活動目錄是 Windows 2000 Server 可擴展和調整的目錄服務。它存儲有關網絡對象的信息並使管理員和用戶可以方便地查找和使用該信息。活動目錄的目錄服務將結構化數據存儲作為目錄信息邏輯和分層組織的基礎。
安全性通過登錄驗證以及對目錄中對象的訪問控制與活動目錄相集成。使用單個網絡登錄,活動目錄管理員可以通過自身的網絡管理目錄數據和組織,並且授權網絡用戶可以訪問網絡中各處的資源。基於策略的管理可以使即便是最復雜的網絡管理變得輕而易舉。
活動目錄簡介
目錄是一個存儲網絡對象信息的分層結構。諸如活動目錄的目錄服務則提供存儲目錄數據和網絡用戶和管理員使用這些數據的方法。例如,活動目錄存儲諸如姓名、口令和電話號碼等有關用戶帳戶的信息,並使同一網絡中的其他授權用戶可以訪問這些信息。
目錄程序
活動目錄的目錄服務具有以下特性:
數據存儲,也稱為目錄,存儲有關活動目錄對象的信息。這些對象通常包括諸如服務器、文件、打印機、網絡用戶和計算機帳戶等共享資源。
一系列規則定義了目錄中對象的類和屬性、這些對象范例的限制以及名稱的格式。
全局目錄包含了目錄中所有對象的信息。這使得用戶和管理員可以在不管究竟目錄中哪個域包含數據的情況下查找目錄信息。
查詢和索引機制使得網絡用戶或應用程序可以發布和查找對象及其屬性。
復制服務負責在網絡中分配目錄數據。域中的所有控制器都參加復制並且包含域中所有目錄信息的完整副本。任何對目錄數據的更改都將復制到域中的所有域控制器。
為保證網絡登錄過程的安全,以及對目錄數據查詢和數據修改的訪問控制,將安全子系統與之集成。
為獲得活動目錄的最大效益,通過網絡訪問活動目錄的計算機必須運行正確的客戶軟件。未運行活動目錄客戶軟件的計算機,顯示的目錄類似於 Windows NT 目錄。
域
域在活動目錄中定義安全邊界。活動目錄由一個或多個域組成。每個域均擁有與其他域相關的安全策略和安全關系。域提供以下便利:
兩個不同域的安全策略和設置(諸如管理權限和訪問控制列表)不能相互交叉。
分派管理權限消除了需要大量具有廣泛管理權限管理員的必要。
將對象分成不同的組放入域中有助於在網絡中反映公司的組織結構。
每個域只存儲有關該域中對象的信息。活動目錄可通過拆分目錄信息的存儲擴展至數量龐大的對象。
域也是復制的單元。活動目錄使用多主復制模型。某特定域中的所有域控制器均可接收更改並通過域將這些更改復制到域中的所有域控制器。
單個域可以跨越多個物理位置或站點。使用單個域可以大大簡化上級管理。
域目錄樹和目錄林
將多域組合到一起的結構,稱為域目錄樹和目錄林。
域目錄樹
目錄樹中的第一個域稱為目錄樹的根域。同一目錄樹中的其他域則稱為子域。恰位於某域之上的另一個域被認為是子域的父類。
單個域目錄樹中的所有域共享一個等級命名結構。一個子域的域名就是將該子域的名稱添加到父域的名稱中。例如, headquarters.mycompany.com 是 mycompany.com 域的子域。共享公用根域的域被認為共享鄰近的名稱空間。
目錄樹中的域通過雙向、傳遞的委托關系聯接在一起。由於這些委托關系是雙向和傳遞的,因此加入目錄樹的域會立即與目錄樹中的每個域建立委托關系。這些委托關系允許單個用戶登錄以驗證用戶並授權驗證用戶訪問整個網絡。這使得目錄樹中所有其他域中具有適當憑據的用戶和計算機可以使用目錄樹所有域中的所有對象。
域目錄樹中管理權的傳遞特性並非固有的。可以通過限制域管理權的范圍添加額外的安全層。
目錄林
目錄林包含一個或多個目錄樹。目錄林中的目錄樹不共享公用根域。例如, headquarters.com 和 sales.com 域之間無明顯的關系。不共享公用根域的目錄樹被認為是脫開的。
目錄林所有目錄樹中的所有域必須共享以下特性:
域間的傳遞委托關系
域目錄樹間的傳遞委托關系
公用規劃
公用全局目錄
域目錄樹和目錄林的組合可為鄰近和脫開的命名約定提供相當的靈活性。這一點在某些情況下會非常有用,例如,公司中各獨立部門必須保持各自的 DNS 名稱。
要使域或域目錄樹中的資源得到廣泛應用,只需將域加入目錄樹中或創建額外的與目錄林相關聯的域目錄樹。當域加入目錄樹後,將在加入域和父域間創建信任關系。當在目錄林中創建新目錄樹時,將在每個目錄樹的根域間創建信任關系。基本信任關系是透明的,對其無須進一步的管理。
由於鏈接於目錄林中的域目錄樹是通過傳遞、雙向 Kerberos 信任關系鏈接的,故用戶可以訪問整個目錄林任何域中的資源。使用活動目錄安裝向導將域加入目錄樹中並將兩域相聯組成目錄林將創建雙向、傳遞的 Kerberos 信任關系。
域信任關系
域信任關系是一種建立在域間的關系,它使得一個域中的用戶可由另一域中的域控制器進行驗證。所有域信任關系中只有兩種域:信任關系域和被信任關系域。委托關系是由以下特性表征的:
傳遞
傳遞信任關系不受關系中兩個域的約束,而是經父域向上傳遞給域目錄樹中的下一個域。傳遞信任關系總是雙向的:關系中的兩個域互相信任。默認情況下,域目錄樹或林中的所有 Windows 2000 信任關系都是傳遞的。通過大大減少需管理的委托關系數量,這將在很大程度上簡化域的管理。 Windows 2000 中的委托關系基於 Kerberos 協議。
注釋
傳遞信任關系只能存在於相同域目錄樹或林中 Windows 2000 的域間。
每次安裝域控制器和創建新的子域時,將以隱含方式(自動)在父域和新的子域間創建一個傳遞委托關系。於是,傳遞委托關系將在其形成時經域目錄樹向上流動,並隨後在域目錄樹中的所有域間創建傳遞信任關系。
如果域目錄樹配置為目錄林的一部分,則將在域控制器的安裝過程中新域目錄樹的根域之間自動創建傳遞委托關系,新域目錄樹將添加到目錄林和目錄林根節點(添加到目錄林的第一個域目錄樹的根域)。新的域目錄樹將信任所有目錄林根節點信任的域目錄樹。於是,傳遞委托關系將在目錄林形成時流經域目錄樹,並隨後在目錄林的所有域間創建傳遞信任關系。
對於相同域目錄樹或林中的 Windows 2000 域,也可以顯式(手工)地創建傳遞信任關系。這對於形成交叉鏈接信任關系是非常重要的。
不傳遞
不傳遞信任關系受關系中兩個域的約束,並且不經父域向上傳遞到域目錄樹中的下一個域。以下圖表將說明這一點:
必須顯式地創建不傳遞信任關系。默認情況下,不傳遞信任關系是單向的,盡管也可以通過創建兩個單向信任關系創建一個雙向關系。所有不屬於相同域目錄樹或林中 Windows 2000 域間建立的委托關系都是不傳遞的。
注釋
所有 Windows 2000 域和 Windows NT 域之間的委托關系都是不傳遞的。當從 Windows NT 升級到 Windows 2000 時,所有已現有的 Windows NT 信任關系都將保持不變。在混合模式的網絡中,所有 Windows NT 信任關系都是不傳遞的。
總之,不傳遞信任關系是以下對象委托關系的唯一形式:
Windows 2000 域和 Windows NT 域
目錄林中的 Windows 2000 域和另一目錄林中的 Windows 2000 域
Windows 2000 域和 M99v Kerberos V5 領域
單向
單向信任關系是單獨的委托關系,即域 A 信任域 B 。所有單向關系都是不傳遞的。默認情況下,所有不傳遞信任關系都是單向的。
雙向
雙向信任關系包括一對單向委托關系,即域 A 信任域 B ,而域 B 也信任域 A 。所有傳遞信任關系都是雙向的。為使不傳遞信任關系成為雙向,必須在所涉及的域間創建兩個單向信任關系。
可使用活動目錄域和信任關系管理委托關系。
組織單位
域中包含的一類目錄對象是組織單位。組織單位是活動目錄容器,在其中可放置用戶、組、計算機和其他組織單位。組織單位不能包含其他域中的對象。
組織單位是可指定組策略或代表管理權限的最小領域或單位。使用組織單位可在域中創建容器,該域表示組織中的等級和邏輯結構。這使得可以在組織模型基礎上管理帳戶和資源的配置及使用。
由於組織單位可包含其他組織單位,因此容器的分層結構可擴展用來建立域中組織分層結構的模型。使用組織單位將有助於把網絡所需的域的數量減至最小。
可使用組織單位創建管理模型,該模型可調整為任何尺寸。可授予用戶對域中所有組織單位或單個組織單位的管理權限。組織單位的管理員無須具有對域中任何其他組織單位的管理權限。
活動目錄站點和服務
當用戶登錄後,將驗證其憑據,並提供對網絡資源的訪問。由於活動目錄使用多主管復制,故網絡中的任何 Windows 2000 域控制器均可為所有請求提供服務,這包括域控制器域中用戶對目錄進行的修改。
如果連接好的計算機的配置較小,則任意選取域控制器不會引起問題。然而,如果悉尼的用戶嘗試使用撥號連接驗證紐約的域控制器,則配置中雖包含廣域網 (WAN) ,但會顯得嚴重不足。活動目錄站點和服務可以通過使用站點提高大多數配置目錄服務的效率。
可以通過使用活動目錄站點和服務向活動目錄發布站點的方法提供有關網絡物理結構的信息。活動目錄使用該信息確定如何復制目錄信息和處理服務的請求。
計算機站點是根據其在子網或一組已連接好子網中的位置指定的。子網提供一種表示網絡分組的簡單方法,這與郵政編碼將地址分組類似。將子網格式化成可方便發送有關網絡與目錄連接物理信息的形式。將計算機置於一個或多個連接好的子網中充分體現了站點所有計算機必須連接良好這一標准,原因是同一子網中計算機的連接情況通常優於網絡中任意選取的計算機。
站點有助於:
驗證。當客戶使用域帳戶登錄時,登錄機制首先搜索與客戶處於同一站點內的域控制器。使用客戶站點內的域控制器首先可以使網絡傳輸本地化,這就提高了驗證過程的效率。
復制。活動目錄信息將在站點內部和之間進行復制。活動目錄在站點內部復制信息的頻率高於站點間的復制頻率。這樣做可以平衡對最新目錄信息需求和可用網絡帶寬帶來的限制。
您可通過站點鏈接來定制活動目錄如何復制信息以指定站點的連接方法。活動目錄使用有關站點如何連接的信息生成連接對象以便提供有效的復制和容錯。
提供有關站點鏈接費用,鏈接使用次數,鏈接何時可用以及鏈接使用頻度等信息。活動目錄使用該信息確定應使用哪個站點復制信息以及何時使用該站點。定制復制計劃使復制在特定時間(諸如網絡傳輸空閒時)進行會使復制更為有效。
通常,所有域控制器用於站點間信息的交換,但也可以通過指定橋頭堡服務器優先發送和接收站間復制信息的方法進一步控制復制行為。當擁有希望用於站間復制的特定服務器時,寧願建立一個橋頭堡服務器而不使用其他可用服務器。或在配置使用代理服務器時建立一個橋頭堡服務器,用於通過防火牆發送和接收信息。
活動目錄的有效服務。可通過活動目錄啟用諸如服務綁定和配置等信息,以便使網絡資源的管理和使用更為簡單和有效。站點幫助構成和優化服務信息的分配,以便客戶可以使用當前信息並使信息在網絡中得以有效分配。
組
組是活動目錄或本地計算機對象,它包含用戶、聯系、計算機和其他組。組用於:
管理用戶和計算機對共享資源的訪問,諸如活動目錄對象及其屬性、網絡共享、文件、目錄、打印機隊列等等。
篩選組策略。
創建 e-mail 分配列表。
當為資源(文件共享、打印機等等)指定權限時,管理員應將權限指定給組而不是單個用戶。權限應一次性指定給組,而不是分幾次指定給單個用戶。添加到組的每個帳戶接收為該組定義的權利和權限。與組而不是單個用戶工作有助於簡化網絡維護和管理。
使用組篩選組策略,授予用戶權利或分配 e-mail 。要在域中創建對象的管理集合,請使用組織單位。組和組織單位因其使用的域邊界而不同。組可以包含用戶、計算機、本地服務器上的共享資源、單個域、域目錄樹或目錄林。組織單位則只表示單個域中的對象集合(可包括組對象)。
組策略對象用於站點、域或組織單位,但決不用於組。組策略對象是影響用戶或計算機的設置集合。組成員用於篩選(通過 Apply 組策略權限輸入)哪些組策略對象用於站點、域或組織單位,這將影響組中的用戶和計算機。
活動目錄用戶和計算機帳戶
活動目錄用戶和計算機帳戶表示諸如計算機或個人等物理實體。帳戶為用戶或計算機提供安全憑據,以便用戶和計算機能夠登錄到網絡並訪問域資源。帳戶用於:
驗證用戶或計算機的身份
授權對域資源的訪問
審核使用用戶或計算機帳戶所執行的操作
使用活動目錄的用戶和計算機添加、禁用、重新設置和刪除用戶和計算機帳戶。
活動目錄用戶帳戶
活動目錄用戶帳戶使用戶以經驗證和授權訪問域資源的身份登錄到計算機和域。用戶帳戶也可作為某些應用程序的服務帳戶。
Windows 2000 提供可用於登錄到 Windows 2000 計算機的預定義用戶帳戶。這些預定義帳戶是:
管理員帳戶
客戶帳戶
預定義帳戶是默認的用戶帳戶,它用於使用戶登錄到本地計算機和訪問其上的資源。這些主要是為初始登錄和本地計算機配置而設計的。每個預定義帳戶都有不同的權利和權限組合。管理員帳戶具有最廣泛的權利和權限,而客戶帳戶則只有有限的權利和權限。
如果網絡管理員未修改或禁用預定義帳戶的權利和權限,則任何使用管理員或客戶身份登錄到網絡的用戶或服務均可以使用它們。要獲得用戶驗證和授權的安全性,請為每個用戶創建獨立用戶帳戶,這些用戶需使用活動目錄用戶和計算機加入網絡。之後,可將每個用戶帳戶(包括管理員和客戶帳戶)添加到 Window 2000 組中以控制指定給帳戶的權利和權限。使用適合於網絡的帳戶和組可以保證識別登錄到網絡的用戶且他們只能訪問授權的資源。
計算機帳戶
每個加入域的 Windows 2000 和 Windows NT 計算機都具有計算機帳戶。與用戶帳戶類似,計算機帳戶提供驗證和審核計算機登錄到網絡以及訪問域資源過程的方法。同樣使用 活動目錄 Users 和 Computers 創建計算機帳戶。
注釋
Windows 98 和 Windows 95 計算機不具備 Windows 2000 和 Windows NT 計算機所具有的高級安全特性,無法在 Windows 2000 域中為其指定計算機帳戶。然而,可以登錄到網絡並在活動目錄域中使用 Windows 98 和 Windows 95 計算機。
活動目錄規劃
活動目錄規劃是確定對象及有關對象信息類型的定義或元數據的列表,可以將其存儲在活動目錄中。組成規劃的元數據有兩種類型 ―― 類和屬性。
類描述可以創建的可能活動目錄對象。當創建一個活動目錄對象(諸如新用戶)時,便創建了一個類的范例。每個類都是一個屬性集合。當創建一個對象時,屬性將存儲描述對象的信息。例如用戶類是由很多屬性組成的,包括電話號碼、姓名等等。
屬性是與類分開定義的,以便每個類只定義一次卻可以在多個類中使用。例如,描述屬性在很多類中使用,但為確保一致性,只在規劃中定義一次。
類和屬性定義自身(諸如用戶類或電話號碼屬性)是存儲在活動目錄中的元數據對象。正是由於這一點,活動目錄可以使用與管理目錄中其他對象相同的對象管理操作來管理規劃。
建議通過 Windows 2000 Software Developers Kit 中描述的活動目錄服務接口 (ADSI) 以編程方式修改活動目錄規劃。也可使用 Windows 2000 Resource Kit 中的活動目錄規劃插件查看和修改活動目錄規劃。
活動目錄的益處
信息安全性
安全性與活動目錄完全集成在一起。不僅可以針對目錄中的每個對象定義訪問控制,還可對其每種屬性進行操作。
權限指定哪些組用戶可以查看或使用對象,以及可針對對象進行何種操作。例如,某個人可能具有更改對象屬性的權限,另一個人則可以查看屬性,而第三個人則可能根本沒有查找對象的權限。
可以授予對對象每種單個屬性選擇性訪問的權限。例如,可以授予所有用戶查看網絡中用戶姓名和電話號碼的權限,而與此同時卻限制對用戶對象所有其他屬性的訪問。
默認情況下,權限是可繼承的。指定給某特定對象的權限會自動應用於該對象的所有子對象。也可以封鎖權限的繼承性。
活動目錄為安全策略提供應用程序的存儲和范圍。安全策略可以包括帳戶信息,諸如域寬口令限制或對某特定域資源的權利。安全策略通過組策略執行。
管理員可將某些特殊管理權利分派到其他個人和組。這種權限分派允許明確誰具有管理部分網絡的權限。可以將特殊部分的管理分派給單個管理員,而不必擁有對大部分網絡具有廣泛權限的管理員。
Windows 2000 Server 支持多種網絡安全協議,這些協議提供:
更強大、更有效的安全性
對 Internet 安全協議的支持
與早期 Windows 協議的兼容性
Windows 2000 支持的安全協議包括:
Kerberos v5
SSL ( Secure Sockets Layer - 安全套接字層)
DPA ( Distributed Password Authentication - 分布式口令驗證)
Windows NT NTLM
Kerberos v5 協議是 Windows 2000 中網絡驗證的默認協議。 Kerberos 協議是一個已經成熟的安全標准。其益處包括客戶機和服務器的相互驗證以及與非 Windows 平台的內部可操作性。
Windows 2000 支持基於公用密鑰的協議,提供 Internet 之上的保密性和可靠性。這包括對 SSL 3.0 的支持以及 Internet 浏覽器和網絡服務器間連接的標准。
Windows 2000 還支持 DPA ,它由諸如 Microsoft Network (MSN) 等最大的 Internet 成員組織使用。
還支持 Windows NT versions 4.0 和早期版本使用的 NTLM 協議,這是為確保 Windows 2000 Server 與運行 Windows NT 和 Windows NT 網絡的客戶機軟件的計算機做到完全內部可操作。
基於策略的管理
活動目錄的目錄服務包括數據存儲以及邏輯、分層結構。作為邏輯結構,它為策略應用程序提供上下文分層結構。作為目錄,它存儲指定給特定上下文的策略(稱為組策略)。組策略表達一組業務規則,它包含應用於上下文的設置,它可確定:
對目錄對象和域資源的訪問
用戶可使用哪些域資源(諸如應用程序)
這些域資源是如何配置的
例如,組策略可確定用戶登錄後在計算機上可看到哪些應用程序,當 Microsoft SQL Server 在服務器上啟動時,有多少用戶可與其連接,以及當文檔或服務移至不同部門或組時,用戶可訪問哪些內容。組策略使得只需管理少數策略,而不是大量用戶和計算機。活動目錄使得可以將組策略應用於適當的上下文,而不管是整個組織還是組織中的某些單位。
擴展性
活動目錄是可擴展的,這意味著管理員可以將對象的新類添加到規劃中,而且還可以將新屬性添加到已現有的對象類中。
例如,可以將 “ 購買權限 ” 屬性添加到用戶對象類型中,而後將每個用戶的購買權限限制作為用戶帳戶進行存儲。
可以使用活動目錄規劃插件或通過創建基於 ADSI 或 LDIFDE 或 CSVDE 命令行實用程序的腳本將對象和屬性添加到目錄中。
可調整性
活動目錄可包括一個或多個域,每個又都帶有一個或多個域控制器,這使得可調整目錄以便滿足任何網絡的要求。多域可組合成域目錄樹或林。
目錄將規劃和配置信息分配給目錄中的所有域控制器。該信息存儲在初始域控制器中,而且可復制到目錄中任何其他域控制器中。當目錄配置成單域時,添加域控制器可在上部管理不涉及其他域的情況下調整目錄。
將目錄配置成域目錄樹或林使得可以針對不同策略上下文對目錄的名稱空間進行分區並調整目錄使其容納大量資源和對象。
信息復制
活動目錄使用多主復制。目錄存儲在初始域控制器中並可復制到域、域目錄樹或林的每個域中。對目錄數據所做的更改將復制到所有域控制器中。每個域控制器存儲和保留一個目錄的完整副本。
復制提供信息的有效性、容錯、加載平衡和性能優點。在一個域中分派多個域控制器可提供容錯和加載平衡。如果域中的某個域控制器減慢、停止或失敗,同一域中的其他域控制器可提供必要的目錄訪問,其原因是它們包含著相同 的目錄數據。域中的多個站點可提高目錄的性能。在廣域網中 (WAN) ,目錄訪問可由與每個網絡客戶機最近的域控制器執行。
與 DNS 集成
活動目錄使用 DNS ( Domain Name System - 域名解析系統)。 DNS 是一個 Internet 的標准服務,它可以很容易地將可讀主機名稱,諸如 computer.microsoft.com 翻譯成數字的 TCP/IP 地址。這可以在 TCP/IP 網絡上啟用與計算機和用戶的標識和連接。
DNS 域和計算機名稱使用分層結構的 “ 友好 ” 名稱。例如,名稱 maincampus.microsoft.com 既是 DNS 也是 Windows 2000 域名。
域名是以 DNS 分層命名結構為基礎的,這是一個顛倒的目錄樹結構:單個根域,以下可以是父域和子域(枝和葉)。例如,諸如 child.parent.microsoft.com 的 Windows 2000 域名識別名為 “child,” 的域,此域是名為 “parent” 域的一個子域,而 “parent” 域自身又是根域 microsoft.com 的一個子域。
域中的每台計算機依靠其完整的合格域名識別。位於 child.parent.microsoft.com 域中計算機的完整合格域名應是 computername.child.parent.microsoft.com 。
與其他目錄服務的內部操作
由於活動目錄是基於工業標准的目錄訪問協議,諸如 Lightweight Directory Access Protocol (LDAP) version 3 和 Name Service Provider Interface (NSPI) ,它可以與使用這些協議的其他目錄服務實現內部操作。
LDAP 是用於查詢和檢索活動目錄信息的目錄訪問協議。由於它是基於工業標准的目錄服務協議,使用 LDAP 的程序可以發展成與其他目錄服務共享活動目錄信息,這些目錄服務同樣支持 LDAP 。
NSPI 協議用於 Microsoft Exchange 4.0 和 5.x 客戶機,活動目錄對其進行支持以便為交換目錄提供兼容性。
靈活的查詢
用戶和管理員可使用搜索菜單-網絡鄰居或活動目錄用戶和計算機快速查找網絡上的對象,使用對象屬性。例如,可通過名、姓、 e-mail 名稱、辦公室位置或該人用戶帳戶的其他屬性。可通過使用活動目錄生成的全局目錄優化查找信息
活動目錄規劃是確定對象及有關對象信息類型的定義或元數據的列表,可以將其存儲在活動目錄中。組成規劃的元數據有兩種類型 ―― 類和屬性。
類描述可以創建的可能活動目錄對象。當創建一個活動目錄對象(諸如新用戶)時,便創建了一個類的范例。每個類都是一個屬性集合。當創建一個對象時,屬性將存儲描述對象的信息。例如用戶類是由很多屬性組成的,包括電話號碼、姓名等等。
屬性是與類分開定義的,以便每個類只定義一次卻可以在多個類中使用。例如,描述屬性在很多類中使用,但為確保一致性,只在規劃中定義一次。
類和屬性定義自身(諸如用戶類或電話號碼屬性)是存儲在活動目錄中的元數據對象。正是由於這一點,活動目錄可以使用與管理目錄中其他對象相同的對象管理操作來管理規劃。
建議通過 Windows 2000 Software Developers Kit 中描述的活動目錄服務接口 (ADSI) 以編程方式修改活動目錄規劃。也可使用 Windows 2000 Resource Kit 中的活動目錄規劃插件查看和修改活動目錄規劃。
活動目錄的益處
信息安全性
安全性與活動目錄完全集成在一起。不僅可以針對目錄中的每個對象定義訪問控制,還可對其每種屬性進行操作。
權限指定哪些組用戶可以查看或使用對象,以及可針對對象進行何種操作。例如,某個人可能具有更改對象屬性的權限,另一個人則可以查看屬性,而第三個人則可能根本沒有查找對象的權限。
可以授予對對象每種單個屬性選擇性訪問的權限。例如,可以授予所有用戶查看網絡中用戶姓名和電話號碼的權限,而與此同時卻限制對用戶對象所有其他屬性的訪問。
默認情況下,權限是可繼承的。指定給某特定對象的權限會自動應用於該對象的所有子對象。也可以封鎖權限的繼承性。
活動目錄為安全策略提供應用程序的存儲和范圍。安全策略可以包括帳戶信息,諸如域寬口令限制或對某特定域資源的權利。安全策略通過組策略執行。
管理員可將某些特殊管理權利分派到其他個人和組。這種權限分派允許明確誰具有管理部分網絡的權限。可以將特殊部分的管理分派給單個管理員,而不必擁有對大部分網絡具有廣泛權限的管理員。
Windows 2000 Server 支持多種網絡安全協議,這些協議提供:
更強大、更有效的安全性
對 Internet 安全協議的支持
與早期 Windows 協議的兼容性
Windows 2000 支持的安全協議包括:
Kerberos v5
SSL ( Secure Sockets Layer - 安全套接字層)
DPA ( Distributed Password Authentication - 分布式口令驗證)
Windows NT NTLM
Kerberos v5 協議是 Windows 2000 中網絡驗證的默認協議。 Kerberos 協議是一個已經成熟的安全標准。其益處包括客戶機和服務器的相互驗證以及與非 Windows 平台的內部可操作性。
Windows 2000 支持基於公用密鑰的協議,提供 Internet 之上的保密性和可靠性。這包括對 SSL 3.0 的支持以及 Internet 浏覽器和網絡服務器間連接的標准。
Windows 2000 還支持 DPA ,它由諸如 Microsoft Network (MSN) 等最大的 Internet 成員組織使用。
還支持 Windows NT versions 4.0 和早期版本使用的 NTLM 協議,這是為確保 Windows 2000 Server 與運行 Windows NT 和 Windows NT 網絡的客戶機軟件的計算機做到完全內部可操作。
基於策略的管理
活動目錄的目錄服務包括數據存儲以及邏輯、分層結構。作為邏輯結構,它為策略應用程序提供上下文分層結構。作為目錄,它存儲指定給特定上下文的策略(稱為組策略)。組策略表達一組業務規則,它包含應用於上下文的設置,它可確定:
對目錄對象和域資源的訪問
用戶可使用哪些域資源(諸如應用程序)
這些域資源是如何配置的
例如,組策略可確定用戶登錄後在計算機上可看到哪些應用程序,當 Microsoft SQL Server 在服務器上啟動時,有多少用戶可與其連接,以及當文檔或服務移至不同部門或組時,用戶可訪問哪些內容。組策略使得只需管理少數策略,而不是大量用戶和計算機。活動目錄使得可以將組策略應用於適當的上下文,而不管是整個組織還是組織中的某些單位。
擴展性
活動目錄是可擴展的,這意味著管理員可以將對象的新類添加到規劃中,而且還可以將新屬性添加到已現有的對象類中。
例如,可以將 “ 購買權限 ” 屬性添加到用戶對象類型中,而後將每個用戶的購買權限限制作為用戶帳戶進行存儲。
可以使用活動目錄規劃插件或通過創建基於 ADSI 或 LDIFDE 或 CSVDE 命令行實用程序的腳本將對象和屬性添加到目錄中。
可調整性
活動目錄可包括一個或多個域,每個又都帶有一個或多個域控制器,這使得可調整目錄以便滿足任何網絡的要求。多域可組合成域目錄樹或林。
目錄將規劃和配置信息分配給目錄中的所有域控制器。該信息存儲在初始域控制器中,而且可復制到目錄中任何其他域控制器中。當目錄配置成單域時,添加域控制器可在上部管理不涉及其他域的情況下調整目錄。
將目錄配置成域目錄樹或林使得可以針對不同策略上下文對目錄的名稱空間進行分區並調整目錄使其容納大量資源和對象。
信息復制
活動目錄使用多主復制。目錄存儲在初始域控制器中並可復制到域、域目錄樹或林的每個域中。對目錄數據所做的更改將復制到所有域控制器中。每個域控制器存儲和保留一個目錄的完整副本。
復制提供信息的有效性、容錯、加載平衡和性能優點。在一個域中分派多個域控制器可提供容錯和加載平衡。如果域中的某個域控制器減慢、停止或失敗,同一域中的其他域控制器可提供必要的目錄訪問,其原因是它們包含著相同 的目錄數據。域中的多個站點可提高目錄的性能。在廣域網中 (WAN) ,目錄訪問可由與每個網絡客戶機最近的域控制器執行。
與 DNS 集成
活動目錄使用 DNS ( Domain Name System - 域名解析系統)。 DNS 是一個 Internet 的標准服務,它可以很容易地將可讀主機名稱,諸如 computer.microsoft.com 翻譯成數字的 TCP/IP 地址。這可以在 TCP/IP 網絡上啟用與計算機和用戶的標識和連接。
DNS 域和計算機名稱使用分層結構的 “ 友好 ” 名稱。例如,名稱 maincampus.microsoft.com 既是 DNS 也是 Windows 2000 域名。
域名是以 DNS 分層命名結構為基礎的,這是一個顛倒的目錄樹結構:單個根域,以下可以是父域和子域(枝和葉)。例如,諸如 child.parent.microsoft.com 的 Windows 2000 域名識別名為 “child,” 的域,此域是名為 “parent” 域的一個子域,而 “parent” 域自身又是根域 microsoft.com 的一個子域。
域中的每台計算機依靠其完整的合格域名識別。位於 child.parent.microsoft.com 域中計算機的完整合格域名應是 computername.child.parent.microsoft.com 。
與其他目錄服務的內部操作
由於活動目錄是基於工業標准的目錄訪問協議,諸如 Lightweight Directory Access Protocol (LDAP) version 3 和 Name Service Provider Interface (NSPI) ,它可以與使用這些協議的其他目錄服務實現內部操作。
LDAP 是用於查詢和檢索活動目錄信息的目錄訪問協議。由於它是基於工業標准的目錄服務協議,使用 LDAP 的程序可以發展成與其他目錄服務共享活動目錄信息,這些目錄服務同樣支持 LDAP 。
NSPI 協議用於 Microsoft Exchange 4.0 和 5.x 客戶機,活動目錄對其進行支持以便為交換目錄提供兼容性。
靈活的查詢
用戶和管理員可使用搜索菜單-網絡鄰居或活動目錄用戶和計算機快速查找網絡上的對象,使用對象屬性。例如,可通過名、姓、 e-mail 名稱、辦公室位置或該人用戶帳戶的其他屬性。可通過使用活動目錄生成的全局目錄優化查找信息。