簡介
(Active Directory不能運行在Windows Web Server上,但是可以通過它對運行Windows Web Server的計算機進行管理。)Active Directory存儲了有關網路對象的信息,並且讓管理員和用戶能夠輕鬆地查找和使用這些信息。Active Directory使用了一種結構化的數據存儲方式,並以此作為基礎對目錄信息進行合乎邏輯的分層組織。Microsoft Active Directory 服務是Windows 平台的核心組件,它為用戶管理網路環境各個組成要素的標識和關係提供了一種有力的手段。
目錄形式的數據存儲
人們經常將數據存儲作為目錄的代名詞。目錄包含了有關各種對象 [例如用戶、用戶組、計算機、域、組織單位(OU)以及安全策略的信息。這些信息可以被發布出來,以供用戶和管理員的使用。目錄存儲在被稱為域控制器的伺服器上,並且可以被網路應用程式或者服務所訪問。一個域可能擁有一台以上的域控制器。每一台域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器複製到域、域樹或者森林中的其它域控制器上。由於目錄可以被複製,而且所有的域控制器都擁有目錄的一個可寫副本,所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。目錄數據存儲在域控制器上的Ntds.dit檔案中。我們建議將該檔案存儲在一個NTFS分區上。有些數據保存在目錄資料庫檔案中,而有些數據則保存在一個被複製的檔案系統上,例如登錄腳本和組策略。有三種類型的目錄數據會在各台域控制器之間進行複製。域數據,域數據包含了與域中的對象有關的信息。一般來說,這些信息可以是諸如電子郵件聯繫人、用戶和計算機帳戶屬性以及已發布資源這樣的目錄信息,管理員和用戶可能都會對這些信息感興趣。例如,在向網路中添加了一個用戶帳戶的時候,用戶帳戶對象以及屬性數據便被保存在域數據中。如果您修改了組織的目錄對象,例如創建、刪除對象或者修改了某個對象的屬性,相關的數據都會被保存在域數據中。配置數據, 配置數據描述了目錄的拓撲結構。配置數據包括一個包含了所有域、域樹和森林的列表,並且指出了域控制器和全局編錄所處的位置。架構數據,架構是對目錄中存儲的所有對象和屬性數據的正式定義。Windows Server 2003提供了一個默認架構,該架構定義了眾多的對象類型,例如用戶和計算機帳戶、組、域、組織單位以及安全策略。管理員和程式開發人員可以通過定義新的對象類型和屬性,或者為現有對象添加新的屬性,從而對該架構進行擴展。架構對象受訪問控制列表(ACL)的保護,這確保了只有經過授權的用戶才能夠改變架構。
活動目錄功能
活動目錄(Active Directory)主要提供以下功能:
①基礎網路服務:包括DNS、WINS、DHCP、證書服務等。
②伺服器及客戶端計算機管理:管理伺服器及客戶端計算機賬戶,所有伺服器及客戶端計算機加入域管理並實施組策略。
③用戶服務:管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵件系統集成)、用戶組管理、用戶身份認證、用戶授權管理等,按需實施組管理策略。
④資源管理:管理印表機、檔案共享服務等網路資源。
⑤桌面配置:系統管理員可以集中的配置各種桌面配置策略,如:界面功能的限制、應用程式執行特徵限制、網路連線限制、安全配置限制等。
⑥套用系統支撐:支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種套用系統。
安全性
安全性通過登錄身份驗證以及目錄對象的訪問控制集成在Active Directory之中。通過單點網路登錄,管理員可以管理分散在網路各處的目錄數據和組織單位,經過授權的網路用戶可以訪問網路任意位置的資源。基於策略的管理則簡化了網路的管理,即便是那些最複雜的網路也是如此。Active Directory通過對象訪問控制列表以及用戶憑據保護其存儲的用戶帳戶和組信息。因為Active Directory不但可以保存用戶憑據,而且可以保存訪問控制信息,所以登錄到網路上的用戶既能夠獲得身份驗證,也可以獲得訪問系統資源所需的許可權。例如,在用戶登錄到網路上的時候,安全系統首先利用存儲在Active Directory中的信息驗證用戶的身份。然後,在用戶試圖訪問網路服務的時候,系統會檢查在服務的自由訪問控制列表(DCAL)中所定義的屬性。因為Active Directory允許管理員創建組帳戶,管理員得以更加有效地管理系統的安全性。例如,通過調整檔案的屬性,管理員能夠允許某個組中的所有用戶讀取該檔案。通過這種辦法,系統將根據用戶的組成員身份控制其對Active Directory中對象的訪問操作。
活動目錄架構
簡介
Active Directory的架構(Schema)是一組定義,它對能夠存儲在Active Directory中的各種對象——以及有關這些對象的各種信息——進行了定義。因為這些定義本身也作為對象進行存儲,Active Directory可以像管理目錄中的其它對象一樣對架構對象加以管理。架構中包括了兩種類型的定義:屬性和分類。屬性和分類還可以被稱作架構對象或元數據。
分類
分類,又稱對象分類,描述了管理員所能夠創建的目錄對象。每一個分類都是一組對象的集合。在您創建某個對象時,屬性便存儲了用來描述對象的信息。例如,“用戶”分類便由多個屬性組成,其中包括網路地址、主目錄等等。Active Directory中的所有對象都是某個對象分類的一個實例。
架構擴展
有經驗的開發人員和網路管理員可以通過為現有分類定義新的屬性或者定義新的分類來動態地擴展架構。架構的內容由充當架構操作主控角色的域控制器進行控制。架構的副本被複製到森林中的所有域控制器上。這種共用架構的使用方式確保了森林範圍內的數據完整性和一致性。此外,您還可以使用“Active Directory架構”管理單元對架構加以擴展。為了修改架構,您必須滿足以下三個要求:成為“Schema Administrators”(架構管理員)組的成員 在充當架構操作主控角色的計算機上安裝“Active Directory架構”管理單元 擁有修改主控架構所需的管理員許可權 在考慮對架構進行修改時,必須注意以下三個要點: ? 架構擴展是全局性的。 在您對架構進行擴展的時候,您實際上擴展了整個森林的架構,因為對架構的任何修改都會被複製到森林中所有域的所有域控制器上。與系統有關的架構分類不能被修改。您不能修改Active Directory架構中的默認系統分類;但是,用來修改架構的應用程式可能會添加可選的系統分類,您可以對這些分類進行修改。 對架構的擴展不可撤銷。某些屬性或者分類的屬性可以在創建後修改。在新的分類或者屬性被添加到架構中之後,您可以將它置於非激活狀態,但是不能刪除它。但是,您可以廢除相關定義並且重新使用對象標識符(OID)或者顯示名稱,您可以通過這種方式撤銷一個架構定義。有關架構修改的更多信息,請通過參閱 Microsoft Windows 資源工具包 .Active Directory不支持架構對象的刪除;但是,對象可以被標記為“非激活”,以便實現與刪除同等的諸多益處。屬性和分類單獨進行定義。每一個屬性僅僅定義一次,但是可以在多個分類中使用。例如,“Description”(描述)屬性可以使用在多個分類中,但是只需在架構中定義一次即可,以保持數據的一致性。 屬性用來描述對象。每一個屬性都擁有它自己的定義,定義則描述了特定於該屬性的信息類型。架構中的每一個屬性都可以在“Attribute-Schema”分類中指定,該分類決定了每一個屬性定義所必須包含的信息。能夠套用到某個特殊對象上的屬性列表由分類(對象是該分類的一個實例)以及對象分類的任何超類所決定。屬性僅僅定義一次,但是可以多次使用。這確保了共享同一個屬性的所有分類能夠保持一致性。
多值屬性
屬性可以是單值的也可以是多值的。屬性的架構定義指定了屬性的實例是否必須是多值的。單值屬性的實例可以為空,也可以包含一個單值。多值屬性的實例可以為空,也可以包含一個單值或多值。多值屬性的每一個值都必須是唯一的。
索引屬性
索引套用於屬性,而不是分類。對屬性進行索引有助於更快地查詢到擁有該屬性的對象。當您將一個屬性標記為“已索引”之後,該屬性的所有實例都會被添加到該索引,而不是僅僅將作為某個特定分類成員的實例添加到索引。 添加經過索引的屬性會影響Active Directory的複製時間、可用記憶體以及資料庫大小。因為資料庫變得更大了,所以需要花費更多的時間進行複製。 多值屬性也可以被索引。同單值屬性的索引相比,多值屬性的索引進一步增加了Active Directory的大小,並且需要更多的時間來創建對象。在選擇需要進行索引的屬性時,請確信所選擇的共用屬性,而且能夠在開銷和性能之間取得平衡。 一個經過索引的架構屬性還可以被用來存儲屬性的容器所搜尋,從而避免了對整個Active Directory資料庫進行搜尋。這樣不僅縮短了搜尋所需花費的時間,而且減少了在搜尋期間需要使用的資源數量。
全局編錄角色
全局編錄是一台存儲了森林中所有Active Directory對象的一個副本的域控制器。此外,全局編錄還存儲了每個對象最常用的一些可搜尋的屬性。全局編錄存儲了它所在域的所有目錄對象的完整副本,以及森林中其它域中所有目錄對象的部分副本,所以您不必諮詢域控制器即可實施有效的搜尋操作。 全局編錄在森林中最初的一台域控制器上自動創建。您可以為任何一台域控制器添加全局編錄功能,或者將全局編錄的默認位置修改到另一台域控制器上。全局編錄擔當了以下目錄角色? 查找對象 全局編錄允許用戶搜尋森林所有域的目錄信息,而不管數據存儲在何處。森林內部的搜尋可以利用最快的速度和最小的網路流量得以執行。 在您從“開始”選單搜尋人員或印表機,或者在某個查詢的內部選擇了“整個目錄”選項的時候,您就是在對全局編錄進行搜尋。在您輸入搜尋請求之後,請求便會被路由到默認的全局編錄連線埠3268,以便傳送到一個全局編錄進行解析? 提供了根據用戶主名的身份驗證。在進行身份驗證的域控制器不知道某個賬戶是否合法時,全局編錄便可以對用戶的主名進行解析。例如,如果用戶的賬戶位於example1.域,而用戶決定利用這個用戶主名從位於example2的一台計算機上進行登錄,那么example2.的域控制器將無法找到該用戶的賬戶,然後,域控制器將於全局編錄伺服器聯繫,以完成整個登錄過程。 ? 在多域環境下提供通用組的成員身份信息。和存儲在每個域的全局組成員身份不同,通用組成員身份僅僅保存在全局編錄之中。例如,在屬於一個通用組的用戶登錄到一個被設定為Windows 2000本機域功能級別或者更高功能級別的域的時候,全局組將為用戶賬戶提供通用組的成員身份信息。 如果在用戶登錄到運行在Windows 2000本機或者更高級別中的域的時候,某個全局編錄不可用並且用戶先前曾經登錄到該域,計算機將使用快取下來的憑據讓用戶登錄。如果用戶以前沒有在該域登錄過,用戶將僅僅能夠登錄到本地計算機。 說明:即便全局編錄不可用,“Domain Administrators”(域管理員)組的成員也可以登錄到網路中。
查找目錄信息
正如前面所介紹的,Active Directory的設計目的在於為來自用戶或應用程式的查詢提供有關目錄對象的信息。管理員和用戶可以使用“開始”選單中的“搜尋”命令輕鬆對目錄進行搜尋和查找。客戶端程式也可以使用Active Directory服務接口(ADSI)訪問Active Directory中的信息。 Active Directory的主要益處就在於它能夠存儲有關網路對象的豐富信息。在Active Directory中發布的有關的用戶、計算機、檔案和印表機的信息可以被網路用戶所使用。這種可用性能夠通過查看信息所需的安全許可權加以控制。 網路上的日常工作涉及用戶彼此之間的通信,以及對已發布資源的連線和訪問。這些工作需要查找名稱和地址,以便傳送郵件或者連線到共享資源。在這方面,Active Directory就像是一個在企業中共享的地址簿 。例如,您可以按照姓、名、電子郵件地址、辦公室位置或者其它用戶賬戶屬性查找用戶。如前所述,信息的查找過程由於使用了全局編錄而得到了最佳化。
高效搜尋工具
管理員可以使用“Active Directory用戶和計算機”管理單元中的高級“查找”對話框高效率地執行管理工作,並且輕鬆定製和篩選從目錄取得的數據。此外,管理員還可以向組中快速添加對象,並且通過無需瀏覽的查詢幫助查找可能的成員,從而將對網路的影響降低到最小限度。
編輯本段Active Directory的複製複製為目錄信息提供了可用性、容錯能力、負載平衡以及性能優勢。Active Directory 使用多主控複製,您可以在任何一台域控制器上更新目錄,而不是只能在一台特定的主域控制器上進行更新。多主控模式具有更出色的容錯能力,因為使用了多台域控制器,即使在某一台域控制器停止工作的情況下,複製依然能夠繼續。 域控制器可以存儲和複製: ? 架構信息。架構信息定義了可以在目錄中創建的對象,以及每隔對象所能夠擁有的屬性。這些信息是森林中所有域的共用信息。架構數據被複製到森林中的所有域控制器上。 ? 配置信息。配置信息描述了您的部署的邏輯結構,其中包括諸如域結構或者複製拓撲這樣的信息。這些信息是森林中所有域的共用信息。配置數據被複製到森林中的所有域控制器上? 域信息。域信息描述了域中所有的對象。數據特定於具體的域,而且不會被分發到其它的任何域中。為了在整個域樹或者森林中查找信息,所有域中的所有對象的屬性的一個子集被保存在全局編錄中。域數據將被複製到域中的所有域控制器上。 ? 應用程式信息。存儲在應用程式目錄分區中的信息旨在滿足用戶對這些信息的複製需要,但是這些信息並不是在任何情況下都需要。應用程式數據可以被明確地重新路由到森林中特定於管理用途的域控制器上,以防止產生不必要的複製流量。或者,您可以進行設定,將這些信息複製到域中的所有域控制器上。 站點在複製過程中的角色 站點提高了目錄信息的複製效率。目錄架構和配置信息在整個森林範圍內進行複製,而域數據則在域的所有域控制器之間進行複製,並且會被部分地複製到全局編錄上。通過有策略地減少複製流量,網路的通信壓力也會得到相應的減輕。 域控制器使用站點和複製變化控制從以下方面對複製實施最佳化: ? 通過對所使用的連線不時進行重新評估,Active Directory可以始終使用最有效的網路連線。 ? Active Directory使用多條路由複製發生變化的目錄數據,從而提供了容錯能力。 ? 由於僅僅需要複製發生了變化的信息,複製開銷降到了最小。 如果某個部署沒有按照站點加以組織,域控制器以及客戶機之間的信息交換將是混亂和無序的。站點可以改善網路的利用效率。
Active Directory在站點內部複製目錄信息的頻度比在站點間的複製頻度要更高。這樣,擁有最佳連線條件的域控制器——它們很可能需要特殊的目錄信息——可以首先得到複製。其它站點中的域控制器則可以獲得所有發生了變化的目錄信息,但是它們進行複製的頻率要低一些,以便節省網路頻寬。另外,由於數據在站點間進行複製時經過了壓縮處理,所以複製操作所占用的頻寬進一步得到了降低。為了實現高效複製,只有在添加或修改了目錄信息之後才進行目錄的更新。 如果目錄更新始終被分發到域中的所有其它域控制器上,它們將占用大量的網路資源。雖然您可以手動添加或配置連線,或者強迫通過某條特定的連線進行複製,複製仍然可以根據您在“Active Directory Sites and Services”管理工具中提供的信息,通過Active Directory知識一致性檢查程式(Knowledge Consistency Checker,KCC)得到自動最佳化。KCC負責構建和維護Active Directory的複製拓撲。特別地,KCC可以決定何時進行複製,以及每台伺服器必須同哪些伺服器開展複製。