神马文学网活动目录:网络操作系统的核心技术(ICE)
来源:百度文库 编辑:神马文学网 时间:2024/05/01 12:33:45
进入到1999年,网络管理的目录服务逐渐深入人心。与传统的大型主机的模式相比,客户机/服务器的模式更加优越,因为在这一模式下,网络管理员和用户具有了更大的灵活性,有了更好的扩展性,和更加广泛的应用软件选择性。但是客户机/服务器模式的灵活性,也有一定的弊病,比如用户经常性地在网络中迷失自己,找不到诸如打印机之类的网络资源;网络管理员也没有一个统一的网络资源管理方法,往往充当救火员的角色,宏观的疏导和配置能力不够。
微软在Windows NT Server 4.0中就已经贯彻了目录服务的思想。NT的"域,domain"的概念是目录服务的一个基本单元。"一次登录,Single London"在Windows NT Server的环境下有了具体的应用,比如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,用户一次登录就可以获得Web、Email和数据库等多种多样的网络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进一步发展了"活动目录(Active Directory)"。
活动目录的特征
Microsoft Windows 2000把现在的Windows NT目录发展为一个完全可扩展,可伸缩的目录服务,既能满足商业ISP的需要,又能满足企业内联网和外联网的需要。
目录服务的六大关键特征是: 分层次和可伸缩的名字空间 多主复制 在线备份和恢复 动态可扩展结构 基于Internet的命名协议(DNS) 以轻量目录访问协议 (LDAP) 作为互操作性的核心协议 分层次和可伸缩的名字空间
Windows NT 4.0 的存储能力最大可以达到每域40兆字节(MB)的对象,这一存储能力允许在安全帐目管理器 (SAM)中最大达到每域40,000 个用户。由于Windows NT 4.0 为名字空间使用一个平铺列表结构,它管理一个巨大的域比较困难。管理工具,例如域的用户管理器,不能迅速地启动和显示所有对象。而且, 因为平铺列表的数据形式,难以从中寻找一个特定的对象。
为了使得管理更简单灵活, Windows 2000 目录使用了一个结构化数据库,这一数据库基于Microsoft Exchange目录存储库作为其数据存储库。可扩展存储引擎 (ESE) 的使用使得目录可以在一个单一数据存储中攀升到1千万个对象,克服了Windows NT 4.0中基于注册表的SAM 数据库的限制。目录服务代理 (DSA) 运行于平铺数据库之上,实现了一个分层次的名字空间。有了这样的分层次名字空间,活动目录从现有的域模型向前发展为一种新的 "树和森林" 模型。 通过把名字空间分裂为层次结构, 再也不需要在一个平铺列表上观察上万个用户了。 在一个Windows 2000 域中可以创建组织单位(OU),它们是活动目录中装对象的容器。OU 中包含用户、组、打印机等对象,这些对象能够被组织成一种逻辑结构, 这种逻辑结构与你运转和组织业务的方式相适应。另外,你可以利用组织单位来设定管理权。
活动目录为访问控制许可提供了丰富的模式,这些模式在许多方面类似于文件和目录的许可管理。你可以通过随意设定ACL(访问控制列表)来设定对任何组织单位中的对象的管理。例如,你可以授权一个电脑管理员重新设置密码,但不把增加或删除帐号的权力授给他。
通过给一个管理人员仅只在一个容器中创建或修改对象的权力, 就把他限制那个容器中。这种许可的颗粒化管理允许你提供对管理职责和边界的很精细的控制。目录层次中组织单位的使用减少了域的数量,同时能够达到需要的管理层次。
除了可以在一个域中构成组织单位的树之外,还可以构成一棵域的树。这些域被连入一棵使用Kerberos 可传递信任的层次树。可传递信任仅仅通过一个简单的对树的"连接",就能进行域的管理。基于Windows NT的用户帐号在树的任何地方都是有效的,并为单个的用户提供了登录,这种登录对管理网络应用软件非常重要,因此它在分布式环境中需要被证明和认可。
多主复制
Windows NT 4.0 实现了一个单主复制模型。根域控制器 (PDC)是唯一具有域数据库读写复制的域控制器。所有其它的域控制器都是备份域控制器 (BDC)。PDC把域数据库中的所有变化复制给BDC。
在Windows NT 4.0中, 为了能够对用户帐号、组等进行修改,PDC 必须总处于可用状态。如果PDC 服务器坏了或网络不通,目录就难以被修改。
Windows 2000 和活动目录实现了一个多主复制模型。使用多主复制,可以在域中的任何一个域控制器上对目录进行修改。然后,这个域控制器把修改复制给它的复制伙伴。这样,即使个别域控制器不能使用,目录还是百分之百可以被修改。
在线备份和恢复
为了使域控制器实现很高的可用性,活动目录允许在线的域控制器备份。Windows 2000也提供了一系列的手段,来进行域控制器的恢复。
动态可扩展结构
目录的结构定义了该目录中可以被创建的对象和属性。在活动目录中,结构由三张表组成,每张表对应下面的一项: 对象 属性 语法对象
活动目录允许你扩充结构,创建新的属性和对象。开发者可以利用这一可扩展性(ADSI)在应用软件目录下创建他们自己的数据结构,从而把目录作为一个数据存储来使用。例如,一个人力资源应用软件已经在目录中找到了关于一个职员的大量信息,这些信息包括这个职员的姓名、电话号码、办公室号和家庭住址。在活动目录下,这个应用 软件可以通过扩展结构来增加一些必要的属性,例如这个职员的薪水属性。
此外,活动目录的扩展安全模型允许你非常精细地定义安全度。在刚才提到的人力资源应用软件的例子中,主管人力资源的职员能够访问用户对象,因为这对他们的工作非常重要,而管理人员尽管可以创建或删除用户,却不能够访问对象的薪水属性。
LDAP 作为互操作性的核心协议
为了确保Windows 2000 能够支持多个操作系统和目录下的目录同步和互操作性,活动目录使用轻量目录访问协议 (LDAP)作为客户访问协议。 微软公司正在实施这一目录访问的标准协议,同时也是IETF内部的LDAP 标准化进程的推动者之一。微软还推出了许多建议,包括一些有关目录复制的建议。这证明了微软对基于标准的协议和与其他目录提供商协同工作的承诺。
在活动目录中实施了用于客户访问 的LDAP 版本2 和版本3 。因为复制的标准化进程还没有最后定稿,活动目录在第一个版本中实施了一个独有的复制协议。一旦有了可以使用的标准复制协议,后面的版本将马上使用用于目录复制的LDAP。
迁移到活动目录的三大优点:
许多公司现今在Windows NT上有巨大的投资。因此,所有迁移的最主要目的都是让顾客的现有投资平缓地,逐渐地从Windows NT 4.0迁移到活动目录,以此保护顾客的现有投资。 迁移的三大优点是: 支持混合环境
Windows NT 支持Windows 2000 活动目录域控制器与Windows NT 4.0 域控制器组成的混合环境。顾客可以基于业务的需要,以自己的步调来进行迁移。低版本的客户可以认为他们在访问Windows NT 4.0 的域控制器。还没有安装活动目录访问软件的Windows NT 工作站和Windows 95 的客户,可以通过使用Windows NT LAN 管理器 (NTLM) 询问/答复鉴定,登录到活动目录控制器上去。
因为活动目录具有百分之百的向后兼容性,所以企业可以先迁移它们的域控制器,再迁移它们的客户,或混合迁移服务器与客户。在迁移过程中决不需要同时把大量的服务器或客户迁移到新的操作系统中。也决没有必要为了迁移域控制器或客户而让整个域离线。单个的域控制器仅只在它们的操作系统更新的时候才不可使用。这样就确保了公司可以在不打断它们业务的情况下迁移到活动目录。
域模型的简化
活动目录既允许对集中化的Windows NT 4.0 域模型进行简单迁移,又允许对分散化的Windows NT 4.0 域模型进行简单迁移。典型的主域或多主域模型可以被容易地迁移进一个活动目录树或活动目录森林。
活动目录与改进的安全模型相结合,顾客就可以减少企业中域的数目。企业选择一个主域模型的主要原因是,这样可以允许地方职员管理地方资源域,同时不用把地方资源域的用户管理权给予主域中的用户帐号。这既对中心信息技术(IT) 部门有益,又对地方用户有益。中心IT 职员不必再去遥远的地区,或在缓慢的广域网线路上实现管理操作。同时,地方用户可以更快地从地方支持职员那里得到支持。而且,地方支持职员往往对他们当地用户的日常工作有一个更好的理解。
复制流量的控制
活动目录的改进的复制引擎允许你区分两种复制:使用局域网线路的复制与发生在缓慢的广域网线路上的复制。它允许你创建站点,这些站点是IP 子网的聚集,具有很好的连通性。在同一个站点中,复制在一段延时之后开始,这段延时是可配置的。站点之间的复制被预先安排,只能在选定时间内使用广域网带宽。
一般而言,在对象数目相同的情况下,活动目录中的复制流量比Windows NT 4.0中的复制流量要小。尽管活动目录定义了更多的对象,每个对象有更多的属性,但因为活动目录中的复制在单个属性的层次上发生,所以复制变得更精细了。如果你仅仅改变了一个对象中的一个属性,将只有这个属性被复制给它的复制伙伴,而不是把这个对象作为一个整体复制给它的复制伙伴。
进入到1999年,网络系统中的目录服务逐渐深入人心。与传统的大型主机的模式相比,客户机/服务器的模式更加优越,因为在这一模式下,网络管理员和用户具有了更大的灵活性,有了更好的扩展性,和更加广泛的应用软件选择性。但是客户机/服务器模式的灵活性,也有一定的弊病,比如用户经常性地在网络中迷失自己,找不到诸如打印机之类的网络资源;网络管理员也没有一个统一的网络资源管理方法,往往充当救火员的角色,宏观的疏导和配置能力不够。
微软在Windows NT Server 4.0中就已经贯彻了目录服务的思想。NT的"域(domain)"的概念是目录服务的一个基本单元。"一次登录,Single Logon"在Windows NT Server的环境下有了具体的应用,比如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,用户一次登录就可以获得Web、Email和数据库等多种多样的网络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进一步发展了"活动目录(Active Directory)"。活动目录充分体现了微软产品的"ICE",即集成性(Integration),深入性(Comprehensive),和易用性(Ease of Use)等优点。活动目录是一个完全可扩展,可伸缩的目录服务,既能满足商业ISP的需要,又能满足企业内部网和外联网的需要。
活动目录的由来
活动目录是从一个数据存储开始的。它采用的是Exchange Server的数据存储,称为:Extensible Storage Service (ESS)。其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能非常优良。这个数据存储之上已建立索引的,可以方便快速地搜索和定位。活动目录的分区是"域(Domain)",一个域可以存储上百万的对象。域之间还有层次关系,可以建立域树和域森林,无限地扩展。
在数据存储之上,微软建立了一个对象模型,以构成活动目录。这一对象模型对LDAP有纯粹的支持,还可以管理和修改Schema。Schema包括了在活动目录中的计算机、用户和打印机等所有对象的定义,其本身也是活动目录的内容之一,在整个域森林中是唯一的。通过修改Schema的工具,用户或开发人员可以自己定义特殊的类和属性,来创建所需要的对象和对象属性。
活动目录包括两个方面:一个目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器;而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一个分布式的目录服务。信息可以分散在多台不同的计算机上,保证快速访问和容错;同时不管用户从何处访问或信息处在何处,都对用户提供统一的视图。
活动目录的集成性(Integration)
微软的活动目录生动了结合了三个方面的管理内容:用户和资源管理、基于目录的网络服务,和基于网络的应用管理。而且活动目录广泛地采纳了Internet标准,把众多的Internet服务都集成在一起,提供了革命性的价值。
目录管理的基本对象是用户和计算机,还包括文件、打印机等资源。举例来说,用户对象的属性非常丰富,不但有常见的账号名、口令等,还包括邮件信箱和个人主页地址、在公司中的职位关系等,可以在活动目录中右键点击用户对象发送邮件和访问其个人主页等。其职位关系可以在公司的内部网上有Web组织结构图的方式动态地显示出来,也可以为内部采购、费用报销等应用程序利用来实施业务逻辑。在活动目录中,支持全局性的查找,比如查找在整个网络中的双面打印的彩色打印机等。
活动目录彻底地采用了Internet标准协议,比如用户账号可以用User@bj.yourcom.com或User@yourcom.com的快捷方式来表征,来登录网络等。在此bj.yourcom.com和yourcom.com就是两个不同的域。但是这两个域之间有信任关系,因为yourcom.com是一个根域,bj.yourcom.com是一个子域。子域之下还可以有子域,比如sales.bj.yourcom.com,相互之间都是可传递的信任关系,构成一棵域树。如果你的公司兼并了一家其他的公司,你的域树可以和它们的域树hiscom.com建立起整个的域森林来。DNS (domain name service)在此充当了名字解析的功能,我们建议使用与活动目录集成的DNS Server,来保证动态更新域名和更好的复制能力。整个域森林的所有对象,只要安全性管理许可,都可以用LDAP协议访问到。
在当今的Internet时代,微软活动目录这种基于Internet标准的做法,给用户带来了几乎无穷尽的益处。活动目录集成了关键服务,如DNS、MSMQ(消息队列服务);集成了关键应用,如电子邮件、网管、ERP等;集成了关键数据访问,如ADSI、OLE DB等;还集成了关键的安全性,如Kerberos第五版本和公开密钥基础设施等。
基于活动目录的网络基础设施服务(Directory-Enabled Networking, DEN)是微软和思科公司共同提出来的,旨在提高网络可管理性和提高网络服务质量的倡议。在Windows 2000活动目录中,可以做到根据不同的用户或应用分配网络带宽等高级的网络管理任务,以及支持ATM网络和QoS协议等。
基于活动目录的应用服务(Directory-Enabled Application)是在Windows 2000平台上的新一代的应用程序。应用开发员可以扩展活动目录的Schema 和 UI,通过ADSI/ADO编程,在活动目录中发布service 绑定信息,通过Group Policy配置应用程序,进行Just In Time应用下载和应用改变的自动通知等。比较典型的一个基于目录的应用的例子,是NetMeeting。在活动目录的环境中,你只要在NetMeeting中敲入同事的Email别名,就可以通过活动目录中的定位服务,与其进行对话和桌面协作等,非常方便。 活动目录的深入性(Comprehensive)
活动目录的深入性体现在企业级的可伸缩性,安全性,互操作性,编程能力和升级能力上。活动目录既可以存储极少的几个对象,也可以存储上亿万的对象。活动目录通过为每个域创建一个目录存储的方法来获得伸缩性。这一个目录存储中仅仅包括了这个域中的所有对象。当域树建立起来之后,每个域有能力搜索整个域树中所有的目录存储。这种划分整个域树的方法,使用户所需要的信息离用户最近,响应最好。域的目录存储还可以有很多的副本,副本之间自动地做同步,进一步提高响应速度和服务可获得性。
这种域树和域森林的方法,帮助活动目录使用容器层次来模拟一个企业的组织结构。组织中的不同部门可以成为不同的域,或者一个域中有层次结构的组织单元(Organizational Unit, OU),从而采用层次化的命名方法来反映组织结构和进行管理授权。顺着组织结构进行颗粒化的管理授权可以解决很多管理上的头疼问题,在加强中央管理的同时,又不失机动灵活性。
Windows NT 4.0中的很多域都可以成为OU,建立起更大的域和更简化的域关系,借助全局目录(Global Catalog) ,用户和管理员仍然能够迅速地找到对象和管理对象。Windows 2000可以在现存的Windows NT 4.0的环境中工作,保护现有的投资;微软也提供一系列的工具帮助4.0的用户迁移到Windows 2000的目录环境中。微软提供Directory Connector使活动目录与Exchange Server 5.5、NDS的目录服务同步,并且Exchange 6.0干脆就采用了Windows 2000作其目录服务。
在活动目录中,目录存储只有一种形式,即域控制器(Domain Controller),包括了完整的域目录的信息,不再有主域控制器和备份域控制器的区别。所有的域控制器在用户访问和提供服务方面都是相同的。它们之间的同步是采用了一种先进的多主复制的技术,称为Update Sequence Numbers (USN)。每个服务器跟踪其复制伙伴的最新USN列表,保证及时更新并且更新不会有冲突或相互覆盖等。
Windows 2000的安全性服务(如Kerberos,PKI和智能卡等)和活动目录紧密结合。活动目录存储了域安全政策的信息,比如域口令的限制政策、系统访问权限等,实施了基于对象的安全模型和访问控制机制。在活动目录中的每个对象都有一个独有的安全性描述,定义了浏览或更新对象属性所需要的访问权限。但是,当LDAP客户端访问活动目录时,操作系统会实施访问安全控制,而不是由活动目录来决定访问控制的。Windows 2000 安全性和活动目录相辅相成,可以共同完成任务和协同管理。
活动目录的易用性(Ease of Use)
一个功能强大的目录服务如果不能易于使用,也不是一个好的目录服务。活动目录的易用性,也是Windows 2000整体Simplicity的一个体现。微软始终抱着这样的信仰:必须是大家乐于使用易于使用的技术,才是真正的好技术。因此,微软的活动目录也在此下了很大的功夫。
先说一下活动目录的安装。Windows NT Server 4.0的用户可能不习惯Windows 2000 Server的做法:所有的新安装都是安装成为Member Server,目录服务都需要事后用Dcpromo的命令特别安装。目录服务还可以卸载,而不用象在安装Windows NT 4.0那样,一开始就要定终身:区分域控制器还是Member Server,两者之间不可转换。
Dcpromo是一个图形化的向导程序,引导用户一步一步地建立域控制器,可以新建一个域森林,一棵域树,或者仅仅是域控制器的另一个备份,非常方便。很多其他的网络服务,比如DNS Server、DHCP Server和Certificate Server等,都可以在以后与活动目录集成安装,便于实施策略管理等。
在活动目录安装之后,主要有三个活动目录的微软管理界面(MMC),一个是活动目录用户和计算机管理,主要用于实施对域的管理;一个是活动目录的域和域信任关系的管理,主要用于管理多域的关系;还有一个是活动目录的站点管理,可以把域控制器置于不同的站点。一般局域网的范围内,为一个站点,站点内的域控制器之间的复制是自动进行的;站点间的域控制器之间的复制,需要管理员设定,以优化复制流量,提高可伸缩性。从活动目录管理界面,还可以对SDOU(站点、域和组织单元的统称)右键点击,启动组策略(Group Policy)的管理界面,实施对对象的细致管理。
对于SDOU,管理员还可以方便地进行管理授权。右键点击SDOU就可以启动"管理授权向导",一步一步地设定哪些管理员对于哪些对象有什么样的管理权限。比如说企业内部技术支持中心的管理员,只有复位用户口令的权限,没有创建和删除用户账号的权限。这种更细致的管理方法,成为"颗粒化"。
另外,活动目录还充分地考虑到了备份和恢复目录服务的需要。Windows 2000备份工具中有专门备份活动目录的选项,在出现意外事故的时候,可以在机器启动时按F8进入安全模式,来进行目录服务的恢复,保证减少灾难的恶性影响。
结束语:寻找中国企业的大型网络
通过我上述的介绍,相信您对于活动目录的出色之处已经有了一个初步的了解。作为产品经理,我们目前的一个工作是在找寻我国企业用户的大型网络。因为要发挥活动目录的企业级性能,需要有使用大型网络进行关键业务的用户,只有他们才能在实践中体会活动目录的优势。
也经常有人向我询问活动目录和NDS的比较情况。活动目录的集成性、深入性和易用性(ICE),是NDS整体上不能望其项背,比如NDS缺乏对DNS命名、纯粹LDAP访问、新的安全性机制的支持,有全局目录过于分离等设计缺陷。正如古人所说:一片冰心(ICE)在玉壶,用户自然有判断。
微软在Windows NT Server 4.0中就已经贯彻了目录服务的思想。NT的"域,domain"的概念是目录服务的一个基本单元。"一次登录,Single London"在Windows NT Server的环境下有了具体的应用,比如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,用户一次登录就可以获得Web、Email和数据库等多种多样的网络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进一步发展了"活动目录(Active Directory)"。
活动目录的特征
Microsoft Windows 2000把现在的Windows NT目录发展为一个完全可扩展,可伸缩的目录服务,既能满足商业ISP的需要,又能满足企业内联网和外联网的需要。
目录服务的六大关键特征是: 分层次和可伸缩的名字空间 多主复制 在线备份和恢复 动态可扩展结构 基于Internet的命名协议(DNS) 以轻量目录访问协议 (LDAP) 作为互操作性的核心协议 分层次和可伸缩的名字空间
Windows NT 4.0 的存储能力最大可以达到每域40兆字节(MB)的对象,这一存储能力允许在安全帐目管理器 (SAM)中最大达到每域40,000 个用户。由于Windows NT 4.0 为名字空间使用一个平铺列表结构,它管理一个巨大的域比较困难。管理工具,例如域的用户管理器,不能迅速地启动和显示所有对象。而且, 因为平铺列表的数据形式,难以从中寻找一个特定的对象。
为了使得管理更简单灵活, Windows 2000 目录使用了一个结构化数据库,这一数据库基于Microsoft Exchange目录存储库作为其数据存储库。可扩展存储引擎 (ESE) 的使用使得目录可以在一个单一数据存储中攀升到1千万个对象,克服了Windows NT 4.0中基于注册表的SAM 数据库的限制。目录服务代理 (DSA) 运行于平铺数据库之上,实现了一个分层次的名字空间。有了这样的分层次名字空间,活动目录从现有的域模型向前发展为一种新的 "树和森林" 模型。 通过把名字空间分裂为层次结构, 再也不需要在一个平铺列表上观察上万个用户了。 在一个Windows 2000 域中可以创建组织单位(OU),它们是活动目录中装对象的容器。OU 中包含用户、组、打印机等对象,这些对象能够被组织成一种逻辑结构, 这种逻辑结构与你运转和组织业务的方式相适应。另外,你可以利用组织单位来设定管理权。
活动目录为访问控制许可提供了丰富的模式,这些模式在许多方面类似于文件和目录的许可管理。你可以通过随意设定ACL(访问控制列表)来设定对任何组织单位中的对象的管理。例如,你可以授权一个电脑管理员重新设置密码,但不把增加或删除帐号的权力授给他。
通过给一个管理人员仅只在一个容器中创建或修改对象的权力, 就把他限制那个容器中。这种许可的颗粒化管理允许你提供对管理职责和边界的很精细的控制。目录层次中组织单位的使用减少了域的数量,同时能够达到需要的管理层次。
除了可以在一个域中构成组织单位的树之外,还可以构成一棵域的树。这些域被连入一棵使用Kerberos 可传递信任的层次树。可传递信任仅仅通过一个简单的对树的"连接",就能进行域的管理。基于Windows NT的用户帐号在树的任何地方都是有效的,并为单个的用户提供了登录,这种登录对管理网络应用软件非常重要,因此它在分布式环境中需要被证明和认可。
多主复制
Windows NT 4.0 实现了一个单主复制模型。根域控制器 (PDC)是唯一具有域数据库读写复制的域控制器。所有其它的域控制器都是备份域控制器 (BDC)。PDC把域数据库中的所有变化复制给BDC。
在Windows NT 4.0中, 为了能够对用户帐号、组等进行修改,PDC 必须总处于可用状态。如果PDC 服务器坏了或网络不通,目录就难以被修改。
Windows 2000 和活动目录实现了一个多主复制模型。使用多主复制,可以在域中的任何一个域控制器上对目录进行修改。然后,这个域控制器把修改复制给它的复制伙伴。这样,即使个别域控制器不能使用,目录还是百分之百可以被修改。
在线备份和恢复
为了使域控制器实现很高的可用性,活动目录允许在线的域控制器备份。Windows 2000也提供了一系列的手段,来进行域控制器的恢复。
动态可扩展结构
目录的结构定义了该目录中可以被创建的对象和属性。在活动目录中,结构由三张表组成,每张表对应下面的一项: 对象 属性 语法对象
活动目录允许你扩充结构,创建新的属性和对象。开发者可以利用这一可扩展性(ADSI)在应用软件目录下创建他们自己的数据结构,从而把目录作为一个数据存储来使用。例如,一个人力资源应用软件已经在目录中找到了关于一个职员的大量信息,这些信息包括这个职员的姓名、电话号码、办公室号和家庭住址。在活动目录下,这个应用 软件可以通过扩展结构来增加一些必要的属性,例如这个职员的薪水属性。
此外,活动目录的扩展安全模型允许你非常精细地定义安全度。在刚才提到的人力资源应用软件的例子中,主管人力资源的职员能够访问用户对象,因为这对他们的工作非常重要,而管理人员尽管可以创建或删除用户,却不能够访问对象的薪水属性。
LDAP 作为互操作性的核心协议
为了确保Windows 2000 能够支持多个操作系统和目录下的目录同步和互操作性,活动目录使用轻量目录访问协议 (LDAP)作为客户访问协议。 微软公司正在实施这一目录访问的标准协议,同时也是IETF内部的LDAP 标准化进程的推动者之一。微软还推出了许多建议,包括一些有关目录复制的建议。这证明了微软对基于标准的协议和与其他目录提供商协同工作的承诺。
在活动目录中实施了用于客户访问 的LDAP 版本2 和版本3 。因为复制的标准化进程还没有最后定稿,活动目录在第一个版本中实施了一个独有的复制协议。一旦有了可以使用的标准复制协议,后面的版本将马上使用用于目录复制的LDAP。
迁移到活动目录的三大优点:
许多公司现今在Windows NT上有巨大的投资。因此,所有迁移的最主要目的都是让顾客的现有投资平缓地,逐渐地从Windows NT 4.0迁移到活动目录,以此保护顾客的现有投资。 迁移的三大优点是: 支持混合环境
Windows NT 支持Windows 2000 活动目录域控制器与Windows NT 4.0 域控制器组成的混合环境。顾客可以基于业务的需要,以自己的步调来进行迁移。低版本的客户可以认为他们在访问Windows NT 4.0 的域控制器。还没有安装活动目录访问软件的Windows NT 工作站和Windows 95 的客户,可以通过使用Windows NT LAN 管理器 (NTLM) 询问/答复鉴定,登录到活动目录控制器上去。
因为活动目录具有百分之百的向后兼容性,所以企业可以先迁移它们的域控制器,再迁移它们的客户,或混合迁移服务器与客户。在迁移过程中决不需要同时把大量的服务器或客户迁移到新的操作系统中。也决没有必要为了迁移域控制器或客户而让整个域离线。单个的域控制器仅只在它们的操作系统更新的时候才不可使用。这样就确保了公司可以在不打断它们业务的情况下迁移到活动目录。
域模型的简化
活动目录既允许对集中化的Windows NT 4.0 域模型进行简单迁移,又允许对分散化的Windows NT 4.0 域模型进行简单迁移。典型的主域或多主域模型可以被容易地迁移进一个活动目录树或活动目录森林。
活动目录与改进的安全模型相结合,顾客就可以减少企业中域的数目。企业选择一个主域模型的主要原因是,这样可以允许地方职员管理地方资源域,同时不用把地方资源域的用户管理权给予主域中的用户帐号。这既对中心信息技术(IT) 部门有益,又对地方用户有益。中心IT 职员不必再去遥远的地区,或在缓慢的广域网线路上实现管理操作。同时,地方用户可以更快地从地方支持职员那里得到支持。而且,地方支持职员往往对他们当地用户的日常工作有一个更好的理解。
复制流量的控制
活动目录的改进的复制引擎允许你区分两种复制:使用局域网线路的复制与发生在缓慢的广域网线路上的复制。它允许你创建站点,这些站点是IP 子网的聚集,具有很好的连通性。在同一个站点中,复制在一段延时之后开始,这段延时是可配置的。站点之间的复制被预先安排,只能在选定时间内使用广域网带宽。
一般而言,在对象数目相同的情况下,活动目录中的复制流量比Windows NT 4.0中的复制流量要小。尽管活动目录定义了更多的对象,每个对象有更多的属性,但因为活动目录中的复制在单个属性的层次上发生,所以复制变得更精细了。如果你仅仅改变了一个对象中的一个属性,将只有这个属性被复制给它的复制伙伴,而不是把这个对象作为一个整体复制给它的复制伙伴。
进入到1999年,网络系统中的目录服务逐渐深入人心。与传统的大型主机的模式相比,客户机/服务器的模式更加优越,因为在这一模式下,网络管理员和用户具有了更大的灵活性,有了更好的扩展性,和更加广泛的应用软件选择性。但是客户机/服务器模式的灵活性,也有一定的弊病,比如用户经常性地在网络中迷失自己,找不到诸如打印机之类的网络资源;网络管理员也没有一个统一的网络资源管理方法,往往充当救火员的角色,宏观的疏导和配置能力不够。
微软在Windows NT Server 4.0中就已经贯彻了目录服务的思想。NT的"域(domain)"的概念是目录服务的一个基本单元。"一次登录,Single Logon"在Windows NT Server的环境下有了具体的应用,比如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,用户一次登录就可以获得Web、Email和数据库等多种多样的网络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进一步发展了"活动目录(Active Directory)"。活动目录充分体现了微软产品的"ICE",即集成性(Integration),深入性(Comprehensive),和易用性(Ease of Use)等优点。活动目录是一个完全可扩展,可伸缩的目录服务,既能满足商业ISP的需要,又能满足企业内部网和外联网的需要。
活动目录的由来
活动目录是从一个数据存储开始的。它采用的是Exchange Server的数据存储,称为:Extensible Storage Service (ESS)。其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能非常优良。这个数据存储之上已建立索引的,可以方便快速地搜索和定位。活动目录的分区是"域(Domain)",一个域可以存储上百万的对象。域之间还有层次关系,可以建立域树和域森林,无限地扩展。
在数据存储之上,微软建立了一个对象模型,以构成活动目录。这一对象模型对LDAP有纯粹的支持,还可以管理和修改Schema。Schema包括了在活动目录中的计算机、用户和打印机等所有对象的定义,其本身也是活动目录的内容之一,在整个域森林中是唯一的。通过修改Schema的工具,用户或开发人员可以自己定义特殊的类和属性,来创建所需要的对象和对象属性。
活动目录包括两个方面:一个目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器;而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一个分布式的目录服务。信息可以分散在多台不同的计算机上,保证快速访问和容错;同时不管用户从何处访问或信息处在何处,都对用户提供统一的视图。
活动目录的集成性(Integration)
微软的活动目录生动了结合了三个方面的管理内容:用户和资源管理、基于目录的网络服务,和基于网络的应用管理。而且活动目录广泛地采纳了Internet标准,把众多的Internet服务都集成在一起,提供了革命性的价值。
目录管理的基本对象是用户和计算机,还包括文件、打印机等资源。举例来说,用户对象的属性非常丰富,不但有常见的账号名、口令等,还包括邮件信箱和个人主页地址、在公司中的职位关系等,可以在活动目录中右键点击用户对象发送邮件和访问其个人主页等。其职位关系可以在公司的内部网上有Web组织结构图的方式动态地显示出来,也可以为内部采购、费用报销等应用程序利用来实施业务逻辑。在活动目录中,支持全局性的查找,比如查找在整个网络中的双面打印的彩色打印机等。
活动目录彻底地采用了Internet标准协议,比如用户账号可以用User@bj.yourcom.com或User@yourcom.com的快捷方式来表征,来登录网络等。在此bj.yourcom.com和yourcom.com就是两个不同的域。但是这两个域之间有信任关系,因为yourcom.com是一个根域,bj.yourcom.com是一个子域。子域之下还可以有子域,比如sales.bj.yourcom.com,相互之间都是可传递的信任关系,构成一棵域树。如果你的公司兼并了一家其他的公司,你的域树可以和它们的域树hiscom.com建立起整个的域森林来。DNS (domain name service)在此充当了名字解析的功能,我们建议使用与活动目录集成的DNS Server,来保证动态更新域名和更好的复制能力。整个域森林的所有对象,只要安全性管理许可,都可以用LDAP协议访问到。
在当今的Internet时代,微软活动目录这种基于Internet标准的做法,给用户带来了几乎无穷尽的益处。活动目录集成了关键服务,如DNS、MSMQ(消息队列服务);集成了关键应用,如电子邮件、网管、ERP等;集成了关键数据访问,如ADSI、OLE DB等;还集成了关键的安全性,如Kerberos第五版本和公开密钥基础设施等。
基于活动目录的网络基础设施服务(Directory-Enabled Networking, DEN)是微软和思科公司共同提出来的,旨在提高网络可管理性和提高网络服务质量的倡议。在Windows 2000活动目录中,可以做到根据不同的用户或应用分配网络带宽等高级的网络管理任务,以及支持ATM网络和QoS协议等。
基于活动目录的应用服务(Directory-Enabled Application)是在Windows 2000平台上的新一代的应用程序。应用开发员可以扩展活动目录的Schema 和 UI,通过ADSI/ADO编程,在活动目录中发布service 绑定信息,通过Group Policy配置应用程序,进行Just In Time应用下载和应用改变的自动通知等。比较典型的一个基于目录的应用的例子,是NetMeeting。在活动目录的环境中,你只要在NetMeeting中敲入同事的Email别名,就可以通过活动目录中的定位服务,与其进行对话和桌面协作等,非常方便。 活动目录的深入性(Comprehensive)
活动目录的深入性体现在企业级的可伸缩性,安全性,互操作性,编程能力和升级能力上。活动目录既可以存储极少的几个对象,也可以存储上亿万的对象。活动目录通过为每个域创建一个目录存储的方法来获得伸缩性。这一个目录存储中仅仅包括了这个域中的所有对象。当域树建立起来之后,每个域有能力搜索整个域树中所有的目录存储。这种划分整个域树的方法,使用户所需要的信息离用户最近,响应最好。域的目录存储还可以有很多的副本,副本之间自动地做同步,进一步提高响应速度和服务可获得性。
这种域树和域森林的方法,帮助活动目录使用容器层次来模拟一个企业的组织结构。组织中的不同部门可以成为不同的域,或者一个域中有层次结构的组织单元(Organizational Unit, OU),从而采用层次化的命名方法来反映组织结构和进行管理授权。顺着组织结构进行颗粒化的管理授权可以解决很多管理上的头疼问题,在加强中央管理的同时,又不失机动灵活性。
Windows NT 4.0中的很多域都可以成为OU,建立起更大的域和更简化的域关系,借助全局目录(Global Catalog) ,用户和管理员仍然能够迅速地找到对象和管理对象。Windows 2000可以在现存的Windows NT 4.0的环境中工作,保护现有的投资;微软也提供一系列的工具帮助4.0的用户迁移到Windows 2000的目录环境中。微软提供Directory Connector使活动目录与Exchange Server 5.5、NDS的目录服务同步,并且Exchange 6.0干脆就采用了Windows 2000作其目录服务。
在活动目录中,目录存储只有一种形式,即域控制器(Domain Controller),包括了完整的域目录的信息,不再有主域控制器和备份域控制器的区别。所有的域控制器在用户访问和提供服务方面都是相同的。它们之间的同步是采用了一种先进的多主复制的技术,称为Update Sequence Numbers (USN)。每个服务器跟踪其复制伙伴的最新USN列表,保证及时更新并且更新不会有冲突或相互覆盖等。
Windows 2000的安全性服务(如Kerberos,PKI和智能卡等)和活动目录紧密结合。活动目录存储了域安全政策的信息,比如域口令的限制政策、系统访问权限等,实施了基于对象的安全模型和访问控制机制。在活动目录中的每个对象都有一个独有的安全性描述,定义了浏览或更新对象属性所需要的访问权限。但是,当LDAP客户端访问活动目录时,操作系统会实施访问安全控制,而不是由活动目录来决定访问控制的。Windows 2000 安全性和活动目录相辅相成,可以共同完成任务和协同管理。
活动目录的易用性(Ease of Use)
一个功能强大的目录服务如果不能易于使用,也不是一个好的目录服务。活动目录的易用性,也是Windows 2000整体Simplicity的一个体现。微软始终抱着这样的信仰:必须是大家乐于使用易于使用的技术,才是真正的好技术。因此,微软的活动目录也在此下了很大的功夫。
先说一下活动目录的安装。Windows NT Server 4.0的用户可能不习惯Windows 2000 Server的做法:所有的新安装都是安装成为Member Server,目录服务都需要事后用Dcpromo的命令特别安装。目录服务还可以卸载,而不用象在安装Windows NT 4.0那样,一开始就要定终身:区分域控制器还是Member Server,两者之间不可转换。
Dcpromo是一个图形化的向导程序,引导用户一步一步地建立域控制器,可以新建一个域森林,一棵域树,或者仅仅是域控制器的另一个备份,非常方便。很多其他的网络服务,比如DNS Server、DHCP Server和Certificate Server等,都可以在以后与活动目录集成安装,便于实施策略管理等。
在活动目录安装之后,主要有三个活动目录的微软管理界面(MMC),一个是活动目录用户和计算机管理,主要用于实施对域的管理;一个是活动目录的域和域信任关系的管理,主要用于管理多域的关系;还有一个是活动目录的站点管理,可以把域控制器置于不同的站点。一般局域网的范围内,为一个站点,站点内的域控制器之间的复制是自动进行的;站点间的域控制器之间的复制,需要管理员设定,以优化复制流量,提高可伸缩性。从活动目录管理界面,还可以对SDOU(站点、域和组织单元的统称)右键点击,启动组策略(Group Policy)的管理界面,实施对对象的细致管理。
对于SDOU,管理员还可以方便地进行管理授权。右键点击SDOU就可以启动"管理授权向导",一步一步地设定哪些管理员对于哪些对象有什么样的管理权限。比如说企业内部技术支持中心的管理员,只有复位用户口令的权限,没有创建和删除用户账号的权限。这种更细致的管理方法,成为"颗粒化"。
另外,活动目录还充分地考虑到了备份和恢复目录服务的需要。Windows 2000备份工具中有专门备份活动目录的选项,在出现意外事故的时候,可以在机器启动时按F8进入安全模式,来进行目录服务的恢复,保证减少灾难的恶性影响。
结束语:寻找中国企业的大型网络
通过我上述的介绍,相信您对于活动目录的出色之处已经有了一个初步的了解。作为产品经理,我们目前的一个工作是在找寻我国企业用户的大型网络。因为要发挥活动目录的企业级性能,需要有使用大型网络进行关键业务的用户,只有他们才能在实践中体会活动目录的优势。
也经常有人向我询问活动目录和NDS的比较情况。活动目录的集成性、深入性和易用性(ICE),是NDS整体上不能望其项背,比如NDS缺乏对DNS命名、纯粹LDAP访问、新的安全性机制的支持,有全局目录过于分离等设计缺陷。正如古人所说:一片冰心(ICE)在玉壶,用户自然有判断。
活动目录:网络操作系统的核心技术(ICE)
活动目录:网络操作系统的核心技术(ICE)
使用活动目录的意义
跨平台的网络通信中间件:ICE和ACE
优化电脑 修改操作系统的默认目录
网络就是Google的操作系统
网络就是Google的操作系统
活动目录(Active Directory)域...-硬件网络
ice
Linux操作系统的源代码目录树结构图解
ICE和ACE-高效的网络编程中间平台简介--hustlg的博客
跨平台的网络通信中间件:ICE和ACE-中间件技术-middleware
跨平台的网络通信中间件:ICE和ACE-中间件技术-middleware
十个06年最炫的网络操作系统(WebOS)
ICE作为文件传输的方法
Ice与CORBA的差异
Windows 2003活动目录(Active Directory)的安装[图]
烧烤配方的核心技术
核心技术
WebOS:网络操作系统
认识网络操作系统
认识网络操作系统
win32time-活动目录SEO博客
基于网络的操作系统Web OS尝鲜体验