windows 2000中的活動目錄

我想如今用過win2000的人已經為數不少，他增加了許多新的特性，這其中當然少不了AD(活動目錄)，下面就讓我們去了解一下這個看似神秘的東西。

首先讓我們先了解一下AD的由來，談到活動目錄最使人容易想起的就是Dos下的'目錄'、'路徑'和Windows9X/ME下'文件夾'，那個時候的'目錄'或'文件夾'僅代表一個文件存在磁盤上的位置和層次關系，一個文件生成之后相對來說這個文件的所在目錄也就固定了（當然可以刪除、轉移等，現在不考慮這些），也就是說它的屬性也就相對固定了，是靜態的。這個目錄所能代表的僅是這個目錄下所有文件的存放位置和所有文件總的大小，并不能得出其它有關信息，這樣就影響到了整體使用目錄的效率，也就是影響了系統的整體效率，使系統的整個管理變得復雜。因為沒有相互關聯，所以在不同應用程序中同一對象要進行多次配置，管理起來相當繁鎖，影響了系統資源的使用效率。為了改變這種效率低下的關系和加強與Internet上有關協議的關聯，Microsoft公司決定在WIN2K中全面改革，也就是引入活動目錄的概念。理解活動目錄的關鍵就在于'活動'兩個字，千萬不要將'活動'兩個字去掉而僅僅從'目錄'兩個字去理解，那你我理來理去一定還是不能脫離原來在DOS下目錄或Windows9x下的文件夾，正因為這個目錄是活動的，所以它是動態的，它是一種包含服務功能的目錄，它可以做到'由此及彼'的聯想、映射，如找到了一個用戶名，就可聯想到它的賬號、出生信息、E-mail、電話等所有基本信息，雖然組成這些信息的文件可能不在一塊。同時不同應用程序之間還可以對這些信息進行共享，減少了系統開發資源的浪費，提高了系統資源的利用效率。

活動目錄包括兩個方面：目錄和與目錄相關的服務。目錄是存儲各種對象的一個物理上的容器，從靜態的角度來理解這活動目錄與我們以前所結識的'目錄'和'文件夾'沒有本質區別，僅僅是一個對象，是一實體；而目錄服務是使目錄中所有信息和資源發揮作用的服務，活動目錄是一個分布式的目錄服務，信息可以分散在多臺不同的計算機上，保證用戶能夠快速訪問，因為多臺機上有相同的信息，所以在信息容氏方面具有很強的控制能力，正因如此，不管用戶從何處訪問或信息處在何處，都對用戶提供統一的視圖。

下面我們了解一下活動目錄的結構：

在上一篇對活動目錄有個基本了解之后下面我就來接觸一下活動目錄實質上的一面--活動目錄的結構。上篇我們講到活動目錄是包括兩方面：目錄和目錄相關的服務。目錄是存儲各種對象的一個物理上的容器，與我們平常所說的目錄沒什么區別，目錄管理的基本對象是用戶、計算機、文件以及打印機等資源。而目錄服務是使目錄中所有信息和資源發揮作用的服務，如用戶和資源管理、基于目錄的網絡服務、基于網絡的應用管理，它才是WIN2K活動目錄的關鍵和精髓所在。目錄服務是WIN2K網絡操作系統的核心支柱，也是中心管理機構，所以目錄服務的引入對整個操作系統帶來了革命性的變化，不僅系統平臺上的各基礎模塊，比如網絡安全機制、用戶管理模塊等發生了變化，而且上層應用的運作方式以及開發模式也有了相應的變化。這樣來理解'活動目錄'是不是覺得更加容易？

同時活動目錄是一個分布式的目錄服務，因為信息可以分散在多臺不同的計算機上，保證各計算機用戶快速訪問和容錯；同時不管用戶從何處訪問或信息處在何處，對用戶都提供統一的視圖，使用戶覺得更加容易理解和掌握WIN2K系統的使用?；顒幽夸浖闪薟IN2K服務器的關鍵服務，如域名服務(DNS)，消息隊列服務（MSMQ），事務服務（MTS）等。在應用方面活動目錄集成了關鍵應用，如電子郵件、網絡管理、ERP等。要理解活動目錄，我們必須從它的邏輯結構和物理結構入手。

一、活動目錄的邏輯結構

'邏輯'兩個字相信大家平時見的比較多，如我們常說的'邏輯思維、邏輯分析'等，也許大家一講到'邏輯'兩個字就覺得十分抽象，難以理解。其實我們在這里所講的'邏輯結構'，我覺得還是很好理解的，'邏輯'一般與'物理'是對等的，我們知道'物理上的'是指實實在在的，那么'邏輯上的'不就是指非物理上的，非實體的東西，它是一種抽象的東西，比如講一種'關系'、一個'空間、范圍'等。在第一篇我們講過活動目錄的邏輯結構非常靈活，有目錄樹、域、域樹、域林等，這些名字都不是實實在在的一種實體，只是代表了一種關系，一種范圍，如目錄樹就是由同一名字空間上的目錄組成，而域又是由不同的目錄樹組成，同理域樹是由不同的域組成，域林是由多個域樹組成。它們是一種完全的樹狀、層次結構視圖，這種關系我們可以看成是一種動態關系。邏輯結構還與前面討論過的名字空間有直接關系，邏輯結構為用戶和管理員在一定的名字空間中查找、定位對象提供了極大方便?；顒幽夸浿械倪壿媶卧饕ǎ?/p>

1、域、域樹、域林

　域既是WIN2K網絡系統的邏輯組織單元，是對象（如計算機、用戶等）的容器，這些對象有相同的安全需求、復制過程和管理，這一點對于網管人員應是相當容易理解的。在WIN2K中域中所有的域控制器都是平等的（這一點與WINNT4.0不一樣，沒有主、副之分），域是安全邊界，域管理員只能管理域的內部，除非其他的域顯式地賦予他管理權限，他才能夠訪問或管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關系。在這里就涉及到了不同域之間的信任關系及傳遞關系，下面就具體講一下WIN2K中的域信任關系。

域與域之間具有一定的信任關系，域信任關系使得一個域中的用戶可由另一域中的域控制器進行驗證，才能使一個域中的用戶訪問另一個域中的資源。所有域信任關系中只有兩種域：信任關系域和被信任關系域。信任關系就是域A信任域B，則域B中的用戶可以通過域A中的域控制器進行身份驗證后訪問域A中的資源，則域A與域B之間的關系就是信任關系。被信任關系就是被一個域信任的關系，在上面的例子中域B就是被域A信任，域B與域A的關系就是被信任關系。信任與被信任關系可以是單向的，也可以是雙向的，即域A與域B之間可以單方面的信任關系，也可以是雙方面的信任關系。

而在域中傳遞信任關系不受關系中兩個域的約束，是經父域向上傳遞給域目錄樹中的下一個域，也就是說如果域A信任域B，則域A也就信任域B下面的子域域B1、域B2……，傳遞信任關系總是雙向的：關系中的兩個域互相信任（是指父域與子域之間）。默認情況下，域目錄樹或目錄林（目錄林可以看做是同一域中的多個目錄樹組成）中的所有WiIN2K 信任關系都是傳遞的。通過大大減少需管理的委托關系數量，這將在很大程度上簡化域的管理。 WIN2K中的域傳遞信任關系一般是系統自動的，但對于相同域目錄樹或林中的WiIN2K域，也可以顯式（手工）地創建傳遞信任關系。這對于形成交叉鏈接信任關系是非常重要的。不傳遞信任關系受關系中兩個域的約束，并且不經父域向上傳遞到域目錄樹中的下一個域。必須顯式地創建不傳遞信任關系。默認情況下，不傳遞信任關系是單向的，盡管也可以通過創建兩個單向信任關系創建一個雙向關系。所有不屬于相同域目錄樹或林中WiIN2K 域間建立的委托關系都是不傳遞的。所有WiIN2K域和WINNT域之間的委托關系都是不傳遞的，這一點對于一個企業同時使用WIN2K和WINNT域控制器時應特別注意，當從 WindowsNT升級到WiIN2K時，所有已現有的WindowsNT信任關系都將保持不變。在混合模式的網絡中，所有WindowsNT信任關系都是不傳遞的。WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和MITKerberosV5領域單向單向信任關系是單獨的委托關系。雙向信任關系包括一對單向委托關系，所有傳遞信任關系都是雙向的。為使不傳遞信任關系成為雙向，必須在所涉及的域間創建兩個單向信任關系。

2、組織單元（OU）

組織單元（OU）是一個容器對象，它也是活動目錄的邏輯結構的一部分，我們可以把域中的對象組織成邏輯組，它可以幫助我們簡化管理工作。OU可以包含各種對象，比如用戶賬戶、用戶組、計算機、打印機等，甚至可以包括其他的OU，所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構。對于企 業來講，可以按部門把所有的用戶和設備組成一個OU層次結構，也可以按地理位置形成層次結構，還可以按功能和權限分成多個OU層次結構。很明顯，通過組織單元的包容，組織單元具有很清楚的層次結構，這種包容結構可以使管理者把組織單元切入到域中以反應出企業的組織結構并且可以委派任務與授權。建立包容結構的組織模型能夠幫助我們解決許多問題，同時仍然可以使用大型的域、域樹中每個對象都可以顯示在全局目錄，從而用戶就可以利用一個服務功能輕易地找到某個對象而不管它在域樹結構中的位置。

由于OU層次結構局限于域的內部，所以一個域中的OU層次結構與另一個域中的OU層次結構沒有任何關系。因為活動目錄中的域可以比NT4的域容納更多對象，所以一個企業有可能只用一個域來構造企業網絡，這時候我們就可以使用OU 來對對象進行分組，形成多種管理層次結構，從而極大地簡化網絡管理工作。組織中的不同部門可以成為不同的域，或者一個組織單元，從而采用層次化的命名方法來反映組織結構和進行管理授 權。順著組織結構進行顆?；墓芾硎跈嗫梢越鉀Q很多管理上的頭疼問題，在加強中央管理的同時，又不失機動靈活性。

WINNT4.0中的很多域都可以成為OU，建立起更大的域和更簡化的域關系，借助全局目錄(GlobalCatalog)，用戶和管理員仍然能夠迅速地找到對象和管理對象。 WIN2K可以在現存的WINNT4.0的環境中工作，保護現有的投資。

　二、活動目錄的物理結構

進制-活動目錄中，物理結構與邏輯結構有很大的不同，它們是彼此獨立的兩個概念。邏輯結構側重于網絡資源的管理，而物理結構則側重于網絡的配置和優化。活動目錄的物理結構主要著眼于活動目錄信息的復制和用戶登錄網絡時的性能優化。物理結構的兩個重要概念是站點和 域控制器。

1、站點

站點是由一個或多個IP子網組成，這些子網通過高速網絡設備連接在一起。站點往往由企業的物理位置分布情況決定，可以依據站點結構配置活動目錄的訪問和復制拓撲關系，這樣能使得網絡更有效地連接，并且可使復制策略更合理，用戶登錄更快速， 活動目錄中的站點與域是兩個完全獨立的概念，一個站點中可以有多個域，多個站點也可以位于同一域中。

活動目錄站點和服務可以通過使用站點提高大多數配置目錄服務的效率。可以通過使用活動目錄站點和服務向活動目錄發布站點的方法提供有關網絡物理結構的信息，活動目錄使用該信息確定如何復制目錄信息和處理服務的請求。計算機站點是根據其在子網或一組已連接好子網中的位置指定的，子網提供一種表示網絡分組的簡單方法，這與我們常見的郵政編碼將地址分組類似。將子網格式化成可方便發送有關網絡與目錄連接物理信息的形式，將計算機置于一個或多個連接好的子網中充分體現了站點所有計算機必須連接良好這一標準，原因是同一子網中計算機的連接情況通常優于網絡中任意選取的計算機。使用站點的意義主要在于：

（1）、提高了驗證過程的效率

當客戶使用域帳戶登錄時，登錄機制首先搜索與客戶處于同一站點內的域控制器，使用客戶站點內的域控制器首先可以使網絡傳輸本地化，加快了身份驗證的速度，提高了驗證過程的效率。

（2）、平衡了復制頻率

活動目錄信息可在站點內部或站點與站點之間進行信息復制，但由于網絡的原因，活動目錄在站點內部復制信息的頻率高于站點間的復制頻率。這樣做可以平衡對最新目錄信息需求和可用網絡帶寬帶來的限制。您可通過站點鏈接來定制活動目錄如何復制信息以指定站點的連接方法，活動目錄使用有關站點如何連接的信息生成連接對象以便提供有效的復制和容錯。

（3）、可提供有關站點鏈接信息

　活動目錄可使用站點鏈接信息費用，鏈接使用次數，鏈接何時可用以及鏈接使用頻度等信息確定應使用哪個站點來復制信息，以及何時使用該站點。定制復制計劃使復制在特定時間（諸如網絡傳輸空閑時）進行會使復制更為有效。通常，所有域控制器都可用于站點間信息的交換，但也可以通過指定橋頭堡服務器優先發送和接收站間復制信息的方法進一步控制復制行為。當擁有希望用于站間復制的特定服務器時，寧愿建立一個橋頭堡服務器而不使用其他可用服務器。或在配置使用代理服務器時建立一個橋頭堡服務器，用于通過防火墻發送和接收信息。

　2、域控制器

　域控制器是指運行WIN2KServer版本的服務器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復制到同一個域中的其他域控制器上，使各域控制器上的目錄信息處于同步。域控制器也負責用戶的登錄過程以及其他與域有關的操作，比如身份鑒定、目錄信息查找等一個域可以有多個域控制器。規模較小的域可以只需要兩個域控制器，一個實際使用，另一個用于 容錯性檢查。規模較大的域可以使用多個域控制器。

　WIN2K的域結構與WINNT的域結構不同的是，活動目錄中的域控制器沒有主次之分，活動目錄采用了多主機復制方案，每一個域控制器都有一個可寫入的目錄副本，這為目錄信息 容錯帶來了無盡的好處。盡管在某一個時刻，不同的域控制器中的目錄信息可能有所不同，但一旦 活動目錄中的所有域控制器執行同步操作之后，最新的變化信息就會一致。 盡管活動目錄支持多主機復制方案，然而由于復制引起的通信流量以及網絡潛在的沖 突，變化的傳播并不一定能夠順利進行。因此有必要在域控制器中指定全局目錄服務器以及操 作主機。--全局目錄是一個信息倉庫，包含活動目錄中所有對象的一部分屬性，往往是在查詢過 程中訪問最為頻繁的屬性。利用這些信息，可以定位到任何一個對象實際所在的位置，而全局目 錄服務器是一個域控制器，它保存了全局目錄的一份副本，并執行對全局目錄的查詢操作。全局 目錄服務器可以提高活動目錄中大范圍內對象檢索的性能，比如在域林中查詢所有的打印機操 作。如果沒有一個全局目錄服務器，那么這樣的查詢操作必須要調動域林中每一個域的查詢過 程。如果域中只有一個域控制器，那么它就是全局目錄服務器如果有多個域控制器，那么管理員 必須把一個域控制器配置為全局目錄控制器。

最后我們討論一下活動目錄的配置問題：

　在前面我們知道'活動目錄'是整個WIN2K系統中的一個關鍵服務，它不是孤立的，它與許多協議和服務有著非常緊密和關系，還涉及到整個WIN2K系統的系統結構和安全。安裝'活動目錄'不是安裝一般Windows組件那么簡單，在安裝前要進行一系列的策劃和準備。否則輕則根本無法享受到活動目錄所帶來的優越性，重則不能正確安裝'活動目錄'這項服務。

　1、首先在 安裝活動目錄之前，必須保證已經有一臺機器安裝了WIN2K Server 或者Advanced Server，且至少有一個NTFS分區， 而且已經為TCP/IP 配置了DNS協議，并且DNS服務支持SRV記錄和動態更新協議。

　2、其次是要規劃好整個系統的域結構，活動目錄它可包含一個或多個域，如果整個系統的目錄結構規劃得不好，層次不清就不能很好地發揮活動目錄的優越性。在這里選擇根域（就是一個系統的基本域）是一個關鍵， 根域名字的選擇可以有以下幾種方案：

　1）可以使用一個已經注冊的DNS 域名作為活動目的根域名，這樣的好處在于企業的公共網絡和私有網絡使用同樣的DNS名字。

　2）我們還可使用一個已經注冊的DNS域名的子域名作為活動目錄的根域名。

　3）為活動目錄選擇一個與已經注冊的DNS域名完全不同 的域名。這樣可以使企業網絡在內部和互聯網上呈現出兩種完全不同的命名結構。 4）把企業網絡的公共部分用一個已經注冊的DNS域名進行命名，而私有網絡用另一個內部域名，從名字空間上把兩部分分開，這樣做就使得每一部分要訪問另部時必須使用對方的名字空間來標識對象。

　3、再一個就是要進行域和帳戶命名策劃，因為使用活動目錄的意義之一就在于使內、外部網絡使用統一的目錄服務，采用統一的命名方案，以方便網絡管理和商務往來?；顒幽夸浻蛎ǔＪ窃撚虻耐暾鸇NS名稱，但是為確保向下兼容，每個域最好還有一個WIN2K以前版本的名稱，以便在運行WIN2K以前版本的操作系統的計算機上使用。用戶帳戶在活動目錄中，每個用戶帳戶都有一個用戶登錄名、一個WIN2K以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個用戶主要名稱后綴。在創建用戶帳戶時，管理員輸入其登錄名并選擇用戶主要名稱，活動目錄建議 WIN2K 以前版本的用戶登錄名使用此用戶登錄名的前 20 個字節?；顒幽夸浢呗允瞧髽I規劃網絡系統的第一個步驟，命名策略直接影 響到網絡的基本結構，甚至影響網絡的性能和可擴展性。活動目錄為現代企業提供了很好的參考模型，既考慮到了企業的多層次結構，也考慮到了企業的分布式特性，甚至為直接接入Internet提供完全一致的命名模型。

　所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 WIN2K 域的標準用法。標準格式為：user@domain.com (象個人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號。活動目錄 在創建用戶主要名稱時自動添加此符號。包含多個 @ 號的用戶主要名稱是無效的。

　在活動目錄中，默認的用戶主要名稱后綴是域樹中根域的 DNS名。如果用戶的單位使用由部門和區域組成的多層域樹，則對于底層用戶的域名可能很長。對于該域中的用戶，默認的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認的登錄名可能是 user@grandchild.child.root.com 。這要一來用戶登錄時就要輸入的用戶名可能太長，輸入起來就非常不方便，WIN2K為了解決這一問題，規定在創建主要名稱后用戶只要在根域后加上相應的用戶名， 使同一用戶使用更簡單的登錄名 user@root.com 就可以登錄，而不是前面所提到的那一長串。

　4、最后就是要注意設置規劃好域間的信任關系，對于WIN2K計算機，通過基于 Kerberos V5 安全協議的雙向、可傳遞信任關系啟用域之間的帳戶驗證。在域樹中創建域時，相鄰域（父域和子域）之間自動建立信任關系。在域林中，在樹林根域和添加到樹林的每個域樹的根域之間自動建立信任關系。如果這些信任關系是可傳遞的，則可以在域樹或域林中的任何域之間進行用戶和計算機的身份驗證。

　如果將 WIN2K 以前版本的 Windows域升級為WIN2K域時，WIN2K域將自動保留域和任何其他域之間現有的單向信任關系。包括WIN2K以前版本的Windows域的所有信任關系。如果用戶要安裝新的WIN2K域并且希望與任何WIN2K以前版本的域建立信任關系，則必須創建與那些域的外部信任關系。

二、活動目錄的安裝

　所有的新安裝都是安裝成為Member Server，如果您在新安裝WIN2K SERVER時選擇安裝了'活動目錄'選項，則系統就會出現類似于'如果您此時安裝活動目錄則系統中的所有域名就不能再次改變……'之類的提示。一般情況下我們在新安裝系統時不選擇安裝活動目錄，以便我們有時間來具體規劃與活動目錄有關的協議和系統結構。目錄服務都需要事后用 Dcprom o的命令特別安裝。目錄服務還可以卸載，而不用象在安裝Windows NT 4.0那樣，一開始就要定終身，系統會區分域控制器還是Member Server，兩者之間不可轉換。 Dcpromo是一個圖形化的向導程序，引導用戶一步一步地建立域控制器，可以新建一 個域森林，一棵域樹，或者僅僅是域控制器的另一個備份，非常方便。很多其他的網絡服 務，比如DNS Server、DHCP Server和 Certificate Server等，都可以在以后與活動目錄 集成安裝，便于實施策略管理等。 這個圖形化界面向導程序也沒有什么特別之處，只要我們在前面理解好了活動目錄的含義，并進行了安裝前的一系列規劃，則可以很容易完成所有的安裝任務。

　在活動目錄安裝之后，主要有三個活動目錄的微軟管理界面（MMC），一個是活動目 錄用戶和計算機管理，主要用于實施對域的管理；一個是活動目錄的域和域信任關系的管 理，主要用于管理多域的關系；還有一個是活動目錄的站點管理，可以把域控制器置于不 同的站點。一般局域網的范圍內，為一個站點，站點內的域控制器之間的復制是自動進行 的；站點間的域控制器之間的復制，需要管理員設定，以優化復制流量，提高可伸縮性。 從活動目錄管理界面，還可以在站點、域和組織單元中用鼠標右鍵點擊，啟動組策略 （Group Policy）的管理界面，實施對對象的細致管理。

　對于站點、域和組織單元，管理員還可以方便地進行管理授權。右鍵點擊它們就可以啟動'管理授權 向導'，一步一步地設定哪些管理員對于哪些對象有什么樣的管理權限。比如說企業內部 技術支持中心的管理員，只有復位用戶口令的權限，沒有創建和刪除用戶賬號的權限。這 種更細致的管理方法，成為'顆粒化'。

　另外，活動目錄還充分地考慮到了備份和恢復目錄服務的需要，WIN2K備份工具中有專門備份活動目錄的選項，在出現意外事故的時候，可以在機器啟動時按F8進入安全恢復模式，保證減少災難的惡性影響。