第一章活动目录(ACTIVE DIRECTORY)概述

第一章 WINDOWS2000活动目录概述
内容摘要
本章简要介绍与Windows2000活动目录有关的最重要的基本概念。

内容包括：
活动目录的物理结构
活动目录的逻辑结构
Windows2000网络的管理简介
考点提示
活动目录的站点、域、树、森林、组织单元。

活动目录中对象的命名。

1． 1 活动目录综述
随着网络规模和复杂程度的不断增加，组织、规划和查找网络中的对象，为网络组建一个清楚的结构变得非常重要。

在分布式计算系统或公众计算机网（如Internet）中，有许多对象，如文件服务器、打印机、传真服务器、应用程序、数据库和用户。

用户必须能找到和使用这些对象。

管理员必须能管理这些对象。

目录是有效组织大量关联对象的最有效方法之一。

借助于目录的概念，很多网络系统提供了目录服务以管理大量的网络对象。

目录服务是一种组织和简化网络系统资源的方法。

用户和管理员可能不知道他们所需对象的确切名称，然而，他们可能知道该对象的一个或多个属性。

目录服务可以基于一个或多个属性，就可以查找到具有此属性的对象。

同样，如果管理员从目录服务中定位了一个对象，可以很方便地获得该对象的所有属性。

图1-1
Windows2000活动目录是功能强大的一个目录服务，能够在一个集中地点存储使用和管
理网络对象的全部信息，简化了查找和管理这些资源的过程。

WINDOWS2000将安全性与活动目录集成，安全信息集中放置在活动目录中，通过活动目录验证用户的登录过程和用户对不同网络资源的访问权限，实现WINDOWS2000的网络安全管理。

WINDOWS2000网络中引入活动目录提供了如下优点：
网络资源的集中管理。

由于WINDOWS2000网络中的安全信息存储在活动目录数据库中，而活动目录数据不断复制到所有的域控制器中，管理员更改活动目录数据后很快就会在整个网络中生效。

网络资源的多点访问。

WINDOWS2000网络中的安全信息集中存储在活动目录数据库中，任何网络用户在使用任何计算机登录到网络时都可以得到设定给他的安全权限，并访问他有权限访问的资源。

与其他目录服务有很好的互操作性。

活动目录使用标准的目录访问协议，如LDAP 和NSPI等，可与使用这些协议的其他目录服务相互操作。

这为WINDOWS2000网络与其它网络的相互访问和通过INTERNET访问WINDOWS2000活动目录提供了方便，也为今后使用活动目录的程序开发提供了方便。

网络的可伸缩性：活动目录可以包含一个或多个域，每个域具有一个或多个域控制器，管理员可以调整目录的规模以满足任何网络的需要。

多个域可合并为域树，多个域树可合并为森林。

1． 2 活动目录的结构
WINDOWS2000的活动目录根据需要可以划分为逻辑结构、物理结构和管理结构三种组织结构：
1．2．1 活动目录的逻辑结构。

WINDOWS2000逻辑结构分为域、树、森林三层。

1、域
域定义了WINDOWS2000网络的安全界限，是WINDOWS2000网络的基本安全管理单元。

每个域有自己独立的安全信息，即每个域仅存储该域中各对象的有关信息；同时每个域又记录着与其它域的信任关系，并通过信任关系和进一步的授权访问其它域的资源。

以域为单位划分目录，活动目录可将规模不断扩展并拥有不断增多的对象。

2、树
域是WINDOWS2000活动目录数据复制的单元。

特定域中的所有域控制器可接收更改内容并将这些内容复制到域中的所有其他域控制器中，同一个域中不同域控制器中的目录数据在不断的复制中保持一致。

树是多个域通过WINDOWS2000特有的可传递信任关系建立起来的一种层次结构。

组成树的多个域有连续的DNS 域名。

树的结构如图1-2所示。

图1-2
3、森林
森林由多个树组成，多个树共享公用架构和全局编录，森林中不同树所包含的域含有不连续的DNS域名。

森林的结构如图二所示
图1-3
1．2．2 活动目录的物理结构：
前面WINDOWS2000的逻辑结构定义了WINDOWS2000的安全单元以及安全单元的扩展。

但仅仅从活动目录的逻辑结构是不能确定WINDOWS2000网络中计算机的物理分布的。

如一个跨国公司，本身雇员不多，但分布在美洲和亚洲的两个城市，为了保证正常的网络性能和网络数据流量，有必要对两个城市中逻辑上在一个域中的计算机进行区分。

WINDOWS2000引入站点（SITE）来划分网络不同的物理结构。

站点为由一个或多个 IP 子网组成的一组计算机。

为确保目录信息的有效复制，站点中的计算机需要很好地连接。

通过广域网连接的多个网络应使用多个站点。

一般情况下，判断是否应该划分不同的站点的依据是计算机之间的连接状况，当计算机之间不能保证永久连接或连接带宽不够时应将连接的两端划分成不同的站点。

站点反映网络的物理结构，网络的物理结构及其逻辑结构之间没有必要的相关性。

活动目录允许单个站点中包含多个域，单个域中包含多个站点。

如图所时示，椭圆中的计算机属于同一个站点，而三角形中的计算机属于同一个域。

图1-4
1．2．3 活动目录的管理结构：
无论是物理结构还是逻辑结构都是从网络角度来描述WINDOWS2000的网络体系结构。

而更多的时间用户关心的是根据企业管理需要组建网络。

这就用到WINDOWS2000活动目录的管理结构了。

WINDOWS2000活动目录可以根据用户网络的管理需求，应用组织单元（Organization Unit）对Windows2000网络体系进行划分。

组织单元是在域范围内使用的一种活动目录对象类型,同时也是可以存放大量活动目录对象的容器。

组织单元可灵活地将同一个域的用户、组、计算机和其他组织单位放入其中，而具体的加入与被加入没有严格的规则限制。

组织单元是为管理的需要而创建的。

如一个企业可以根据现有的管理体系为每一个部门创建一个组织单元，将不同部门的用户账户、计算机账户、发布的共享资源等加入对应的组织单元中，以便于管理。

组织单元是WINDOWS2000活动目录的一个非常好用的管理单元，通过灵活使用组织单元，并根据实际需要在组织单元上做必要的安全权限设置，可以充分满足企业组网过程中的各种要求。

图1-5
如图所示，在域中创建了三个组织单元，分别对三个组织单元进行设置，为每一个组织单元指定一个具有完全访问权限的管理员，则每一个管理员只对对应的组织单
元具有管理权限。

如果每一个组织单元对应一个部门，则相当于为每一个部门都创建了一个管理员。

实验1: 组织单元（OU）的创建和使用
1、在域中创建组织单元（OU）。

2、向组织单元（OU）中添加、移动活动目录对象。

3、向组织单元（OU）的分配访问权限。

1．3 Windows2000网络管理简介
Windows2000的网络管理最主要的是通过活动目录和组策略两种方法来实现，这两种方法紧密相关，但有本质的不同。

1．3．1 活动目录安全管理
活动目录使管理员能够集中管理网络资源。

活动目录存储了同系统的使用直接相关的安全信息，如用户账户和对应的密码，用户账户和所对应的权限等。

活动目录为所包含的每一个对象定义了一个安全标示符和安全访问列表，标示符和对应的安全访问列表规定了访问该对象所需的权限。

如一个用户账户想要访问一个发布在活动目录中的对象，而该用户没有足够的访问权限，由于被访问对象的安全访问列表中没有该用户的安全标示符，因此系统最终会拒绝此访问请求。

1．3．2 使用组策略的管理
活动目录中存放着大量网络访问安全信息，这是阻止对网络的非法访问的根本保障。

但仅仅使用活动目录的安全信息，在我们的日常网络管理中又是远远不够的。

除了对象访问安全信息之外，还有很多与网络安全有关的设置和操作并不能仅仅通过控制访问过程来实现。

如为了保证用户账户的密码不被轻易猜出，我们可以设定用户账户的密码必须不能少于多少个字符；为了防止用户随意更改自己的系统配置而导致不必要的故障我们可以禁止用户更改系统注册表；为了保证用户在任何计算机上都可以使用到自己熟悉的操作界面，我们可以在网络范围内为用户统一设置桌面等。

上述这些内容都不是可以通过更改对象访问权限来实现的。

为了更方便地进行网络管理，实现更完善的网络安全，Windows2000引入了组策略的概念。

组策略设置定义了系统管理员管理用户桌面环境的多种组件，例如，用户登录后可以使用的程序、用户桌面上出现的程序选项，以及“开始”菜单中的选项等。

组策略设置定义了用户账户的系列脚本，可使用户在登录和注销时执行不同的脚本程序。

组策略设置定义了域范围内的软件安装、升级和发布。

可以使管理员在整个域范围内设定软件环境。

组策略设置定义了域范围内使用的安全设定，如锁定规则、密码更改、账户登录地点限定等。

在活动目录严格安全限制基础上灵活使用组策略可以根据最终用户需要设计完成繁琐的，千变万化的系统安全需求。

保证Windows2000网络的系统安全。

1．4活动目录对象的命名
活动目录包含大量不同种类的对象，每个对象都可通过多种不同的名称引用。

活动目录根据对象创建或修改时提供的信息，为每个对象创建相对可分辨名称（Relative Distinguished Name, RDN）和规范名称(Canonical Name)。

另外，将对象及其所有父容器对象的相对可分辨名称加以结合，能够生成另外一种名称--可分辨名称（Distinguished Name, DN）。

• 相对可分辨名称是相对于父容器唯一标识特定的对象。

例如，名为“my computer”
的计算机的相对可分辨名称是 CN=my computer。

• 可分辨名称是一个对象全局唯一的名称。

例如，在 域、My Organizational Unit 组织单位中名为名为 my computer 的计算机的可区分名称是“CN=my computer, OU=My Organizational Unit, DC=Microsoft , DC=com”。

在可分辨名称中，DC的全称是Domain Component Name, OU的全称是哦Organization Unit Name, CN的全称是Common Name，分别代表可分辨名称的不同层次。

• 规范名称是按照可区分名称的同一方法构造的，但用不同的方法表示。

在上例中计算机的规范名称是 /My Organizational Unit/my computer。

对活动目录中的对象命名指定严格的标准，方便了应用程序之间或者应用程序内部对对象的调用。

但是，由于上述名称规则比较复杂，因此用户直接使用不很方便。

在实际网络应用中，用户访问网络中对象的最常用名称是DNS主机名和Netbios名。

DNS主机名将在下一章介绍。

本章重点介绍一下Netbios命名。

Netbios命名是一个供Netbios接口应用程序使用的命名体系。

Netbios接口是一个适用于小型网络的高级编程接口。

该接口使用长度限制在 16 个字符的名称，即Netbios名来标识每个网络资源。

NetBIOS 名称空间是单层的，这意味着在一个网络内只能使用一次该名称。

例如，如果Netbios域名为Micro，则网络中不能再有名为Micro的计算机、域或者工作组名。

因为Netbios不能区分域和计算机两个层次。

另外，即使在不同的域中，也不能同时存在两个Netbios名相同的计算机。

所有基于 MS-DOS 和 Windows 的操作系统都需要 NetBIOS 接口来支持网络功能。

Windows 2000不再需要对 NetBIOS 接口的支持。

但是，考虑到与多数网络的兼容性，Microsoft Windows 2000 继续为 NetBIOS 名称提供默认支持，以方便与使用Netbios名称的旧的操作系统的交互操作。

需要注意的是Netbios名称最多包含16个字符，前15个字符代表所标注的对象，第16个字符标明该对象所提供的服务。

如果从其它系统中传递过来的名称超过15个字符，转换成Netbios名称的过程中会将后面的字符自动裁掉。