Windows 2000/XP网络组建 与系统管理李燕中南分校活动目录的逻辑结构Acitive Directory（活动目录）是用于Windows 2000 Server的目录服务。它存储着网络上各种对象 的有关信息，并使这些信息易于被管理员和用户查找 及使用。对于Windows 2000 Server网络管理员来 说，活动目录起着十分重要和关键的作用。所以，学 习并掌握活动目录域、树和树林的作用与管理是非常 重要的。本章主要阐述的是Windows 2000 Server中活动 目录的功能、逻辑结构和物理结构。Windows 2000 活动目录概述活动目录的基本概念 什么是活动目录（Acitive Directory） ？ 从字面上来看活动目录由“活动”和“目录”两部 分组成，其中“活动”是用来修饰“目录”，其核心 是“目录”两个字，而目录代表的是目录服务（ Directory Service）。当拿到一本新书时首先看到的就是目录，通过目录 能知道书中有哪些具体内容。目录服务与目录不同， 目录服务是一种网络服务，它存储网络资源的信息并 使用户和应用程序能访问这些资源。活动目录中的“目录”的理解包括两个方面：目 录和目录服务。目录负责存储、组织并检索网络中的对象。这意味着它包含用户和组、工作站和服务器、策略和脚 本、打印机和队列、交换机和路由器，以及所有与 计算机有关的设备。目录服务使系统管理员能够定义和管理对象及其 特征，以便它们能被用户和应用程序使用。 活动目录的基本概念简单点说，目录是不同种类的对象的物理存储容 器。例如：电话薄是一个目录，它包含电话号码和地址；服务是使目录中的所有信息和资源可用；例如：允许用户查询电话薄的应用程序就是目录服务的一个例子。活动目录的基本概念“活动”说明这个目录是动态的、可以扩展的，具 体体现如下：（1）活动目录中对象的数量是没有限制的。Windows NT 4.0的域中对象的数目不能超过四万个，域中没有活动目录的概念，如果一个域中超过了 四万个对象就必须使用多域进行管理了。Windows 2000 Server的活动目录中对象的数目是没有限制的，可以是十万、百万甚至更多。活动目录的基本概念（2）活动目录中对象的属性是可以增加的。每一个对象都是用它的属性进行描述的，活动目录 对象的管理实际上就是对对象属性的管理，而对象的 属性是可能发生变化的。比如：联系方式这个属性可以是通信地址、手机号 、BP机号、Email地址等。随着时间的推移，人们的 属性会越来越多。此时，管理员可以通过修改活动目 录架构来增加一个属性，然后活动目录的用户就可以 在活动目录中使用这个属性了。活动目录的基本概念（3）可以方便地添加或删除域。利用活动目录可以方便地创建域、域树、域目录林的逻辑结构。对域树来说，把域树中的某个子域删 除不会影响其他子域和父域的运行，还能在子域下再 创建其他子域。因此，活动目录在组织资源时非常灵 活。而通常域结构总是和企业的组织机构是相互映射的，因此能够灵活的添加/删除域可以更好的去反映 企业组织结构的变化。 活动目录的基本概念 什么是架构（Scheme)？架构就是活动目录的基本结构，是组成活动目录的 规则。包括对象类和类属性。类是用来定义在活动目录中可以创建的所有可能的 目录对象，如：用户、组和组织单位等。类属性是用来定义每个对象可以有哪些属性来标识 该对象，如：用户可以有登录名、电话号码等属性。活动目录的基本概念活动目录架构用来定义数据类型、语法规则、命名约定和其他更多的内容，是活动目录和结构的正式 定义。注意：（1）当在活动目录中创建对象时，必须遵守这个架 构规则。只有在活动目录架构中定义了一个对象的属性才可以在活动目录中使用该属性。活动目录的基本概念注意：（2）活动目录架构具有可扩展性。活动目录架构存储在活动目录的架构表中，当需要活动目录架构，比 如增加活动目录中对象的属性时，只要在架构表中进 行修改即可。但要注意，活动目录架构的扩展和变更 要符合编程和管理的规则。活动目录的基本概念活动目录的基本概念什么是全局目录（Global Catalog）？全局目录是网络中有关对象的信息的中心仓库，它包含Windows 2000目录中所有域中的全部对象以及每个对象所有属性的一个子集(即部分属性)，在内部实现了一个与域结构相同的层次。 活动目录的基本概念全局目录相当于一个总目录，就像一套系列丛书有一 个总目录一样，在全局目录中存储已有活动目录对象的 子集。在默认情况下，存储在全局目录中的对象属性是那些经常用到的内容，而非全部属性。整个目录林会共 享相同的全局目录信息。活动目录通过同步复制过程， 从组成目录的域自动生成全局目录。存放全局目录数据库的服务器称作全局目录服务器，它保存着所在域的数据库的完全拷贝和域树中所有对象 的部分拷贝。全局目录服务器实现了与目录树使用的名 字空间结构相同的名字空间。活动目录的基本概念当在第一台域控制器上安装活动目录时，该域控制器便自动成为全局目录服务器，用户也可以通过“活动目录站点和服务器”管理器将附属域控制器设置为全局目录服务器。 全局目录服务器越多，对用户查询的反应就越快，而同步复制通信量就越大，因此用户需要根据网络结构及查询通信量进行决策。在每个站点上至少建立一个全局目录服务器是一个很好的想法，这样客户总是有一个用于查找操作的存储库。活动目录的基本概念全局目录与系统关系活动目录的基本概念 什么是信任关系？域是一个安全边界，通常如果希望去访问这个安 全边界之内的资源，必须先得到这个域的域控制器 的身份验证，验证合法方可进入域。 信任关系存在于域与域之间，目的是为了实现跨 域（即跨越安全边界）的访问。域信任关系使得一个域中的用户可由另一域中的 域控制器进行验证，从而使得用户能去访问另一个 域中的资源。活动目录的基本概念所有域信任关系中只有两种域：信任关系域和被 信任关系域。例如：域A信任域B，则域B中的用户可以通过域A中的域控制器进行身份验证后访问域A中的资源。本例中，域B被域A信任，域A信任域B，其结果就是域B中用户能实现跨越域A的安全边界访问域A中 资源。活动目录的基本概念 域信任关系按以下特征进行描述:单向单向信任是域 A 信任域 B 的单一信任关系。所有 的单向关系都是不可传递的，并且所有的不可传递信 任都是单向的。常见的单向信任关系有:不同树林中的 Windows 2000 域 、Windows NT 4.0 域 、Kerberos V5 领域。双向Windows 2000 树林中的所有域信任都是双向可传 递信任。建立新的子域时，双向可传递信任在新的活动目录的基本概念子域和父域之间自动建立。 可传递Windows 2000 树林中的所有域信任都是可传递的。可传递信任始终为双向，此关系中的两个域相互信任 。可传递信任不受信任关系中的两个域的约束。每次当用户建立新的子域时，在父域和新子域之间就隐含 地(自动)建立起双向可传递信任关系。这样，可传递 信任关系在域树中按其形成的方式向上流动，并在域 树中的所有域之间建立起可传递信任。活动目录的基本概念 NT和2000中常见的信任关系 活动目录服务支持两种形式的信任关系：（1）单向不可传递信任(One-Way Nontransitive Trusts) 在单向信任关系中，如果域A信任域B，域B并不自动地信任域A。 （2）双向可传递信任(Two-Way Transitive Trusts)在双向信任关系中，如果域A信任域B，那么域B就信任域A。在可传递的信任关系中，如果域A信任域B，并且 域B信任域C，那么域A就信任域C。活动目录的基本概念活动目录的基本概念Windows 2000 支持双向可传递的信任关系，并且是作为一种缺省的信任关系。当用户建立一个新的子域时，系统会自动地建立这个子域与其父域之间的这种信任关系。如果在两个域之间存在一个双向可传递信任关系，可以在一个域中授予用户使用资源的权限而在另一个域中把权限授予组帐号，反之亦可。活动目录的基本概念下面是关于信任关系的实际应用的一个实例，在两棵独立的树之间如何建立信任关系，才能使得所有的域都能通过其他域的身份验证后访问其他域中的资源呢？域 3域 2域 1域 A域 B域 C域 D域 E活动目录的基本概念 什么是名字空间？从本质上讲，活动目录就是一个名字空间，我们可以 把名字空间理解为任何给定名字的解析边界，这个边界就 是指这个名字所能提供或关联、映射的所有信息范围。通俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和，如一个用户，如果我们在服务器 已给这个用户定义了诸如:用户名、用户密码、工作单位 、联系电话、家庭住址等，那上面所说的总和广义上理解 就是“用户”这个名字的名字空间，因为我们只输入一个 用户名即可找到上面所列的一切信息。活动目录的基本概念名字解析是把一个名字翻译成该名字所代表的对象 或者信息的处理过程。举例来说，在一个电话目录形成一个名字空间中，我们可以从每一个电话户头的名字可以被解析到相应 的电话号码。 名字空间是层次结构的，有了这样的分层次名字空间，活动目录从原来的域模型向前发展为一种新的“ 树的树”模型。通过把名字空间分裂为层次结构，再 也不需要在一个平铺列表上观察上万个用户了。 活动目录的基本概念目录服务和活动目录概述 技术需求随着网络技术的迅速发展，局域网(LAN)和广域网(WAN)的规模越来越大，系统的结构越来越复杂，并且还需要将企业内部网连接到其他系统，在网络中需要运行的应用程序也越来越多，网络中的资源越来越丰富，数据量越来越大，需要管理和共享的数据分布在网络系统的各个服务器和工作站中，给信息管理带来了很大的困难。因此需要网络操作系统具有目录服务的功能，将更多的用户与网络上的资源连接在一起，为用户提供更强大的、透明的、紧密集成的目录服务的能力。目录服务是扩展的计算机系统最重要的组件之一， 它的作用是将物理上分布的数据变成逻辑上集中的数 据进行管理，并为管理员提供方便的网络管理界面。 活动目录的功能提供了为分布式网络环境而设计的目录服务 。使得组织机构可以有效地共享和管理关于网络资 源和用户的信息。 使得操作系统可以验证用户的身份，并控制用户 对网络资源的访问。 是将各种功能集成在一起的集成平台。目录服务和活动目录概述 活动目录的关键特性(l)分层次和可扩展的名字空间分层次的名字空间提高了存储能力，支持多达一千 万个对象，并且提高了查找和管理对象的速度。名字空间的可扩展性使得管理员可以将新的对象类 添加到架构中，而且可将新的属性添加到现有的对象 类中。(2) 可调整性活动目录可包括多个域，每个域中可有多个域控制 器，这使得可以调整目录以便满足任何网络的要求。目录服务和活动目录概述通过将域连入一棵可传递信任的层次结构的树，可以构成一棵域的树。因为域树使用双向可传递信任 ，所以通过简单的对树的“连接”，就能进行域的管 理。用户帐户在树的任何地方都是有效的。(3) 多主复制Windows 2000的活动目录使用多主复制模型，每个域控制器都存储和保留活动目录的完整拷贝。可以 在域中的任何一个域控制器上对目录进行修改，并由 该域控制器把修改复制给它的复制伙伴。 目录服务和活动目录概述多主复制提供了信息的有效性、容错性、加载平衡和性能优点。如果某个域控制器减慢、停止或失败， 则同一域中的其他域控制器仍然可以提供必要的目录 访问，因为它们包含着相同的目录数据。(4) 与DNS集成活动目录使用DNS为域完成命名和定位服务，域名同时也是DNS名，Windows 2000 Server使用动态DNS， 这使得动态分配地址的客户机可以直接注册到DNS服务 器并自动更新DNS数据库。目录服务和活动目录概述(5) 灵活的查询用户和管理员可使用“开始”“搜索”命令搜索各种资源，包括网络邻居活动目录用户、计算机，并 可使用对象属性进行搜索。例如，可通过名字