第 4 章：目录服务

show toc
Microsoft 标识和访问管理
基本概念
第 4 章：目录服务
发布日期： 2004年05月11日 | 更新日期： 2006年12月06日
目录服务在任何身份和访问管理策略中都是中心组件，原因有几个，其中最重要的原因是，目录服务是存储服务器操作系统身份及身份验证信息的最常用方式。
目录服务不仅仅存储用户信息。它还会存储有关资源、计算机和应用程序的身份信息，因为安全策略也必须应用于这些资产。通过将身份与身份验证和授权功能相结合，登录身份验证和资源授权便都可以用目录来进行管理。
本页内容
Active Directory
Active Directory 应用程序模式
Active Directory
Microsoft® Active Directory® 目录服务是一种安全、高可用的分布式中央身份存储，它与 Windows 2000 Server 和 Windows Server™ 2003 紧密集成在一起。Active Directory 在管理和支配用户帐户、身份验证、安全策略和组织资源（如计算机、打印机和服务器）方面起着核心作用。
管理用户身份和控制用户对多个系统和平台上各种资源的访问是 Active Directory 独有的功能。此功能使组织可以将 Active Directory 用作为可以延伸到其他应用程序、系统、平台的权威身份、身份验证及授权信息存储。
在 Active Directory 中管理用户权限
通过将 Active Directory 用作用户身份的目录服务，组织可以利用业界领先的功能来管理用户访问权限。此集成解决了以下先前明确的主要身份和访问管理挑战：
•
安全性。只用一个步骤就可以实现对整个网络上用户访问权限的更改，从而降低不经意为敏感信息敞开后门的几率。
•
管理复杂性。对于每位用户，均有一个可以管理权利和凭证的位置。而且，这种方法简化了用户访问，因为只需一个登录名和密码就可以访问网络及其中的所有资源。
•
成本遏制与工作效率。通过采用单个系统来管理组和角色，可以避免网络管理员在各个系统和应用程序上授予和监视权限的重复工作。
组策略
您可以在 Windows Server 2003 和 Windows 2000 Server 中使用组策略为多组用户和计算机定义和实施用户及计算机配置。利用组策略，组织可以指定以下方面的策略设置：
•
基于注册表的 Windows 操作系统及组件策略。
•
本地计算机、域和网络安全设置（如密码及帐户策略）的安全选项。
•
用于集中管理应用程序添加、更新和删除的软件安装及维护选项。
组策略提供了组织范围的策略设置控制，有助于在降低管理工作强度和支持成本的同时提高安全性。
有关 Windows 2000 Server 以及 Windows Server 2003 中组策略的更多信息，请参见 Windows 帮助中的“组策略概述”主题以及 Microsoft TechNet 上的了解组策略功能集的进阶指南 页。
使用目录服务标记语言
通过目录服务标记语言 (DSML)，可以将目录结构信息和目录操作表示为 XML 文档。DSML 旨在使基于 XML 的应用程序能够在其本机环境中使用目录中的配置文件和资源信息。DSML 使得 XML 和目录可以配合工作，并且为所有基于 XML 的应用程序奠定了共同的基础，以使它们都能更好地利用目录。
用于 Windows 的 DSML 服务使 Windows Server 2003 操作系统上的 Active Directory 服务变得更为强大。由于用于 Windows 的 DSML 服务使用开放标准（如 HTTP、XML 以及简单对象访问协议 (SOAP)），因此可以实现更高级别的互操作性。例如，除了已成为标准的轻型目录访问协议 (LDAP)，许多设备和其他平台还有与 Active Directory 通信的备选方案。此方法为 IT 管理员和独立软件供应商 (ISV) 提供了许多重要收益，他们现在有更多用于访问 Active Directory 的开放标准可供选择。
用于 Windows 的 DSML 服务支持 DSML 版本 2 (DSMLv2)，它是一个经结构信息标准促进组织 (OASIS) 批准并受到许多目录服务供应商支持的标准。通过支持 DSMLv2 规范可以与同样支持这个标准的其他目录服务供应商实现更好的互操作性。有关 DSMLv2 规范和架构的信息，请参见OASIS 网站。
若要获得用于 Windows 的 DSML 服务，请参见 Microsoft.com 上的Windows Server 2003 功能包 下载页。
返回页首
Active Directory 应用程序模式
诸如 Active Directory 的网络目录是存储相对静态、全局适用数据的合适地方。当组织或开发人员需要存储应用程序特有的身份相关信息或需要对数据进行本地控制时，他们可以受益于一种称为 Active Directory 应用程序模式 (ADAM) 的 Active Directory 新模式。
在部署需要目录结构但不大适合 Active Directory 环境的应用程序时，因以下一个或多个要求而会产生种种问题，ADAM 解决了其中的许多问题：
•
存储个性化数据
•
存储需要频繁更新的数据
•
支持启用了目录的应用程序，它们需要从多个林结构或另一不同组织（如 OU 结构）聚合配置文件数据
•
启用目录迁移
有关这些方案中 ADAM 的更多信息，请参见本系列文章中的“Intranet 访问管理”一文。从Windows Server 2003 Active Directory 应用程序模式 页，您可以了解有关 ADAM 的更多信息和下载 ADAM。
返回页首第 4 页，共 9 页

本文内容
•第 1 章：“基本概念”简介
•第 2 章：术语和计划
•第 3 章：微软身份与访问管理技术
• 第 4 章：目录服务
•第 5 章：身份生命周期管理
•第 6 章：访问管理
•第 7 章：应用程序
•链接
•致谢

下载
获取微软身份与访问管理系列文章
更新通知
注册以了解有关更新和新版本的信息
反馈
将您的意见和建议发送给我们

 适合打印机打印的版本 通过电子邮件发送此页面
个人信息中心 |联系我们 |新闻邮件
©2008 Microsoft Corporation. 版权所有.  与我们联系 |保留所有权利 |商标 |隐私权声明