTP,但SMTP只能用于不同域的域控制器之间的复制,大多数情况下,采用RPC over IP。
7.连接多个Sites:
需要额外的对象---Site links和Site link bridges
Site Links---表示两个Site之间的连接的对象。缺省时创建DefaultIPSiteLink。 可以为Site link指定一些Value:
Cost---反映连接的带宽。值从1到32767。值越大表示连接速度 越满,缺省时为100。另外,应保证Cost的选择是成比例的。
Interval---复制的时间间隔。
Schedule---定义什么时候可以复制,缺省时,所用时间段均可。
Site Link Bridges---表示一组采用相同复制协议的Site Links。缺省时,所有采用相同复制协议的Site Links属于某个Site Link Bridge, 而且在完全路由的网络中,不需手工配置。
页:
[1]