⒈域

Windows NT的目录服务提供了"域"的概念, 在Windows NT4.0 Server中,域是网络服务器和网络工作站的逻辑分组,是Windows NT4.0 Server目录服务的管理单元,它们共享由域控制器进行管理的公用安全机制和用户账号信息。在域中网络管理员使用“域用户管理器”为每个用户创建一个用户账号,使得用户每次登录上网时,不是针对某个具体的服务器而是整个域。一般情况下网络用户登录时必须登录到网络中某个服务器上才能使用该服务器上的信息资源,对于 Windows NT所提供的目录服务来说,用户是面向同一域中的整个网络,只要该用户账号被授予了足够的权限,就可以访问整个网络的所有资源。

由于“域”概念的引人,使得 Wndows NT4.D Server的目录服务具有以下几个特点:

⑴ 单用户登录多个服务器

网络用户通过一次网络登录可以连接到多个服务器上,目录服务将这种登录方式应用于所有的 Wndows NT 4.0 Server的服务以及服务器应用程序。

⑵ 集中式网络管理

从网络上的任何一台工作站可集中查看整个网络,可以在分布式网络上跟踪并管理用户、组和资源的信息。对多服务器的单点管理简化了基于 Windows NT 4.0 Server的网络管理。

⑶ 全面访问网络资源

所有用户在使用整个网络上的可用资源时都需要一个域用户账号和密码。通过目录服务,可以扩展用户账号的有效性,使那些合法用户能够访问网络上的多个域。

⒉目录服务

Windows NT 4.0 Server 目录眼务对用户来说是不可见的,但对 Windows NT 4.0 Server 域中的用户账号和组账号进行管理时,它们将作出响应。域的所有安全机制信息和用户账号信息均存储在目录数据库中,而目录数据库又保存在服务器中,并复制到备份服务器,通过有规律的同步处理来保证数据库的安全,简化该数据库使用的操作系统服务称为目录服务。当用户登录到域时, Wndows NT Server 系统通过与目录数据库中的内容进行对照来检查请求登录用户名和密码的合法性。

⒊域控制器

在域中,域控制器是运行 Windws NT Nerver的计算机,它们共享同一个存储着整个域的安全规则和用户账号等信息的目录数据库,从而构成一个管理单元。域控制器管理着用户和域之间交互作用的所有方面,域控制器使用目录数据库中的信息对登录到域的用户账号进行验证,以确定其合法性。域控制器包括以下两种:

⑴ 主域控制器(PDC)

每个域中的只有一台计算机称为主域控制器,它负责用户账号的维护。主域控制器是安装过程中首次被命名为域中一部分的 Windows NT服务器。主域控制器包含域的用户账号和安全规则的原始列表,任何时候,管理员对域中用户账号的修改,都会即时记录到主域控制器的目录数据库中。所有目录数据库信息的修改都在主域控制器中进行。当主域控制器不在当前工作状态时,目录数据库中的信息不能被改动。

⑵ 备份域控制器(DBC)。

在域中安装 Windows NT Server的计算机时,可以将其设置为备份域控制器。备份域控制器自动地、周期性地复制主域控制器中的目录数据库,即保持与主域控制器的同步。备份域控制器也对用户登录进行验证。在一个域中,可imac u盘装win7以有多个备份域控制器,当主域控制器失效时,管理员可以将备份域控制器升级为主域控制器。这时目录数据库中可能丢失的用户账号数据仅仅是没有复制到备份域控制器上的最新变动数据。

当在计算机上安装 Windows NT Server 并决定用它作为主域控制器时 , 就创建了一个域 , 在域中可以根据需要建立多个备份域控制器,以便分担网络登录验证的负荷。在较小的网络中 , 一个域有一个主域控制器和备份域控制器即可。在 windows 2000 Server 网络中,只有域控制器和成员服务器,没有主域控制器和备份域控制器之分。

⒋域的优点

将计算机按域分组,给网络管理员和网络用户带来两个主要的优点:

⑴ 域中的域控制器服务器形成了共享安全机制及用户账号信息的单个管理单元。 管理员只需为每个用户管理一个账号,而每个用户也只需使用一个账号。通过将管理单元从单个服务器扩展到整个域, Windows NT Server节省了管理员和用户的时间和精力。

⑵ 用户使用非常方便。当用户浏览网上可用资源时,首先看到的是按域分组的网络,而不是整个网络上的所有服务器和打印机。域的这个特点与 Windows 95/98中的工作组概念是一致的。

Windows 2000 Server对Windows NT 4.0的重要改进之一是在“活动目录”的目录服务技术基础上,建立了一套全面的、分布式底层服务。活动目录采用了Internet的标准技术,并集成在系统中,是一套具有扩展性的多用途目录服务技术。它可使用域名服务器进行寻址,将域中的各种资源对象如:文件、外部设备、数据库、Web存取、用户和其他独立对象及服务等组织为统一的层次结构,并允许将多个域连接为树状结构,有效地简化了网络用户及资源的管理,使用户很容易找到网络为他们提供的资源。

Windows 2000Server的目录服务能力由活动目录来完成。活动目录包括两个方面:目录和目录相关的服务。目录是存储各种对象的一区域,目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务、基于网络的应用管理。活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证快速访问和容错;同时不管用户从何处访问或信息处在何处,对用户都提供统一的界面视图。微软活动目录还广泛地采用了Internet标准,集成了关键服务,如域名服务(DNS)、消息队列服务(MSMQ)、事务服务(MTS)等;集成了关键应用,如电子邮件、网管等:同时还集成了当令的关键的数据访问,如ADSI、OLE DB等。因此,活动且录是Windows 2000 Server的重要组件。以下简单介绍活动目录的逻辑结构。

1.层次化的目录结构

Windows 2000 Server的活动目录是由组织单元(OU)、域(Domain)、域树(Tree)、森林(Forest)构成的层次结构。活动目录为每个域建立一个目录数据库的副本,这个副本只存储用于这个域的对象。如果多个域之间有相互关系,它们可以构成一个域树。在域树中,每个域都拥有自己的目录数据库副本存储自己的对象,并且可以查找域树中其他目录数据库的副本。多个域树构成了森林。Wndows 200Server活动目录的这种层次结构使得企业网络具u盘装系统有很强的扩展性,便于组织、管理以及目录定位。在这点上,windows NT 4.0的域模型,不论是多主域模型还是完全信任域模型都无法与Windows 2000Server活动目录结构模型相比,Wndows 2000Server活动目录更适合企业的目录服务。

⒉面向对象的存储

正如前面所提到的,活动目录以对象的形式存储关于网络元素的信息,对象是对象类(模式对象 schema Object)的一个实例,而每个对象类都有很多属性,这些属性描述了某种对象类的特殊特征。这使得组织机构可以在目录中存储广泛的信息,从而便于组织、管理和控制对它的访问。这种面向对象的存储机制同时也实现了对象的安全,因为对象的属性被封装在对象内部。当然,所有这些对象都有一个全局唯一的标志。

⒊域、域树、森林

域是活动目录的核心单元,是存放对象(如计算机、用户等)的容器,这些对象有相同的安全需求、复制过程和管理。在域中,所有的域控制器都是平等的。活动目录以多主复制模型在域控制器间实现目录复制。一个域可以是其他域的子域或父域,这些子域、父域构成了一棵树—域树。

域树实现了连续的域名空间,域树上的域共享相同的 DNS域名后缀。域树的第一个域是该域树的根(root),域树中的每一个域共享共同的配置、模式对象和全局目录(Global catalog)。多棵域树就构成了森林。森林中的域树不共享连续的命名空间。森林中的每一域树拥有它自己的、唯一的命名空间。在森林中创建的第一棵域树缺省地被创建为该森林的根树(Root Tree)。

⒋使用包容结构建立组织模型

组织单元是组织、管理一个域内的对象的容器,它能包容用户账号、用户组、计算机、打印机和其他的组织单元。显然,通过组织单元的包容,可以形成清楚的层次结构。这种包容结构可以使管理者把组织单元加入到域中以反映出企业的组织结构并且可以委派任务与授权。建立包容结构的组织模型有利于我们解决许多问题,同时仍然可以使用大型的域、域树中每个对象都可以显示在全局目录中,使用户利用一个服务功能就可以轻易地找到某个对象而不管它在域树结构中的位置。

从上面对活动目录的逻辑结构的介绍可以看出:活动目录的这种层次结构能帮助简化管理、加强网络安全、轻易地查找所需要的对象和资源,在大型企业网络环境下再也不会因为找不到共享资源而头痛。

查看和管理 Active Directory的工具主要需使用Windows 2000 Server系统一同提供的三个管理工具:

l.Active Directory用户和计算机。

2.Active Directory域和信任关系。

3.Active Directory站点和Ik务。

另外,系统 Active Directory Schema和ADSI工具主要用于活动目录的开发使用。由于Active Directory域和信任关系和Active Directory站点和服务工具主要用于管理多个服务器或多个域之间的关系和配置,本章后面将只介绍用户对活动目录进行配置时使用最频繁的工具:Active Directory用户和计算机。