全部博文(212)
分类: WINDOWS
2006-06-04 12:12:54
要想了解 Windows 2000 操作系统如何实现其功能,及其对完成企业目标能够提供哪些帮助,就必须先了解 Active Directory™ 目录服务。本文从以下三个方面介绍 Active Directory:
在 Windows 2000 操作系统中引入 Active Directory 有以下优点:
在本文结尾,“附录 A:工具”提供了一些软件工具的简要概述,您可以使用这些工具执行与 Active Directory 有关的任务。
在进入本文主要部分--Active Directory 结构与互操作性--之前,此节作为预备内容,从两个区别很大的角度简单介绍 Active Directory:
在计算机网络上下文环境中,目录(又称数据存储区)是存储网络对象信息的分层结构。对象包括共享资源,如服务器、共享卷和打印机;网络用户和计算机帐户以;域、应用程序、服务、安全策略,以及网络上的其他所有内容。以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例:一般情况下,目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。
目录服务与目录的不同之处在于:它既是目录信息源,又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。理想情况下,目录服务会使物理拓扑和协议(两个服务间传输数据所用的格式)透明化;这样,即使用户不知道资源的物理连接位置和连接方法,也能够访问资源。我们可以继续以用户帐户为例:正是目录服务使同一网络中的其他授权用户能够访问针对用户帐户对象所保存的目录信息(如电子邮件地址)。
目录服务可支持多种不同的功能。有些目录服务与操作系统集成,有些则是一些应用程序,如电子邮件目录。Active Directory 等操作系统目录服务可提供对用户、计算机和共享资源的管理。Microsoft Exchange 等处理电子邮件的目录服务使用户能够查找其他用户并发送电子邮件。
Active Directory 是一种新型的目录服务,是 Windows 2000 Server 操作系统的核心,它只在域控制器中运行。Active Directory 不但为数据提供了存储区以及使该数据有效的服务,而且还保护了网络对象,使其免受未经授权的访问,并防止跨网络复制对象,这样,即使一个域控制器出现故障,也不会导致数据丢失。
Active Directory 和 DNS 都是名称空间。名称空间是任一有界区域,在其中对给定的名称进行解析。名称解析是把名称转换成该名称代表的某一对象或信息的过程。例如,电话号码簿组成了一个名称空间,其中的电话用户名可解析成电话号码。Windows NTFS 文件系统组成了一个名称空间,其中的文件名可解析为文件本身。
要理解 Windows 2000 处理 Active Directory 和 DNS 名称空间的方式,需要先了解有关 DNS 自身及其与 Internet 和 TCP/IP 之间关系的一些基本知识。Internet 是一种 TCP/IP 网络。TCP/IP 通讯协议连接计算机,并使计算机可通过网络传输数据。Internet 或任何其他 TCP/IP 网络(如许多 Windows 网络)上的每台计算机都有一个 IP 地址。DNS 定位 TCP/IP 主机(计算机)的方法是:将最终用户能理解的计算机名称解析成计算机能读懂的 IP 地址。可用分布到全球的 DNS 数据库来管理 Internet 上的 IP 地址,也可以在本地实施 DNS,用于管理专用 TCP/IP 网络中的地址。
DNS 组织成不同层次的域,使整个 Internet 成为一个名称空间。DNS 有几个顶级域,可进一步划分为第二级域。Internet 域名空间的根由 Internet 职权部门(目前是 Internet 网络信息中心,简称 InterNIC)管理,该部门负责代理对 DNS 名称空间顶级域名的管理职责,并负责注册第二级域名。顶级域名是一些大家熟悉的域类别,如商业组织 (.com)、教育组织 (.edu)、政府组织 (.gov) 等等。对于美国以外的国家和地区,则用两个字母的国家/地区代码来表示,如英国用 .uk 表示。第二级域名代表了以前在机构(和个体)中注册的名称空间,他们曾以这种方式实现了在 Internet 上的存在。图 1 显示了公司网络连接到 Internet DNS 名称空间的方式。
图 1. Microsoft 如何适应 Internet DNS 名称空间。
DNS 与 Active Directory 的集成是 Windows 2000 Server 操作系统的核心功能。DNS 域和 Active Directory 域对不同的名称空间使用相同的域名。因为两个名称空间共享一个相同的域结构,所以必须了解它们不是同一个名称空间。每个名称空间保存了不同的数据,因而管理不同的对象。DNS 保存区域2 以及资源记录;Active Directory 保存域和域对象。
DNS 的域名以 DNS 分层命名结构为基础,这是一个反向树结构:最上方是一个根域,下面是父域和子域(枝和叶)。例如,有个 Windows 2000 域名是:child.parent.microsoft.com;这表明域名 child 是域名 parent 的子域,而 parent 本身也是域 microsoft.com 的一个子域。
DNS 域的每台计算机都可依据其完全合格的域名 (FQDN) 加以唯一识别。位于域 child.parent.microsoft.com 的计算机的 FQDN 是 computername.child.parent.microsoft.com。
每个 Windows 2000 域都有一个 DNS 名称(如 OrgName.com),并且每台基于 Windows 2000 的计算机都有一个 DNS 名称(如 AcctServer.OrgName.com)。因而,域和计算机都用 Active Directory 对象和 DNS 节点来表示(DNS 分层结构中的一个节点代表一个域或一台计算机)。
DNS 和 Active Directory 均用数据库来解析名称:
实际上,理解 Windows 2000 环境中 DNS 与 Active Directory 名称空间之间的差异,就是理解:代表 DNS 区域中指定计算机的 DNS 主机记录,与 Active Directory 域中代表“同一台计算机”的计算机帐户对象处于不同的名称空间中。
总之,Active Directory 用以下两种方式与 DNS 集成:
Active Directory 被设计成可处于 Internet 全局 DNS 名称空间的范围之内。如果组织使用 Windows 2000 Server 作为其网络操作系统,当该组织需要存在于 Internet 上时,Active Directory 名称空间会作为一个或多个分层的 Windows 2000 域,保留在已注册为 DNS 名称空间的根域名之下。(组织可选择不成为全局 Internet DNS 名称空间的一部分;但即使它这样做,仍要求 DNS 服务定位基于 Windows-2000 的计算机。)
根据 DNS 命名规则,以英文句号 (.) 分隔的 DNS 名称的每部分都代表 DNS 分层树结构的一个节点,以及 Windows 2000 域分层树结构的一个可能的 Active Directory 域名。如图 2 所示,DNS 分层结构的根是一个有空标签 (" ") 的节点。Active Directory 名称空间的根(目录林根)无父根,它提供了指向 Active Directory 的 LDAP 进入点。
图 2. 比较 DNS 与 Active Directory 名称空间的根
DNS 独立于 Active Directory,而 Active Directory 却专门设计成与 DNS 协同工作。为了保证 Active Directory 正常运行,DNS 服务器必须支持服务位置 (SRV) 资源记录4。SRV 资源记录把服务名称映射成提供该服务的服务器名称。Active Directory 客户机和域控制器使用 SRV 资源记录确定域控制器的 IP 地址。
备注 关于规划 DNS 服务器的部署过程以便支持 Active Directory 域的详细信息,以及其他部署问题,请参阅本文“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning Guide。
除了要求 Windows 2000 网络的 DNS 服务器支持 SRV 资源记录外,Microsoft 还建议 DNS 服务器为 DNS 动态更新5 提供支持。DNS 动态更新定义了一种协议,以便使用新值或变更值动态更新 DNS 服务器。如果没有 DNS 动态更新协议,管理员必须手动配置由域控制器创建、DNS 服务器保存的记录。
新的 Windows 2000 DNS 服务既支持 SRV 资源记录,又支持动态更新。如果选用不是基于 Windows 2000 的 DNS 服务器,则必须保证该服务器支持 SRV 资源记录,否则应将其升级为支持这些记录的版本。有些旧的 DNS 服务器虽支持 SRV 资源记录,但不支持动态更新,因此,当您将 Windows 2000 Server 提升为域控制器时,必须手动更新这些服务器的资源记录。该过程可使用 Netlogon.dns 文件(位于 %systemroot%\System32\config 文件夹)完成,该文件由 Active Directory 安装向导创建。
实施和管理网络是一些实际操作。要理解 Active Directory 是如何与实际情况相结合的,就必须先了解:在运行 Windows 2000 Server 操作系统的计算机上安装 Active Directory,实际是一种把服务器转换成域控制器的操作。一个域控制器只能完全主持一个域。
具体而言,域控制器是一台运行 Windows 2000 Server 的计算机,它已使用 Active Directory 安装向导进行了配置;该向导可安装并配置向网络用户和计算机提供 Active Directory 目录服务的组件。域控制器会存储整个域的目录数据(如系统安全策略和用户身份验证数据),并管理用户和域的交互过程,包括用户登录进程、身份验证以及目录搜索。
使用 Active Directory 安装向导将服务器提升为域控制器的过程,同样或者是创建一个 Windows 2000 域,或者在原有域中添加新的域控制器。
本节阐述了 Active Directory 域控制器的概念,以及它在网络中所扮演的某些重要角色。
由于引入了 Active Directory,Windows 2000 域控制器的功能与“对等”类似。这与 Windows NT Server 主域控制器 (PDC) 和备份域控制器 (BDC) 扮演的主/从角色有所不同。对等域控制器支持“多主机复制”,可在所有域控制器之间复制 Active Directory 信息。多主机复制的引入意味着管理员可以更新域中任何 Windows 2000 域控制器的 Active Directory。在 Windows NT Server 操作系统中,只有 PDC 有目录的可读写副本,PDC 会把目录信息的只读副本复制到 BDC。(关于多主机复制的详细信息,请参阅“多主机复制”一节的内容。)
如果准备由原有域升级到 Windows 2000 操作系统,则可在方便时分阶段完成升级。如果正在为新的安装创建第一个域控制器,则会在加载 Active Directory 的同时自动形成几个实体。接下来的两小节解释了在新的网络中安装 Active Directory 域控制器的以下几个方面:
Windows 2000 操作系统引入了全局编录概念,这是一个保存在一个或多个域控制器中的数据库。全局编录在登录用户和查询中扮演重要角色。
默认情况下,全局编录由 Windows 2000 目录林中的初始域控制器自动创建,并且每个目录林必须有至少一个全局编录。如果使用多个站点,您可能希望在每个站点都将一个域控制器指定为全局编录,因为需要全局编录(决定了帐户的组成员身份)完成登录身份验证进程。这是指本机模式域。混合模式域不需要查询用于登录的全局编录。
在目录林中安装了其他域控制器后,就可以用 Active Directory 站点和服务工具将全局编录的默认位置更改为另一个域控制器。您还可根据组织对服务登录请求和搜索查询的要求,选择将任一域控制器配置成主持全局编录。全局编录服务器越多,对用户查询的响应就越快;但启用很多域控制器作为全局编录服务器会增加网络中的复制通信量,因而影响了响应速度。
全局编录执行两个关键的 Active Directory 角色--登录和查询:
如果在用户启动网络登录进程时,全局编录是无效的,则用户将只能登录到本地计算机,而无法登录到网络中。唯一的例外是,如果用户是域管理员 (Domain Admin) 组的成员,就能够在全局编录无效的情况下登录到网络中。
对有些类型的更改,在对等域控制器之间执行多主机复制是不切实际的;因此,只有一个被称为“操作主机”的域控制器会接受这种更改请求。由于多主机复制在基于 Active Directory 的网络中占有重要地位,因此理解这些例外情况非常重要。在任一 Active Directory 目录林中,安装期间至少会将五个不同的操作主机角色分配给初始域控制器。
当您在新目录林中创建第一个域时,全部五个独立的主机操作角色都会自动分配给该域中的第一个域控制器。在只有一个域和一个域控制器的小规模 Active Directory 目录林中,这个唯一的域控制器仍担当起所有的操作主机角色。在一个较大的网络中,无论它有一个域还是多个域,您都可以重新将这些角色分配给其他的一个或多个域控制器。有些角色必须在每个目录林中出现。有些角色则必须在目录林的每个域中出现。
以下跨整个目录林的两种操作主机角色在目录林中必须是唯一的,即整个目录林中一种操作角色只能有一个:
以下整个域的三个操作主机角色在每个域内都必须是唯一的: 即在目录林的每个域中都只能有一个:
基础结构主机使用多主机复制来对更新情况进行分发。除非域中只有一个域控制器,否则不应把基础结构主机的角色分配给主持全局编录的域控制器。如果这样做,基础结构主机将无法行使其功能。如果域中的所有域控制器都主持全局编录(包括只有一个域控制器的情况),那么所有域控制器都会有当前的最新数据,因而就不需要基础结构主机这一角色了。
只要安装了 Active Directory 域控制器,也就同时创建了初始的 Windows 2000 域,或已在原有域中添加了新的域控制器。域控制器和域是如何适应整个网络体系结构的?
本节介绍基于 Active Directory 的网络组件,以及这些组件的组织方式。此外,还阐述了如何将对部门 (OU)、域或站点的管理责任委派给适当的个体,以及如何将配置设置分配给相同的三个 Active Directory 容器。其中包括以下主题:
Active Directory 对象是组成网络的实体。对象是代表用户、打印机或应用程序等一些具体事物的一组不同的、已命名的属性集。当您创建一个 Active Directory 对象时,Active Directory 会生成一些对象属性的值,其他属性值则由您提供。例如,当您创建用户对象时,Active Directory 会指定全球唯一标识符 (GUID),而您则提供其他一些属性(如用户的姓、名、登录标识符等等)的值。
“架构”是对“对象类别”(不同类型的对象)及这些对象类别的“属性”的说明。对于每个对象类别,架构定义了对象类别必须具有的属性,它可能具有的其他属性,以及可以成为其父对象的对象类别。每个 Active Directory 对象都是一个对象类别的实例。每一属性只定义一次,但可用在多个类别中。例如,属性 Description 只定义了一次,却已用在许多不同类别中。
架构保存于 Active Directory 中。架构定义本身也作为对象保存--即 Class Schema 对象和 Attribute Schema 对象。这使 Active Directory 可以用管理其他目录对象的同种方法来管理类别和属性对象。
创建或修改 Active Directory 对象的应用程序使用架构来确定以下内容:对象一定或可能有哪些属性;如何依据数据结构和语法限制来描述属性。
对象不是容器对象就是叶对象(又称非容器对象)。容器对象存储其他对象,而叶对象却没有该功能。例如,文件夹是文件的容器对象,而文件则是叶对象。
Active Directory 架构中每一类别的对象都有这样一些属性,它们确保:
使用 Active Directory 架构工具能够将属性标记为有索引。这样做的结果是,将该属性的所有实例都添至索引,而不仅仅是添加特定类别成员的实例。为属性建立索引有助于查询能够更加快速地找到具有该属性的对象。
您也可以将一些属性加入全局编录。全局编录包含了目录林中每个对象的一组默认属性,而您可以将自己的选项添加进去。用户和应用程序都使用全局编录在整个目录林中定位对象。只有具有以下特征的属性才可包含在全局编录中:
如上文所述,类别和属性都是架构对象。任何架构对象都可以使用下列名称类型中的一种进行引用:
表 1. 对象标识符
对象 ID 号 |
表示 |
---|---|
1 |
ISO(“根”颁发机构)将 1.2 颁发给 ANSI,然后 |
2 |
ANSI 将 1.2.840 颁发给 USA,然后 |
840 |
USA 将 1.2.840.113556 颁发给 Microsoft,然后 |
113556 |
Microsoft 内部管理 1.2.840.113556 下的几个对象标识符分支,其中包括 |
1 |
一个名为 Active Directory 的分支,它又包括 |
5 |
一个名为类的分支,它又包括 |
4 |
一个名为 Builtin Domain 的分支 |
关于 OID 以及 OID 获取方式的详细信息,请参阅本文档结尾处的“其它信息”。
Windows 2000 Server 操作系统提供了一组默认的对象类别和属性,对许多组织来说这些已足够使用。尽管您无法删除架构对象,但可将其标记为不活动。
有经验的开发者和网络管理员可以定义新类,或定义原有类的新属性,以此来动态扩展架构。我们推荐通过 Active Directory 服务接口 (ADSI) 以编程方式对 Active Directory 架构进行扩展。您也可用 LDAP 数据交换格式 (LDIFDE) 工具。(关于 ADSI 和 LDIFDE 的详细信息,请参阅“Active Directory 服务接口”和“Active Directory 与 LDIFDE”一节的内容。)
如果是为了开发和测试,您也可以使用 Active Directory 架构工具查看并修改 Active Directory 架构。
在考虑改变架构时,应切记以下要点:
扩展架构是一种高级操作。关于如何以编程方式扩展架构的详细信息,请参阅本文结尾处“其它信息”一节的内容。
Active Directory 支持对象名称的几种不同格式,用以适应名称可能会采用的不同形式;采用何种形式取决于名称的使用环境(有些名称是数字形式)。下面的子节说明 Active Directory 对象命名规则的这些类型:
如果单位有几个域,有可能会在不同域中使用相同的用户名或计算机名。由 Active Directory 生成的安全 ID、GUID、LDAP 可分辨的名称以及规范名称都可唯一地标识目录中的每个用户或计算机。如果用户或计算机对象被重新命名或移至另一个域,虽则安全 ID、LDAP 相对可分辨的名称、可分辨名称和规范名称会发生变化,但由 Active Directory 生成的 GUID 却并未改变。
安全主管是由 Active Directory 管理的 Windows 2000 对象,拥有自动分配的安全标识符 (SID),用于登录身份验证和访问资源。安全主管可以是用户帐户、计算机帐户或组;因此,安全主管名称是用来唯一标识一个域内的用户、计算机或组的名称。安全主管对象必须由所在域的域控制器进行身份验证,并且可授予或剥夺其对网络资源的访问权。
安全主管名称在跨域时并不要求是唯一的,但是,为了实现后向兼容性,该名称在自己的域内必须是唯一的。可以对安全主管对象进行重命名或删除操作,或将其置于嵌套的域分层结构中。
安全主管对象的名称必须符合以下规则:
安全标识符 (SID) 是 Windows 2000 操作系统安全子系统创建的唯一数字,分配给安全主管对象,即分配给用户、组和计算机帐户。网络上的每个帐户都会在首次创建时获得唯一的一个 SID。Windows 2000 操作系统的内部进程引用帐户的 SID,而不是帐户的用户或组名。
每个 Active Directory 对象都由访问控制项 (ACE) 保护,访问控制项能够识别哪些用户或组可以访问该对象。每个 ACE 都包含有权访问该对象的每个用户或组的 SID,并定义了允许进行的访问的级别。例如,一个用户可能对某些文件有只读权限,对另一些文件有读写权限,而对其他的文件则没有访问权限。
假设您先创建了一个帐户,而后又将其删除;然后又以相同用户名创建了一个帐户,此时,新帐户没有旧帐户以前所具有的权限或许可,因为新旧帐户的 SID 号码不同。
Active Directory 是一种服从轻型目录访问协议 (LDAP) 的目录服务。在 Windows 2000 操作系统中,所有对 Active Directory 对象的访问都通过 LDAP 进行。LDAP 定义了在目录中查询和修改信息时将执行的操作以及安全访问目录中信息的方式。因此可以说,您正是使用 LDAP 查找或列举目录对象,并查询或管理 Active Directory。(关于 LDAP 的详细信息,请参阅“轻型目录访问协议”一节。)
虽然可按照 LDAP 可分辨名称(本身是对象的一个属性)进行查询,但因为这些名称很难记忆,所以 LDAP 还支持按照其他属性进行查询(例如,按照颜色查找彩色打印机)。这样,即使您不知道可分辨名称,也仍然可以查找对象。
以下三个小节说明 Active Directory 支持的对象命名格式,这些格式都以 LDAP 可分辨名称为基础:
LDAP 为对象8 提供了“可分辨名称”(DN) 和“相对可分辨名称”(RDN)。Active Directory 执行这些 LDAP 命名规则时会有所变化,如表 2 所示。
表 2. LDAP 命名规则及其 Active Directory 对应规则
LDAP DN & RDN 命名规则 |
相应的 Active Directory 命名规则 命名规则 |
---|---|
cn=公用名 |
cn=公用名 |
ou=部门 |
ou=部门 |
o=单位 |
dc=域组件 |
c=国家 |
(不支持) |
备注 cn=、ou= 等均是“属性类型”。用于描述对象的 RDN 的属性类型称之为“命名属性”。如右上角所示,Active Directory 命名属性用于以下 Active Directory 对象类:
每个 Active Directory 对象均有一个 LDAP DN。可根据分层“路径”定位 Active Directory 域内的对象,分层路径包括 Active Directory 域名标签和容器对象每个级别的标签。由 DN 定义到对象的完整路径。对象自身的名称由 RDN 定义。RDN 是对象 DN 的一部分(DN 是对象自身的一个属性)。
通过使用到对象的完整路径(包括对象名称和到域根目录的所有父对象),DN 可唯一识别域分层结构中的对象。每个 RDN 都保存于 Active Directory 数据库中,并包含到其父层的引用。在一次 LDAP 操作中,通过跟踪各级引用,最后达到根目录,从而建立了整个 DN 结构。在一个完整的 LDAP DN 中,待识别对象的 RDN 在左侧出现的是叶名称;在结束的右侧出现的是根目录名称,如下例所示:
cn=JDoe,ou=Widgets,ou=Manufacturing,dc=USRegion,dcOrgName.dc=com
JDoe 用户对象的 RDN 是 cn=Jdoe;Widget(Jdoe 的父对象)的 RDN 是 ou=Widgets,依此类推。
Active Directory 工具不显示命名属性的 LDAP 缩写(dc=、ou=、或 cn=)。在此显示这些缩写仅用于说明 LDAP 是怎样识别 DN 的各部分的。大多数 Active Directory 工具以规范格式(稍后介绍)显示对象名。Windows 2000 操作系统通过 DN 使 LDAP 客户机能够检索目录中的对象信息,但非 Windows 2000 的用户界面需要输入 DN。只有编写遵守 LDAP 的程序或脚本时,才需要明确区分 DN、RDN 和命名属性的用法。
Active Directory 支持使用 LDAP 协议,由任一启用了 LDAP 的客户机进行访问。RFC 1959 中说明了 LDAP 统一资源定位符 (URL) 的格式;URL 使 Internet 客户机可以直接访问 LDAP 协议。LDAP URL 也用于脚本。LDAP URL 以前缀“LDAP”开头,接着命名提供 Active Directory 服务的服务器,然后是对象的属性名称(可分辨的名称)。例如:
LDAP://server1.USRegion.OrgName.com/cn=JDoe,ou=Widgets,ou=Manufacturing,dc=USRegion,dcOrgName,dc=com
默认情况下,Active Directory 管理工具以“规范名称”的格式显示对象名称,此格式从根依次向下列出 RDN,并且不带 RFC 1779 命名属性描述符(dc=、ou= 或 cn=)。规范名称用 DNS 域名格式,即,名称的各段域标签是用英文句号分隔的,如 USRegion.OrgName.com;表 3 将 LDAP DN 与同名的规范名称格式进行了比较。
表 3. LDAP DN 格式与规范名称格式的比较
同一名称的两种格式 |
---|
LDAP DN 名称: |
cn=JDoe,ou=Widgets,ou=Manufacturing,dc=USRegion,dcOrgName.dc=com |
规范名称: |
USRegion.OrgName.com/Manufacturing/Widgets/JDoe |
除了 LDAP DN,Active Directory 中的每个对象都有一个全局唯一标识符 (GUID);这是一个在对象创建时由目录系统代理分配的 128 位数字。GUID 不能被更改或删除,它保存在属性 objectGUID 中,该属性是每个对象的必有属性。与 DN 或 RDN 的可更改性有所不同,GUID 永不改变。
要在外部存储区(例如 Microsoft SQL Server™ 数据库)保存对 Active Directory 对象的引用,就应该使用 objectGUID 值。
正如前文所述,安全主管是在登录身份验证和资源访问授权两方面均应用基于 Windows 的安全措施的对象。用户即是一种类型的安全主管。在 Windows 2000 操作系统中,用户安全主管需要唯一的登录名,以获取对域及其资源的访问权。以下两小节说明了两种类型的登录名--UPN 和 SAM 帐户名。
在 Active Directory 中,每个用户帐户都有一个“用户主管名 (UPN)”,格式为:<user>@<DNS-domain-name>。 UPN 是由管理员指定的友好名,它比系统使用的 LDAP 可分辨名称要短,因此更易于记忆。UPN 独立于用户对象的 DN,所以移动或重新命名用户对象时不会影响用户登录名。使用 UPN 登录时,用户就不必再由登录对话框的列表中选择域了。
UPN 的三部分是:UPN 前缀(用户登录名),@ 字符以及 UPN 后缀(通常是一个域名)。用户帐户的默认 UPN 后缀是 Active Directory 域的 DNS 名,该域是用户帐户所处的位置9。例如,用户 John Doe 在 OrgName.com 域(如果 OrgName.com 是目录树中唯一的域)中有一个用户帐户,其 UPN 为 JDoe@OrgName.com;UPN 是安全主管对象的属性 (userPrincipalName)。如果用户对象的 userPrincipalName 属性没有值,则用户对象会有一个默认 UPN:userName@DnsDomainName。
如果所在单位有多个域,形成了按部门和区域组织的大型域树,则默认的 UPN 名称可能会变得过于繁杂。例如,用户的默认 UPN 可能是 sales.westcoast.microsoft.com。在该域中的用户登录名是 user@sales.westcoast.microsoft.com。如果不想把默认的 DNS 域名作为 UPN 后缀,则可为所有用户统一提供一个 UPN 后缀,以简化管理和用户登录进程。(UPN 后缀只用于 Windows 2000 域,并且不必是有效的 DNS 域名。)您也可选用自己的电子邮件域名作为 UPN 后缀:userName@companyName.com。此处给出了用户 UPN 名称示例:user@microsoft.com。
如果是基于 UPN 的登录,可能会需要全局编录,这要取决于用户登录以及用户计算机的域成员资格。如果用户以非默认的 UPN 登录,并且用户的计算机帐户与其用户帐户处于不同域中,则会需要全局编录。即,如果未接受默认的 DNS 域名作为 UPN 后缀(正如刚才的示例:user@sales.westcoast.microsoft.com),而是给所有用户提供了一个统一的 UPN 后缀(结果用户会使用简单的 UPN 后缀,如 user@ microsoft.com),则需要全局编录来登录。
使用 Active Directory 域和信任工具来管理域的 UPN 后缀。在创建用户时分配 UPN。如果已为域创建其他后缀,创建用户或组帐户时就可以从有效的后缀列表中进行选择。列表中的后缀按如下顺序显示:
考虑到与 Windows NT 3.x和 Windows NT 4.0 域的兼容性,需要引入安全帐户管理器 (SAM) 帐户名。Windows 2000 用户界面将 SAM 帐户名称之为“用户登录名(Windows 2000 以前版本)”。
SAM 帐户名有时也称为无层次名,因为与 DNS 名不同,SAM 帐户名不使用分层命名方式。由于 SAM 名是无层次的,因此每个名称在域中都必须是唯一的。
“发布”是在目录中创建特定对象的过程,这种对象或者包含您希望使之生效的信息,或者对此类信息提供一个引用。例如,用户对象包括关于用户的有用信息,比如他们的电话号码和电子邮件地址,而卷对象包括对共享文件系统卷的一个引用。
以下是两个实例:在 Active Directory 中发布文件和打印对象:
也可在 Active Directory 中发布非 Windows 2000 平台的打印机(即打印机位于非 Windows 2000 平台的打印服务器上)。要达到此目的,可用 Active Directory 用户和计算机工具输入打印机的通用命名规则 (UNC) 路径。或者,用 System32 文件夹提供的 Pubprn.vbs 脚本。Group Policy Downlevel Printer Pruning 决定了打印机无法使用时,修剪服务(自动删除打印机)将如何处理非 Windows 2000 平台的打印服务器上的打印机。
如果信息对用户群的很大一部分有用或者能够引起他们的兴趣,并且对这些信息的访问程序要求很高,就应该在 Active Directory 中发布这些信息。
Active Directory 中发布的信息有两个主要特征:
应用程序使用的运作信息非常适合于在 Active Directory 中进行发布。这些信息包括应用于特定应用程序所有实例的全局配置信息。例如,关系数据库产品可以将数据库服务器的默认配置作为一个对象存储在 Active Directory 中。此后,该产品的新安装即可从对象中收集默认配置,从而简化了安装过程并提高了企业中所安装产品的一致性。
应用程序还可以在 Active Directory 中发布其连接点。客户/服务器结构中会使用这些连接点。Active Directory 使用 Service Administration Point 对象为集成的服务管理定义了体系结构,并为基于远程过程调用 (RPC)、Winsock 和组件对象模型 (COM) 的应用程序提供了标准连接点。有些应用程序不使用 RPC 或 Winsock 接口发布其连接点,它们可以在 Active Directory 中显式发布 Service Connection Point。
还可用应用程序特有的对象在目录中发布应用程序数据。应用程序特有的数据应该满足上面讨论的条件。即数据应该是能够引起大家的兴趣、相对稳定和结构化的。
发布信息的方式根据应用程序和服务的不同而变化:
Active Directory 由一个或多个域组成。在网络中创建初始域控制器的同时也就创建了域--您不可能创建没有一个域控制器的域。目录中的每个域都按 DNS 域名标识。使用 Active Directory 域和信任工具管理域。
使用域完成以下网络管理目标:
要理解域,则要理解目录树、目录林、信任以及部门,还要理解每个结构与域的关系如何。每个域组件均在以下各小节中加以说明:
Windows 2000 操作系统还引入了站点的相关概念,这样可提供灵活的管理,但站点结构与域结构是分开的,因此在以后的章节中再介绍站点。本文对基于 Windows 2000 的域和站点的基本知识加以说明。关于如何规划它们的结构以及如何部署的详细信息,请参阅本文结尾处“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning Guide。
当您阅读以下阐述各种可能的域结构的小节时,请切记,在许多单位中,是由一个域组成结构,而域同时是只包含一个目录树的一个目录林,这种结构不仅是可能的,而且也许还是组织网络的最理想方式。应始终由最简单的结构开始;只有确实需要添加复杂结构时,才可这样做。
在 Windows 2000 操作系统中,“目录树”是具有连续名称的一个或多个域的集合。如果存在多个域,则可将这多个域合并为分层的树结构。在目录林中有不止一个树的原因可能是,单位的某一分支机构有自己的注册 DNS 名称,并运行自己的 DNS 服务器。
所创建的第一个域是第一个树的根域。同一域树中的其他域是子域。同一域树中,与一个域紧密相连的上面的域是该域的父域。
有同一根域的所有域组成了一个“连续名称空间”。在连续名称空间中(即在一个树中)的域有连续的 DNS 域名,这些名称以下列方式形成:子域的域名显示在左边,与其右侧的父域名用英文句号分隔开。当有两个以上的域时,每个域的父域都在其域名的右侧,如图 3 所示。基于 Windows 2000 的域形成了一棵树,这些域通过双向、可传递的信任关系链接。信任关系将在后文说明。
图 3. 域树中的父域和子域。双向箭头表示双向可传递的信任关系
域树中域之间的父-子关系只是命名关系,和信任关系。父域中的管理员不会自动成为子域的管理员,父域中的策略设置也不会自动应用于子域。
Active Directory 目录林是一个“分布式数据库”,它是由跨多台计算机的许多局部数据库组成的数据库。对数据库进行的分布过程通过将数据定位到最常用的地方,来提高网络效率。目录林的数据库分区按域来定义,即一个目录林由一个或多个域组成。
除域数据库外,目录林的所有域控制器还保管目录林配置和架构容器的一个副本。域数据库是目录林数据库的一部分。每个域数据库都包含目录对象,如安全主管对象(用户、计算机和组),您可授予或剥夺这些对象对网络资源的访问权。
一个目录林比较容易进行创建和维护,且在通常情况下完全能够满足组织的需要。既然只有一个目录林,用户就不必过多注意目录结构,因为所有用户都通过全局编录来查看一个目录。在该目录林中添加新域时,无需进行额外的信任配置,因为目录林中的所有域都是用双向可传递的信任关系来连接的。在有多个域的目录林中,配置更改只需应用一次,即可影响所有域。
只有当您确实需要时才创建其他目录林,因为您所创建的每个目录林都会导致额外的管理开销12。但如果网络管理分布在多个自治部门之间,而这些部门对于架构和配置容器的公共管理又无法达成一致意见,则可能需要创建一个以上的目录林。单独创建目录林的另一个原因是,必须确保指定的用户无权获得对特定资源的访问权(在一个目录林中,每个用户都可包含在目录林中任一台计算机的任何组中,或出现在任意访问控制列表,即 DACL13)中。在单独的目录林中,可以定义明确的信任关系,授予一个目录林中的用户访问其他目录林中特定资源的权限。(关于两个目录林的实例,请参见“实例:两个目录林和一个 Extranet 的混合环境”中的图 7。)
一个目录林中的多个域树不会形成连续名称空间;也就是说,它们有非连续的 DNS 域名。尽管目录林中的目录树不共享同一名称空间,但目录林只有一个根域,称为“目录林根域”。按照定义,目录林根域为目录林中创建的第一个域。企业管理员组和架构管理员组--这两个针对整个目录林预定义的组驻留在该域中。
例如,如图 4 所示,虽然三个域目录树(HQ-Root.com、EuropeRoot.com 和 AsiaRoot.com)的每个目录树都有一个用于会计部门的子域,名为“Acct”,但这些子域的 DNS 名却分别是 Acct.HQ-Root.com、Acct.EuropeRoot.com、和 Acct.AsiaRoot.com。没有共享名称空间。
图 4. 一个含有三个域目录树的目录林。这三个根域互不连续,但 EuropeRoot.com 和 AsiaRoot.com 都是 HQ-Root.com 的子域。
目录林中每个域目录树的根域都会与目录林根域建立一种可传递的信任关系(将在下节详细说明)。在图 4 中,HQ-Root.com 是目录林根域。其他域目录树(EuropeRoot.com 和 AsiaRoot.com)的根域均与 HQ-Root.com 有可传递的信任关系。这就在目录林的所有域树之间建立了信任关系。
所有 Windows 2000 域(位于一个目录林的所有域目录树中)都具有以下特征:
要点 虽然在目录林中添加新域很容易,但是,不可在目录林之间移动原有的 Windows 2000 Active Directory 域。只有在域没有子域时才能将其从目录林中删除。建立目录树根域之后,不能在目录林中添加一个更高级名称的域。不能创建现有域的父域,只能创建子域。
通过实施域目录树和目录林两种方式,您既可使用连续的命名规则,也可使用不连续的命名规则。这一灵活性大有裨益;例如,当公司的每个独立分支机构都想保留自己的 DNS 名称(如 Microsoft.com 和 MSNBC.com)时,这种灵活性就很有用。
“信任关系”是建立在两个域之间的关系,它使一个域中的域控制器能够识别另一个域内的用户。信任允许用户访问另一个域中的资源;还允许管理员管理用户在其他域中的权限。对于运行 Windows 2000 的计算机,域之间的帐户身份验证由双向的、可传递的信任关系启动。
基于 Windows 2000 的目录林中的所有域信任关系都是双向可传递的,以如下方式定义:
但请注意,信任所启动的这一登录过程不一定意味着已验证用户在目录林的所有域中都有权利和权限。
除了在 Windows 2000 操作系统中自动生成目录林内的双向可传递信任关系外,您还可明确创建以下两种类型的信任关系:
图 5 域 B和域 D ,以及域 D 和 2 之间的快捷方式信任
图 6 外部单向不可传递信任
在 Windows NT 4.0(及早期版本)的操作系统中,信任关系都是单向的,并且严格限制在建立信任的两个域之间(不可传递)。将基于 Windows NT 的域升级为基于 Windows 2000 的域时,该域和其他 Windows NT 域之间原有的单向信任关系仍会保留。如果要安装新的 Windows 2000 域,并要建立与 Windows NT 域的信任关系,就必须创建与这些域的 Windows 2000 外部信任关系。要明确建立一种信任关系,可用 Active Directory 域和信任工具。
图 7 说明了含有两个 Windows 2000 目录林和一个 Windows NT 4.0 域的混合环境。在此图中,实现了四个独立的名称空间:A.com、D.com、G.com、和 F。
图 7. 有两个目录林和一个 extranet 的网络
图 7 说明了以下情况:
部门(又称 OU)是 Windows 2000 操作系统的新内容,它是一种类型的目录对象,可在其中放置用户、组、计算机、打印机、共享文件夹以及一个域内的其他部门。部门(在 Active Directory 用户和计算机界面中用文件夹表示)允许按逻辑关系组织并存储域中的对象。如果有多个域,则每个域均可实现各自独立的部门层次。
如图 8 所示,部门中也可包含其他部门。
图 8. 一个域内部的部门层次
部门主要用来委派对用户、组及资源集合的管理权限。例如,您可能会创建一个部门,其中包含整个公司的所有用户帐户。创建了委派管理功能的部门之后,即可对部门应用组策略设置,来定义用户和计算机的桌面配置。因为部门是用来委派管理功能的,所以,您创建的结构可能会反映管理模型,而不是反映业务组织。
尽管用户在查找资源时,可能会浏览域的部门结构,但通过查询全局编录来查找资源才是更有效的方法。因而,创建的部门结构不必考虑吸引最终用户。当然,也可创建一个能够反映业务组织的部门结构,但这样做不但比较困难,还会增加管理费用。创建部门结构不是为了反映资源位置或单位各部门的组织情况,在设计部门时要考虑到管理委派过程和组策略设置。
关于使用部门建立委派和组策略的详细信息,请参阅“在 OU、域和站点中使用委派和组策略”。关于在规划 Windows 2000 的实施方式时,应如何设计部门结构的详细信息,请参见本文结尾处“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning Guide。
可以将基于 Windows 2000 的“站点”看作是:用局域网 (LAN) 技术连接的一个或多个 IP 子网上的一组计算机,或由高速主干网连接的一组 LAN。一个站点内的计算机需要良好的连接,这通常也是子网上计算机的一个特征。相反,独立的站点之间可用速度比 LAN 慢的链接相连。可用 Active Directory 站点和服务工具,配置站点内(在一个 LAN 中或一组连接较好的 LAN 中)的连接以及站点之间的连接(在一个 WAN 内)。
在 Windows 2000 操作系统中,站点提供以下服务:
用户和服务应该能够随时通过目录林的任何计算机访问目录信息。为此,必须把目录数据的添加、修改和删除等操作由起始域控制器中继(复制)到目录林的其他域控制器中。但是,必须保持广泛分发目录信息的需求与优化网络性能的需求之间的平衡。Active Directory 站点有助于保持这种平衡。
了解站点独立于域这一概念,是很重要的。站点映射网络的物理结构,而域(如果使用不止一个域)一般映射单位的逻辑结构。逻辑结构和物理结构彼此独立,并因此产生以下结果:
可先用 Active Directory 站点和服务指定站点信息;然后,Active Directory 就可用此信息来确定如何以最佳方式使用可用的网络资源。使用站点可提高以下类型操作的效率:
保存于每个域控制器(无论是否为全局编录服务器)的 Active Directory 中的信息分为以下三个类别:域、架构和配置数据。每个类别都放在一个独立的目录分区中,又称“命名上下文”。这些目录分区是复制单元。每个 Active Directory 服务器所包含的这三个目录分区定义如下:
如果域控制器是一个全局编录服务器,它还保存第四种类别的信息。
如果一个域包含全局编录,其他域控制器就会将该域的所有对象(及对象属性的子集)复制到全局编录,然后在全局编录之间进行部分副本复制。如果域没有全局编录,就用普通域控制器作为部分副本的源。
默认情况下,存储在全局编录中的部分属性集包括搜索操作中最常使用的那些属性,这是因为全局编录的主要功能之一就是支持客户机查询目录。由于用全局编录执行部分域复制,而不是完全域复制,从而减少了 WAN 通信量。
如果网络是由一个局域网 (LAN) 或由通过主干网连接的一组 LAN 组成,整个网络就可以成为单个站点。最先安装的域控制器会自动创建第一个站点,称为“默认初始站点名称”。安装完第一个域控制器后,其他所有域控制器就会被自动添至与初始控制器相同的站点上。(之后,如果想移动,也可以将它们移到其他站点)。唯一例外的是:安装一个域控制器时,如果其 IP 地址落在先前指定的另一个站点的子网上,该域控制器就会加到该站点上。
站点内目录信息的复制是频繁的、自动进行的。调整站点内复制会使复制延迟降至最小,即,会使数据尽可能保持最新状态。站点内的目录更新不进行压缩。解压缩交换虽然需要的域控制器处理能力较小,但耗用更多的网络资源。
图 9 描述了站点内的复制。三个域控制器(其中一个是全局编录)复制了目录林的架构数据和配置数据,以及所有目录对象(包括每个对象的一整套属性)。
图 9. 只有一个域的站点内复制
用于域控制器间复制目录信息的连接所形成的配置称为“复制拓扑”,它由 Active Directory 中的知识一致性检查器 (KCC) 服务自动生成。Active Directory 站点拓扑是物理网络的逻辑表示,它是以每个目录林为基准定义的。Active Directory 试着建立了一种拓扑结构,允许每个域控制器至少有两个连接。这样,即使一个域控制器无法使用,目录信息还可以通过另一个连接到达所有联机域控制器。
Active Directory 会自动评估和调整复制拓扑,以适应不断变化的网络状况。例如,当一个域控制器添至站点时,复制拓扑会调整为能够有效合并新的添加项。
Active Directory 客户和服务器使用目录林的站点拓扑,有效地路由查询和复制通信。
如果是从一个域的初始域控制器扩展到多个域的多个域控制器(仍在一个站点内),则复制的目录信息会发生变化,会包括不同域全局编录之间的部分副本复制。图 10 显示了两个域,每个域都包含三个域控制器。每个站点的一个域控制器还用作全局编录服务器。 在每个域内,域控制器复制了目录林的架构数据和配置数据,以及所有目录对象(包括每个对象的一整套属性),如图 9 所示。此外,每个全局编录还把所在域的目录对象(及这些对象属性的一个子集)复制到其他全局编录。
Figure 10. 包括两个域和两个全局编录的站点内复制
可创建多个站点,以优化 WAN 链接上的服务器到服务器、客户机到服务器的通信。在 Windows 2000 操作系统中,站点间的复制可自动将站点间的带宽消耗降至最小。
建立多个站点时,推荐的做法有:
站点间的连接用“站点链接”表示。站点链接是两个或多个站点之间的低带宽或不可靠的网络连接。连接两个快速网络的 WAN 就是站点链接的一个例子。通常,对于任意两个网络,当其通过速度低于 LAN 的链接连接时,就认为这两个网络是通过站点链接连接的。另外,接近容量极限的快速链接带宽效率低,也视为站点链接。当有多个站点时,由站点链接连接的站点就变成复制拓扑的一部分。
在基于 Windows 2000 的网络中不能自动生成站点链接,必须用 Active Directory 站点和服务创建。通过创建站点链接,并配置其复制可用性、相对成本和复制频率,您可以为 Active Directory 提供一些信息,这些信息是关于需要创建哪些“连接对象”来复制目录数据的。Active Directory 用站点链接作为指示器,指示应该在什么位置创建“连接对象”,以及“连接对象”会在什么位置用实际的网络连接来交换目录信息。
站点链接有一个相关的日程安排,指出在一天的什么时间链接可用于传送复制通信。
默认情况下,站点链接是可传递的,这意味着,一个站点中的域控制器可以与任何其他站点的域控制器进行复制连接。也就是说,如果站点 A 与站点 B 相连,站点 B 与站点 C 相连,那么站点 A 的域控制器可以与站点 C 的域控制器进行通讯。创建站点时,您可能想创建其他链接,用于启用站点间的特定连接,并自定义连接这些站点的现有站点链接,此时,可传递性就会发挥作用。
图 11 显示了由一个站点链接连接的两个站点。在图中的六个域控制器中,两个是桥头服务器(桥头服务器是由系统自动指派的)。
图 11. 由一个站点链接连接的两个站点。每个站点的首选桥头服务器优先用于站点间信息交换。
桥头服务器是复制使用的首选服务器,但也可以配置站点中的其他域控制器来复制站点间的目录更改。
将更新由一个站点复制到另一个站点的桥头服务器后,就可以通过站点内复制,把更新复制到站点内的其他域控制器了。尽管只有一个域控制器收到了初始站点间的目录更新,但所有域控制器均会处理客户机请求。
可用以下网络协议,交换目录信息:
如果要在站点链接上使用 SMTP,则必须安装和配备一个企业证书颁发机构 (CA)。域控制器先从 CA 获取证书,然后用该证书来签名和加密含目录复制信息的邮件消息,从而保证了目录更新的可靠性。SMTP 复制使用 56 位加密。
Active Directory 域控制器支持多主机复制,这样即可同步处理每个域控制器上的数据,并能够始终保证数据的一致性。多主机复制在对等域控制器之间复制 Active Directory 信息,其中的每个域控制器均有此目录的可读写副本。这一点与 Windows NT Server 操作系统不同,后者只有 PDC 有目录的可读写副本(BDC 仅从 PDC 收到只读副本)。只要经过配置,复制即可自动执行并且是透明的。
有的目录服务用时间戳来检测和传播更改。在这些系统中,使所有目录服务器的时钟保持同步至关重要。但在网络中很难保持时间同步。即使网络时间同步非常好,某个目录服务器的时间还是有可能设置错误。这就会造成更新丢失。
与之相反,Active Directory 复制系统并不依赖时间进行更新传播。而是用更新顺序编号(USN)。USN 是一个 64 位数,每个 Active Directory 域控制器通过跟踪更新来维护 USN。当服务器对 Active Directory 对象的任何属性进行写操作(包括起始写操作或重复的写操作)时,USN 就会增大,并与更新的属性以及域控制器特有的属性保存在一起。此操作自动执行,也就是说,无论成败,USN 的增加和存储与写入属性值的过程都是作为一个单元来执行的。
每个基于 Active Directory 的服务器也会维护从其他复制伙伴收到的一张 USN 表。从每个伙伴收到的最大 USN 就保存在这张表中。 当某个给定的伙伴通知目录服务器需要进行复制时,该服务器会申请比最后收到值大的 USN 的所有更改。这种简单方法不依赖时间戳的准确性。
因为保存在表中的 USN 会随着接收的每个更新而自动更新,所以失败后恢复也很容易。要重新开始复制,服务器只须向它的伙伴申请所有 USN 值比表中最后一个有效项大的更改即可。因为表会随着所应用的更改自动更新,所以被中断的复制周期总是从停止的地方重新开始,而不会导致更新丢失或重复。
在多主机复制系统(如 Active Directory)中,同一个属性可能以两个或多个不同副本进行更新。如果第一个副本的更改尚未完全传播,而第二(或第三,或第四等)副本中的属性就发生了变化,则会引发冲突。可用属性版本号来检测冲突。与 USN 不同(它是服务器特有的值),属性版本号只用于 Active Directory 对象的属性。当属性第一次写入 Active Directory 对象时,属性版本号初始化。
起始写操作提高了属性版本号。起始写操作是指系统启用更改时,写入属性的操作。由复制产生的属性写操作不是起始写操作,因而不会提高属性版本号。例如,当用户更新其密码时,一个起始写操作就产生了,密码属性版本号也随之提高。而在其他服务器上,针对密码更改的复制写操作却不会提高属性版本号。
复制收到一个更改时,如果其中的属性版本号与本地存储的版本号相同,但接收值却与存储值不同,就会检测到一个冲突。出现这种情况时,接收系统将应用时间戳较晚的更新。这是时间戳用在复制中的唯一情形。
如果收到的属性版本号低于本地存储的版本号,则更新被视为陈旧的,并弃之不用。如果收到的属性版本号高于本地存储的版本号,则会接受此更新。
Active Directory 复制系统允许复制拓扑中出现重复路径。这样,管理员就能够在服务器间配置有多个路径的复制拓扑,用于提高性能和可用性。Active Directory 复制系统可执行传播衰减,以防止更改无穷尽地传播下去,并可以避免向已是最新的副本传送冗余更改。
Active Directory 复制系统使用最新矢量,来衰减传播。最新矢量是每个服务器保存的服务器–USN 对列表。每个服务器的最新矢量表示起始写操作的最高 USN(起始写操作通过服务器–USN 对中的服务器接收)。给定站点上服务器的最新矢量列出了该站点上的所有其他服务器15。
当复制周期开始时,请求服务器会把最新矢量发送到发送服务器。发送服务器用最新矢量来筛选发送给请求服务器的更改。如果给定的起始写操作的 USN 大于或等于某个特定更新起始写操作的 USN,那么发送服务器就无须发送此更改;因为对于起始写入操作来说,请求服务器已经是最新的了。
可以向以下 Active Directory 容器委派管理权限,并建立与组策略的关联:
部门是能够向其委派权限和应用组策略的最小 Windows 2000 容器16。委派和组策略都是 Windows 2000 操作系统的安全功能。本文简要讨论了受结构环境限制的这两种功能,表明 Active Directory 结构决定了该如何使用容器委派和组策略。
通过指派部门、域或站点的管理权限,可以委派对用户和资源的管理。把组策略对象 (GPO) 分配给三种类型容器之一,就可以设置该容器中用户和计算机的桌面配置和安全策略了。下面两个部分详细地讨论了这些问题。
在 Windows 2000 操作系统中,“委派”允许更高级别的管理授权机构把对部门、域或站点的特定管理权限授予组(或个人)。这大大减少了对大部分用户拥有绝对权限的管理员的需求数量。使用容器的委派控制功能,可以指定谁有权访问和修改该对象及其子对象。委派是 Active Directory 最重要的安全功能之一。
在 Windows NT 4.0 操作系统中,管理员有时通过创建多个域来委派管理权限,这样就会有几组不同的域管理员。在 Windows 2000 操作系统中,部门比域更容易创建、删除、移动和修改,因而也就更适于委派角色。
要委派管理权限(不是委派站点权限,以后再讨论),可以修改容器的任意访问控制列表 (DACL)17,将对域或部门的特定权限授予一个组。默认情况下,域管理员 (Domain Admin) 安全组的成员对整个域拥有权限,但您可以将组成员身份限定在数量有限的极可靠管理员之内。要创建权限范围更窄的管理员,可以通过在每个域内创建部门树,并给部门子树的分支委派权限,把权限委派到单位最低层。
域管理员对域中每个对象拥有完全控制权。但是,他们对其他域中的对象没有管理权限18。
通过使用“Active Directory 用户和计算机”管理单元中可用的“委派控制”向导,可以委派域或部门的管理权限。用右键单击该域或部门,选择“委派控制”,添加要委派控制的组(或用户);然后委派所列的日常任务,或者创建要委派的自定义任务。可以委派的日常任务在下表中列出。
可以委派的日常任务 |
可以委派的部门日常任务 |
---|---|
· 将计算机加入域 · 管理组策略链接 |
· 创建、删除和管理用户帐户 · 重设用户帐户的密码 · 读取所有用户信息 · 创建、删除和管理组 · 修改一个组的成员 · 管理打印机 · 创建和删除打印机 · 管理组策略链接 |
可以把部门、组和权限结合起来,定义特定组的最恰当管理范围:整个域、部门的一个子目录树或一个部门。例如,您可能想创建部门,使您能够授予对一个部(如财务部门)全部分支的所有用户和计算机帐户的控制权。或者,您可能只想授予部门内某些资源(如计算机帐户)的管理控制权。第三个例子是授予对财务部门的管理控制权,但不授予对计帐部门内任何部门的管理控制权。
因为部门用于管理委派,但自身并不是安全主管,所以由用户对象的父部门说明该用户对象的管理者。但并未说明这个特定用户可以访问哪些资源。
可用 Active Directory 站点和服务委派对站点、服务器容器、站点间传输(IP 或 SMTP)或子网的控制权。这些实体之一的委派控制使受委派的管理员能够管理这些实体,但并未给予管理员管理该实体内用户或计算机的能力。
例如,当委派对一个站点的控制权时,既可以委派对所有对象的控制权,也可以委派对该站点上的一个或多个对象的控制权。可以委派控制权的对象包括:用户对象、计算机对象、组对象、打印机对象、部门对象、共享文件夹对象、站点对象、站点链接对象、站点链接桥对象等。然后,就会提示您选择要委派权限的范围(常规、属性特有的或仅仅是特定子对象的创建/删除)。如果指定的是常规范围,就会提示您授予以下一个或多个权限:完全控制、读取、写入、创建所有子对象、删除所有子对象、读取所有属性或写入所有属性。
在 Windows NT 4.0 中,可用“系统策略编辑器”来定义存储在 Windows NT 注册表数据库中的用户、组和计算机配置。在 Windows 2000 操作系统中,组策略定义了用户环境中管理员可管理的各种组件。这些组件包括基于注册表的策略设置、安全选项、软件部署选项、脚本(用于计算机启动和关机以及用户登录和注销)和特殊文件夹的重定向19。
系统将组策略配置应用于计算机(启动时)或用户(登录时)。 将组策略设置应用于站点、域和部门中的用户或计算机,是通过把 GPO 链接到包含这些用户或计算机的 Active Directory 容器来实现的。
默认情况下,组策略影响链接容器中的所有用户和计算机。可以使用安全组中的成员身份,来筛选哪些 GPO 影响部门、域或站点中的用户和计算机。这样,就可以更精确地应用策略,即,使用安全组允许您把策略应用到容器中的特定对象组。要通过这种方法筛选组策略,可用 GPO“属性”页上的“安全”选项卡,控制谁能够读取 GPO。那些没有把“应用组策略”( Apply Group Policy)和“读取”(Read)设置成“允许”(Allow)作为安全组成员的用户,将不能应用 GPO。但是,由于默认情况下,普通用户拥有这些权限,所以只要您没有明确更改这些权限,组策略就会影响链接容器中的所有用户和计算机。
安全组在 Active Directory 中的位置与组策略无关。对于应用 GPO 的某个特定容器而言,GPO 设置决定了:
例如,GPO 可以决定:用户登录时,其计算机上有哪些可使用的应用程序;当 Microsoft SQL Server 在一个服务器上启动时,有多少个用户可以与之相连接;或者当用户移到其他部门或组时,可以访问哪些服务。组策略使您只需管理少量的 GPO,而无须管理大量的用户和计算机。
与安全组不同,站点、域和部门不授予成员身份,而是包含和组织目录对象。可用安全组授予用户许可和权限,然后用三种类型的 Active Directory 容器,来包含用户和计算机并分配组策略设置。
因为是用安全组来授予资源访问权限,所以您会发现,使用安全组来代表企业的组织结构比使用域或部门来反映企业结构更有效。
默认情况下,域范围内的策略设置或包含其他部门的部门所应用的策略设置可由子容器继承,除非管理员明确指定此继承不能应用于一个或多个子容器。
网络管理员(Enterprise Administrators 或 Domain Administrators 组的成员)可用 GPO“属性”页上的“安全”选项卡,来决定其他哪些管理员组可以修改 GPO 中的策略设置。为此,网络管理员应先定义管理员(例如,销售管理员)组,然后给这些组分配对选定 GPO 的读/写访问权。拥有对 GPO 的完全控制权并不能使管理员将该 GPO 链接到一个站点、域或部门上。但网络管理员可用“委派控制”向导授予管理员此权限。
在 Windows 2000 操作系统中,可以独立地委派以下三种组策略任务:
和大多数其他 Windows 2000 管理工具一样,组策略在 MMC 控制台上执行。因此,创建、配置和使用 MMC 控制台的权限就暗含策略的内容。可以通过
<Group Policy object name>/User Configuration/Administrative
Templates/Windows Components/Microsoft Management Console/
及其子文件夹中的组策略来控制这些权限。
表 4 列出了一个组策略对象的安全权限设置。
表 4. GPO 的安全权限设置
组(或用户) |
安全权限 |
---|---|
Authenticated User |
含“应用组策略 ACE”的读取权限 |
Domain Administrators Enterprise Administrators Creator Owner Local System |
无“应用组策略 ACE”的完全控制 |
备注: 默认情况下,administrators 也是 authenticated users,这意味着,他们有应用组策略属性集。
关于组策略的详细信息,请参阅本文末尾的“其它信息”一节。
很多公司需要各种不同的技术协同工作。Active Directory 支持很多标准,保证了 Windows 2000 环境与其他 Microsoft 产品、其他供应商的各种产品的互操作性。
本节介绍 Active Directory 支持的以下互操作性类型:
轻型目录访问协议 (LDAP) 是目录访问的工业标准。Internet 工程任务组 (IETF) 正在试图使 LDAP 成为 Internet 标准。
LDAP 是主要的目录访问协议,用于添加、修改和删除保存在 Active Directory 中的信息,以及在 Active Directory 中查询和检索数据。Windows 2000 操作系统支持 LDAP 版本 2 和版本 320。LDAP 定义了目录客户机如何访问目录服务器,及如何执行目录操作和共享目录数据。即,Active Directory 客户机必须用 LDAP 获取 Active Directory 中的信息或维护 Active Directory 中的信息。
Active Directory用 LDAP 来实现与其他 LDAP 兼容的客户机应用程序的互操作性。如果有相应的权限,您可用任何与 LDAP 兼容的客户机应用程序,浏览、查询、添加、修改或删除 Active Directory 中的信息。
可用以下应用程序编程接口 (API),访问 Active Directory 中的信息:
这些 API 在下面两部分中阐述。
通过把保存于目录的对象作为组件对象模型 (COM) 对象,Active Directory 服务接口 (ADSI) 启用对 Active Directory 的访问。可以使用一个或多个 COM 接口上的可用方法,来操纵目录对象。ADSI 具有基于提供程序的结构,该结构允许 COM 访问提供程序所在的不同类型目录。
目前,Microsoft 为 Novell NetWare 目录服务 (NDS) 和 NetWare 3、Windows NT、LDAP 和 Internet 信息服务 (IIS) 配置数据库提供了 ADSI 提供程序。(IIS 配置数据库存放 IIS 配置设置。)LDAP 提供程序可与任何 LDAP 目录(包括 Active Directory、Microsoft Exchange 5.5 或 Netscape)一起使用。
可通过很多工具使用 ADSI(从 Microsoft Office 应用程序到 C/C++)。ADSI 支持可扩展性,这样,就可以向一个 ADSI 对象添加功能,来支持新的属性和方法。例如,可以把一个方法添至用户对象,当调用该方法时,就会为用户创建一个 Exchange 邮箱。ADSI 编程模型非常简单。它缩减了数据管理费用,这是非 COM 接口(如 LDAP C API)的特点。因为 ADSI 是完全可编写的,所以易于开发出丰富的 Web 应用程序。ADSI 支持 ActiveX® 数据对象 (ADO)、对象链接和嵌入数据库 (OLE DB) 进行查询。
通过创建基于 ADSI 的脚本(及基于 LDIFDE 的脚本,在本文后面讨论),开发人员和管理员可以将对象和属性添至 Active Directory。
LDAP C API(在 Internet 标准 RFC 1823 中定义)是 LDAP 协议的一组低级 C 语言 API。Microsoft 在所有 Windows 平台上支持 LDAP C API。
开发人员可以选用 LDAP C API 或 ADSI 来编写支持 Active Directory 的应用程序。LDAP C API 最常见的用法是:使支持目录的应用程序更易于移植到 Windows 平台。另一方面,ADSI 是一个更强大的语言,更适于开发人员在 Windows 平台编写支持目录的代码。
Microsoft 提供了目录同步服务,您可以将 Active Directory 信息与 Microsoft Exchange 5.5、Novell NDS 和 NetWare、Lotus Notes 和 GroupWise 进行同步处理。另外,使用命令行工具,您可以从其他目录服务导入或向其他目录服务导出目录信息。
Windows 2000 操作系统包含一个称为“Active Directory 连接器”的服务,它提供与 Microsoft Exchange 5.5 的双向同步功能。Active Directory 连接器使两个目录中的数据保持同步的过程中,它会提供丰富的对象和属性映射。关于 Active Directory 连接器的详细信息,请参阅本文末尾的“其它信息”。
作为 Netware 5.0 服务的一部分,Microsoft 准备加载一个目录同步服务,该服务能执行 Novell NDS 和 NetWare 的双向同步。
作为 Platinum (下一版 Microsoft Exchange 的代码名称)的一部分,Microsoft 准备加载一个目录同步服务,该服务可实现与 Lotus Notes 的双向同步服务,以便将电子邮件与其他公共属性进行同步处理。
作为 Platinum (下一版 Microsoft Exchange 的代码名称)的一部分,Microsoft 准备加载一个目录同步服务,该服务可实现与 GroupWise 的双向同步服务,以便将电子邮件与其他公共属性进行同步处理。
Windows 2000 操作系统提供命令行工具的 LDAP 数据交换格式 (LDIFDE),支持目录信息的导入和导出。LDAP 数据交换格式 (LDIF) 是一个作为工业标准的 Internet Draft,用于定义交换目录信息所用的文件格式。这个基于 Windows 2000、使用 LDIF 支持目录导入/导出的工具称为 LDIFDE。LDIFDE 允许以 LDIF 格式导出 Active Directory 信息,这样,它随后可被导入到其他目录。也可用 LDIFDE 从其他目录导入目录信息。
可用 LDIFDE 执行批处理操作,如添加、删除、重命名或修改。也可以向 Active Directory 提供从其他来源(如其他目录服务)获取的信息。另外,因为 Active Directory 中的架构保存于自身目录,所以可用 LDIFDE 备份或扩展此架构。关于 LDIFDE 参数列表及其功能,请参阅“Windows 2000 帮助”。关于如何使用 LDIFDE 进行 Active Directory 批处理操作的详细信息,请参阅本文末尾的“其它信息”一节。
管理员可以创建一个交叉引用对象 (cross-ref),它指向目录林外目录的一个服务器。当用户搜索包含此交叉引用对象的子目录树时,Active Directory 会把对该服务器的引用作为结果集的一部分返回,然后,LDAP 客户机追踪此引用,以获取用户所请求的数据。
Active Directory 容器对象引用目录林外的一个目录,就是这种引用。内部引用与外部引用的差别在于:内部引用引用了一个外部目录,该目录在 Active Directory 名称空间是作为原有 Active Directory 对象的子对象显示的;而外部引用引用的是外部目录,该目录不会作为子对象出现在 Active Directory 名称空间中。
对于内部和外部引用,Active Directory 包含了保存外部目录副本的服务器的 DNS 名称,以及外部目录根(外部目录的搜索操作由此开始)的可分辨名称。
Windows 2000 操作系统支持用于交叉平台互操作性的多个配置:
在已使用 Kerberos 领域的环境中,Windows 2000 操作系统支持与 Kerberos 服务的互操作性:
互操作性的一个特殊类型是:维护与当前操作系统早期版本的向后兼容性。默认情况下,Windows 2000 操作系统以混合模式网络配置进行安装。混合模式域是一组运行 Windows NT 和 Windows 2000 域控制器的联网计算机。因为 Active Directory 支持混合模式,所以您可以根据单位需要,随时升级域和计算机。
Active Directory 支持 Windows NT 操作系统使用的 Windows NT LAN 管理器 (NTLM) 身份验证协议,这意味着,已验证的 Windows NT 用户和计算机可以登录和访问 Windows 2000 域中的资源。对于没有运行 Active Directory 客户机软件的 Windows NT 客户机和 Windows 95 或 98 客户机,Windows 2000 域相当于 Windows NT 服务 4.0 域。
在 Windows 2000 服务器操作系统的许多改进中,引入 Active Directory 目录服务最引人注目。Active Directory 有助于集中和简化网络管理功能,因而增强了支持企业目标的能力。
Active Directory 存储了有关网络对象的信息,供管理员、用户和应用程序使用。它是一个与 Internet 域名系统 (DNS) 集成的名称空间,同时它又是一个将服务器定义为域控制器的软件。
可用域、目录树、目录林、信任关系、部门和站点来定义 Active Directory 网络及其对象的结构。可以把对部门(OU)、域或站点的管理职责委派给相应的个人或组,还可以给这三种 Active Directory 容器分配配置设置。这种结构使管理员能够管理网络,这样,用户就可以把注意力集中在实现商业目标上。
目前,公司使用不同技术协同工作的现象已非常普遍,而绝非个别的现象。Active Directory 建立在标准的目录访问协议的基础上,使用这些访问协议以及一些 API,Active Directory 实现了与其他目录服务以及各种第三方应用程序的互操作性。另外,Active Directory 可以使数据与 Microsoft Exchange 保持同步,并提供命令行工具,用于从其他目录服务导入数据和向其他目录服务导出数据。
关于 Windows 2000 操作系统的最新信息,请查阅 Microsoft TechNet 或访问以下站点: 、 MSN 上的 Windows NT Server Forum ™以及 Microsoft Network 在线服务 (GO WORD:MSNTS)。
另外,可以查找以下链接,来获取详细信息:
《Microsoft Windows 2000 Server 部署规划指南》一书讨论了如何规划 Windows 2000 域和站点的结构,以及如何进行部署,此书 2000 年初在书店发售。它还作为支持工具的一部分,放在 Windows 2000 Server 和 Windows 2000 Advanced Server CD 中。
此附录提供了一些软件工具的简短概述,您可用这些工具执行与 Active Directory 有关的任务。
在 Windows 2000 Server 操作系统中,Microsoft 管理控制台 (MMC) 提供了一致的接口,使管理员可以查看网络功能和使用管理工具。无论负责单个工作站还是整个计算机网络,管理员均使用同一控制台。MMC 提供称为“管理单元”的程序,每个管理单元处理特定的网络管理任务。有四个管理单元是 Active Directory 工具。
Windows 2000 Server 操作系统中包含的 Active Directory 管理工具简化了目录服务管理。可以使用标准工具或 MMC,创建用于单项管理任务的自定义工具。可以把多个工具合并到一个控制台上。也可以将自定义工具指派给具有特殊管理职责的某个管理员。
在所有 Windows 2000 域控制器的“Windows 2000 Server 管理工具”菜单中,均有以下 Active Directory 管理单元:
第四个 Active Directory 管理单元是:
建议用程序扩展 Active Directory 架构,即使用 Active Directory 服务接口 (ADSI) 或 LDAP 数据交换格式 (LDIFDE) 工具。但是,如果是为了开发和测试,则也可用 Active Directory 架构管理单元来查看和修改 Active Directory 架构。
“Active Directory 架构”在“Windows 2000 Server 管理工具”菜单上是不可用的。必须用 Windows 2000 Server CD 安装 Windows 2000 管理工具,并将它添加到 MMC 控制台。
与 Active Directory 任务有关的第五个管理单元是:
设置组策略是与用户、计算机和组的 Active Directory 管理有关的任务。组策略对象 (GPO) 包含了应用于站点、域和部门中的用户和计算机的策略设置及控制设置。要创建和编辑 GPO,可使用组策略管理单元;可通过Active Directory 用户和计算机或通过 Active Directory 站点和服务来访问它(根据要执行任务的具体情况而定)。
要通过一个不是域控制器的计算机(如运行 Windows 2000 Professional),远程使用 Active Directory 管理工具,就必须安装 Windows 2000 管理工具。
表 5 列出了使用 Active Directory 管理单元和相关管理工具,来完成的日常任务。对于 Windows NT Server 操作系统的用户,此表也显示了在使用 Windows NT Server 4.0 提供的管理工具时,这些任务是如何完成的。
表 5. 使用 Active Directory 和组策略工具完成的任务
如果想: |
在 Windows NT 4.0 中,使用: |
在 Windows 2000 中,使用: |
---|---|---|
安装域控制器 |
Windows 安装 |
Active Directory 安装向导(从“配置服务器”访问)。 |
管理用户帐户 |
用户管理器 |
Active Directory 用户和计算机 |
管理组 |
用户管理器 |
Active Directory 用户和计算机 |
管理计算机帐户 |
服务器管理器 |
Active Directory 用户和计算机 |
将一个计算机添至域中 |
服务器管理器 |
Active Directory 用户和计算机 |
创建或管理信任关系 |
用户管理器 |
Active Directory 域和信任关系 |
管理帐户策略 |
用户管理器 |
Active Directory 用户和计算机 |
管理用户权限 |
用户管理器 |
Active Directory 用户和计算机: 编辑域或部门的组策略对象,该域和部门包含要应用用户权限的计算机。 |
管理审核策略 |
用户管理器 |
Active Directory 用户和计算机: 编辑指派给“域控制器”部门的组策略对象。 |
设置站点内用户和计算机的策略 |
系统策略编辑器 |
组策略,通过 Active Directory 站点和服务进行访问 |
设置域内用户和计算机的策略 |
系统策略编辑器 |
组策略,通过 Active Directory 用户和计算机访问 |
设置部门内用户和计算机的策略 |
不适用 |
组策略,通过 Active Directory 用户和计算机访问 |
使用安全组筛选策略的作用范围 |
不适用 |
编辑“组策略对象”属性表安全选项卡上“应用组策略”的权限项。 |
高级管理员和网络支持专家也可用各种命令行工具,来配置、管理 Active Directory 及解答 Active Directory 疑难问题。这些工具称为“支持工具”,在 Windows 2000 Server CD 的 \SUPPORT\RESKIT 文件夹中提供了此类工具。如表 6 所示。
表 6.与 Active Directory 有关的命令行工具
工具 |
说明 |
---|---|
MoveTree |
将对象从一个域移到另一个域。 |
SIDWalker |
对于已移动、孤立或删除的帐户,设置其原来拥有的对象上的访问控制列表。 |
LDP |
允许对 Active Directory 执行 LDAP 操作。此工具有图形用户界面。 |
DNSCMD |
检查 DNS 资源记录的动态注册(包括安全 DNS 更新)以及资源记录的注册取消。 |
DSACLS |
查看或修改目录对象的访问控制列表。 |
NETDOM |
批量管理信任关系、将计算机加入到域中、验证信任关系和安全信道。 |
NETDIAG |
检查端对端网络和分布式服务功能。 |
NLTest |
检查运行的定位器和安全信道。 |
REPAdmin |
检查复制伙伴之间的复制一致性;监视复制状态;显示复制元数据库;强制复制事件和知识一致性检查器 (KCC)的重新计算。 |
REPLMon |
显示复制拓扑结构;监视复制状态(包括组策略);强制复制事件和知识一致性检查器的重新计算。此工具有图形用户界面。 |
DSAStat |
比较域控制器上的目录信息并检测差异。 |
ADSIEdit |
是一个 Microsoft 管理控制台 (MMC) 管理单元,用于查看目录中的所有对象(包括架构和配置信息)、修改对象和设置对象的访问控制列表。 |
SDCheck |
检查目录中特定对象的访问控制列表传播和复制。使用此工具,管理员可以决定访问控制列表是否已正确继承,以及访问控制列表更改是否从一个域控制器复制到另一个域。 |
ACLDiag |
决定是授予还是拒绝用户对目录对象的访问权。也用于将访问控制列表复位到默认状态。 |
DFSCheck |
是一个命令行工具,用于管理分布式文件系统 (Dfs) 的各个方面、检查 Dfs 服务器的配置并发性以及显示 Dfs 拓扑。 |
您可以在 Windows 2000 帮助中找到 Windows 2000 命令的完整列表,以及每个命令使用方法的信息。只要在“索引”选项卡或“搜索”选项卡上,键入“command reference”即可。
可用 Active Directory 服务接口 (ADSI),创建各种不同用途的脚本。Windows 2000 Server CD 包含一些 ADSI 脚本示例。有关 ADSI 的详细信息,请参阅“Active Directory 服务接口”和“其它信息”一节。
© 1999 Microsoft Corporation.版权所有。
本文档包含的信息代表在发行之日,Microsoft Corporation 对所讨论问题的当前看法。因为 Microsoft 必须顺应不断变化的市场条件,故该文档不应被理解为 Microsoft 一方的承诺,Microsoft 不保证所给出的信息在发布之日以后的准确性。
该白皮书仅供参考。在本文档中,MICROSOFT 不作任何明示的或默示的保证。
Microsoft、Active Directory、ActiveX、BackOffice、MSN、Windows 和 Windows NT 是 Microsoft Corporation 在美国和/或其他国家或地区的注册商标或商标。
此处提到的其他产品和公司名称可能是其各自所有者的商标。
Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA
0x99
1 在 Windows 2000 Server 域中,域控制器是运行 Windows 2000 Server 操作系统的计算机,用来管理用户对网络的访问(包括登录、身份验证)以及对目录和共享资源的访问。
2 DNS 区域是 DNS 名称空间的一个连续分区,它包含此区域 DNS 域的资源记录。
3 LDAP 是用来访问目录服务的一个协议,请参阅“与 LDAP 有关的名称”及“轻型目录访问协议”一节。
4 在“用于指定服务位置的 DNS RR (DNS SRV)”中阐述(位于 Internet 工程任务组 (IETF) 名为 draft-ietf-dnsind-rfc2052bis-02.txt 的 Internet Draft 中)。(Internet-Draft 是 Internet 工程任务组 (IETF)、领域及其工作组的工作文档。)
5 在 RFC 2136 中讲述,即“A 类地址空间组件在 Internet 中的使用”的“观察组件的使用”。
6 Windows 2000 组与 Windows NT 中组的定义有些不同。Windows 2000 包括两种“组类型”:1.安全组,用于管理用户和计算机对共享资源的访问及筛选组策略设置;2. 分发组,用于创建电子邮件分发列表。Windows 2000 也包括三种“组范围”:1. 本地域范围组,用于定义和管理对单个域内资源的访问;2.全局范围组,用于管理需要日常维护的目录对象,如用户和计算机帐户,可用全局范围分组域内的帐户;3.通用范围组,用于合并不同域的组;您可以将用户帐户添至带有全局范围组中,然后将这些组放到带有通用范围的组内。(有关 Windows 2000 组的详细信息,包括新的通用组类型,请参阅本文末尾的“详细信息”一节。)
7 要达到“Windows 认证”徽标的要求,应用程序必须通过 VeriTest 的“Windows 2000 应用程序规范”测试。假设至少包括一个 Windows 2000 操作系统,就可以选择任意平台的组合。只要应用程序通过一致性测试并且与 Microsoft 达成徽标许可证协议,就可以带有“Microsoft Windows 认证”徽标。您收到的徽标表明了产品认证的 Windows 版本。参见
8 Active Directory 支持 LDAP v2 和 LDAP v3,它们能识别 RFC 1779 和 RFC 2247 命名规则。
9 如果未添加 UPN,用户可以通过明确提供他们的用户名和根域的 DNS 名称来登录。
10 对于发布打印机,控制打印机默认值的组策略是:“在 Active Directory 中自动发布新的打印机”和“允许发布打印机”(后者控制该机器上的打印机是否可以发布)。
11 将它与 Windows NT Server 早期版本进行比较,后者的 SAM 数据库每个域最多大约有 40,000 对象。
12 关于额外费用的讲述,请参阅本文末尾的“其它信息”一节的“Microsoft Windows 2000 Server 布署规划指南”,它讨论如何规划 Windows 2000 域和站点的结构和布署。
13 DACL 允许或拒绝一个对象对特定用户或组的权限。
14 关于与 Kerberos 领域的互操作性问题,请参阅“Kerberos 在互操作性中的作用”一节。
15 最新矢量不是某个站点专用的。最新矢量为每个服务器均保存一个项,在该项上目录分区(命名上下文)是可写的。
16 除了委派“容器”权限外,也可以将权限(如读/写)授予下面的对象属性级别。
17 对象的 DACL 的访问控制项 (ACE) 决定了谁能访问该对象,以及拥有哪种访问权限。当在目录中创建一个对象时,默认的 DACL(在架构中定义)将应用于该对象。
18 默认情况下,Enterprise Admins 组被授权完全控制“目录林”中所有对象。
19 使用“文件夹重定向”扩展,可将用户配置文件中的以下任何特殊文件夹重定向到另一个位置(如网络共享):应用程序数据、桌面、My Documents(和/或 My Pictures)、开始菜单。
20 LDAP 版本 2 在 RFC 1777 中阐述;LDAP 版本 3 在 RFC 2251 中阐述。
转自: