扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:51CTO 来源:51CTO 2008年7月1日
关键字: windows 2000 活动目录 活动目录教程
1. 基于策略的管理
活动目录的目录服务包括数据存储以及逻辑分层结构。逻辑结构为策略应用程序提供上下文分层结构。目录存储指定给特定上下文的策略(称为组策略)。组策略表达一组业务规则,它包含应用于上下文的设置,它可确定对目录对象和域资源的访问、用户可使用哪些域资源(诸如应用程序),以及这些域资源是如何配置的。例如,组策略可确定用户登录后在计算机上可看到哪些应用程序,当 Microsoft SQL Server 在服务器上启动时,有多少用户可与其连接,以及当文档或服务移至不同部门或组时,用户可访问哪些内容。组策略使得只需管理少数策略,而不是大量用户和计算机。活动目录可以将组策略应用于适当的上下文,而不管它是整个组织还是组织中的某些单位。
2. 扩展性
● 活动目录是可扩展的,这意味着管理员可以将对象的新类添加到规划中,而且还可以将新属性添加到已有的对象类中。例如,可以将“定期访问权限”属性添加到用户对象类型中,而后将每个用户的定期访问权限制作为用户账户进行存储。
● 可以使用活动目录规划插件或通过创建基于 ADSI、LDIFDE 或CSVDE 命令行实用程序的脚本将对象和属性添加到目录中。
3. 可调整性
● 活动目录可包括一个或多个域,每个域都带有一个或多个域控制器,这使得管理员可调整目录以便满足任何网络的要求。多个域可组合成域目录树或目录森林。
● 活动目录将规划和配置信息分配给目录中的所有域控制器。该信息存储在初始域控制器中,而且可复制到目录中任何其他域控制器中。当目录配置成单域时,添加域控制器可在上部管理不涉及其他域的情况下调整目录。
● 将目录配置成域目录树或森林,使得管理员可以针对不同上下文策略对目录的名称空间进行分区,并调整目录使其容纳大量资源和对象。
4. 信息复制
● 活动目录使用多主复制。目录存储在初始域控制器中并可复制到域、域目录树或域森林的每个域中。对目录数据所做的更改将复制到所有域控制器中。每个域控制器存储和保留一个目录的完整副本。
● 信息复制提供了有效性、容错和加载平衡等优点。在一个域中分派多个域控制器可提供容错和加载平衡。如果域中的某个域控制器减慢、停止或失败,同一域中的其他域控制器可提供必要的目录访问,其原因是它们包含着相同的目录数据。域中的多个节点可提高目录的性能。在广域网(WAN)中,目录访问可由与每个网络客户机最近的域控制器执行。
5. 与 DNS 的集成
● 活动目录使用 DNS可以很容易地将可读主机名称,诸如 beijing.kangbo.com 翻译成数字式 TCP/IP 地址。这样就可以在 TCP/IP 网络上直接使用计算机和用户的名称进行网络连接。
● DNS域和计算机使用分层结构的“友好”名称。例如,lwh.kangbo.com 既是 DNS 也是Windows 2000域名。域名是以DNS分层命名结构为基础的,这是一个颠倒的目录树结构:首先是单个根域,以下可以是父域和子域(枝和叶)。例如,诸如 wj.lwh.kangbo.com的Windows 2000域名识别名为wj的域,此域是名为lwh域的一个子域,而lwh域自身又是根域kangbo.com的一个子域。
● 域中的每台计算机依*其完整的合格域名识别。例如,位于 wj.lwh.kangbo.com 域中计算机的完整合格域名应是 computername.wj.lwh.kangbo.com。
● 与其他目录服务的内部操作。
● 由于活动目录是基于工业标准的目录访问协议,它可以和使用诸如 Lightweight Directory Access Protocol (LDAP)和Name Service Provider Interface (NSPI)协议的其他目录服务实现内部操作。
●LDAP是用于查询和检索活动目录信息的目录访问协议,由于它是基于工业标准的目录服务协议,使用 LDAP 的程序可以与其他目录服务共享活动目录信息,这些目录服务同样支持LDAP。
● NSPI协议用于 Microsoft Exchange Server和客户机,活动目录对其进行支持以便为交换目录提供兼容性。
7. 灵活的查询
用户和管理员可使用搜索工具快速查找网络上的对象并设置对象属性,例如,名、姓、Email地址、办公室位置或用户账户的其他属性。也可通过使用活动目录生成的全局目录优化查找信息。
8. 信息安全性
安全性与活动目录完全集成在一起,不仅可以针对目录中的每个对象定义访问控制,还可对其每种属性进行操作。权限指定哪些组用户可以查看或使用对象,以及可针对对象进行何种操作。例如,某个人可能具有更改对象属性的权限,另一个人则可能只具有查看权限,而第3个人则可能根本没有查找对象的权限。可以授予对对象的单个属性进行选择性访问的权限。例如,可以授予所有用户查看网络中用户姓名和电话号码的权限,而与此同时却限制对用户对象所有其他属性的访问。默认情况下,权限是可继承的。指定给某特定对象的权限会自动应用于该对象的所有子对象。
活动目录为安全策略提供应用程序的存储和范围。安全策略可以包括账户信息,诸如域的密码限制或对某特定域资源的权利。安全策略通过组策略来执行。管理员可将某些特殊管理权利分派到其他个人或组。这种权限分派允许明确谁具有管理部分网络的权限。可以将特殊部分的管理分派给单个管理员,而不必拥有对大部分网络具有广泛权限的管理员。
Windows 2000 Server 支持多种网络安全协议,这些协议提供更强大、更有效的安全性,对Internet 安全协议的支持,以及与早期 Windows 协议的兼容性。Windows 2000 支持的安全协议包括:
● Kerberos v5 协议,它是 Windows 2000 中网络验证的默认协议。Kerberos 协议是一个已经成熟的安全标准。它包括客户机和服务器的相互验证以及与非Windows 平台的内部可操作性。
● SSL(Secure Sockets Layer,安全套接字层),Windows 2000 支持基于公用密钥的协议,提供基于Internet的保密性和可*性。它包括对 SSL 3.0 的支持以及 Internet 浏览器和网络服务器间连接的标准。
● DPA(Distributed Password Authentication,分布式密码验证),它由诸如 Microsoft Network (MSN) 等最大的 Internet 成员组织使用。
● Windows NT NTLM,是Windows NT 4.0 和早期版本使用的NTLM 协议,这是为确保与运行Windows NT 和 Windows NT 网络的客户机软件的计算机做到完全可内部操作。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。