新世纪的目录服务.ppt

博学之，审问之，慎寺之，明辩之，笃行之。精心整理，欢迎收藏 新世紀的目錄服務  － Active Directory Windows 2000 系統實務 Ch03 新世紀的目錄服務 - AD 在 Windows 2000 中, 網域為構成 AD 樹狀階層的重要元件。本章先說明 Windows 2000 網域內有關 AD 的重要概念。 AD 中的物件 AD 與一般目錄服務相以, 以物件為最基本單位, 並採階層式的架構來組織物件。 在 AD 中系統管理員可以視需求新增、複製、修改、移動或刪除物件。 物件的特性 GUID ACL GUID Windows 2000 會賦予物件一組獨一無二的數字, 稱為 GUID (object Globally Unique IDentifier)。 GUID 的長度多達 128 位元, 以確保不會使用到重覆的數字。 ACL 在 AD 中, 每個物件都有一份 (Access Control List, 存取控制清單)。 讀者可以使用物件的 ACL 想像成如下的表格： ACL 當 C 物件繼承上層物件的 ACL 時, X、Y、Z 使用者對 C 物件皆具有寫入的權限： ACL 將 C 物件移至 A 物件下層後, 則只有 X、Z 使用者對 C 物件具有寫入權限, Y 使用者則喪失對 C 物件的寫入權限。 物件屬性 以下列舉數種使用者物入件的屬性, 讓讀者了解物件屬性可儲存何種資訊： 物件屬性 AD schema AD 中有許多種類的物件, 每一類的物件可能具有不同的屬性。至什麼樣的物件可以具有哪些屬性, 主要是由物件類別 (Class) 來決定。 在 AD 中, 物入類別與物件屬性的定義統稱為 AD schema。 組織單位 組織單位之間同樣以階層式的關係來結合： 組織單位 組織單位 組織單位 委派控制的最小套用單位 所謂委派控制是指, 系統管理員可以將某一組織單位的管理工作委託給指定的使用者或群組。 群組原則的最小套用單位 群組原則可以控制電腦與使用者的環境, 包括安全原則、桌面設定等等。系統管理員可以將群組原則套用在個別的組織單位。 AD 物件名稱 SID (Security ID) LDAP 名稱 登入名稱 SID (Security ID) 在 Windows 2000 中, 有所謂的安全主體 (Security Pricipal), 其中包含了使用者帳戶、電腦帳戶與群組三種物件。Windows 2000 會賦予每個安全主體一個獨一無二的 SID。 LDAP 名稱 AD 為 LDAP 相容的目錄服務, 因此, 用戶端可透過 LDAP 協定來存取 AD 中的物件。存取時所指定的物件名稱, 可區分為以下二種： DN 與 RDN 標準名稱 DN 與 RDN 在同一組織單位下的物件不可以有相同的 RND, 不同組織單位下的物件就可以有相同的 RDN。 物件的 DN 是由物件本身的 RDN 再加上層所有物件的 RDN 所組成。 DN 與 RDN DN 與 RDN A 物件的 RDN 為： A 物件的 DN 為： 標準名稱 承上例, 若物件的 DN 為： 則在 AD 中此物件的標準名稱為： 登入名稱 使用者在登入 Windows 2000 可以使用以下兩種名稱： UPN (User Principle Name) SAM 帳戶名稱 UPN (User Principle Name) 在 AD 中, 使用者與群組都可以有一個 UPN 名稱。UPN 名稱格式與我們慣用的 Email 地址格式相同。 承上例, A 使用者物件的 UPN 可以是： SAM 帳戶名稱 每個使用者物件都會有一個 SAM 帳戶名稱。此名稱是為了要與 Windows NT 的網域相容。 承上例, A 使用者物件的 SAM 帳戶名稱可以是： 物件名稱種類 群組在 AD 中的用途 群組可跨越組織單位 群組為安全主體 群組可跨越組織單位 Windows 2000 的群組和 AD 整合, 提供更佳的管理彈性。系統管理員可以將隸屬不同組織單位的使用者加入同一群組, 然後再依群組來設定權限。 群組為安全主體 Windows 2000 與 Windows NT 相同, 只能以使用者、群組與電腦這三者作為安全主體。 AD 物件的 ACL 只能針對使用者、群組, 與電腦來設定權限, 而無法針對組織單位來設定。 * * 博学之，审问之，慎寺之，明辩之，笃行之。精心整理，欢迎收藏 博学之，审问之，慎寺之，明辩之，笃行之。精心整理，欢迎收藏 博学之，审问之，慎寺之，明辩之，笃行之。精心整理，欢迎收藏 博学之，审问之，慎寺之，明辩之，笃行之。精心整理，欢迎收藏 博学之，审问之，慎寺之，明辩之，笃行之。精心整理，欢迎收藏 博学之，