Active Directory 结构白皮书.docx

Active Directory 结构白皮书.docx

《Active Directory 结构白皮书.docx》由会员分享，可在线阅读，更多相关《Active Directory 结构白皮书.docx（48页珍藏版）》请在冰豆网上搜索。

ActiveDirectory结构白皮书

ActiveDirectory结构白皮书

简介

要想了解Windows2000操作系统如何实现其功能，及其对完成企业目标能够提供哪些帮助，就必须先了解ActiveDirectory™目录服务。

本文从以下三个方面介绍ActiveDirectory：

∙存储。

ActiveDirectory，即Windows®2000Server目录服务，可分层存储网络对象的信息，并向管理员、用户和应用程序提供这些信息。

本文首先解释目录服务的概念、ActiveDirectory服务与Internet域名系统（DNS）的集成，以及当您将服务器指定为域控制器1时，ActiveDirectory是如何实现的。

∙结构。

使用ActiveDirectory，可以根据结构组织网络及其对象，这些结构包括域、目录树、目录林、信任关系、部门（OU）和站点。

本文第二节阐述这些ActiveDirectory组件的结构和功能，以及管理员采用该体系结构对网络实施管理的方式，从而有助于用户实现其商业目标。

∙相互通信。

ActiveDirectory以标准目录访问协议为基础，因此能够与其他目录服务进行交互操作，并可接受遵守这些协议的第三方应用程序的访问。

最后一节阐述ActiveDirectory与其他各种技术进行通信的方式。

ActiveDirectory的优点

在Windows2000操作系统中引入ActiveDirectory有以下优点：

∙与DNS集成。

ActiveDirectory使用域名系统（DNS）。

DNS是一种Internet标准服务，它将用户能够读取的计算机名称（例如）翻译成计算机能够读取的数字Internet协议（IP）地址（由英文句号分隔的四组数字）。

这样，在TCP/IP网络计算机上运行的进程即可相互识别并进行连接。

∙灵活的查询。

用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是ActiveDirectory用户和计算机管理单元。

例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。

而且,使用全局编录优化了查找信息的操作。

∙可扩展性。

ActiveDirectory是可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在原有的对象类别中添加新属性。

架构包含每个对象类别的定义，以及能够存储于目录中的每个对象类别的属性。

例如，您可能会为User对象添加PurchaseAuthority属性，然后将每个用户的购买权限额保存为用户帐户的一部分。

∙基于策略的管理。

组策略是在初始化时应用于计算机或用户的配置设置。

所有组策略设置都包含在应用于ActiveDirectory站点、域或部门的组策略对象（GPO）中。

GPO设置决定了对目录对象和域资源的访问权限、用户可使用的域资源（如应用程序），以及这些域资源针对其用途的配置方式。

∙可伸缩性。

ActiveDirectory包括一个或多个域，每个域均有一个或多个域控制器，由此，您能够对目录进行自由扩展，从而满足所有网络的需求。

多个域可合并成一个域目录树，多个域目录树可合并成一个目录林。

在只有一个域的最简单的网络结构中，该域既是一个目录树，又是一个目录林。

∙信息复制。

ActiveDirectory使用多主机复制，使您可以更新任何域控制器中的目录。

在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。

因为这些域控制器包含同样的目录数据，所以，如果域内的一个域控制器速度变慢、停止或出现故障，同一域内的其他域控制器即可提供必要的目录访问功能。

∙信息安全。

在Windows2000操作系统中，用户身份验证和访问控制的管理都与ActiveDirectory完全结合在一起，这是该系统的一项关键性安全功能。

ActiveDirectory将身份验证集中进行。

不仅可以定义对目录中每个对象的访问控制，还可定义对每个对象的每个属性的访问控制。

此外，ActiveDirectory还为安全策略提供了存储区和应用范围。

（关于ActiveDirectory登录身份验证和访问控制的详细信息，请参阅本文结尾外的“其它信息”。

）

∙互操作性。

由于ActiveDirectory以标准目录访问协议（例如轻型目录访问协议（LDAP））为基础，因此它能够与其他采用这些协议的目录服务进行交互操作。

有些应用程序编程接口（API）--例如ActiveDirectory服务接口（ADSI）--允许开发者访问这些协议。

在本文结尾，“附录A：

工具”提供了一些软件工具的简要概述，您可以使用这些工具执行与ActiveDirectory有关的任务。

ActiveDirectory目录服务

在进入本文主要部分--ActiveDirectory结构与互操作性--之前，此节作为预备内容，从两个区别很大的角度简单介绍ActiveDirectory：

∙第一个角度是从ActiveDirectory的最抽象意义上介绍，即：

ActiveDirectory是一个与Internet域名系统（DNS）集成的名称空间。

∙第二个角度是从ActiveDirectory的最普通意义上介绍，即：

它是将服务器转换成域控制器的软件。

在计算机网络上下文环境中，目录（又称数据存储区）是存储网络对象信息的分层结构。

对象包括共享资源，如服务器、共享卷和打印机；网络用户和计算机帐户以；域、应用程序、服务、安全策略，以及网络上的其他所有内容。

以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例：

一般情况下，目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。

目录服务与目录的不同之处在于：

它既是目录信息源，又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。

理想情况下，目录服务会使物理拓扑和协议（两个服务间传输数据所用的格式）透明化；这样，即使用户不知道资源的物理连接位置和连接方法，也能够访问资源。

我们可以继续以用户帐户为例：

正是目录服务使同一网络中的其他授权用户能够访问针对用户帐户对象所保存的目录信息（如电子邮件地址）。

目录服务可支持多种不同的功能。

有些目录服务与操作系统集成，有些则是一些应用程序，如电子邮件目录。

ActiveDirectory等操作系统目录服务可提供对用户、计算机和共享资源的管理。

MicrosoftExchange等处理电子邮件的目录服务使用户能够查找其他用户并发送电子邮件。

ActiveDirectory是一种新型的目录服务，是Windows2000Server操作系统的核心，它只在域控制器中运行。

ActiveDirectory不但为数据提供了存储区以及使该数据有效的服务，而且还保护了网络对象，使其免受XX的访问，并防止跨网络复制对象，这样，即使一个域控制器出现故障，也不会导致数据丢失。

ActiveDirectory合并了DNS

ActiveDirectory和DNS都是名称空间。

名称空间是任一有界区域，在其中对给定的名称进行解析。

名称解析是把名称转换成该名称代表的某一对象或信息的过程。

例如，电话号码簿组成了一个名称空间，其中的电话用户名可解析成电话号码。

WindowsNTFS文件系统组成了一个名称空间，其中的文件名可解析为文件本身。

DNS与Internet

要理解Windows2000处理ActiveDirectory和DNS名称空间的方式，需要先了解有关DNS自身及其与Internet和TCP/IP之间关系的一些基本知识。

Internet是一种TCP/IP网络。

TCP/IP通讯协议连接计算机，并使计算机可通过网络传输数据。

Internet或任何其他TCP/IP网络（如许多Windows网络）上的每台计算机都有一个IP地址。

DNS定位TCP/IP主机（计算机）的方法是：

将最终用户能理解的计算机名称解析成计算机能读懂的IP地址。

可用分布到全球的DNS数据库来管理Internet上的IP地址，也可以在本地实施DNS，用于管理专用TCP/IP网络中的地址。

DNS组织成不同层次的域，使整个Internet成为一个名称空间。

DNS有几个顶级域，可进一步划分为第二级域。

Internet域名空间的根由Internet职权部门（目前是Internet网络信息中心，简称InterNIC）管理，该部门负责代理对DNS名称空间顶级域名的管理职责，并负责注册第二级域名。

顶级域名是一些大家熟悉的域类别，如商业组织（.com）、教育组织（.edu）、政府组织（.gov）等等。

对于美国以外的国家和地区，则用两个字母的国家/地区代码来表示，如英国用.uk表示。

第二级域名代表了以前在机构（和个体）中注册的名称空间，他们曾以这种方式实现了在Internet上的存在。

图1显示了公司网络连接到InternetDNS名称空间的方式。

图1.Microsoft如何适应InternetDNS名称空间。

DNS与ActiveDirectory名称空间的集成

DNS与ActiveDirectory的集成是Windows2000Server操作系统的核心功能。

DNS域和ActiveDirectory域对不同的名称空间使用相同的域名。

因为两个名称空间共享一个相同的域结构，所以必须了解它们不是同一个名称空间。

每个名称空间保存了不同的数据，因而管理不同的对象。

DNS保存区域2以及资源记录；ActiveDirectory保存域和域对象。

DNS的域名以DNS分层命名结构为基础，这是一个反向树结构：

最上方是一个根域，下面是父域和子域（枝和叶）。

例如，有个Windows2000域名是：

；这表明域名child是域名parent的子域，而parent本身也是域的一个子域。

DNS域的每台计算机都可依据其完全合格的域名（FQDN）加以唯一识别。

位于域的计算机的FQDN是。

每个Windows2000域都有一个DNS名称（如OrgN），并且每台基于Windows2000的计算机都有一个DNS名称（如AcctServer.OrgN）。

因而，域和计算机都用ActiveDirectory对象和DNS节点来表示（DNS分层结构中的一个节点代表一个域或一台计算机）。

DNS和ActiveDirectory均用数据库来解析名称：

∙DNS是一种名称解析服务。

通过将DNS服务器接收的请求视为对DNS数据库的DNS查询，DNS将域名和计算机名解析成IP地址。

具体地说，DNS客户机把DNS名称查询发送到已配置的DNS服务器。

DNS服务器先接收名称查询，然后通过本地保存的文件解析该名称查询，或咨询另一台DNS服务器进行解析。

DNS不需要系统启动ActiveDirectory。

∙ActiveDirectory是一种目录服务。

通过将域控制器接收的请求视为轻型目录访问协议（LDAP）3搜索，或改成对ActiveDirectory数据库的请求，ActiveDirectory将域对象名称解析成对象记录。

具体而言，ActiveDirectory客户机使用LDAP向ActiveDirectory服务器发送查询。

ActiveDirectory客户机通过查询DNS来定位ActiveDirectory服务器。

即，ActiveDirectory将DNS用作定位器服务，把ActiveDirectory域、站点及服务名称解析成IP地址。

例如，要登录到ActiveDirectory域，ActiveDirectory客户机会查询已配置的DNS服务器，请求LDAP服务的IP地址（LDAP服务在指定域的域控制器中运行）。

ActiveDirectory不需要系统启动DNS。

实际上，理解Windows2000环境中DNS与ActiveDirectory名称空间之间的差异，就是理解：

代表DNS区域中指定计算机的DNS主机记录，与ActiveDirectory域中代表“同一台计算机”的计算机帐户对象处于不同的名称空间中。

总之，ActiveDirectory用以下两种方式与DNS集成：

∙ActiveDirectory域和DNS域有相同的分层结构。

尽管因目的不同，DNS和ActiveDirectory域的组织名称空间各自独立，实施方法也有所不同，但它们却有相同的结构。

例如，既是一个DNS域又是一个ActiveDirectory域。

∙DNS区域可保存在ActiveDirectory中。

如果使用Windows2000DNS服务，主区域就可以保存在ActiveDirectory中，以便复制到其他ActiveDirectory域控制器，为DNS服务提供增强的安全性。

∙ActiveDirectory客户机使用DNS来定位域控制器。

为了定位指定域的域控制器，ActiveDirectory客户机会查询已配置的DNS服务器，以查找指定的资源记录。

ActiveDirectory与全局DNS名称空间

ActiveDirectory被设计成可处于Internet全局DNS名称空间的范围之内。

如果组织使用Windows2000Server作为其网络操作系统，当该组织需要存在于Internet上时，ActiveDirectory名称空间会作为一个或多个分层的Windows2000域，保留在已注册为DNS名称空间的根域名之下。

（组织可选择不成为全局InternetDNS名称空间的一部分；但即使它这样做，仍要求DNS服务定位基于Windows-2000的计算机。

）

根据DNS命名规则，以英文句号（.）分隔的DNS名称的每部分都代表DNS分层树结构的一个节点，以及Windows2000域分层树结构的一个可能的ActiveDirectory域名。

如图2所示，DNS分层结构的根是一个有空标签（""）的节点。

ActiveDirectory名称空间的根（目录林根）无父根，它提供了指向ActiveDirectory的LDAP进入点。

图2.比较DNS与ActiveDirectory名称空间的根

SRV资源记录与动态更新

DNS独立于ActiveDirectory，而ActiveDirectory却专门设计成与DNS协同工作。

为了保证ActiveDirectory正常运行，DNS服务器必须支持服务位置（SRV）资源记录4。

SRV资源记录把服务名称映射成提供该服务的服务器名称。

ActiveDirectory客户机和域控制器使用SRV资源记录确定域控制器的IP地址。

备注关于规划DNS服务器的部署过程以便支持ActiveDirectory域的详细信息，以及其他部署问题，请参阅本文“其它信息”中的MicrosoftWindows2000ServerDeploymentPlanningGuide。

除了要求Windows2000网络的DNS服务器支持SRV资源记录外，Microsoft还建议DNS服务器为DNS动态更新5提供支持。

DNS动态更新定义了一种协议，以便使用新值或变更值动态更新DNS服务器。

如果没有DNS动态更新协议，管理员必须手动配置由域控制器创建、DNS服务器保存的记录。

新的Windows2000DNS服务既支持SRV资源记录，又支持动态更新。

如果选用不是基于Windows2000的DNS服务器，则必须保证该服务器支持SRV资源记录，否则应将其升级为支持这些记录的版本。

有些旧的DNS服务器虽支持SRV资源记录，但不支持动态更新，因此，当您将Windows2000Server提升为域控制器时，必须手动更新这些服务器的资源记录。

该过程可使用Netlogon.dns文件（位于%systemroot%\System32\config文件夹）完成，该文件由ActiveDirectory安装向导创建。

ActiveDirectory创建域控制器

实施和管理网络是一些实际操作。

要理解ActiveDirectory是如何与实际情况相结合的，就必须先了解：

在运行Windows2000Server操作系统的计算机上安装ActiveDirectory，实际是一种把服务器转换成域控制器的操作。

一个域控制器只能完全主持一个域。

具体而言，域控制器是一台运行Windows2000Server的计算机，它已使用ActiveDirectory安装向导进行了配置；该向导可安装并配置向网络用户和计算机提供ActiveDirectory目录服务的组件。

域控制器会存储整个域的目录数据（如系统安全策略和用户身份验证数据），并管理用户和域的交互过程，包括用户登录进程、身份验证以及目录搜索。

使用ActiveDirectory安装向导将服务器提升为域控制器的过程，同样或者是创建一个Windows2000域，或者在原有域中添加新的域控制器。

本节阐述了ActiveDirectory域控制器的概念，以及它在网络中所扮演的某些重要角色。

由于引入了ActiveDirectory，Windows2000域控制器的功能与“对等”类似。

这与WindowsNTServer主域控制器（PDC）和备份域控制器（BDC）扮演的主/从角色有所不同。

对等域控制器支持“多主机复制”，可在所有域控制器之间复制ActiveDirectory信息。

多主机复制的引入意味着管理员可以更新域中任何Windows2000域控制器的ActiveDirectory。

在WindowsNTServer操作系统中，只有PDC有目录的可读写副本，PDC会把目录信息的只读副本复制到BDC。

（关于多主机复制的详细信息，请参阅“多主机复制”一节的内容。

）

如果准备由原有域升级到Windows2000操作系统，则可在方便时分阶段完成升级。

如果正在为新的安装创建第一个域控制器，则会在加载ActiveDirectory的同时自动形成几个实体。

接下来的两小节解释了在新的网络中安装ActiveDirectory域控制器的以下几个方面：

∙第一个域控制器是一个全局编录服务器。

∙第一个域控制器扮演操作主机角色。

全局编录

Windows2000操作系统引入了全局编录概念，这是一个保存在一个或多个域控制器中的数据库。

全局编录在登录用户和查询中扮演重要角色。

默认情况下，全局编录由Windows2000目录林中的初始域控制器自动创建，并且每个目录林必须有至少一个全局编录。

如果使用多个站点，您可能希望在每个站点都将一个域控制器指定为全局编录，因为需要全局编录（决定了帐户的组成员身份）完成登录身份验证进程。

这是指本机模式域。

混合模式域不需要查询用于登录的全局编录。

在目录林中安装了其他域控制器后，就可以用ActiveDirectory站点和服务工具将全局编录的默认位置更改为另一个域控制器。

您还可根据组织对服务登录请求和搜索查询的要求，选择将任一域控制器配置成主持全局编录。

全局编录服务器越多，对用户查询的响应就越快；但启用很多域控制器作为全局编录服务器会增加网络中的复制通信量，因而影响了响应速度。

全局编录执行两个关键的ActiveDirectory角色--登录和查询：

∙登录。

在本机模式域中，全局编录通过为帐户提供通用组成员身份信息6（该帐户将登录请求发送到域控制器），启用ActiveDirectory客户机的网络登录。

实际上，不但对ActiveDirectory的用户验证，而且对每个对象的身份验证，甚至包括每台计算机的启动，都必须引用全局编录服务器。

在多域安装中，为了完成用户登录过程，必须至少有一台包含全局编录的域控制器正在运行，并且有效。

当用户以非默认的用户主要名称（UPN）登录时，全局编录服务器也必须是有效的。

（关于登录的详细信息，请参阅“登录名：

UPN与SAM帐户名称”一节的内容）。

如果在用户启动网络登录进程时，全局编录是无效的，则用户将只能登录到本地计算机，而无法登录到网络中。

唯一的例外是，如果用户是域管理员（DomainAdmin）组的成员，就能够在全局编录无效的情况下登录到网络中。

∙查询。

在包含多个域的目录林中，全局编录使客户机能够方便快捷地执行跨所有域的搜索，而不必逐个搜索每个域。

全局编录使目录林中的目录结构对查找信息的最终用户透明。

绝大多数ActiveDirectory网络通信是与查询有关的：

用户、管理员和程序都会请求有关目录对象的信息。

查询过程要比目录更新过程的发生频度高得多。

如果把不止一个域控制器指定为全局编录服务器，这样虽然会减少对查找目录信息的用户的响应时间，但同时也会导致网络的复制通信量增加；因此，必须平衡好它们之间的关系。

操作主机角色

对有些类型的更改，在对等域控制器之间执行多主机复制是不切实际的；因此，只有一个被称为“操作主机”的域控制器会接受这种更改请求。

由于多主机复制在基于ActiveDirectory的网络中占有重要地位，因此理解这些例外情况非常重要。

在任一ActiveDirectory目录林中，安装期间至少会将五个不同的操作主机角色分配给初始域控制器。

当您在新目录林中创建第一个域时，全部五个独立的主机操作角色都会自动分配给该域中的第一个域控制器。

在只有一个域和一个域控制器的小规模ActiveDirectory目录林中，这个唯一的域控制器仍担当起所有的操作主机角色。

在一个较大的网络中，无论它有一个域还是多个域，您都可以重新将这些角色分配给其他的一个或多个域控制器。

有些角色必须在每个目录林中出现。

有些角色则必须在目录林的每个域中出现。

以下跨整个目录林的两种操作主机角色在目录林中必须是唯一的，即整个目录林中一种操作角色只能有一个：

∙架构主机。

拥有架构主机角色的域控制器控制对架构的所有更新和修改。

架构定义了可在目录中保存的每个对象（及其属性）。

要更新目录林的架构，必须拥有架构主机的访问权。

∙域命名主机。

拥有域命名主机角色的域控制器控制目录林中域的添加或删除。

以下整个域的三个