活动目录编程指南.doc

Active Directory 活动目录编程指南 版本 : V 1.0.0 目录 1 AD用户密码与LDAP从帐号密码同步 4 1.1 AD端安装 4 1.2 AD端配置 5 1.3 LDAP端开发 5 2 AD组策略管理 6 2.1 项目管理内容 6 2.2 目录对象属性 6 2.3 策略文件存储 8 2.4 生成策略文件步骤 11 3 使用LDAP进行AD其他项目管理 11 3.1 组织单元(objectClass:: organizationalUnit)属性 12 3.2 用户(objectClass::user)属性 12 3.3 组(objectClass:: group)属性 14 3.4 Windows 2000 以前版本遗留属性 15 附录1 注册策略文件格式(Registry.pol) 16 附录2 管理模板文件格式(.adm) 18 #If Version 18 注释和字符串 19 CLASS 19 CATEGORY 20 POLICY 20 PART 21 ITEMLIST 25 ACTIONLIST 25 样本 26 Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。Active Directory存储了有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等，并且让管理员和用户能够轻松地查找和使用这些信息。 活动目录采用的是Exchange Server的数据存储结构，其特点是不需要事先定义数据库的参数，可以做到动态地增长。域（Domain）是Windows Server 2003域中Active Directory数据库的基本管理单位。目录存储在域控制器上，并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。 目录数据包括： 域数据：域数据包含了与域中的对象有关的信息 。 配置数据：配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表，并且指出了域控制器和全局编录所处的位置。 架构数据：架构是对目录中存储的所有对象和属性数据的正式定义。 我们将使用Java+Tomcat直接对目录数据进行操作管理。另外，LDAP应用系统从帐号列表将开发置于LDAP服务器上的同步插件与AD中用户名与密码进行同步。 AD用户密码与LDAP从帐号密码同步 AD端安装 点击“开始”，打开“控制面板”，然后运行“添加或删除程序”； 点击“添加/删除windows组件”； 在打开的“windows组件向导”中，点击勾选“Active Directory服务”； 选中“Active Directory服务”，点击“详细信息”； 在打开的“Active Directory服务”中，点击勾选“Identity Management for UNIX”； 选中“Identity Management for UNIX”，点击“详细信息”； 在打开的“Identity Management for UNIX”中，点击勾选“Password Synchronization”； 点击“确定”，Windows组件向导开始安装Identity Management for UNIX组件； 安装完成，重启服务器使Password Synchronization开始运行。 AD端配置 打开“Identity Management for UNIX”； 右键点击“Password Synchronization”，打开“属性”； 勾选“Windows to Computer that runs on UNIX”，允许从windows端到UNIX端密码同步； 勾选“UNIX to Computer that runs on Windows”，允许从UNIX端到windows端密码同步； 使用6677之外的端口，在“Port Number”框中输入你想使用的端口数字，此端口为windows端开放的端口，允许UNIX端从此端口接入； 在“Encryption/Decryption key”框中输入你想使用的密钥，或者点击“New Key”自动生成一个新的密钥； 点击“确定”，保存新的设置； 右键点击“UNIX Computers”，打开“Add Computer...”； 要添加一台计算机到当前的计算机列表，在“Computer Name”框中办入你想添加的UNIX端计算机名或IP； 勾选“Synchronize password changes to the Computer en