AD_Design_Proposal_Template【DOC精选】.docVIP

活动目录和功能设计 (Detail Design) 微软中国公司 1 介绍 1.1 设计目标 1.2 本文内容 包括重要概念解释， 2 术语和概念 2.1目录服务（directory service） 目录服务是一种存储网络信息的层次结构。目录是用来存储有用对象的信息源，例如电话目录存储关于电话用户的信息。在文件系统中，目录存储关于文件的信息。在分布式计算机系统或者象Internet这样的公用计算机网络中，有许多有用的对象，例如打印机、传真机、应用软件、数据库和其它用户。用户希望寻找并使用这些对象。而管理员则希望管理这些对象的使用。 这份文档中，术语directory（目录）和directory service（目录服务）指在公用和专用网络中的目录。“目录服务”不同于“目录”在于它既是目录信息源，也是使用户可以使用这些信息的服务者。 2.2活动目录 (active directory) 活动目录是包含了Windows?2000 Server的目录服务。它扩展了以前基于Windows的目录服务的功能，并增加了一些全新的功能。活动目录是安全的、分布式、可分区和可复制的。它的设计保证能在任何规模的安装中正常工作，从只有几百个对象，一台服务器的小系统到拥有数百万对象，上千台服务器的庞大系统它都支持。活动目录增加了许多新功能，这些功能使浏览并管理大量信息变得更容易，为管理员和终端用户都节约了时间。 2.3域（domain） 基于Windows NT的计算机网络的安全边界。活动目录由一个或多个域组成。在一个独立的工作站上，域就是计算机自身。域可以跨越多个物理区域。每一个域都有自己的安全策略和与其他域的安全关系。当多个域通过信任关系连接起来，并且共享一个模式、配置和全局目录的时候，它们组成一个域树。多个域树可以组成一个森林。参见域控制器，局部域小组。 域控制器(domain controller)--一个基于Windows NT的服务器拥有一个活动目录分区。 2.4树（tree） 通过可传递、双向信任关系连接在一起的Windows NT域的集合，它们共享相同的模式、配置和全局目录。域必须组成层次式的名字空间，例如，是树根，是的孩子，是的孩子等等。活动目录是一个或多棵域树的组合。 2.5森林（forest） 相互信任的一个或多个活动目录树形成的小组。森林中的所有树共享一个模式、配置和全局目录。当一个森林包括多个树的时候，所有的树不是形成连续的名字空间。给定森林中的所有树通过信任关系的双向传递相互彼此信任。与树不同的是，森林不需要一个可分辨的名称(DN)。森林作为一组交叉引用的对象和成员树之间的信任关系而存在。森林中的树形成一层次信任关系。 2.6组织单元（organizational unit，简称OU） 一个容器对象，它是活动目录可管理的划分。OU可以包含用户、小组、资源和其他OU。组织单元可以管理权限委托给目录中的子树。组织单元的结构限制在一个域内。 2.7站点 (site) 站点是网络中一个包含活动目录服务器的位置。站点定义为一个或多个连接良好的TCP/IP子网。“连接良好”指网络连接非常可靠和快速（例如10兆比特每秒或更高速的LAN）。定义站点为一组子网则允许管理员快速轻松地配置活动目录访问和复制拓扑，以便充分利用物理网络。当用户登录上网时，活动目录客户机将以用户的身份在同一个站点找到活动目录服务器。由于网络中同一个站点的机器彼此邻近，所以它们之间的通讯可靠、快速并且高效。由于用户的工作站已经知道位于哪一个TCP/IP子网上并且能将子网直接转变为活动目录站点，所以在登录时确定本地站点就变得很容易。 2.8域名系统（Domain Name System，简称DNS） 一种层次分布式数据库，用来进行域名/地址转换。域名系统是Internet上使用的名字空间，用来将计算机和服务名称转换成为TCP/IP地址。活动目录在它的定位服务中使用DNS，以便客户端可以通过DNS查询找到域控制器。 2.9可传递信任关系（transitive trust） Windows 2000域树或森林中的域、森林中的树、森林之间固有的存在信任关系。当一个域加入到一个已有的森林或域树时，自动的建立可传递关系。可传递信任一般时双向的关系。在域树中的父子域、森林中域树的根域这一系列信任关系允许森林中的所有域相互之间彼此信任，这样的目的是授权。例如，如果域A信任域