活动目录 AD 学习笔记.docVIP

活动目录 AD 学习笔记 上传初学AD的第一篇笔记- - 嘿嘿，终于还是想到创建BLOG来监督我的学习进度了。那就先整理一下我初学WIN2K3 AD的笔记吧！ 一、X.500标准目录简介 要理解网络目录如何工作，很大程度上意味着必须理解用于设计目录的X.500建议标准。 X.500不规定网络目录的实现方法，和OSI（Open Systems Interconnection）一样，它只是一种模型 ，在此之上，各厂商建造自已的产品。X.500的技术规范目的是提供一种机制，以保证不同厂商的产品可以相互访问信息的通用方法————也就是说， 规定了目录技术用以实现互操作性而采用的模式 。 X.500季员会设想了目录的三种基本用途， 人与人之间的通信(Interpersonal Communication)、系统间通信(Intersystem communication)、认证服务(Authentication Services)。任何网络目录结构的设计都有两个主要目的：对象识别和对象组织！ 对象识别保证结构内的每个对象都有某种惟一识别符。每个惟一识别符都对应某个资源。惟一识别符允许读者在目录数库中指定特定的对象。对象组织允许目录中的数据被分成子集。X.500结构规定了给对象进行惟一命令的通用办法，还提供了一旦对象创建后组织这些对象可使用的框架。它还提供其他必要的服务：在多台服务器上分布数据，复制数据库部分到多台服务器，以及访问目录时使用的多种协议。它采用和DOS类似的“树”型结构。在X.500树中，对象被称做叶。叶对象就是不包含其他对象的任何对象。定义如下类型的容器：Country(国家)，用C对象表示;Organization(组织)用O 对象表示;Location(位置)用L表示;Organization Unit(组织单位)用OU表示。 轻量协议就是任何一类针对在高速互联网中使用而设计的协议 。 高速传输协议 (HSTP)、Xpress 传输协议 (XTP)、以及轻量目录访问协议 (LDAP) 都是这类协议。 轻量协议采用比传统的网络和传输层协议更简单而有效的方式将路由和传输服务集成起来。 这样就使以更高的效率在 ATM 或 FDDI 等高速网络和光缆等媒体上进行传输成为可能。 轻量协议采用多种措施和改进方法使传输简化和加速，例如采用 TCP/IP 等面向连接的传输以及固定报头和报尾大小，进而能节省随每个数据包传输目的地地址的开销。 轻量目录访问协议 (LDAP) 是 X.500 协议中DAP协议的一个子集。 LDAP 独立于厂家，并可与 X.500 配合使用，但非一定要求与 DAP 配合使用。 DAP（目录访问协议）被专门设计为通过将大量功能转移到客户计算机以减少目录服务器的工作量。另一项功能是限制服务器的资源使用，可以从时间、容量、范围和搜索的优先级主面限制用户的查询 。LDAP提供DAP的多数功能，对客户设备的要求较低，其次，通过使LDAP成为更以服务器为中心的服务，可以使用这个标准与厂商特定的目录通信。所以， LDAP 客户机与 DAP客户机相比，规模更小、速度更快、实现更简单。 与 X.500 相反，LDAP 支持进行任何类型的 Internet 访问所必须的 TCP/IP。 LDAP 是一种开放式协议，而应用程序则独立于主持目录的服务器平台。 LDAP的一些特定服务，其基本过过程：1.客户向网络服务器的LDAP服务发出读取请求。2.如有必要，LDAP服务器可以向操作系统进行用户识别。3.然后，LDAP服务将请求转换成被访问目录适合的格式。4.LDAP服务将请求提交目录服务器的DUA。5.目录服务器将请求的信息传回LDAP服务。6.LDAP服务将请求的信息返回给客户。 Active Directory 不是一种 X.500 目录。 相反，它采用 LDAP 作为访问协议，且支持 X.500 信息模式，而不要求系统承担所有的 X.500 开销。 这样做就可以提供较高的互操作性，而这种互操作性恰恰是管理现实生活中的异机种网络所必须的。 Active Directory 可支持从任何使用 LDAP 的客户端通过 LDAP 协议进行的访问。 LDAP 名称不如 Internet 名称那样直观，但是 LDAP 命名的复杂性通常被应用程序所掩盖。 LDAP 名称采用被称作“属性命名”的 X.500 命名规则。 LDAP URL 给主持 Active Directory 服务的服务器以及对象的属性名称命名。 例如：