第四章 Active Directory.docVIP

1 Active Directory相关知识 1.1Active Directory概述 活动目录（Active Directory简称AD）认为是一个大的层次结构数据库AD 允许网络用户通过单一登录就可以访问网络中任何位置的许可资源。 从开发人员角度看，可以理解是一种存放了应用程序所需要的特定资源信息的“数据库”。还对这些资源信息的读取和查询进行了优化OU OU是Organizational Unit(组织单元)的缩写。OU是容器对象，它主要从逻辑的角度来管理和组织活动目录域。 1.2.3 Naming Context AD被分成许多部分，称之为分区或者命名上下文（Naming Context，简称NC）。在AD中包含了三个命名上下文（Naming Context，NC）：域命名上下文（Domain NC）、配置命名上下文（Configuration NC）和架构命名上下文（Schema NC）。Domain NC用于保存用户、组和组织单元的相关信息。Configuration NC用于保存整个域森林中的配置数据信息，如域控制器（DC）、站点（site）、子网（subnet）、站点连接及其他配置对象。而Schema NC负责保存与在活动目录中能够创建的所有的对象和属性集相关的数据。 1.2.4 AD架构 AD架构（Schema，又译做架构）是定义对象种类和对象信息类型的定义集，它存储在Active Directory中。这些定义本身也作为对象存储，以使Active Directory可以采用管理目录中其余对象所使用的相同对象管理操作来管理架构对象。AD架构以结构化的方式定义数据组成，它通过描述元数据（metadata）来定义这些结构，通常包括属性名称、类型、长度、关系等，这有点类似于关系型数据库中我们对表（Table）的字段所做的定义。 Schema定义了数据存储的格式。包括类（classSchema），分为抽象类（Abstract）、附属类（Auxiliary）和结构类（Structure）三种；属性（attributeSchema），分为单值和多值属性；以及类和属性之间的关系，分为可选属性和必要属性。AD中的Schema相当于全局的Catalog，在整个AD的forest中是全局唯一的，任何的修改都会被同步。所以有关Schema的修改需要有Schema Administrators的权限 1.3 LDAP及ADsPath、DN、RDN 轻量级目录访问协议（Lightweight Directory Access Protocol 简称LDAP）是一个行业标准协议由 Internet 工程任务组 (IETF) 制定用于 Active Directory 的主要访问协议。Distinguished Name唯一标识）定义到对象的完整路径。对象自身的名称由 RDN(Relative Distinguished Name相对唯一标识) 定义。RDN是对象 DN 的一部分（DN 是对象自身的一个属性）。DN 可唯一识别域分层结构中的对象。每个 RDN 都保存于 Active Directory 数据库中，并包含到其父层的引用。在一次 LDAP 操作中，通过跟踪各级引用，最后达到根目录，从而建立了整个 DN 结构。在一个完整的 LDAP DN 中，待识别对象的 RDN 在左侧出现的是叶名称；在结束的右侧出现的是根目录名称。例如 在\Users目录用户cyj的DN为“CN=cyj，CN=Users, DC= dfl,DC=com,DC＝cn” 在活动目录中层次结构的路径被称为ADsPath， ADsPath常用的表示为：ldap://DC=microsoft,DC=com/。例如，有域被命名为，则它的ADsPath表示为：ldap:// DC= dfl,DC=com,DC＝cn/。下面看个示例：在域中用户容器中超级管理员帐号的ADsPath为：ldap://CN=Administrator,CN=Users,DC= dfl,DC=com,DC＝cn/，其DN为(注意没有了LDAP:// 这个前缀)：CN=Administrator,CN=Users, DC= dfl,DC=com,DC＝cn，其RDN为(即在Users容器中的名称)：CN=Administrator。下表列出的可分辨名称组件。可分辨名称属性 意义 C= 国家（地区） CN= 公用名 DC= 域组件 L= 位置 O= 组织 OU= 组织单位 Active Directory 支持对象名称的几种不同格式，用以适应名称可能会采用的不同形式；采用何种形式取决于名称的使用环境。下面的子节说明 Active Directory 对象命名规则的这些类型： 安全主管名