Windows2000是微軟公司新一代的操作系統 ,它是在 Windows NT4.0操作系統的基礎上開發的, 集Windows NT技術和
Windows9X的優點於一身,並在此基礎上發展了許多新的特性和功能.如智能鏡像、終端服務、分布式文件系統、磁盤定
額、DNS增強以及活動目錄等等。其中最重要的特性是活動目錄。
活動目錄包括兩方面:目錄和目錄相關的服務。目錄是存儲各種對象的一個物理上的容器,目錄管理的基本對象是用
戶、計算機、文件以及打印機等資源。而目錄服務是使目錄中所有信息和資源發揮作用的服務,如用戶和資源管理、基於
目錄的網絡服務、基於網絡的應用管理。活動目錄是一個分布式的目錄服務。信息可以分散在多台不同的計算機上,保證
快速訪問和容錯;同時不管用戶從何處訪問或信息處在何處,對用戶都提供統一的視圖。在當今網絡計算的爆炸性增長的
Internet時代,微軟活動目錄還廣泛地采用了Internet標准,給用戶帶來了幾乎無窮無盡的益處。活動目錄集成了關鍵服
務,如域名服務(DNS),消息隊列服務(MSMQ),事務服務(MTS)等;集成了關鍵應用,如電子郵件、網管、ERP等;同時
還集成了當今的關鍵的數據訪問,如ADSI,OLE DB等。
由此看來,活動目錄是Windows2000網絡體系結構必不可少的、不可分割的重要組件,可以這樣說:沒有活動目錄,就
沒有Windows2000。所以理解活動目錄,對於理解Windows2000的整體價值是十分重要的。要理解活動目錄。我們必須從它
的邏輯結構和物理結構入手。在此,我為大家介紹活動目錄的邏輯結構。
1、 層次化的目錄結構
圖 1 活動目錄層次結構
如圖1所示,Windows2000的活動目錄是由組織單元(OU)、域(Domain)、域樹(Tree)、森林(Forest)構成的層次結構。
活動目錄為每個域建立一個目錄數據庫的副本,這個副本只存儲用於這個域的對象。如果多個域之間有相互關系,它們可
以構成一個域樹。在每個域樹中,每個域都擁有自己的目錄數據庫副本存儲自己的對象,並且可以查找域樹中其它目錄數
據庫的副本。多個域樹構成了森林。Windows2000活動目錄的這種層次結構使得企業網絡具有很強的擴展性,便於組織、管
理以及目錄定位。這一點,NT4.0的域模型,不論是多主域模型還是完全信任域模型都無法與Windows2000活動目錄結構模
型相比。Windows2000活動目錄更適合企業的目錄服務。
2、面向對象的存儲
正如前面所提到的,活動目錄以對象的形式存儲關於網絡元素的信息,對象是對象類(模式:對象schema Object)的
一個實例,而每個對象類都有很多屬性,這些屬性描述了某種對象類的特殊特征。這使得組織機構可以在目錄中存儲廣泛
的信息,從而便於組織、管理和控制對它的訪問。這種面向對象的存儲機制同時也實現了對象的安全,因為對象的屬性被
封裝在對象內部。當然,所有這些對象都有一個全局唯一的標志。
3、域、域樹、森林
域是NT活動目錄的核心單元,是對象(如計算機、用戶等)的容器,這些對象有相同的安全需求、復制過程和管理。
在域中,所有的域控制器都是平等的。活動目錄以多主復制模型在域控制器間實現目錄復制。一個域可以是其它域的子域
或父域,這些子域、父域構成了一棵樹------域樹。域樹實現了連續的域名空間,域樹上的域共享相同的DNS域名後綴。域
樹的第一個域是該域樹的根(root),域樹中的每一個域共享共同的配置、模式對象、全局目錄(Global catalog)。多棵
域樹就構成了森林。森林中的域樹不共享連續的命名空間。森林中的每一域樹擁有它自己的唯一的命名空間。在森林中創
建的第一棵域樹缺省地被創建為該森林的根樹(Root Tree)。
4、使用包容結構建立組織模型
組織單元是組織、管理一個域內的對象的容器,它能包容用戶帳號、用戶組、計算機、打印機 和其它的組織單元。很
明顯,通過組織單元的包容,組織單元具有很清楚的層次結構。這種包容結構可以使管理者把組織單元切入到域中以反應
出企業的組織結構並且可以委派任務與授權。建立包容結構的組織模型能夠幫助我們解決許多問題,同時仍然可以使用大
型的域、域樹中每個對象都可以顯示在全局目錄,從而用戶就可以利用一個服務功能輕易地找到某個對象而不管它在域樹
結構中的位置。
從上面我們對活動目錄的邏輯結構的介紹,我們可以看出:活動目錄的這種層次結構能幫助我們簡化管理、加強網絡
安全、輕易地查找所需要的對象和資源,在大型企業網絡環境下我們再也不會因為找不到共享資源而頭痛。