1.Active Directory的功能
Active Directory提供了一种组织方式并简化了计算机网络系统中资源的访问,作为一种增强性目录服务,它具有下列功能:
数据存储,也称为目录,它存储着与Active Directory对象有关的信息;这些对象包括共享资源,如服务器、文件、打印机、网络用户和计算机账户;
包含目录中每个对象信息的全局编录,允许用户和管理员查找目录信息,而与目录中实际包含数据的域无关;
查询和索引机制的建立,可以使网络用户或应用程序发布并查找这些对象及其属性;
通过网络分发目录数据的复制服务。对目录数据所做的任何更改都被复制到域中的所有域控制器;
与网络安全登录过程的安全子系统的集成,以及对目录数据查询和数据修改的访问控制;
提供安全策略的存储和应用范围,支持组策略来实现网络用户和计算机的集中配置和管理;
2.Active Directory对象
与其他目录服务器一样,Active Directory以对象为基本单位,采用层次结构来组织管理对象。这些对象包括网络中的各项资源,如用户、计算机、打印机和应用程序等。AD对象以层次结构组织,可分为两种类型。一类是容器对象,即可以包含下层对象的对象;另一类是非容器对象,即不能包含下层对象的对象。每个对象均有一组属性,用来记录该对象的特性。对象与属性的关系相当于数据库中的记录和字段之间的关系。
每个对象都可通过多种不同的名称引用。Active Directory根据对象创建或修改时提供的信息,为每个对象创建RDN和规范名称。例如,在abc.com域、unit1组织单位中名为mycomputer的计算机的DN是"CN=mycomputer, OU=unit1, DC=abc, DC=com"。如果采用规范名称(DN的另一种表示方法),则表示为"abc.com/unit/1mycomputer"。除此之外,用户账户还具有一个称为UPN(用户主体名称)的名称。UPN是一个友好的名称,比DN短并且容易记忆。UPN包括一个用户登录名称和该用户所属域的DNS名称,如,该名称不依赖于DN。
3.Active Directory架构
Active Directory中的每个对象都是在架构中定义的类的实例。AD架构包含目录中所有对象的定义。架构的英文名称为Schema,也可译为模式,实际上就是对象类。在LDAP目录服务中,Schema一般以文本方式来存储,在Active Directory中却将其作为一种特殊的对象。架构对象由对象类和属性组成,是用来定义对象的对象。
4.Active Directory结构
AD目录服务建立在域的基础上,由域控制器对网络中的资源实行集中管理和控制,目录信息存储在域控制器上的Active Directory数据库中。Active Directory以域为基础,具有伸缩性,包含一个或多个域,每个域具有一个或多个域控制器,可调整目录的规模以满足任何网络的需要。多个域可合并为域树,多个域树可合并为林。Active Directory是一个典型的树状结构,按自上而下的顺序,依次为林→树→域→组织单位。而在实际应用中,通常是按自下而上的方法来设计Active Directory结构的。
域:Active Directory的基本单位和核心单元,是Active Directory的分区单位,Active Directory中必须至少有一个域。共享同一个AD数据库的计算机组成一个域。一个典型的域包括域控制器、成员服务器和工作站等类型的计算机。
组织单位:将域再进一步划分成多个组织单位(简称OU)以便于管理。组织单位是可将用户、组、计算机和其他组织单位放入其中的Active Directory容器。每个域的组织单位层次都是独立的,组织单位不能包括来自其他域的对象。组织单位相当于域的子域,本身也具有层次结构。
域树:可将多个域组合成为一个域树。
林:一个或多个域树的集合。
5.Active Directory站点
Active Directory站点可以看作是一个或多个IP子网中的一组计算机定义。同一站点中的计算机需要很好地连接,尤其是子网内的计算机。如果站点包括多个子网,由于相同原因那些子网也必须具有良好的网络连接。站点与域不同,站点反映网络的物理结构,而域通常反映整个单位的逻辑结构。逻辑结构和物理结构相互独立,可能相互交叉。Active Directory允许单个站点中有多个域,单个域中有多个站点。Active Directory站点的主要作用是使Active Directory适应复杂的网络连接环境,一般只有在有多种网络连接的网络环境(如广域网)中才规划站点。
6.Active Directory目录复制
复制目录提供了信息可用性、容错、负载平衡和性能优势。通过复制,AD目录服务在多个域控制器上保留目录数据的副本,从而确保所有用户的目录可用性和性能。Active Directory使用一种多主机复制模型,允许在任何域控制器上(而不只是委派的主域控制器上)更改目录。
7.Active Directory与DNS集成
Active Directory与DNS集成并且共享相同的名称空间结构,两者的集成体现在以下3个方面:
Active Directory和DNS有相同的层次结构;
DNS区域可存储在Active Directory中;
Active Directory将DNS作为定位服务使用。要登录到Active Directory域,Active Directory客户端应向配置的DNS服务器查询在指定域的域控制器上运行的LDAP服务的IP地址。DNS用于将AD域、站点和服务名称解析成IP地址;
DNS是一种名称解析服务,为DNS客户端提供DNS名称解析,不需要Active Directory也能运行。Active Directory是一种目录服务,提供信息储存库并让用户和应用程序访问信息的服务。为了定位域控制器,Active Directory客户端需查询DNS,Active Directory需要DNS才能工作。
8.Active Directory管理工具
Active Directory管理工具简化了目录服务的管理。可使用标准工具或使用Microsoft管理控制台(MMC)来创建专门执行单项管理任务的自定义工具。在Windows Server 2003域控制器上可直接使用的管理工具有3种:
Active Directory 用户和计算机;
Active Directory 域和信任;
Active Directory 站点和服务。
阅读(3042) | 评论(1) | 转发(0) |