何为目录服务?

活动目录(Active DirectoryAD)是Windows2000中的核心组件。理解它对于理解Windows2000具有十分重要的作用。下面介绍提出AD的目的,它的作用,以及它是如何工作的。

因为网络的发展,对于操作系统而言,处理分布式资源成了必不可少的一种功能。目录服务提供了一种保存关于基于网络的实体(如应用程序,文件,打印机或用户)的地方。它提供了对个人资源的名字,描述,位置,访问,管理和安全信息的统一描述方法。而且它也是让网络上的分布资源共同工作的核心部件。因为它和操作系统的关系如此密切,因此有必要确保它的安全和一致性,在一个企业中它起的作用是举足轻重的。

为什么要有目录服务?

由于网络计算要求的提出,因此有必要提供一种强大的,透明和调度集成的目录服务。由于LANWAN以及Internet的发展,更加促进了这一趋势。下面是为什么要有目录服务的一些原因:

  • 简化管理,它提供了一种对用户,应用程序和设备单一而且一致的管理;
  • 安全性提高,对桌面用户,拨号用户和外部用户提供了强大和方便的的安全管理工具;
  • 互操作性好,提供了对所有AD的标准访问,并支持其它流行的目录服务产品;

目录服务既是管理工作又是用户工作,因为网络中的对象增多,因此它的地位也就十分重要了,它的周围是一些分布式系统,依它而工作。Windows2000的目录服务正是为了以上的目的而提出的。

什么是活动目录?

Windows2000的活动目录是在NT 4的基础上对分布式网络环境进行加强而提出的一种目录服务。AD让企业可以更有效地管理共享资源,管理关于网络的用户和资源,而且它是网络认证权威,操作系统通过它控制用户的登录,审核权限,它还将操作系统的不同部分组合在一起完成管理任务。这使得管理任务得以大大简化。

活动目录集中进行目录,设备等管理,使管理简化。关键的一点在于企业可以利用活动目录和Internet产生关联。

Microsoft目录服务策略

许多开发商都将目录服务加入它们的产品中,这使得这些服务缺少一种标准的接口,使人比较难于集中管理,这样就带来了互操作性的问题,使用许多不兼容的目录服务意味着:

  • 用户必须使用不同的口令登录不同的系统,而且必须明确知道所需要的信息在什么位置;
  • 因为目录服务不兼容,管理员必须为同一个用户在不同的系统上进行管理;
  • 开发者也必须针对不同服务开发产品;

企业可能不得不选择尽可能少的目录服务,而从长远看来,则需要一种标准的目录服务,并且和操作系统相集成。活动目录则达到了这种要求,而且它是和Internet集成的,因此它是一种比较理想的目录服务产品。

活动目录是如何工作的?

活动目录以树状,和面向对象的方法存储数据,并提供了多主复制的功能。

活动目录以对象代表网络资源(如用户,计算机等),以容器代表组织(如市场部)或一些资源的集合(如打印机),它以树状组织这些资源。

图一:活动目录的树状结构

活动目录提供了单一的,集中的和全局的资源视图,使得资源易于查询,管理。在上图中容器代表用户,机器或设备的集合,同时容器又可以包括容器。成组的对象可以让管理员对对象集进行管理,而不用一个对象一个对象地管理。

活动目录中的资源是以对象的方式存储的。如果你了解一点面向对象知识,了解起来就比较方便了,每个对象都有一定的属性,管理员可以通过对象内的属性精确地控制对象的动作,如下图所示:

图二:活动目录中的对象

为了提高效率,活动目录有许多目录复本,这些复本分布于网络上,对一个复本的修改可以被立刻同步到其它复本上,这称为目录复制。而与之相对的单域复制就是指所有的必须对一个集中存储的目录进行。

图三:多域复制

活动目录的优点

Windows 2000 Server集成的活动目录使网络管理员可以花少一点的时间完成更多,更安全的管理任务,而且提高了互操作性。

在分布式环境中对网络进行管理可能是件十分烦心的事情,通过活动目录可以简化这些工作,它可以以相对集中的方式完成从桌面到安装软件的全部管理工作,大大简化了管理员的工作。因为活动目录中的对象是树型存储的,因此管理员可以对一组对象(或容器)进行管理

图四:活动目录对管理的简化

活动目录可以让管理员将管理任务下放到一些特定的用户,这样可以更充分地利用管理资源。上面图中就显示了一些类似的情况。活动目录还可以根据用户在企业中的不同工作自动为他提供相应的软件。例如:公司可以指定所有在personnel中的用户使用HR,无论它们地处何处。活动目录集中管理用户信息,自动安装指定的应用程序,并让用户无论在何处登录均可看到自己熟悉的界面。因为资源信息被集中存储,用户也可以从活动目录中获益,用户可以在开始菜单中查询特定位置的,具有特定属性的资源,并可以方便地使用它。

安全一直是分布式环境中的重要课题,而且也比较难于处理。活动目录的集中管理加强了基于企业内部员工工作身份的安全认证。它使得每个用户只拥有一个口令,而且安全认证对用户是透明的。它还可以对某个用户的权限进行细致地控制,如能不能安装软件,能不能看注册表等。因为活动目录内置了安全认证机制,因此可以方便地开展电子商务活动。下图是Windows 2000中的一些安全机制示意:

图五:安全机制

活动目录是认证的控制中心,而且它支持多种安全协议。无论用户是从何处登录都受到统一的安全限制。活动目录支持的各种安全认证协议可以让活动目录将安全机制扩展到电子商务的客户。

因为在许多地方已经有一些目录服务在工作,活动目录提供了与这些服务的接口,使得活动目录可以方便地和它们进行互操作。Windows 2000通过标准协议将自己的接口暴露在外,以便和其它目录服务互操作,这一点保证了Windows 2000的目录服务与其它是兼容的。

图六:互操作

由于有了这些接口,开发基于目录的应用程序也就方便了。活动目录允许管理员根据用户的不同需要为它们分配相应的硬件资源,如网络带宽。活动目录的好处不单在Windows平台上可以体现,通过同步机制可以保证Windows平台与其它应用程序,设备的互操作性。这一切都是通过统一的,符合标准的接口实现的。