虽然活动目录中用到的许多技术在其他软件产品中也已经出现过 但作为全面的整体网络方案还是首次亮相 其中有许多名词或术语或许是闻所未闻的 所以有必要详细了解一下活动目录的有关名词或术语 名字空间 从本质上讲 活动目录就是一个名字空间 我们可以把名字空
虽然活动目录中用到的许多技术在其他软件产品中也已经出现过
但作为全面的整体网络方案还是首次亮相
其中有许多名词或术语或许是闻所未闻的
所以有必要详细了解一下活动目录的有关名词或术语
名字空间
从本质上讲
活动目录就是一个名字空间
我们可以把名字空间理解为任何给定名字的解析边界
这个边界就是指这个名字所能提供或关联
映射的所有信息范围
通俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和
如一个用户
如果我们在服务器已给这个用户定义了讲如
用户名
用户密码
工作单位
联系电话
家庭住址等
那上面所说的总和广义上理解就是
用户
这个名字的名字空间
因为我们只输入一个用户名即可找到上面我所列的一切信息
名字解析是把一个名字翻译成该名字所代表的对象或者信息的处理过程
举例来说
在一个电话目录形成一个名字空间中
我们可以从每一个电话户头的名字可以被解析到相应的电话号码
而不是象现在一样名字是名字
号码归号码
根本不能横向联系
Windows 操作系统的文件系统也形成了一个名字空间
每一个文件名都可以被解析到文件本身(包含它应有的所有信息)
对象
对象是活动目录中的信息实体
也即我们通常所见的
属性
但它是一组属性的集合
往往代表了有形的实体
比如用户账户
文 件名等
对象通过属性描述它的基本特征
比如
一个用户账号的属性中可能包括用户姓名
电话号码
电子邮件地址和家庭住址等
容器
容器是活动目录名字空间的一部分
与目录对象一样
它也有属性
但与目录对象不同的是
它不代表有形的实体
而是代表存放对象的空间
因为它仅代表存放一个对象的空间
所以它比名字空间小
比如一个用户
它是一个对象
但这个对象的容器就仅限于从这个对象本身所能提供的信息空间
如它仅能提供用户名
用户密码
其它的如
工作单位
联系电话
家庭住址等就不属于这个对象的容器范围了
目录树
在任何一个名字空间中
目录树是指由容器和对象构成的层次结构
树的叶子
节点往往是对象
树的非叶子节点是容器
目录树表达了对象的连接方式
也显示了从一个对象到另一个对象的路径
在活动目录中
目录树是基本的结构
从每一个容器作为起点
层层深入
都可以构成一棵子树
一个简单的目录可以构成一棵树
一个计算机网络或者一个域也可以构成一棵树
这也很容易理解
我们最初学电脑时不就是在全面理解DOS下的路径概念基础之上开始的吗
其实这
目录树
也就是一种
路径关系
如果你理解了DOS下的
路径
相信理解这
目录树
是没什么问题的!
域
域是WIN
K网络系统的安全性边界
我们知道一个计算机网最基本的单元就是
域
这一点不是WIN
K所独有的
但活动目录可以贯穿一个或多个域
在独立的计算机上
域即指计算机本身
一个域可以分布在多个物理位置上
同时一个物理位置又可以划分不同网段为不同的域
每个域都有自己的安全策略以及它与其他域的信任关系
当多个域通过信任关系连接起来之后
活动目录可以被多个信任域域共享
组织单元
包含在域中特别有用的目录对象类型就是组织单元
组织单元是可将用户
组
计算机和其他单元放入活动目录的容器中
组织单元不能包括来自其他域的对象
组织单元是可以指派组策略设置或委派管理权限的最小作用单位
使用组织单元
您可在组织单元中代表逻辑层次结构的域中创建容器
这样您就可以根据您的组织模型管理帐户
资源的配置和使用
可使用组织单元创建可缩放到任意规模的管理模型
可授予用户对域中所有组织单元或对单个组织单元的管理权限
组织单元的管理员不需要具有域中任何其他组织单元的管理权
组织单元有点象我们在NT时代的工作组
我们从管理权限上来讲可以这么理解
域树
域树由多个域组成
这些域共享同一表结构和配置
形成一个连续的名字空间
树中的域通过信任关系连接起来
活动目录包含一个或多个域树
域树中的域层次越深级别越低
一个
代表一个层次
如域 就比 这个域级别低
因为它有两个层次关系
而只有一个层次
而域Grandchild双比 级别低
道理一样
域树中的域是通过双向可传递信任关系连接在一起
由于这些信任关系是双向的而且是可传递的
因此在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系
这些信任关系允许单一登录过程
在域树或树林中的所有域上对用户进行身份验证
但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限
因为域是安全界限
所以必须在每个域的基础上为用户指派相应的权利和权限
域林
域林是指由一个或多个没有形成连续名字空间的域树组成
它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间
而域树则是由一些具有连续名字空间的域组成
但域林中的所有域树仍共享同一个表结构
配置和全局目录
域林中的所有域树通过Kerberos 信任关系建立起来
所以每个域树都知道Kerberos信任关系
不同域树可以交叉引用其他域树中的对象
域林都有根域
域林的根域是域林中创建的第一个域
域林中所有域树的根域与域林的根域建立可传递的信任关系
站点
站点是指包括活动目录域服务器的一个网络位置
通常是一个或多个通过TCP/IP连接起来的子网
站点内部的子网通过可靠
快速的网络连接起来
站点的划分使得管理员可以很方便地配置活动目录的复杂结构
更好地利用物理网络特性
使网络通信处于最优状态
当用户登录到网络时
活动目录客户机在同一个站点内找到活动目录域服务器
由于同一个站点内的网络通信是可靠
快速和高效的
所以对于用户来说
他可以在最快的时间内登录到网络系统中
因为站点是以子网为边界的
所以活动目录在登录时很容易找到用户所在的站点
进而找到活动目录域服务器完成登录工作
域控制器
域控制器是使用活动目录安装向导配置的WIN
K Server 的计算机
活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用
域控制器存储着目录数据并管理用户域的交互关系
其中包括用户登录过程
身份验证和目录搜索
一个域可有一个或多个域控制器
为了获得高可用性和容错能力
使用单个局域网 (LAN) 的小单位可能只需要一个具有两个域控制器的域
具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力
