Windows 2000的活动目录技术摘要

　　本文提供了对活动目录的技术简介，活动目录是Microsoft Windows 2000 Server操作系统提供的一种新的目录服务。本文详细阐述了活动目录的重要概念、结构元素和特性。"重要概念"部分描述了在您使用活动目录之前需要理解的术语。接下来的两个部分"结构"及"活动目录特点"更详细地阐述了活动目录能够做什么，它给Windows带来了什么样的新特性以及这些特点的实现。"迁移"部分涵盖了从Windows NT 4.0的域模型和目录结构向Windows 2000的迁移的内容。最后一部分，即"常见问题"，回答了有关活动目录服务和它运行时可能遇到的一系列实际问题。

　　目录服务是一个什么东西？

　　一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中，目录就储存了有关文件的信息。

　　在一个分布式计算系统中或是一个公共计算机网络（如Internet）中，就有许多用户感兴趣的对象，如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象，而管理人员则想管理对这些对象的使用。

　　在此文档中，术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于，它既是目录的信息源，而它的服务又可以使用户得到和利用信息。

　　为什么需要目录服务？

　　目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性，而且可以查询目录来得到符合属性的对象列表，例如："查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。

　　目录服务可以：

　　提高管理者定义的安全性来保证信息不受侵入者的损害。

　　将目录分布在一个网络中的多台计算机上。

　　复制目录使得更多用户获得它并且减少错误。

　　分配一个目录于多个存储介质中使得可以存储规模非常大的对象。

　　目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时，目录服务变得很重要。目录服务是一个大的分布系统的转换中心。

　　什么是活动目录？

　　活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务，还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作，从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性，使得在大规模信息的管理及在其中漫游变得很简单，为管理者和终端用户都节省了时间。

　　重要概念

　　用来描述活动目录的概念和术语中有些是新的，而另外一些则不是。不幸的是，一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前，理解下面这些概念和术语在活动目录背景中如何定义是重要的。

　　范围

　　活动目录的范围是巨大的。它可以包括所有单一的对象（打印机、文件或用户），所有的服务器及在一个单一广域网中的所有域。下面的一些术语不仅可应用于单一网络，因此意识到活动目录是可以伸缩的，从一台单一的计算机，到一个单一的计算机网络以及很多结合在一起的计算机网络是很重要的。

　　名字空间

　　同任何目录服务一样，名字空间活动目录从根本上讲是一个名字空间。名字空间电话目录是一个名字空间。名字空间名字空间是任何有界的域，在其中一个给定的名字是可以解析的。名字解析是一种将一个名字翻译为一些对象表达的对象或信息。名字空间电话目录形成了一个名字空间，其中电话用户可以决定电话号码。Windows名字空间文件系统形成了一个名字空间，其中文件名字可以决定文件本身。

　　活动目录形成了一个名字空间，其中通过目录中对象的名字可以决定对象本身。

　　对象

　　对象是对某具体事物属性的显著性命名，例如用户、打印机、或应用程序。属性包括目录对象用来识别主题的描述性数据。一个用户的属性可能包括用户的确定的名字、姓及电子邮件地址。

图1 一个用户对象和它的属性

　　容器

　　容器同一个对象一样具有属性，而且是活动目录名字空间的一部分。然而，与对象不同，它不代表某具体事物。它是一组对象或其它容器的容器。

　　树

　　在此文档中，树始终用来描述对象及容器的分层结构关系。树的终点通常是对象。树的节点（树的分支点）是容器。树表明了对象是如何连接起来的或由一个对象到其它对象的路径。一个简单的目录是一个容器。一个计算机网络或域也是一个容器。临近的子树是树中任意完整的路径，包括那条路径中的所有容器。

图2 一个文件系统的连续子树

　　名字

　　名字用来识别活动目录中的每一个对象。有两种不同类型的名字。

　　明确名字

　　活动目录中的每一个对象都有一个明确名字（DN）。明确名字识别包括对象的域及通过容器分层结构到达对象的完整路径。一个典型的DN可以是：

　　/O=Internet/DC=COM/DC=Microsoft/

　　CN=Users/CN=James Smith

　　这个DN在Microsoft.com域中识别用户对象"James Smith"。

图3 明确名字的图形表示

　　相对明确名字

　　对象的相对明确名字（RDN）是属于对象本身属性的名字的一部分。在前面的例子中用户对象"James Smith"的RDN是CN=James Smith。父对象的RDN是CN=Users。

　　命名上下文和分区

　　活动目录由一个或多个命名上下文或分区构成。命名环境是目录的任意临近的子树。命名上下文是复制的单位。

　　在活动目录中，一个单独的服务器通常最少包括三个命名上下文：

　　模式

　　配置（复制拓扑和相关的元数据）

　　一个或多个用户命名上下文（在目录中包括实际对象的子树）

　　域

　　域是Windows NT 或Windows 2000计算机网络的独立安全范围。（要了解域的更多信息，请看Windows 文档）。活动目录由一个或多个域构成。一个域可以跨越不止一个物理地点。每一个域都有它自己的安全策略及域其它域见的安全关系。当多个域通过信任关系连接起来，而且拥有共同的模式、配置和全局目录时，您就拥有了一个域树。多个域树可以连接起来形成一个森林。

　　域树

　　域树是由若干具有共同的模式、配置的域构成的，形成了一个临近的名字空间。在树中的域也是通过信任关系连接起来的。活动目录是一个或更多树的集合。

　　树可以通过两种途径表示。一种表示是域之间的关系，另一种表示是域树的名字空间。

　　表示信任关系

　　您可以在个别域及它们如何相互信任的基础上画出一幅域树的图画。

　　Windows 2000域之间信任关系建立在Kerberos安全协议上。Kerberos信任是可传递的和分层次分层结构的--如果域A信任域B信任域C，域A也信任域C。

图4 一个域树以它的信任关系表示

　　表示名字空间

　　您也可以在名字空间的基础上绘制一幅域树的图画。您可以通过跟随域树的名字空间确定一个对象的显著性名称。这种表示对于把对象编为逻辑层次分层结构是很有益的。分层结构临近名字空间的主要优点在于从名字空间的深入查找可以查找整个分层结构。

图5 表示一个域树为名字空间

　　森林

　　森林是一个或多个不形成临近名字空间树的集合。森林中的树具有相同的模式、配置和全局目录。给定森林中的所有树通过及物的分层结构Kerberos信任关系相互信任。与树不同，一个森林不需要明确名字。森林作为相关对象的集合而存在，而且Kerberos信任关系对所有树成员来讲都是已知的。森林中的树为了Kerberos信任的目的形成了分层结构；位于信任树根部的树的名称可以用来确定一个给定的森林。

图6 森林中的多个树

　　站点

　　站点是网络中包括活动目录服务器的地点。站点定义为一个或多个良好连接的TCP/IP子网。"良好连接的"的意思是网络连接高度可靠而且迅速（例如，LAN速度为10，000，000比特每秒或更高）。定义站点为子网的集合使得管理员能够快速、简单的配置活动目录使用权及复制拓扑，从而有利于利用物理网络。当一个用户登录时，活动目录客户端在用户的同一站点查找活动目录服务其。由于从网络上讲在同一站点上的机器是靠近的，因此机器间的通讯是可靠的、迅速的和有效的。在登录时确定当地站点是容易实现的，因为用户的工作站已经知道它在什么TCP/IP子网上，并且直接转换为活动目录站点。

　　结构

　　这一个简短的部分介绍活动目录的一些基本结构元素。

　　数据模型

　　活动目录数据模型来自于X.500数据模型。目录包括以属性描述的表征各类事物的对象。可以存入目录的对象的范围在模式中定义。对于每一个对象种类，模式定义了该种类情况下一定要具有什么属性，可以具有什么附加属性，及什么对象种类可以是现有对象种类的父本。

　　模式

　　活动目录模式作为存储于目录中的对象种类情况的集合而应用。这与很多具有模式的目录不同，在它们的情况下，模式存储为文本文件以在启动时阅读。在目录中存储模式有很多优点。例如，用户应用程序可以阅读模式来确定什么对象和性质是可以得到的。

　　活动目录模式可以动态生计。也就是说，一个应用程序可以扩展模式的新属性和种类，而且可以立刻使用扩展的部分。模式的升级通过建立或改变目录中的模式对象实现。与活动目录中的所有对象相同，模式对象受访问访问控制列表（ACL）所保护，所以只有授权的用户可以改变模式。

　　安全模型

　　目录是Windows 2000 Trusted Computing Base 的一部分而且是Windows 2000安全基本构造的完全参加者。ACLs保护了活动目录中的所有对象。Windows 2000访问验证历程采用ACL来确认任何对活动目录中对象或属性访问的尝试。

　　管理模型

　　授权的用户在活动目录中进行管理。一个经更高权限授权的用户可以对目录中某些确定子树中指定的对象及对象种类进行指定的操作。这叫做委托管理。委托管理可以完全地控制谁能够做什么，而且可以确立授权的委托而不必授予提高的特权。

　　目录系统代理（DSA）是管理目录物理存储的过程。客户采用一种支持的界面连接DSA，进而查找、阅读及写入目录对象和它们的属性。DSA使得客户与物理存储格式的目录数据孤立。

　　这一部分描述了活动目录的一些主要特点及组件。

　　DNS集成

　　活动目录与Domain Name System (DNS)紧密地集成在一起。DNS是分布式名字空间，用于Internet上来根据计算机和服务名称来确定TCP/IP地址。大多数拥有intranet地公司把DNS作为名称解析服务来应用。活动目录把DNS作为站点服务来应用。Windows 2000域名就是DNS的域名。例如："Microsoft.com"是一个有效的DNS域名，也可以是一个Windows 2000的域名。紧密的DNS集成表明活动目录自然地适用于Internet 和 intranet 环境。用户可以快速、简单地找到服务器。公司可以直接将活动目录服务器连接于Internet，从而为安全通讯及与顾客、合作伙伴之间的电子商务提供便利。

　　定位服务

　　活动目录服务器公布它们的地址，这样客户在只知道域名的情况下也可以找到它们。活动目录服务器通过DNS中的Service Resource Records (SRV RR)来公布。SRV RR是DNS的一个记录，用来描述一种服务及提供这种服务的服务器的地址。SRV RR的名称是这种形式：

　　..

　　ldap.tcp.

　　活动目录服务器通过TCP协议提供LDAP服务，这样公布的名称是这种形式：

　　ldap.tcp.

　　这样，为了Microsoft.com的SRV RR是ldap.tcp.microsoft.com。SRV RR中的附加信息指出了服务器的优先权及重要度，使得客户可以选择他们所需要的最好的服务器。

　　在活动目录服务器安装好时，他通过动态DNS（下面解释）公布它自己。由于TCP/IP地址随时间变化而改变，所以服务器周期性地检查它们的注册来保证地址的正确性，并在需要的情况下将它们升级。

　　动态DNS

　　动态DNS是对DNS标准的一个增加。动态DNS定义了一个协议，来满足采用新的或变化了的数值动态升级DNS服务器的需要。在拥有动态DNS之前，管理员需要人工地配置DNS服务器的存储记录。

　　对象命名

　　一个对象只有一个名字，明确名字（DN）1。DN独一无二地确认了对象，而且包括了足够的信息使得用户能够从目录中检索到对象。对象的DN可能非常长，而且难以记住。另外，一个对象的DN可以改变。因为一个对象的DN是由对象的RDN及它的祖先构成的，改变它自己的名称或改变它任意祖先的名称都将改变DN。

　　由于DN过于复杂而无法记忆，而且会发生改变，所以拥有其它的方法检索对象是大有益处的。活动目录支持属性查询，这样即使对象的精确DN未知或改变了，仍然可以找到对象。为了简化对象的查询过程，活动目录概要定义了两种有用的性质2:

　　全局对象唯一标识符（GUID）--一个128位数字，保证唯一性。对象建立的同时就分配了一个GUID。GUID决不会改变，即使对象移动了或改名了。应用程序可以存储对象的GUID，从而不管该对象现在的DN是什么，都可以保证对它的查找。

　　用户主名--Security Principals（用户及团体）都有"友好的"名称，用户主名（UPN）比DN短而且易于记忆。用户主名是由用户的"速记"名和用户对象归属域树的DNS名构成的。例如，microsoft.com树中的用户James Smith可以拥有一个UPN：JamesS@Microsoft.com。

　　名字的唯一性

　　明确名字要保证是唯一的。活动目录在同一个父本下存在两各具有相同RDN的对象。DN是由RDN构成的，因此是唯一的。GUID是通过定义保证唯一性的；采用一定的运算法则来保证产生GUID的唯一性。对任意属性来讲，唯一性并不是强制性的。

　　活动目录的访问

　　访问活动目录要通过线缆协议。线缆协议定义了信息的格式和客户于服务器的相互作用。各种各样的应用程序界面为开发者提供了访问这些协议的道路。

　　协议支持

　　支持的协议包括：

　　LDAP-活动目录核心协议是轻量目录访问协议（LDAP）。LDAP版本2及版本33均支持。

　　MAPI-RP-活动目录支持远程过程调用（RPC），界面支持MAPI界面。

　　X.500-活动目录信息模型来自于X.500信息模型。X.500定义了几种活动目录未采用的协议。这些协议是：

　　DAP - 目录访问协议

　　DSP - 目录系统协议

　　DISP -目录信息荫蔽协议

　　DOP - 目录操作捆绑管理协议

　　活动目录未采用这些协议是因为：

　　对这些协议没有什么兴趣，而且它们很少应用。

　　这些协议依赖于OSI网络。OSI是TCP/IP的替代品，但仍没有广泛地应用。通过TCP/IP网络传递OSI的效率不如直接采用TCP/IP高。

　　LDAP提供了大多数DAP和DSP提供的功能。LDAP还被设计来用于TCP/IP，而不必在TCP/IP头上封装OSI。

　　在1993和1997的DISP和DOP的一致性应用规格中有很多模糊之处，以至于不能够保证共同运行。这样就大大降低了这些协议的价值。

　　应用程序编程接口

　　支持的API包括：

　　ADSI-活动目录服务接口（ADSI）为活动目录4提供了一个简介而有力的对象取向界面。开发人员可以采用不同的编程语言，包括Java, Visual Basic programming system, C, C++和其它一些语言。为了系统管理员使用的方便，ADSI是完全脚本化的。ADSI对用户隐藏了LDAP通讯的细节。

　　LDAP API-在RFC 1823中定义的LDAP C API是对C程序员适用的低级界面。

　　MAPI-为了从前的兼容性活动目录支持MAPI。现在的应用程序应该采用ADSI 或LDAP C API。

　　虚拟容器

　　活动目录通过虚拟容器可以使其它目录变得没有遮蔽。虚拟容器使得任意满足LDAP的目录可以通过活动目录透明地访问。虚拟容器通过存储于活动目录中地认知信息来实现。认知信息包括对外来目录应在活动目录中出现位置的描述，还包括存有外来信息拷贝的服务器的DNS名称，以及在外来的foreign DS中开始搜索的明确名字（DN）。

　　全局目录

　　活动目录可以由很多分区或命名上下文构成。对象的明确名字（DN）含有足够的信息来定位存有对象复制的分区。但在很多时候，用户或应用程序并不知道目标对象的DN或哪一个分区可能包含对象。如果用户或应用程序知道一个或更多的目标对象的属性，全局目录就可以使它们在活动目录的域树中找到目标对象。

　　全局目录包含目录中每一个用户命名上下文的部分复制。它还包括命名上下文的模式及配置。这意味着GC中包括活动目录中每一个对象的复制，但只包括少部分的属性。在GC中包括的属性是那些搜索操作中最为常用的（例如用户的名和姓，登录名，等等），及那些需要定位对象整个复制的。GC使得用户能够快速地找到感兴趣的对象，而不需要知道哪个域中包括它们，也不需要知道在公司中临近的扩展名字空间。活动目录复制系统自动地建立全局目录并产生复制拓扑。复制进全局目录中的性质包括由Microsoft定义的一套基本集合。管理员还可以指定附加的性质来满足他们设置的需要。