Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows Server系統教程 >> Windows Server教程 >> 有關活動目錄地普遍疑問解答

有關活動目錄地普遍疑問解答

日期:2017/1/24 11:02:30      編輯:Windows Server教程


在Windows 2000系統下,已經有過開展活動目錄的成功案例嗎?

總的來說,答案是肯定的。Gartner已經和那些實現了活動目錄的企業進行了交談,這些企業的目的是為了適應單獨區域內部用戶的數量從數百個到175,000的浮動變化。Gartner也確保了一個用戶使用活動目錄做為一個extranet(輕量級目錄存取協議(Lightweight Directory Access Protocol, LDAP))目錄,以實現驅動3,500,000個用戶。如果要對配置活動目錄做一個全面的評價,那就是:發展前景長遠、非常棒!

啟用活動目錄將存在怎樣的一般性缺陷呢?

以下是Gartner發現企業最普遍遇到的頓挫:

  • 疏忽對目錄設計和開展帶來的行政方面的問題進行估計。可以看到關於組織單元(OU)與區域邊界、區域與forest boundaries以及對非Windows域名系統進行綜合的解決方案的爭論仍是熱門話題。這些爭論可能將導致延遲設計和實施開展的時間。
  • 沒能從以下幾個方面全面分析活動目錄復制的需求1)可利用的網絡帶寬量2)區域控制器的硬件配置(特別是網絡集線器域名控制器)。如果活動目錄不能可靠地完成復制過程,它將無法完全地發揮其功能。
  • 過多地嵌套OU或組,導致極度復雜的組策略或在組策略處理過程中很低的性能。Gartner也已經與幾個設計了非常復雜的組策略的企業進行了交流,他們表示必須要將低復雜度,因為這樣將大大降低性能或一些不可預期的後果。我們建議企業配置時不要超過五級嵌套OU。

    配置、展開
    如果一個企業還沒有開展活動目錄,是否它應該等待配置活動目錄的Windows Server 2003版本呢?

    你應該基於你對時間和活動目錄特性的需求對此做決定。

  • 在時間問題上,Windows Server 2003 Active Directory將在2003年發布(概率是90%)。我們認為Active Directory適合於在Type B企業(技術的主流采納者)中進行小型配置(用戶數量可以達到5000)。但是,我們建議Type B企業在配置Windows Server 2003 Active Directory域名控制器並關聯Windows 2000域名控制器之前再等60天。我們也建議Type B在進行中級配置(用戶可達25,000)之前等待60天,以及在配置大型(用戶超過25,000)Windows Server 2003 Active Directory環境之前等待90天。

    最後,我們建議Type C企業(對技術采納持保守態度的企業)在進行任何類型的配置之前等待6個月。對於多數企業,這意味著在2003年應該計劃大范圍配置Windows Server 2003 Active Directory。

  • 在特性方面,Windows Server 2003包括bug fix以及對Active Directory進行了改進。企業應該對Windows Server 2003 Active Directory新增的特性評估後再決定是否有價值配置它們的Active Directory。如果沒有實際價值,企業應該考慮配置Windows 2000 Active Directory,以後再升級到Windows Server 2003 Active Directory(比如說2004年)。值得注意的是,混合配置Windows 2000和Windows Server 2003 Active Directory 域名控制器的價值有限,企業應該計劃實現一個版本的穩定。

為了能滿足計劃可能不斷變化的需求,我應該使用什麼樣的組織結構?

考慮到企業的行政結構和公共部門很大的變動性,對於這個問題沒有普遍適用的規則。然而,Gartner已經發現了三個有效的方法,用來為Active Directory建立一個變動控制技術:

讓directory team或directory architect管理變化請求。當directory team/architec是全球IS部門的一部分時,這個方法工作得最好。

對於多域環境,成立一個區域管理員的管理部門,這些管理員必須對任何變化沒有異議。顯然,僅當是有限數目域的情況下,這種方法才能很好工作。

創建一個部門,在這裡集中了各個領域(如安全、網絡、Windows系統管理以及桌面和用程序開發)的專業人士。在這種情況下,盡管這種想法是完美的,但是沒有得到正式批准。
我需要第三方工具來有效管理Active Directory?

許多企業可以使用由微軟提供的工具和資源來管理Active Directory環境。但是,在一些特別領域裡第三方工具提供了另外的價值:

安全報告和審核
管理多域或multiple-forest實現
管理和配置組策略
監測Active Directory的狀態是否處於正常
實現基於任務的管理模型(相對於Active Directory的層次模型)
提供相關工具的廠商有:Aelita Software、BindView、FullArmor、NetIQ、NetPro和Quest Software。

對於我自己的目錄需要,是否可以按照Active Directory來標准化?

大多數情況下,答案是不可以。操作系統和應用程序通常是和特定的目錄相關聯。舉個例子來說,NetWare要求是eDirectory,Oracle應用軟件則要求的是Oracle Internet Directory,Lotus Notes需要Notes目錄,等等。Gartner強烈推薦企業應該走目錄整合路線。

我應該使用Active Directory來作為企業的目錄協議函數庫(LDAP)目錄嗎?

這個要依賴於將訪問該目錄的應用程序。在這裡有兩點需要考慮:

盡管Active Directory 是適應LDAP 3,但是存在大量LDAP規范的擴展。程序員在寫程序時可能會選擇那些不被Active Directory支持的規范。在當前市場中,這個問題不是只發生在Active Directory身上,企業必須測試應用程序與目標目錄的兼容性。

甚至當一個應用程序使用Active Directory來工作的,廠商也可能不支持它。實際上,任何廠商僅僅支持有限數目的目錄形式,他們的產品不可能兼容任何LDAP目錄。Gartner認為,對於大多數企業來說,配置一個不被軟件開發商支持的目錄的風險是相當高的。
還要提的一點是,在Active Directory內全面的LDAP支持將不斷改善。Windows Server 2003的發布就包括了一些新的LDAP特性,並且Gartner預測微軟將在2003年發布一個稱作Active Directory in Application Mode (AD/AM)的改進版,來單獨支持LDAP。

底線
企業配置Active Directory的發展勢頭很好。一旦有新產品的發布,企業必須認真將其配置需求與Windows Server 2003 Active Directory和Active Directory in Application Mode進行匹配。企業也應該注意成功配置了Active Directory的案例(或其他的目錄產品),並需要關注應用程序兼容性和企業的行政結構。

 
Copyright © Windows教程網 All Rights Reserved