Windows 2000的活动目录技术摘要.docVIP

　　Windows 2000的活动目录技术摘要 　　介绍 　　本文提供了对活动目录的技术简介，活动目录是Microsoft icrosoft.域中识别用户对象James Smith。 　　图3 明确名字的图形表示 　　一页 ....，。相对明确名字 　　对象的相对明确名字（RDN）是属于对象本身属性的名字的一部分。在前面的例子中用户对象James Smith的RDN是=James Smith。父对象的RDN是=Users。 　　命名上下文和分区 　　活动目录由一个或多个命名上下文或分区构成。命名环境是目录的任意临近的子树。命名上下文是复制的单位。 　　在活动目录中，一个单独的服务器通常最少包括三个命名上下文： 　　模式 　　配置（复制拓扑和相关的元数据） 　　一个或多个用户命名上下文（在目录中包括实际对象的子树） 　　域 　　域是e System (DNS)紧密地集成在一起。DNS是分布式名字空间，用于Intern 上一一页 ....，。et上来根据计算机和服务名称来确定TCP/IP地址。大多数拥有intra地公司把DNS作为名称解析服务来应用。活动目录把DNS作为站点服务来应用。icrosoft.。 　　名字的唯一性 　　明确名字要保证是唯一的。活动目录在同一个父本下存在两各具有相同RDN的对象。DN是由RDN构成的，因此是唯一的。GUID是通过定义保证唯一性的；采用一定的运算法则来保证产生GUID的唯一性。对任意属性来讲，唯一性并不是强制性的。 　　活动目录的访问 　　访问活动目录要通过线缆协议。线缆协议定义了信息的格式和客户于服务器的相互作用。各种各样的应用程序界面为开发者提供了访问这些协议的道路。 　　协议支持 　　支持的协议包括： 　　LDAP-活动目录核心协议是轻量目录访问协议（LDAP）。LDAP版本2及版本33均支持。 　　MAPI-RP-活动目录支持远程过程调用（RPC），界面支持MAPI界面。 　　X.500-活动目录信息模型来自于X.500信息模型。X.500定义了几种活动目录未采用的协议。这些协议是： 　　DAP - 目录访问协议 　　DSP - 目录系统协议 　　DISP -目录信息荫蔽协议 　　DOP - 目录操作捆绑管理协议 　　活动目录未采用这些协议是因为： 　　对这些协议没有什么兴趣，而且它们很少应用。 　　这些协议依赖于OSI网络。OSI是TCP/IP的替代品，但仍没有广泛地应用。通过TCP/IP网络传递OSI的效率不如直接采用TCP/IP高。 　　LDAP提供了大多数DAP和DSP提供的功能。LDAP还被设计来用于TCP/IP，而不必在TCP/IP头上封装OSI。 　　在1993和1997的DISP和DOP的一致性应用规格中有很多模糊之处，以至于不能够保证共同运行。这样就大大降低了这些协议的价值。 　　应用程序编程接口 　　支持的API包括： 　　ADSI-活动目录服务接口（ADSI）为活动目录4提供了一个简介而有力的对象取向界面。开发人员可以采用不同的编程语言，包括Java, Visual Basic programming system, C, C++和其它一些语言。为了系统管理员使用的方便，ADSI是完全脚本化的。ADSI对用户隐藏了LDAP通讯的细节。 　　LDAP API-在RFC 1823中定义的LDAP C API是对C程序员适用的低级界面。 　　MAPI-为了从前的兼容性活动目录支持MAPI。现在的应用程序应该采用ADSI 或LDAP C API。 　　虚拟容器 　　活动目录通过虚拟容器可以使其它目录变得没有遮蔽。虚拟容器使得任意满足LDAP的目录可以通过活动目录透明地访问。虚拟容器通过存储于活动目录中地认知信息来实现。认知信息包括对外来目录应在活动目录中出现位置的描述，还包括存有外来信息拷贝的服务器的DNS名称，以及在外来的foreign DS中开始搜索的明确名字（DN）。 　　全局目录 　　活动目录可以由很多分区或命名上下文构成。对象的明确名字（DN）含有足够的信息来定位存有对象复制的分区。但在很多时候，用户或应用程序并不知道目标对象的DN或哪一个分区可能包含对象。如果用户 上一一页 ....，。或应用程序知道一个或更多的目标对象的属性，全局目录就可以使它们在活动目录的域树中找到目标对象。 　　全局目录包含目录中每一个用户命名上下文的部分复制。它还包括命名上下文的模式及配置。这意味着GC中包括活动目录中每一个对象的复制，但只包括少部分的属性。在GC中包括的属性是那