域技术白皮书.docx

Active Directory 结构 操作系统 白皮书 摘要 要发挥Microsoft? Windows* 2000 Server操作系统的最大作用,必须首先了解Active Directory?目录服务。Active Directory是Windows 2000操作系统的新内容,它在实施组 织的网络、进而实现组织的商业目标屮占有重要地位。本文向网络管理员介绍Active Directory,解释英结构，阐述英如何与应用程序及英他目录服务进行交互操作° 本文以Windows 2000 Beta 3发行时有效的信息为基础。在Windows 2000 Server的最终版 本发行之前，本文提供的信息可能会随时更改。 耍想了解Windows 2000操作系统如何实现英功能，及英对完成企业目标能够提供哪些帮助， 就必须先了解Active Directory?目录服务。本文从以下三个方面介绍Active Directory： 存储。Active Directory,即Windows? 2000 Server目录服务,可分层存储网络对 象的信息，并向笛理员、用户和应用程序提供这些信息。本文首先解释目录服务的概 念、Active Directory服务与Internet域名系统（DNS）的集成，以及当您将服务 器指定为域控制器时，Active Directory是如何实现的。 结构。使用Active Directory,可以根据结构组织网络及莫对象，这些结构包括域、 冃录树、冃录林、信任关系、部门（0U）和站点。本文第二节阐述这些Active Directory组件的结构和功能，以及管理员采用该体系结构对网络实施管理的方式， 从而有助于用户实现其商业目标。 相互通信。Active Directory以标准目录访问协议为基础，因此能够与英他目录服务 进行交互操作，并可接受遵守这些协议的第三方应用程序的访问。最后一节阐述 Active Directory与?他各种技术进行通信的方式。 Active Directory 的优点 在Windows 2000操作系统中引入Active Directory有以下优点: 与DNS集成。Active Directory使用域名系统（DNS）。DNS是一种Internet标准 服务,它将用户能够读取的计算机名称（例如mycomputer. microsoft. com）翻译成计 算机能够读取的数字Internet协议（IP）地址（由英文句号分隔的四组数字）。这 样，在TCP/IP网络计算机上运行的进程即可相互识别并进行连接。 灵活的査询。用户和管理员如果耍通过对彖属性快速杳找网络屮的对象，可使用“开 始”菜单屮的“查找”命令、桌面上的“网上邻居”图标或者是Active Directory 用户和计算机管理单元。例如，您可以按照一个用户帐户的姓名、电子邮件名、办公 地点或英他属性查找该用户。而且，使用全局编录优化了查找信息的操作。 可扩展性。Active Directory是可扩展的；也就是说，筲理员既可以在架构屮添加 新的对象类别，也可在原冇的对象类别屮添加新属性。架构包含每个对象类别的定 义，以及能够存储于目录屮的每个对象类别的属性。例如，您可能会为User对象添 加Purchase Authority屈件，然麻将每个用户的购买权限额保存为用八帐户的一部 分。 ?基于策略的管理。组策略是在初始化时应用于计算机或用户的配置设置。所有组策略 设置都包含在应用于Active Directory站点、域或部门的组策略对彖（GP0）屮。 GP0设置决沱了对目录対象和域资源的访问权限、用户可使用的域资源（如应用程 序），以及这些域资源针对其用途的配置方式。 可伸缩性。Active Directory包括一个或多个域，每个域均有一个或多个域控制 器，由此，您能够对冃录进行自由扩展，从而满足所有网络的需求。多个域可合并成 一个域冃录树，多个域冃录树可合并成一个冃录林。在只有一个域的最简单的网络结 构屮，该域既是一个目录树，又是一个目录林。 信息复制。Active Directory使用多主机复制，使您可以更新任何域控制器屮的目 录。在一个域屮部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控 制器包含同样的H录数据，所以，如果域内的一个域控制器速度变慢、停止或出现故 障，同一域内的其他域控制器即可提供必要的目录访问功能。 信息安全。在Windows 2000操作系统中，用八身份验证和访问控制的管理都与 Active Directory完全结合在一起，这是该系统的一项关键性安全功能。Active Directory将身份验证集屮进行。不仅可以肚义对目录屮每个対象的访问控制，还可 泄义对每个对象的每个属性的访问控制