Windows 2000活动目录详解之结构篇

【 tulaoshi.com - ASP 】

在上一篇对活动目录有个基本了解之后下面我就来接触一下活动目录实质上的一面——活动目录的结构。上篇我们讲到活动目录是包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理上的容器，与我们平常所说的目录没什么区别，目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理，它才是WIN2K活动目录的关键和精髓所在。目录服务是WIN2K网络操作系统的核心支柱，也是中心管理机构，所以目录服务的引入对整个操作系统带来了革命性的变化，不仅系统平台上的各基础模块，比如网络安全机制、用户管理模块等发生了变化，而且上层应用的运作方式以及开发模式也有了相应的变化。这样来理解“活动目录”是不是觉得更加容易？
　　同时活动目录是一个分布式的目录服务，因为信息可以分散在多台不同的计算机上，保证各计算机用户快速访问和容错；同时不管用户从何处访问或信息处在何处，对用户都提供统一的视图，使用户觉得更加容易理解和掌握WIN2K系统的使用。活动目录集成了WIN2K服务器的关键服务，如域名服务(DNS)，消息队列服务（MSMQ），事务服务（MTS）等。在应用方面活动目录集成了关键应用，如电子邮件、网络管理、ERP等。要理解活动目录，我们必须从它的逻辑结构和物理结构入手。
　　一、活动目录的逻辑结构
　　“逻辑”两个字相信大家平时见的比较多，如我们常说的“逻辑思维、逻辑分析”等，也许大家一讲到“逻辑”两个字就觉得十分抽象，难以理解。其实我们在这里所讲的“逻辑结构”，我觉得还是很好理解的，“逻辑”一般与“物理”是对等的，我们知道“物理上的”是指实实在在的，那么“逻辑上的”不就是指非物理上的，非实体的东西，它是一种抽象的东西，比如讲一种“关系”、一个“空间、范围”等。在第一篇我们讲过活动目录的逻辑结构非常灵活，有目录树、域、域树、域林等，这些名字都不是实实在在的一种实体，只是代表了一种关系，一种范围，如目录树就是由同一名字空间上的目录组成，而域又是由不同的目录树组成，同理域树是由不同的域组成，域林是由多个域树组成。它们是一种完全的树状、层次结构视图，这种关系我们可以看成是一种动态关系。逻辑结构还与前面讨论过的名字空间有直接关系，逻辑结构为用户和管理员在一定的名字空间中查找、定位对象提供了极大方便。活动目录中的逻辑单元主要包括：
　　1、域、域树、域林
　　域既是WIN2K网络系统的逻辑组织单元，是对象（如计算机、用户等）的容器，这些对象有相同的安全需求、复制过程和管理，这一点对于网管人员应是相当容易理解的。在WIN2K中域中所有的域控制器都是平等的（这一点与WINNT4.0不一样，没有主、副之分），域是安全边界，域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或管理其他的域。每个域都有自己的安全策略，以及它与其他域的安全信任关系。在这里就涉及到了不同域之间的信任关系及传递关系，下面就具体讲一下WIN2K中的域信任关系。
　　域与域之间具有一定的信任关系，域信任关系使得一个域中的用户可由另一域中的域控制器进行验证，才能使一个域中的用户访问另一个域中的资源。所有域信任关系中只有两种域：信任关系域和被信任关系域。信任关系就是域A信任域B，则域B中的用户可以通过域A中的域控制器进行身份验证后访问域A中的资源，则域A与域B之间的关系就是信任关系。被信任关系就是被一个域信任的关系，在上面的例子中域B就是被域A信任，域B与域A的关系就是被信任关系。信任与被信任关系可以是单向的，也可以是双向的，即域A与域B之间可以单方面的信任关系，也可以是双方面的信任关系。
而在域中传递信任关系不受关系中两个域的约束，是经父域向上传递给域目录树中的下一个域，也就是说如果域A信任域B，则域A也就信任域B下面的子域域B1、域B2……，传递信任关系总是双向的：关系中的两个域互相信任（是指父域与子域之间）。默认情况下，域目录树或目录林（目录林可以看做是同一域中的多个目录树组成）中的所有WiIN2K 信任关系都是传递的。通过大大减少需管理的委托关系数量，这将在很大程度上简化域的管理。
　　WIN2K中的域传递信任关系一般是系统自动的，但对于相同域目录树或林中的WiIN2K域，也可以显式（手工）地创建传递信任关系。这对于形成交叉链接信任关系是非常重要的。不传递信任关系受关系中两个域的约束，并且不经父域向上传递到域目录树中的下一个域。必须显式地创建不传递信任关系。默认情况下，不传递信任关系是单向的，尽管也可以通过创建两个单向信任关系创建一个双向关系。所有不属于相同域目录树或林中WiIN2K 域间建立的委托关系都是不传递的。所有WiIN2K域和WINNT域之间的委托关系都是不传递的，这一点对于一个企业同时使用WIN2K和WINNT域控制器时应特别注意，当从 WindowsNT升级到WiIN2K时，所有已现有的WindowsNT信任关系都将保持不变。在混合模式的网络中，所有WindowsNT信任关系都是不传递的。WiIN2K