分类:
2008-09-09 17:05:05
挑战活动目录故障
当您管理的网络不断扩大,软件、硬件和网络服务不断增多,这些资源如何有效管理?不同应用系统的令人头痛的用户验证如何统一?微软的活动目录(AD,Active Directory)是最好的解决方案。
活动目录的由来
活动目录,是 2000版操作系统的一种新的目录服务。它提供了单一登录的能力,并且为您的整个网络架构提供了一个集中的信息知识库。它大大简化了用户和计算机的管理,并且提供了网络资源的更便捷的访问方式。
活动目录的相关术语
活动目录是一项较新的技术,有许多术语或许是不曾听说过的,所以有必要了解活动目录相关术语。
1.层次化的目录结构
活动目录是由对象(Object)、组织单元(OU)、域(Domain)、域树(Tree)、森林(Forest)构成的层次结构。活动目录为每个域建立一个目录数据库的副本,这个副本只用于这个域的对象。如果多个域之间有相互关系,它们可以构成一个域树。在每个域树中,每个域都拥有自己的目录数据库副本自己的对象,并且可以查找域树中其他目录数据库的副本。多个域树构成森林。这种层次结构使得企业网络具有很强的扩展性,便于组织、管理及目录定位。
2.对象、组织单位
对象可以是一个用户、一台打印机或一个网络共享。它有描述它们的属性。组织单元可以是组织的任何部分,组织单位也称为容器(OU,Organizational Units)。组织单位是可以将对象和其他单位放入活动目录的容器中的,组织单位的主要用途是委派管理权。
3.域、域控制器
域是活动目录的核心单元,是对象(如计算机、用户等)的容器,这些对象有相同的需求、复制过程和管理。域名是基于通常的Internet“域名系统”结构。一个域可以有多个,每个服务器存储域中的所有对象,没有主服务器,所有服务器都是同等的。这是一个多主机模型,对象可以在域的多个服务器之间复制。
4.域树、森林
一个域可以是其他域的子域或父域,这些子域、父域构成了一棵树—域树。域树实现了连续的域名空间,域树中的域层次越深级别越低,一个“.”代表一个层次,如域child.china.com 就比 china.com这个域级别低,因为它有两个层次关系,而china.com只有一个层次。多棵域树构成了森林,森林中的每一棵域树都有自己的唯一命名空间。
5.组策略
组策略是用户或计算机初始化时用到的配置设置。组策略设置定义了系统管理的用户的桌面环境的多个组件,实现软件自动分发和升级。组策略的实施限制了用户对计算机和网络的更改权限,提高了管理员管理网络结构的能力。
6.AD服务接口(ADSI)
ADSI是一个目录服务接口,它可用于编写应用程序以访问和管理AD和基于LDAP(轻型目录访问)的不同目录,简化了开发和管理跨平台多个目录系统的分布式应用程序,是实现单点登录的有效手段。
活动目录的意义
是PC机的大脑,那么“目录服务”就是网络的灵魂。微软活动目录的作用主要体现在以下几方面。
1.单点登录
由于活动目录是以LDAP为基础的,各应用程序可通过ADSI调用AD的用户验证,这样统一了各应用系统的用户和密码,实现单点登录。
2.信息的安全性高
集成了关键的安全性,如Kerberos第五版本和公开密钥基础设施等,用户授权管理和目录进入控制已经整合在活动目录当中了,而它们都是Windows 2000操作系统的关键安全措施。
3.以策略为基础,管理更加简化
通过组策略您可以决定目录对象和域资源的进入权限,什么样的域资源可以被用户使用,以及这些域资源怎样使用等,从而帮助您更加经济高效地管理企业。
4.信息的复制性
活动目录使用多主机复制,使您能在任何域控制器上同步更新目录。多主机模式提供容错和负载平衡。
5.与DNS紧密结合
活动目录使用域名系统(DNS)来为服务器目录命名,AD将Internet的名称空间的概念和操作系统的目录服务融合在一起,这有利于在TCP/IP网络中计算机之间的相互识别和通信。
6.具有很强的可伸缩性和可扩展性
活动目录可包含在一个或多个域中,每个域具有一个或多个域控制器,以便您调整目录的规模以满足任何网络的要求。多个域可以合并为一棵域树,多个域树又可合并为树林,活动目录也就随着域的伸缩而伸缩,较好地适应了单位网络的变化。管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。
[1]