浅谈企业活动目录的设计实例的方案.docVIP

浅谈企业活动目录的设计实例的方案 　　摘要：随着系统信息化工作的不断深入，人们对信息系统及应用平台的安全性、可管理性、可维护性具有更高的要求，在Windows平台下。通过采用活动目录(Active Directory，简称AD)来槊构整个网络来达到用户所需，当前中小型企业为了满足公司未来的发展和企业运营的需求，迫切希望重新进行集中化的企业网络部署，提高办公效率和安全。本文结合就对活动目录的功能，结构包括逻辑结构(OU，域，域树，域森林)和物理结构(域控制器和站点)进行了探讨。 　　关键词：活动目录　企业网络部署　域控制器 　　 　　0　引言 　　 　　在Windows平台下，通过采用活动目录(Active Directory，简称AD)来架构整个网络来达到用户所需，比如人们通常使用活动目录来执行的管理用户帐户，管理用户权限，管理组，规划域控制器，创建和管理域间信任关系，审核策略，管理Exchange邮件用户，文件服务器等等。 　　本文基与活动目录如此强大的功能优势下主要分析企业活动目录设计方案，来更好的满足企业管理的需求。 　　 　　1　活动目录的概念 　　 　　目录是存储有关网络上对象信息的层次结构。目录服务也即活动目录(Active Directory)简称AD，是用于Windows 20030Server的目录服务。它存储着网络上各种对象的有关信息，如用户帐户、组、打印机、共享文件夹等对像的数据库，并且提供目录数据库的存储、添加、删除、修改、查询等服务，并使该信息易于管理员和用户查找及使用。Active Djrectory目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 　　通过登录验证以及目录中对象的访问控制，将安全性集成到Active Directory中。通过一次网络登录，管理员可管理整个网络中的且录数据和单位，而且获得授权的网络用户可访问网络上任何地方的资源。基于策略的管理减轻了即使是最复杂的网络的管理。 　　 　　2活动目录的特点 　　 　　2.1数据存储以层次化结构存储着与活动目录对象相关的信息，这些对象通常包括各种共享资源，如：打印机、用户、计算机、组织单位(OU)等。 　　 　　2.2通过网络分发目录数据的数据复制域中所有的域控制器(DC)都参与复制并包含他们所控制的域的所有目录信息的完整副本。对目录数据所做的任何更改都被复制到域中的所有域控制器。 　　 　　2.3定义了一套规则定义了包含在目录中的对象类和属性、这些对象实例的约束和限制及其名称的格式。 　　 　　2.4包含目录中每个对象信息的全局编录允许用户和管理员查找目录信息，而与目录中实际包含数据的域无关。 　　 　　2.5与网络安全登录过程的安全子系统的集成，以及对目录数据查询和数据修改的访问控制。 　　 　　3　活动目录的逻辑结构 　　 　　“逻辑”两个字相信大家平时见的比较多，如我们常说的“逻辑思维、逻辑分析”等，也许大家一讲到“逻辑”两个字就觉得十分抽象，难以理解。其实我们在这里所讲的“逻辑结构”，我觉得还是很好理解的，“逻辑”一般与“物理”是对等的，我们知道“物理上的”是指实实在在的，那么“逻辑上的”不就是指非物理上的，非实体的东西，它是一种抽象的东西，比如讲一种“关系”、一个“空间、范围”等。网络对象呈现给用户和管理员的方法，活动目录有目录树、域、域树、域林等，这些名字都不是实实在在的一种实体，只是代表了一种关系，一种范围，如目录树就是由同一名字空间上的目录组成，而域又是由不同的目录树组成，同理域树是由不同的域组成，域林是由多个域树组成。它们是一种完全的树状、层次结构视图，这种关系我们可以看成是一种动态关系。 　　 　　4　活动目录的物理结构 　　 　　活动目录中，物理结构与逻辑结构有很大的不同，它们是彼此独立的两个概念。逻辑结构侧重于网络资源的管理，而物理结构则侧重于网络的配置和优化。活动目录的物理结构主要着眼于活动目录信息的复制和用户登录网络时的性能优化。物理结构的两个重要概念是站点和域控制器，它们是针对LAN和WAN中服务器的工作方式而言的。 　　 　　4.1站点站点是由一个或多个IP子网组成，这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定，可以依据站点结构配置活动目录的访问和复制拓扑关系，这样能使得网络更有效地连接，并且可使复制策略更合理，用户登录更快速，活动目录中的站点与域是两个完全独立的概念，一个站点中可以有多个域，多个站点也可以位于同一域中。 　　 　　4.2域控制器域控制器(DC，Domain ControIler)是实际存储活动目录的地方，用来管理用户登录进程，验证和目录搜索的任务。它是指运行Windows