“通用组、全局组、域本地组”怎么理解?关于活动目录的。

2024年12月02日 18:58
有5个网友回答
网友(1):

活动目录是Windows 2000网络中目录服务的实现方式。目录服务是一种网络服务,它存储网络资源的信息并使得用户和应用程序能访问这些资源。

活动目录对象

主要包括用户、组、计算机和打印机,然而网络中的所有服务器、域和站点等也可认为是活动目录中的对象。

活动目录架构

◆ 含有活动目录中所有对象的定义;

◆ 用对象类和对象属性来描述每个对象;

◆ 在Windows 2000的网络中,整个森林只有一个架构;

◆ 架构保存在活动目录中。

活动目录的逻辑结构

活动目录的逻辑结构用来组织网络资源。

域(Domain)

◆ 域是Windows 2000 活动目录的核心单元,是共享同一活动目录的一组计算机集合;

◆ 域是安全的边界,在缺省的情况下,一个域的管理员只能管理他自己的域,一个域的管理员要管理其他的域,需要专门的授权;

◆ 域是复制单位,一个域可包含多个域控制器,当某个域控制器的活动目录数据库修改以后,会将此修改复制到其他所有域控制器。

组织单元(Organizational Units,OU)

◆ OU是域下面的容器对象,用于组织对活动目录对象的管理,是Windows 2000中最小的管理单元;

◆ OU可用来匹配一个企业的实际组织结构,域的管理员可以指定某个用户去管理某个OU;

◆ OU也可以像域一样做成树状的结构,即OU下面还可以有OU;

◆ 使用OU可取代Windows NT4.0的多域网络,参见图1。

图1

树和森林(Trees and Forests)

树(Trees):由一个或多个域构成。Windows 2000中的树共享连续的名字空间;树具有双向、传递信任,即缺省情况下,Windows 2000中父域和子域、树和树之间的信任关系都是双向的,而且是可传递的。

森林(Forests):森林由一棵或多棵树组成。森林中的树不共享一个连续的名字空间,但共享一个普通架构和全局目录。

全局目录(Global Catalog)

Global Catalog(GC)是一个包含活动目录中所有对象的属性信息(不是完全信息,是常用属性的一个子集)的仓库,它为用户提供以下重要功能:

◆ 在整个森林中查找活动目录的信息;

◆ 使用通用组成员信息登录到网络;

◆ 活动目录中的第一个域控制器自动成为全局目录,为了平衡登录和查询流量,您可以设置额外的全局目录。

活动目录的物理结构

物理结构用来设置和管理网络流量。活动目录的物理结构由域控制器和站点组成。

域控制器(Domain Controller)

活动目录复制:多主复制模式(Multi-Master Replication Model)和活动目录的物理结构决定复制在什么时候发生和如何发生。

单主操作:对从森林中添加/删除域这样的操作,不适合用多主复制的模式,需要单主复制,执行单主操作的计算机称为操作主机。

站点(Sites)

◆ 站点由一个或多个高速连接的IP子网构成;

◆ 站点是网络的物理结构,站点和域没有必然联系,一个站点可包含多个域,一个域也可跨多个站点;

◆ 创建站点的主要理由是为了优化复制流量和使用户能够用可靠的高速线路连接到域控制器。

活动目录集成区域

要实现活动目录集成区域, DNS Server必须装有活动目录的DC。因为集成后DNS的区域数据库文件变成了活动目录的一部分,它的复制被包含在活动目录的复制中,所以不会再发生DNS区域传输(Zone Transfer)。但仍然能向非活动目录集成的辅助服务器执行区域传输,避免了主服务器失败后,DNS记录无法被更新。

安装和设置DNS以支持活动目录

若在安装活动目录时同时安装DNS,操作系统会自动配置DNS,并创建与活动目录域同名的DNS正向查询区域、配置此正向查询区域与活动目录集成。

活动目录对DNS的要求

◆ 支持SRV记录(强制);

◆ 支持动态更新协议(推荐);

◆ 支持增量区域传输(推荐)。

活动目录的用户登录名

主用户名(User Principal Name)

主用户名的格式同E-mail地址,例如,john@cyc.com,john称为主用户名前缀,cyc.com称为主用户名后缀,一般为根域的域名。主用户名只能用于登录Windows 2000的网络。

用户登录名(User Logon Name)

用于Pre-Windows 2000的环境或Windows 2000;登录时需要用户名和域名。

用户名惟一性原则

◆ 全名在所属的容器内惟一;

◆ 用户登录名在所属的域内惟一;

◆ 主用户名在整个森林内惟一。

活动目录中的组

全局组(Global Groups);

域本地组(Domain Local Groups);

通用组(Universal Groups):通用组一般用于多域的情况,通用组的成员信息保存在GC中。尽量避免通用组直接包含用户账号成员,而使用全局组作为通用组的成员。

在域中使用组的策略

使用A-G-DL-P策略;

使用A-G-G-DL-P策略;

使用A-G-U-DL-P策略。

这里,A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。其余类推。

在活动目录中出版资源

所有Windows 2000的共享打印机都被自动出版在活动目录中;

删除打印机时也会自动删除活动目录中的打印机;

打印服务器负责在活动目录中出版打印机;

当修改打印机属性时,会自动更新活动目录中打印机的属性。

活动目录安全组件

安全主体(Security Principals)

安全主体是一个能够对它分配权限的对象,例如,用户、组和计算机;

每一个Windows 2000域中的安全主体都有一个惟一的安全标识符。

安全标识符(Security Identifier——SIDs)

安全标识符是用来标识一个安全主体的一个数值,它在这个主体被创建时产生,绝对不会重用。Windows 2000中的访问控制机制是基于SIDs,而不是基于名字。

安全描述符(Security Descriptors)

安全描述符是包含与一个可以设置安全对象相关的安全信息的数据结构,主要包括以下内容:

头部:安全描述符的版本信息和一组控制标志;

所有者:此对象所有者的SID;

主要组:所有者所属的主要组的SID;

DACL(Discretionary Access Control List):用户对此对象的访问控制列表;

SACL (System Access Control List):对用户进行审核的访问控制列表。

如果在一个对象上设置了权限,这个对象的安全描述符中将包含一个DACL。DACL中包含允许或拒绝访问这个对象的用户和组的SIDs;如果还对这个对象设置了审核,它的安全描述符中还包含一个SACL。

活动目录权限

权限是一种对象所有者的授权,通过授权,用户可以对特殊对象进行操作。如果对象是所有者,可以分派给其他用户或组部分或全部任务的权限,还可以分派所有权的权限。

◆ 允许权限或拒绝权限:拒绝权限比任何允许权限优先级高;

◆ 间接否定或直接否定(Implicitly Deny or Explicitly Deny):例如不是明确指定的操作权限是间接否定;

◆ 标准权限和特殊权限:标准权限是经常分派的权限,而特殊权限是对分派访问权限的更细致的控制:

◆ 完全控制;

◆ 读出:查看对象和对象属性;

◆ 写入:修改对象内容和属性;

◆ 创建所有子对象:向OU中添加对象;

◆ 删除所有子对象:从OU中删除对象。

实验技术

安装活动目录

1.必备条件:计算机必须安装Windows 2000 Server, Advanced Server、Datacenter Server和最小250M的可用磁盘空间;必须有NTFS磁盘分区或卷用于保存SYSVOL文件夹;必须运行TCP/IP协议和DNS服务(可在安装活动目录的同时安装DNS),计算机须安装网卡。

2.在Windows 2000上使用dcpromo命令,将出现“AC安装向导”对话框,若在网络中第一次安装活动目录时,所创建的是森林的根域,此时选择“新域的域控制器”单选钮。

3.选择“创建一个新的目录树”和“创建新的域目录树”单选钮,输入新域的DNS全名,例如,cyc.com,输入NetBIOS名,它一般取DNS域名的第一部分或前15位,这里是cyc,然后指定AD数据库和SYSVOL保存的文件,后者必须位于NTFS分区。

4.最后指定权限和密码等,此时开始安装AD并创建一个Windows 2000的域cyc.com。活动目录安装后,将在“程序/管理下产生三项:Active Directory用户和计算机、Active Directory域和信任关系、Active Directory站点和服务。

5.若用无人值守的安装脚本去安装活动目录,则使用命 [HTML]在基于Windows 2000网络中,活动目录(Active Directory)是它的核心。活动目录是一个分布式的目录服务。网络信息可以分散在多台不同的计算机上,保证快速访问和容错;同时不管用户从何处访问或信息处在何处,对用户都提供统一的视图。可以这样说:没有活动目录,就没有Windows 2000。一、活动目录基础
(一)活动目录概览
1.什么是活动目录活动目录是Windows 2000网络中的目录服务。目录服务是一种网络服务,它存储关于网络资源的信息,并使用户或应用程序可以访问这些资源。活动目录使用同样的方法命名、描述、查找、访问、管理和保护这些资源的信息。(1)活动目录的功能:活动目录提供的服务功能,包括一种集中组织、管理和控制网络资源访问的方法。它使物理网络拓朴和协议透明化,这样网络上的用户可以访问任何资源,而不需要知道资源在什么地方,或物理上它是如何连接到网络上的。(2)集中式管理:一个运行Windows 2000的服务器在活动目录中存储系统配置、用户简介和应用程序的信息。与组策略相结合,活动目录可以使管理者使用同样的管理界面管理分布式桌面、网络服务和来自中心位置的应用程序。活动目录同时提供对网络资源集中控制,允许用户只登录一次就可以访问整个活动目录的资源。2.活动目录对象活动目录存储网络对象的信息。活动目录对象代表网络资源。如用户、组、计算机和打印机。而且,网络中所有的服务器、域和站点都作为对象。因为活动目录代表了所有网络资源,只需要一个管理员就可以管理这些资源。3.轻型目录访问协议轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)是用于访问活动目录的协议。LDAP是用于查询和更新活动目录的目录服务协议。LDAP协议规范表明,一个活动目录对象可以由一系列域组件、OU和普通名字来代表,它们组成了活动目录中的命名路径。LDAP命名的路径是用来访问活动目录对象的,它包括了下面的两类:(1)标识名(Distinguished Name):在活动目录中每个对象都有一个标识名,标识名确定了对象所在的域和可以找到对象的完整路径。比如,典型的标识名包括:CN=TOM,OU=Manager,DC=Tech,DC=COM(2)相对标识名(Relative Distinguished Name):LDAP相对标识名是LDAP标识名的一部分,它用来标识容器中的对象,它的组成随客户建立的现场搜索内容的大小而变化。搜索内容的范围可以是域组件,也可以是普通名字的对象。下表中给出了标识名,客户建立的搜索内容和相对标识名的具体的例子。(二)活动目录结构
1.活动目录的逻辑结构(1)域:域(Doamin)是活动目录中逻辑结构的核心单元,一个域包含许多台计算机,它们由管理员设定,共用一个目录数据库。一个域有一个唯一的名字,给那些由域管理员集中管理的用户账号和组账号提供访问通道。要创建域,用户必须将一个或更多的运行Windows 2000 Server的计算机升级为域控制器。每个域至少必须包含一个域控制器。(2)组织单元:组织单元(Organizational Units,OU)是一个起组织作用的单位。它可将用户、组、计算机和其他单位放入其中的活动目录容器。组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用域或单位。使用组织单元,用户可在组织单元中代表逻辑层次结构的域中创建容器。这样用户就可以根据用户的组织模型管理账户和资源的配置和使用。(3)目录树和目录林:活动目录中的每个域利用DNS(Domain Name Server,域名服务)域名加以标识,并且需要一个或多个域控制器。如果用户的网络需要一个以上的域,则用户可以创建多个域。共享相同的公用架构和全局目录的一个或多个域称为域林。如果树林中的多个域有连续的DNS域名,则该结构称为域树。如图所示。如果相关域树共享相同的活动架构以及目录配置和复制信息,但不共享连续的DNS名称空间,则称之为域林。域树和域林的组合为用户提供了灵活的域命名选项。连续和非连续的DNS名称空间都可加入到用户的目录中。(4)全局目录:一个域的活动目录类似于一本书的目录,那么全局目录就好像是一系列书的总目录。在全局目录中包含一个已有活动目录对象属性的子集。默认情况下,存储在全局目录中的对象属性是那些经常用到的内容,而非全部属性。全局目录服务器是一个域控制器,活动目录建立的第一个域控制器自动成为全局目录服务器。全局目录就放在全局目录服务器上。2.活动目录的物理结构(1)域控制器:域控制器就是存储活动目录的地方,一个域可以有一个或几个域控制器。在域中,各域控制器相互复制活动目录的改变,在目录林中,各域控制器相互之间也把信息自动复制给对方。(2)站点:站点(Site)是由一个或多个IP子网中的一组计算机,确保目录信息的有效交换,站点中的计算机需要很好地连接,尤其是子网内的计算机。站点和域名称空间之间没有必要的连接。站点反映网络的物理结构,而域通常反映用户单位的逻辑结构。逻辑结构和物理结构相互独立,所以网络的物理结构及其域结构之间没有必要的相关性,活动目录允许单个站点中有多个域,单个域中有多个站点。如果配置方案未组织成站点,则域和客户之间的信息交换可能非常混乱。站点能提高网络使用的效率。二、安装活动目录
(一)安装活动目录的要点
首先,也是最重要的一点,就是你必须有安装活动目录的管理员权限,否则无法安装。在安装活动目录之前,要确保计算机满足基本系统要求:(1)计算机运行Windows 2000 Server版本,且系统盘是NTFS分区。(2)用于活动目录数据库的最小磁盘空间为200MB,另外还要有50MB的空间用于活动目录数据库的日志文件。(3)已做好了DNS服务器的解析。DNS(Domain Name Server, 域名服务器)是活动目录的基础,没有DNS就不会有活动目录。DNS也叫域名服务,它的作用是将某个域名与IP地址对应,从而将人易于理解的域名转达化为易于计算机寻址的IP地址。而如果活动目录中的资源对应的是LDAP标识,那么只需要DNS中有这个标识的定位记录就可以很方便地供用户查找资源,并寻址到相应的位置上。有关DNS服务器的配置,读者可以参考《电脑报2001年合订本》下册附录中《ⅡS 5.0网络建站完全手册》一文。(二)安装活动目录
运行活动目录安装向导将Windows 2000 Server升级为域控制器以创建一个新域,或者向现有的域添加其他域控制器。1.安装域里的第一台域控制器在安装活动目录前首先确定DNS服务正常工作,下面我们来安装根域为lanyi.com的第一台域控制器。(1)运行位于C:\Winnt\System32目录下的dcpromo.exe文件,以启动活动目录安装向导。点击“下一步”按钮。(2)由于用户所建立的是域中的第一台域控制器,所以在“域控制器类型”对话框中选择“新域的域控制器”选项,然后点击“下一步”按钮。(3)在“创建目录树和子域”对话框中选择“创建一个新域的域目录树”,点击“下一步”按钮。(4)在“创建或加入目录林”对话框中选择“创建新的域目录林”,点击“下一步”按钮。(5)在“新的域名”对话框中的“新域的DNS全名”框中输入需要创建的域名,这里是lanyi.com。点击“下一步”按钮。(6)在“NetBIOS域名”对话框中,安装向导自动将域控制器的NetBIOS名设置为“LANYI”,点击“下一步”按钮。(7)在“数据库和日志文件位置”对话框中,将显示数据库、日志文件的保存位置,一般不必作修改。点击“下一步”按钮。(8)在“共享的系统卷”中,指定作为系统卷共享的文件夹。Sysvol文件夹存放域的公用文件的服务器副本。Sysvol广播的内容被复制到域中的所有域控制器。其文件夹位置一般不必作修改。点击“下一步”按钮。(9)在“配置DNS”对话框中,点击“下一步”按钮(如果在安装活动目录之前未配置DNS服务器,可以在此让安装向导配置DNS,推荐使用这种方法)。(10)在“权限”对话框中为用户和组选择默认权限,考虑到现在大多数单位中仍然需要使用Windows 2000的以前版本,所以选择“与Windows 2000服务器之前版本相兼容的权限”选项,点击“下一步”按钮。(11)在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码。点击“下一步”按钮。(12)此时,安装向导将显示安装摘要信息。点击“下一步”按钮即可开始安装,安装完成之后,重新启动计算机即可。2.检验安装结果安装完成后,可以通过以下方法检验活动目录安装是否正确,在安装过程中一项最重要的工作是在DNS数据库中添加服务记录(即SRV记录)。(1)检查DNS文件的SRV记录:用文本编辑器打开%systemroot%\system32\config\中的Netlogon.dns文件,查看LDAP服务记录,在本例中为_ldap._tcp.lanyi.com.600 IN SRV 0 100 389 n2k_server.lanyi.com.(2)验证SRV记录在NSLOOKUP命令工具中运行正常:在命令提示行下,输入“nslookup”命令;输入“set type=srv”命令;然后输入_ldap._tcp.lanyi.com。此时如果返回了服务器名和IP地址,说明SRV记录工作正常。另外,当安装完毕后,在管理工具中提供了三个工具:Active Directory用户和计算机、Active Directory域和信任关系、Active Directory站点和服务。同时系统还提供了Active DirectorySchema和ADSI,主要用于Active Direttory开发的工具。Active Directory用户和计算机工具是配置互动目录最常用的工具,在后面我们将详细介绍它的使用方法。3.删除活动目录与安装活动目录一样,运行dcpromo.exe文件即可。三、设置管理用户和组
在网络中为用户开设账户的工作即是一项基本功能,又是一项非常重要的工作,因为账户与权限有关。用户账号保存在活动目录中,为该用户账号启动唯一登录的对象。唯一登录是指从工作站登录获得网络资源的访问过程中,用户只能输入一次名字和密码。域用户账号可以登录到域访问网络资源,或是登录到个人计算机上访问本机上的资源。(一)用户登录名
1.用户主名在活动目录中,每个用户都有一个用户登录名,和一个pre-Windows 2000用户登录名。用户账户信息用来验证和认可目录林中任何地方的用户,这就导致了唯一登录。用户主名是只用于登录Windows 2000网络上的登录名。也可将此名看作是用户登录名。一个用户主名有两个部分,它们用@符号隔开。如apple@lanyi.com。一个用户登录名有以下两个组成部分:用户主名前缀:在apple@lanyi.com是apple。用户主名后缀:在apple@lanyi.com是lanyi.com。默认情况下,后缀是网络中根域的名字。用户可以使用网络中的其他域来为用户配置其他的后缀。2.创建用户主名后缀(1)点击“开始→程序→管理工具→Active Directory域和信任关系”选项,右击“Active Directory域和信任关系”选项,选择“属性”命令。(2)在打开的对话框的“UPN后缀”选项卡中输入一个可供选择的后缀名,如lanyi.com,然后点击“添加”按钮。(二)管理用户账号
1.创建一个用户账号(1)点击“开始→程序→管理工具→Active Directory用户和计算机”选项,在打开的窗口的左侧栏中右击“user”容器,选择“新建对象”命令。(2)在打开的“新建对象”对话框中,输入姓名和用户登录名。点击“下一步”按钮,输入用户密码。其中:用户下次登录时需要更改密码:如选中此项,用户下次登录时将提示用户重新输入新密码。用户不能更改密码:这一选项保证用户密码不能被修改。密码永不过期:如选中此项,密码将永不过期。因为过期的密码将不能使用,过期时间在账户安全策略中设置,或在账户属性对话框中修改。账户已停用:表明此账户已被停止使用,如想让账户解锁,必须由管理员在用户属性对话框中设置。2.执行公共管理任务(1)禁用和启用用户账号:当用户一段时间内不需要他们的账号,但一段时间后需要使用它们时,管理员可将此用户账号禁用。在“Active Directory用户和计算机”窗口中,右击相应的用户账号,然后根据该账号的当前状态点击“停用账户”或“启用账户”命令即可。(2)重设密码:当在用户改变密码前密码期满或是用户忘记密码的情况下,管理员需要重新设置密码。在“Active Directory用户和计算机”窗口中,右击相应的用户账号,然后点击“重设密码”命令即可。(3)在一个域内移动用户账号:必要时,管理员可能需要在同一个域内的OU之间移动用户账号。例如一个职员从一个部门调到另一个部门,这样将由另一个管理员管理该职员的用户账号。在“Active Directory用户和计算机”窗口中,右击相应的用户账号,点击“移动”命令。在打开的“移动”对话框中,双击域目录树,点击对象要移入的OU,然后点击“确定”按钮即可。(4)删除用户账号:在活动目录中存在有无用的账号,如果一个授权用户能够使用一个无用的账号登录可能会引起网络安全的风险,所以对无用的账号应当删除。在“Active Directory用户和计算机”窗口中,右击相应的用户账号,然后点击“删除”命令即可。(5)重命名用户账号:如果管理员想保留以前某个账户所指定的各种属性和权限给一个新的用户时,可以将以前的账户重命名。在“Active Directory用户和计算机”窗口中,右击相应的用户账号,然后点击“重命名”命令即可。3.为域用户账号设置属性(1)设置个人属性:在“Active Directory用户和计算机”窗口中,右击相应的用户账号,点击“属性”命令即可打开相应的属性对话框。在该对话框中,各个选项卡对应于不同的用户设置,你可以根据具体的情况尽可能的详尽填写。这样做的好处是利于以后的账户查找。(2)设置账户属性:在“账户”选项卡中管理员可以指定用户的登录名称,设置账户选项,指定账号失效日期。你可以在该选项卡下配置当你创建该账户时指定的设置值,如用户登录名和登录选项。可以修改密码需求条件,为此,在“账户选项”选项组下选择相应的复选框即可。除此之外,还可以在该选项卡下设置用户账户的失效日期。到达这一日期后,Windows 2000将自动禁用相应的账户。默认情况下,用户账号永不失效。为此,你只需要在“账户过期”选项组中,点击“在这之后”选项,然后从列表中选择一个失效日期,点击“确定”按钮。(3)指定登录选项:你可以通过设置用户的登录时段,控制用户可以在哪些时段登录到指定的域,你也可以通过设置登录工作站,来控制用户可以从哪个计算机登录到指定的域。在默认情况下,用户可以每周七天,每天24小时连接到服务器。在高安全性网络中,你可能想限制用户可以登录到网络的时段。为了设置登录的时段,你可以按照下面的步骤进行:在“账户”选项卡中点击“登录时间”按钮,打开相应的对话框。其中蓝色指示该用户可以登录到的时段,而白色框指示该用户不能登录到的时段。在“天”和“时”框中,选择你想拒绝访问的时段框,并点击开始时间,然后向终止时间拖动,再点击“拒绝登录”或“允许登录”选项即可。同样的,你也可以指定用户从哪个计算机登录,在默认情况下,具有合法账号的任何用户都可以在运行Windows 2000的任何计算机登录到网络。在“账户”选项卡中点击“登录到”按钮,然后在打开的对话框中点击“下列计算机”选项,添加用户可以进行登录的计算机。为此,在“计算机名称”框中输入计算机的名称,点击“添加”按钮即可。4.用户配置文件在Windows 2000中,用户的工作环境主要由用户配置文件定义的。为了安全性的目的,Windows 2000要求每一个访问系统的用户账号都有一个用户配置文件。用户配置文件包含所有必要的设置值,这些设置值包括显示器、区域设置、鼠标和声音设置等,除此之外还包括网络和打印机连接。(1)用户配置文件的类型:用户配置文件在用户第一次登录到计算机时创建。所有针对具体用户的设置值都自动保存在该用户的文件夹中,即C:\Documents and Settings\用户名。默认的用户配置文件:用作所有用户配置文件的基础。每个用户配置文件都开始于默认的用户配置文件的一个复制件。本地用户配置文件:在用户第一次登录到计算机时创建,并被存储在本地计算机中。每个计算机上可以有多个这样的配置文件。漫游用户配置文件:由系统管理员创建,并存储在某个服务器上。在任何时候,用户登录到网络中的任何计算机时,这一配置文件都是可用的。如果某个用户修改了他的桌面设置值,在该用户撤销登录时,这一用户配置文件即在服务器上更新。强制性用户配置文件:由管理员创建,用于为某个或某些用户指定特定的设置值。强制性用户配置文件可以是本地的或是漫游的用户配置文件。它不保存对用户桌面设置值的任何修改,用户可以修改他所登录的计算机的桌面设置值,但是当他们退出登录时,这些修改不被保存。(2)

网友(2):

郁闷,比楼上的晚了点点...55555555555

Active Directory 概述
察看本文应用于的产品
文章编号 : 196464
最后修改 : 2004年1月23日
修订 : 2.0
本文的发布号曾为 CHS196464
本页
概要
更多信息
逻辑结构
物理结构
名称空间
全局编录
DNS 与 AD 的集成
全球唯一标识符
复制
组的更改
这篇文章中的信息适用于:

概要
目录服务是一种分布式数据库,用于存储与网络资源有关的信息,以便于查找和管理。Microsoft Active Directory 是用于 Windows 2000 的最新目录服务实现。涉及目录服务的基本问题围绕着可以将哪些信息存储在数据库中,存储的方式是什么,如何查询特定的信息,以及如何对结果进行处理。Active Directory 包含目录服务本身,以及允许访问支持 X.500 命名规则的数据库的从属服务。

可以使用某个用户名来查询目录,以获取相关信息,如用户的电话号码或者电子邮件地址。目录服务也是非常灵活的,可以进行归纳查询(“打印机在什么位置?”或“服务器的名称是什么?”),以查看可用打印机或服务器的归纳列表。

目录服务还具有给用户提供到整个企业网络的单个入口点的优点。用户可以查找和使用整个网络资源,而无需了解资源的确切名称或位置。也可以使用统一的网络组织及其资源逻辑视图来管理整个网络。
回到顶端

更多信息
为确保设计出最有效、最可靠的 Active Directory,必须了解网络的逻辑结构和物理结构。研究和了解组织的业务结构和操作也是非常重要的。Active Directory 将域的逻辑结构从实际物理结构中独立出来。

回到顶端

逻辑结构

网络的逻辑结构是由无形的项目组成的,如对象、域、目录树和目录林。

Active Directory 的基本结构块是对象,这是一个代表网络资源的已命名特定属性集。对象属性是目录中对象的特征。对象也可以按类进行分组,类是对象的逻辑分组。用户、组和计算机是不同对象类的例子。

在最低一层,某些对象代表网络上的单个实体,如用户或计算机。这些实体称为叶对象,它们不能包含其它对象。但是,为了简化目录的管理和组织,可以将叶对象放在其它对象(称为容器对象)内部。容器对象也可以采用嵌套(或层次)形式包含其它容器。

容器对象最常用的类型是组织单元 (OU)。可以使用 OU 将对象进行分类,并将域变成某种类型的逻辑管理分组。尤其要注意的是,域中 OU 的结构和层次与任何其它域的结构无关。

所有网络对象只能在一个域中存在(无论是叶对象还是容器对象)。为反映组织网络的特点,可以使用域将相关对象分成一组。每个创建的域仅存储所包含对象的信息,而不存储其它对象的信息。目前,在域中可维护的对象数量的上限为一百万。

每个域表示一个安全边界。对每个域中对象的访问是由访问控制项 (ACE) 控制的,后者包含在访问控制列表 (ACL) 中。这些安全设置并不跨越域边界。在 Active Directory 中,域也可以称为“分区”。因为域是 Active Directory 数据库的物理分区,所以您既可以按照业务功能(人力资源、销售或财务),也可以按照位置(地理或相对)建立其结构。

当将相关域分成一组以便共享全局资源时,您就创建了“目录树”。尽管目录树可以只包含一个域,但是您可以将层次结构中相同名称空间的多个域合并在一起。可以使用基于 Kerberos 的安全功能,通过双向信任关系将目录树中的域透明地连接在一起。这些信任关系可以是永久性的(不能被删除),也可以是暂时的。换句话说,如果域 A 信任域 B,而域 B 信任域 C,则域 A 信任域 C。

目录树中的所有域共享所有对象类型的正式定义(称为“架构”)。此外,任何给定目录树中的所有域还共享全局编录 (GC)。GC 是目录树中对象的中央储存库。

每个目录树也可以由邻接的名称空间表示。例如,如果公司的根域为“company.com”,则可以给销售和技术支持部门创建单独的域,它们的域名分别为“sales.company.com”和“support.company.com”。这些域称为子域。与 Windows NT 4.0 不同,每个域自动生成信任关系。

在最高一级,可以将单独的目录树分成一组形成“目录林”。可使用目录林,将组织中的不同部门,甚至不同组织组合到一起。这些部门不必共享相同的命名架构并且独立运作,但彼此之间可以进行通信。目录林中的所有目录树共享相同的架构、全局编录和配置容器。再者,基于 Kerberos 的安全功能在目录树之间提供了信任关系。

Windows 2000 目录服务的另一个优点是,无需重新安装整个服务器操作系统,即可卸载 Active Directory。要想使一个成员服务器成为 DC,您只需运行 DCPROMO 工具来添加 Active Directory 服务器即可。要想删除 Active Directory 服务器,您同样只需运行 DCPROMO 工具即可。

回到顶端

物理结构

域控制器和站点是处理局域网配置物理结构的两个基本组件。

与 Windows NT 4.0 不同,仅由运行 Windows 2000 的计算机组成的网络没有主域控制器 (PDC) 和备份域控制器 (BDC)。在 Windows 2000 环境中,将所有参与网络管理的服务器均看作是域控制器。域控制器 (DC) 存储目录数据库的复制副本,并且域中控制器之间的复制是自动完成的。

对于跨多个地理位置的企业网络,要了解目录数据库复制对域控制器和网络性能的影响,了解广域网设计和结构的含义是非常重要的。

回到顶端

名称空间

名称空间是有特定边界的指定区域,可以在此处解析分配给计算机的逻辑名称。名称空间的主要用途是组织资源的说明,使用户按其特性或属性来查找资源。可以使用给定名称空间的目录数据库找到某个对象,而无需知道它的名称。如果用户知道某个资源的名称,就可以查询有关该对象的有用信息。

尤其要注意的是,名称空间的设计最终决定了:随着目录数据库的增长,它对用户到底有多大用处。排序和搜索算法不能解决逻辑目录设计中的缺陷

在逻辑层次上,Windows 2000 Active Directory 只不过是另一个名称空间。在 Active Directory 中,两个主要信息类型存储:

• 对象的逻辑位置。
• 有关该对象的属性列表。
可以给这些对象分配属性(如电话号码、房间位置等等),并可用这些属性查找目录数据库中对象的位置。随着 Active Directory 架构的扩大(修改),使用属性进行搜索就变得越来越重要了。当将对象、对象类和/或这些对象的属性添加到目录数据库中时,对于目录用户而言,它们的结构决定了它们的用途。

目录树中的每个容器和对象都有一个唯一的名称。这些名称空间是目录树中所有容器和对象、或分支和叶对象的完全路径。对象在目录树中的位置决定了其可分辨的名称。

对象的可分辨名称 (DN) 包含从特定名称空间的顶层到整个目录树层次结构的完整路径。因为 DN 对于组织目录数据库非常有用,但对于记住该对象没有帮助,所以在 Active Directory 中也使用相对可分辨的名称 (RDN)。RDN 是对象名的一部分,也是对象本身的一个属性。

很多网络使用的名称空间是基于当前 Internet 上使用的域名系统 (DNS)。这种 DNS 关系有助于确定 Active Directory 目录树的形状以及对象彼此之间的关系。域控制器项目是可分辨名称中列出的域,而公用名称 (CN) 项目则是针对目录中用户对象的特定路径。

回到顶端

全局编录

全局编录包含目录中每个 Windows 2000 域的部分副本,它是由 Active Directory 复制系统自动创建的。这样,只要给出目标对象的一个或几个属性,用户和应用程序就可以在 Active Directory 域目录树中找到这些对象。全局编录还包含目录分区的架构和配置。这就是说,全局编录存储 Active Directory 中每个对象的副本,但只存储它们的很少一部分属性。全局编录中的属性是搜索操作中那些最常使用的属性(如用户的名和姓、登录名等等),这些属性是查找对象完整副本位置所必需的。

使用这种公用信息,用户可以很快找到要找的对象,而无需知道这些对象在哪个域中,也不要求知道企业中相邻的扩展名称空间。如果在全局编录中找不到该对象,则搜索功能将查询本地域分区以获得信息。

您可以使用架构管理器工具更改架构,并定义在全局编录中存储哪些属性。由于对所有全局编录服务器进行的更改都要复制全局编录,所以出于性能和维护的目的,最好限制本地分区中存储的属性数量。

回到顶端

DNS 与 AD 的集成

DNS 和 Active Directory 的集成是 Windows 2000 Server 的一个核心特征。DNS 域和 Active Directory 域对不同的名称空间使用完全相同的域名。即使两个名称空间共享相同的域结构,它们也是不同的名称空间,了解这一点是非常重要的。每个名称空间存储不同的数据并管理不同的对象。DNS 使用区域和资源记录,而 Active Directory 使用域和域对象。

例如,如果对象的某个属性是服务器的完全合格域名(如 SERVER1.SALES.MYCOMPANY.COM),Active Directory 就会向 DNS 查询该服务器的 TCP/IP 地址,Windows 2000 请求者随后可以建立与该服务器的 TCP/IP 会话。

Active Directory 与 DNS 的集成是这样实现的:每个 Active Directory 服务器将自己的地址发布在 DNS 主机上的服务资源记录中。

回到顶端

全球唯一标识符

因为网络中的每个对象必须用唯一的属性来标识,所以 Active Directory 通过将全局唯一标识符 (GUID) 与每个对象关联起来实现这一点。即使对象的逻辑名称被更改,也应保证这个号码是唯一的且永远不会被目录数据库更改。当用户或应用程序首次在目录中创建可分辨的名称 (DN) 时,就会生成 GUID。

回到顶端

复制

虽然 Windows NT 4.0 中的网络结构基于 PDC 和 BDC 模型,但是 Windows 2000 网络上的所有服务器均用作域控制器 (DC),并且彼此之间没有主次之分。对于 Active Directory,所有 DC 在站点中自动复制,并支持多主机复制,以复制所有域控制器的 Active Directory 信息。由于引入了多主机复制,管理员可以更新域中任何 Windows 2000 域控制器上的 Active Directory。

多主机数据库复制还有助于控制何时将更改同步,哪些信息是最新的,以及何时停止数据复制以避免重复和冗余。为确定哪些信息需要更新,Active Directory 使用 64 位更新顺序号 (USN)。这些号码创建后与所有的属性相关联。每次更改一个对象之后,其 USN 都会递增并与属性一起保存。

每个 Active Directory 服务器都保留站点内所有复制伙伴的最新 USN 的表格。该表格包括每个属性的最高 USN。 当达到复制时间间隔时,则每个服务器只请求那些 USN 比列在自己表格中的 USN 大的更改。

有时,在复制所有的更改之前,可能在两个不同的 Active Directory 服务器上对同一属性进行了更改。这就会导致复制冲突。必须将其中一个更改声明为更准确的更改,并将此更改用作所有其他复制伙伴的复制源。为解决这种潜在的问题,Active Directory 使用了整个站点的属性版本号 (PVN) 值。当发生起始写入操作时,PVN 就会递增。起始写入操作就是直接在某个特定 Active Directory 服务器上发生的写入操作。

当在不同位置的具有相同的 PVN 的两个或多个属性值被更改时,接收更改的 Active Directory 服务器就会对每个更改的时间戳进行检查,并使用最新的一个进行更新。此问题的最重要分枝是网络中心时钟的安装和维护。

另一个复制问题就是循环。Active Directory 可使管理员配置多个路径以达到冗余的目的。为了避免更改无止境地更新下去,Active Directory 在每个服务器上创建 USN 对的列表。这些列表被称为最新矢量 (UDV)。它们保存每个起始写入操作的最高 USN。每个 UDV 均列出在其所在的站点中的所有其他服务器。当发生复制时,请求服务器就把自己的 UDV 发送到发送服务器。每个起始写入操作的最高 USN 都可用来确定是否仍需要复制更改。如果 USN 号码相同或更高,则不需要进行更改,因为请求的服务器已经被更新了。

回到顶端

组的更改

Active Directory 的逻辑规划过程的另一个方面就是组的概念。在 Windows NT 4.0 中,管理员可以使用两个基本的组类型,即本地和全局。考虑到这种结构固有的限制,Windows 2000 为网络管理员提供了以下组,其功能更强大并且灵活性更高: • 作用域为本地的组(也称为“本地组”)
• 作用域为域本地的组(也称为“域本地组”)
• 作用域为全局的组(也称为“全局组”)
• 作用域为通用的组(也称为“通用组”)
一个值得注意的重要修改是,全局组现在可以包含其它的全局组。虽然全局组仍用于收集用户,但是它能够将一个组放在另一个组之内,从而使管理员可以将它们放在目录林的任何地方,使得维护非常方便。但是,全局组只能包括来自 Active Directory 目录林中某个域的用户和组。

因为很多网络混用 Windows 2000 和 Windows NT 4.0 服务器,所以在创建组之前,必须确定网络上域的数量和类型以及哪些域是混合模式,哪些域是本地模式: • 混合模式域。默认情况下,Windows 2000 操作系统以混合模式网络配置进行安装。混合模式域是网络上的一组计算机,它们同时运行 Windows NT 4.0 和 Windows 2000 域控制器。(混合模式域也可以只运行 Windows 2000 域控制器。)
• 本地模式域。当域只包含 Windows 2000 Server 域控制器时,可以将该域转换成本地模式。

通用组(Windows 2000 的新增功能)可以包含目录林中任何目录树中的所有其它组和用户,并且可以与目录林中任何访问控制列表 (ACL) 一起使用。

可以组合使用全局组、域本地组和通用组,以控制对网络资源的访问。全局组的基本用途是把用户组织到代表其相应域的管理容器之中。通用组可以用于包括来自各种域的全局组,进而在授予权限时进一步管理域层次结构。可以全局组添加到通用组中,然后给资源在物理上所在域本地组分配权限。使用这些方法创建组,管理员就可以在每个域的全局组中添加或删除用户,对整个企业资源的访问进行控制,而无需在多个位置进行更改。

网友(3):

Active Directory 概述
察看本文应用于的产品
文章编号 : 196464
最后修改 : 2004年1月23日
修订 : 2.0
本文的发布号曾为 CHS196464
本页
概要
更多信息
逻辑结构
物理结构
名称空间
全局编录
DNS 与 AD 的集成
全球唯一标识符
复制
组的更改
这篇文章中的信息适用于:

概要
目录服务是一种分布式数据库,用于存储与网络资源有关的信息,以便于查找和管理。Microsoft Active Directory 是用于 Windows 2000 的最新目录服务实现。涉及目录服务的基本问题围绕着可以将哪些信息存储在数据库中,存储的方式是什么,如何查询特定的信息,以及如何对结果进行处理。Active Directory 包含目录服务本身,以及允许访问支持 X.500 命名规则的数据库的从属服务。

可以使用某个用户名来查询目录,以获取相关信息,如用户的电话号码或者电子邮件地址。目录服务也是非常灵活的,可以进行归纳查询(“打印机在什么位置?”或“服务器的名称是什么?”),以查看可用打印机或服务器的归纳列表。

目录服务还具有给用户提供到整个企业网络的单个入口点的优点。用户可以查找和使用整个网络资源,而无需了解资源的确切名称或位置。也可以使用统一的网络组织及其资源逻辑视图来管理整个网络。
回到顶端

更多信息
为确保设计出最有效、最可靠的 Active Directory,必须了解网络的逻辑结构和物理结构。研究和了解组织的业务结构和操作也是非常重要的。Active Directory 将域的逻辑结构从实际物理结构中独立出来。

回到顶端

逻辑结构

网络的逻辑结构是由无形的项目组成的,如对象、域、目录树和目录林。

Active Directory 的基本结构块是对象,这是一个代表网络资源的已命名特定属性集。对象属性是目录中对象的特征。对象也可以按类进行分组,类是对象的逻辑分组。用户、组和计算机是不同对象类的例子。

在最低一层,某些对象代表网络上的单个实体,如用户或计算机。这些实体称为叶对象,它们不能包含其它对象。但是,为了简化目录的管理和组织,可以将叶对象放在其它对象(称为容器对象)内部。容器对象也可以采用嵌套(或层次)形式包含其它容器。

容器对象最常用的类型是组织单元 (OU)。可以使用 OU 将对象进行分类,并将域变成某种类型的逻辑管理分组。尤其要注意的是,域中 OU 的结构和层次与任何其它域的结构无关。

所有网络对象只能在一个域中存在(无论是叶对象还是容器对象)。为反映组织网络的特点,可以使用域将相关对象分成一组。每个创建的域仅存储所包含对象的信息,而不存储其它对象的信息。目前,在域中可维护的对象数量的上限为一百万。

每个域表示一个安全边界。对每个域中对象的访问是由访问控制项 (ACE) 控制的,后者包含在访问控制列表 (ACL) 中。这些安全设置并不跨越域边界。在 Active Directory 中,域也可以称为“分区”。因为域是 Active Directory 数据库的物理分区,所以您既可以按照业务功能(人力资源、销售或财务),也可以按照位置(地理或相对)建立其结构。

当将相关域分成一组以便共享全局资源时,您就创建了“目录树”。尽管目录树可以只包含一个域,但是您可以将层次结构中相同名称空间的多个域合并在一起。可以使用基于 Kerberos 的安全功能,通过双向信任关系将目录树中的域透明地连接在一起。这些信任关系可以是永久性的(不能被删除),也可以是暂时的。换句话说,如果域 A 信任域 B,而域 B 信任域 C,则域 A 信任域 C。

目录树中的所有域共享所有对象类型的正式定义(称为“架构”)。此外,任何给定目录树中的所有域还共享全局编录 (GC)。GC 是目录树中对象的中央储存库。

每个目录树也可以由邻接的名称空间表示。例如,如果公司的根域为“company.com”,则可以给销售和技术支持部门创建单独的域,它们的域名分别为“sales.company.com”和“support.company.com”。这些域称为子域。与 Windows NT 4.0 不同,每个域自动生成信任关系。

在最高一级,可以将单独的目录树分成一组形成“目录林”。可使用目录林,将组织中的不同部门,甚至不同组织组合到一起。这些部门不必共享相同的命名架构并且独立运作,但彼此之间可以进行通信。目录林中的所有目录树共享相同的架构、全局编录和配置容器。再者,基于 Kerberos 的安全功能在目录树之间提供了信任关系。

Windows 2000 目录服务的另一个优点是,无需重新安装整个服务器操作系统,即可卸载 Active Directory。要想使一个成员服务器成为 DC,您只需运行 DCPROMO 工具来添加 Active Directory 服务器即可。要想删除 Active Directory 服务器,您同样只需运行 DCPROMO 工具即可。

回到顶端

物理结构

域控制器和站点是处理局域网配置物理结构的两个基本组件。

与 Windows NT 4.0 不同,仅由运行 Windows 2000 的计算机组成的网络没有主域控制器 (PDC) 和备份域控制器 (BDC)。在 Windows 2000 环境中,将所有参与网络管理的服务器均看作是域控制器。域控制器 (DC) 存储目录数据库的复制副本,并且域中控制器之间的复制是自动完成的。

对于跨多个地理位置的企业网络,要了解目录数据库复制对域控制器和网络性能的影响,了解广域网设计和结构的含义是非常重要的。

回到顶端

名称空间

名称空间是有特定边界的指定区域,可以在此处解析分配给计算机的逻辑名称。名称空间的主要用途是组织资源的说明,使用户按其特性或属性来查找资源。可以使用给定名称空间的目录数据库找到某个对象,而无需知道它的名称。如果用户知道某个资源的名称,就可以查询有关该对象的有用信息。

尤其要注意的是,名称空间的设计最终决定了:随着目录数据库的增长,它对用户到底有多大用处。排序和搜索算法不能解决逻辑目录设计中的缺陷

在逻辑层次上,Windows 2000 Active Directory 只不过是另一个名称空间。在 Active Directory 中,两个主要信息类型存储:

• 对象的逻辑位置。
• 有关该对象的属性列表。
可以给这些对象分配属性(如电话号码、房间位置等等),并可用这些属性查找目录数据库中对象的位置。随着 Active Directory 架构的扩大(修改),使用属性进行搜索就变得越来越重要了。当将对象、对象类和/或这些对象的属性添加到目录数据库中时,对于目录用户而言,它们的结构决定了它们的用途。

目录树中的每个容器和对象都有一个唯一的名称。这些名称空间是目录树中所有容器和对象、或分支和叶对象的完全路径。对象在目录树中的位置决定了其可分辨的名称。

对象的可分辨名称 (DN) 包含从特定名称空间的顶层到整个目录树层次结构的完整路径。因为 DN 对于组织目录数据库非常有用,但对于记住该对象没有帮助,所以在 Active Directory 中也使用相对可分辨的名称 (RDN)。RDN 是对象名的一部分,也是对象本身的一个属性。

很多网络使用的名称空间是基于当前 Internet 上使用的域名系统 (DNS)。这种 DNS 关系有助于确定 Active Directory 目录树的形状以及对象彼此之间的关系。域控制器项目是可分辨名称中列出的域,而公用名称 (CN) 项目则是针对目录中用户对象的特定路径。

回到顶端

全局编录

全局编录包含目录中每个 Windows 2000 域的部分副本,它是由 Active Directory 复制系统自动创建的。这样,只要给出目标对象的一个或几个属性,用户和应用程序就可以在 Active Directory 域目录树中找到这些对象。全局编录还包含目录分区的架构和配置。这就是说,全局编录存储 Active Directory 中每个对象的副本,但只存储它们的很少一部分属性。全局编录中的属性是搜索操作中那些最常使用的属性(如用户的名和姓、登录名等等),这些属性是查找对象完整副本位置所必需的。

使用这种公用信息,用户可以很快找到要找的对象,而无需知道这些对象在哪个域中,也不要求知道企业中相邻的扩展名称空间。如果在全局编录中找不到该对象,则搜索功能将查询本地域分区以获得信息。

您可以使用架构管理器工具更改架构,并定义在全局编录中存储哪些属性。由于对所有全局编录服务器进行的更改都要复制全局编录,所以出于性能和维护的目的,最好限制本地分区中存储的属性数量。

回到顶端

DNS 与 AD 的集成

DNS 和 Active Directory 的集成是 Windows 2000 Server 的一个核心特征。DNS 域和 Active Directory 域对不同的名称空间使用完全相同的域名。即使两个名称空间共享相同的域结构,它们也是不同的名称空间,了解这一点是非常重要的。每个名称空间存储不同的数据并管理不同的对象。DNS 使用区域和资源记录,而 Active Directory 使用域和域对象。

例如,如果对象的某个属性是服务器的完全合格域名(如 SERVER1.SALES.MYCOMPANY.COM),Active Directory 就会向 DNS 查询该服务器的 TCP/IP 地址,Windows 2000 请求者随后可以建立与该服务器的 TCP/IP 会话。

Active Directory 与 DNS 的集成是这样实现的:每个 Active Directory 服务器将自己的地址发布在 DNS 主机上的服务资源记录中。

回到顶端

全球唯一标识符

因为网络中的每个对象必须用唯一的属性来标识,所以 Active Directory 通过将全局唯一标识符 (GUID) 与每个对象关联起来实现这一点。即使对象的逻辑名称被更改,也应保证这个号码是唯一的且永远不会被目录数据库更改。当用户或应用程序首次在目录中创建可分辨的名称 (DN) 时,就会生成 GUID。

回到顶端

复制

虽然 Windows NT 4.0 中的网络结构基于 PDC 和 BDC 模型,但是 Windows 2000 网络上的所有服务器均用作域控制器 (DC),并且彼此之间没有主次之分。对于 Active Directory,所有 DC 在站点中自动复制,并支持多主机复制,以复制所有域控制器的 Active Directory 信息。由于引入了多主机复制,管理员可以更新域中任何 Windows 2000 域控制器上的 Active Directory。

多主机数据库复制还有助于控制何时将更改同步,哪些信息是最新的,以及何时停止数据复制以避免重复和冗余。为确定哪些信息需要更新,Active Directory 使用 64 位更新顺序号 (USN)。这些号码创建后与所有的属性相关联。每次更改一个对象之后,其 USN 都会递增并与属性一起保存。

每个 Active Directory 服务器都保留站点内所有复制伙伴的最新 USN 的表格。该表格包括每个属性的最高 USN。 当达到复制时间间隔时,则每个服务器只请求那些 USN 比列在自己表格中的 USN 大的更改。

有时,在复制所有的更改之前,可能在两个不同的 Active Directory 服务器上对同一属性进行了更改。这就会导致复制冲突。必须将其中一个更改声明为更准确的更改,并将此更改用作所有其他复制伙伴的复制源。为解决这种潜在的问题,Active Directory 使用了整个站点的属性版本号 (PVN) 值。当发生起始写入操作时,PVN 就会递增。起始写入操作就是直接在某个特定 Active Directory 服务器上发生的写入操作。

当在不同位置的具有相同的 PVN 的两个或多个属性值被更改时,接收更改的 Active Directory 服务器就会对每个更改的时间戳进行检查,并使用最新的一个进行更新。此问题的最重要分枝是网络中心时钟的安装和维护。

另一个复制问题就是循环。Active Directory 可使管理员配置多个路径以达到冗余的目的。为了避免更改无止境地更新下去,Active Directory 在每个服务器上创建 USN 对的列表。这些列表被称为最新矢量 (UDV)。它们保存每个起始写入操作的最高 USN。每个 UDV 均列出在其所在的站点中的所有其他服务器。当发生复制时,请求服务器就把自己的 UDV 发送到发送服务器。每个起始写入操作的最高 USN 都可用来确定是否仍需要复制更改。如果 USN 号码相同或更高,则不需要进行更改,因为请求的服务器已经被更新了。

回到顶端

组的更改

Active Directory 的逻辑规划过程的另一个方面就是组的概念。在 Windows NT 4.0 中,管理员可以使用两个基本的组类型,即本地和全局。考虑到这种结构固有的限制,Windows 2000 为网络管理员提供了以下组,其功能更强大并且灵活性更高: • 作用域为本地的组(也称为“本地组”)
• 作用域为域本地的组(也称为“域本地组”)
• 作用域为全局的组(也称为“全局组”)
• 作用域为通用的组(也称为“通用组”)
一个值得注意的重要修改是,全局组现在可以包含其它的全局组。虽然全局组仍用于收集用户,但是它能够将一个组放在另一个组之内,从而使管理员可以将它们放在目录林的任何地方,使得维护非常方便。但是,全局组只能包括来自 Active Directory 目录林中某个域的用户和组。

因为很多网络混用 Windows 2000 和 Windows NT 4.0 服务器,所以在创建组之前,必须确定网络上域的数量和类型以及哪些域是混合模式,哪些域是本地模式: • 混合模式域。默认情况下,Windows 2000 操作系统以混合模式网络配置进行安装。混合模式域是网络上的一组计算机,它们同时运行 Windows NT 4.0 和 Windows 2000 域控制器。(混合模式域也可以只运行 Windows 2000 域控制器。)
• 本地模式域。当域只包含 Windows 2000 Server 域控制器时,可以将该域转换成本地模式。

通用组(Windows 2000 的新增功能)可以包含目录林中任何目录树中的所有其它组和用户,并且可以与目录林中任何访问控制列表 (ACL) 一起使用。

可以组合使用全局组、域本地组和通用组,以控制对网络资源的访问。全局组的基本用途是把用户组织到代表其相应域的管理容器之中。通用组可以用于包括来自各种域的全局组,进而在授予权限时进一步管理域层次结构。可以全局组添加到通用组中,然后给资源在物理上所在域本地组分配权限。使用这些方法创建组,管理员就可以在每个域的全局组中添加或删除用户,对整个企业资源的访问进行控制,而无需在多个位置进行更改。

网友(4):

很多初级网管员对全局组、域本地组、通用组之间区别、关系比较模糊。对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。

全局组:可以全局使用。即:可在本域和有信任关系的其它域中使用,体现的是全局性。MS建议的规则:基于组织结构、行政结构规划。

域本地组:只能在本域的域控制器DC上使用。MS建议的规则:基于资源(夹、打印机……)规划。

在域的混合模式下,只能把全局组加入到域本地组,即AGDLP原则。

注意:2000/03域的默认模式为:混合模式。则域本地组:只能在本域的域控制器DC上使用。若域功能级别转成本机模式(或称2000纯模式),甚至03模式,域本地组可在全域范围内使用。

说明:全局组和域本地组的关系,非常类似于域用户帐号和本地帐号的关系。域用户帐号,可以全局使用,即在本域和其它关系的其它域中都可以使用,而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明(以混合模式下为例):
例1:将用户张三(域帐号Z3)加入到域本地组administrators中,并不能使Z3对非DC的域成员计算机有任何特权,但若加入到全局组Domain Admins中,张三就是域管理员了,可以在全局使用,对域成员计算机是有特权的。
例2:只有在域的DC上,对资源(如:文件/夹)设置权限,你可以指派域本地组administrators;但在非DC的域成员计算机上,你是无法设置域本地组administrators的权限的。因为它是域本地组,只能在DC上使用。

通用组:组的成员情况,记录在全局目录GC中,非常适于林中跨域访问使用。集成了全局组和域本地组的长处。

网友(5):

活动目录中的组

全局组(Global Groups);

域本地组(Domain Local Groups);

通用组(Universal Groups):通用组一般用于多域的情况,通用组的成员信息保存在GC中。尽量避免通用组直接包含用户账号成员,而使用全局组作为通用组的成员。

在域中使用组的策略

使用A-G-DL-P策略;

使用A-G-G-DL-P策略;

使用A-G-U-DL-P策略。

这里,A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。其余类推。