ADSI (Active Directory Services Interface)

[活动目录（Active Directory）]

活动目录（Active Directory）是由Microsoft创造的用于提供一些网络服务的技术：
1. LDAP-like的目录服务。
2. Kerberos-based的认证
3. DNS-based命名和其他网络信息

目录服务是一个用来提供一个分层的存放对象的结构，以便于快速方面的访问和操作。在目录服务之前，网络资源主要以计算机名、工作组或域的方式组织的。如果需要一个文件，不仅要知道文件名，也需要知道文件存放的服务器和路径。文件服务给用户和管理员提供了定位资源的方法，而不论这些资源是在什么地方，无论对象是文件夹、文件、打印机还是服务。

在Windows环境下，活动目录可以允许管理员对于一个组织指定规则、配置软件和进行重要的升级。活动目录在一个集中的数据库中保存信息和设置。

活动目录最初出现在1999年，首先在Windows 2000服务器版中发布。在Windows Server 2008中改名为Active Directory Domain Services（活动目录域服务）。

一个活动目录结构是一个对象的分层框架。对象主要有3类：资源（如打印机）、服务（如email）和用户（用户帐号和组）。活动目录提供了这些对象的信息，组织这些对象，并且控制访问和设置的安全性。

每一个对象代表着一个实体（无论是用户，计算机，打印机或组）和他的属性。一些对象可以是其他对象的容器。一个对象由它的名字唯一标识，且有着由Schema定义的一个属性的集合。

[分布式安全]

随着系统的扩大，帐号和密码的管理是个头痛的问题。活动目录利用Kerberos认证和单点登入(Single Sign-On, SSO)作为缺省的认证机制。用户不再需要多个的用户在企业中访问资源了。通过kerberos，每个用户对于一些资源和服务拥有有一定的权限，系统根据这些权限来实现分布式的安全和单点登入。

[用户管理（Management）]

活动目录充当了所有用户和计算机相关信息的单个存储池，从而可以简化用户管理。

[分布式管理（Administration）]

尽管活动目录集中了关于资源，用户和计算机的信息，但它却分散了管理。活动目录结构是层次的和分割的，意味着特定的服务可以存储在自己的容器中或者相关对象的容器中。可以对这些容器指定权限来定义管理员访问的权限。

[X.500和LDAP]

目录服务并不是新技术，它的前任是X.500规范。这个规范目的在于定义开放的、跨平台的分布式目录服务。X.500位于在OSI7层模型的应用层。X.500由若干个组件数据库组成充当一个实体，叫做Directory Information Base (IDB)。X.500的局限性在于它没有与IP集成。X.500规范中用于访问存储在目录中的协议是Directory Acess Protocol （DAP）。它
的轻量级协议是Lightweight Directory Access Protocol（LDAP）。LDAP已经成为ileIETF的标准，并且对它的前任做了一些改进。

LDAP依赖于TCP/IP协议栈，而不是整个OSI协议栈。所以IP客户端可以使用LDAP来查询LDAP兼容的目录服务。另外LDAP能实现hyper-search，一个目录可以跳转到其他的目录请求数据。LDAP API是基于C的。

LDAP支持Kerberos认证，Simple Authentication Security Layer (SASL)和Secure Sockets Layer (SSL)。

Microsoft活动目录不是基于X.500，但是很自然地以X.500的方式建模它的活动结构。活动目录利用LDAP作为它的访问协议，所以对所有支持LDAP的所有平台是开放的。活动目录也依赖于DNS作为它的定位服务，从而允许客户端通过DNS查询来定位域名控制器。

[命名规则]

活动目录必须要支持某种命名的模式，实际上活动目录支持多种的命名模式。首先是User Principal Names (UPN)，RFC 822规范，为Internet e-mail地址和其他Internet服务所使用。例如jim@techrepublic.com。

LDAP名字用来查询活动目录。活动目录支持LDAP V2和V3命名规则。

[DNS]

活动目录依赖于DNS作为它的主要服务定位器，但DNS并不仅仅是用来定位域控制器的机制。域控制器定位器使用DNS或NetBIOS来定位域控制器，所以即使是Windows 2000计算机使用DNS用来辨识，他们还是有NetBIOS名字。

当Windows 2000 域控制器启动，他会注册它的DNS名字和NetBIOS名字。它使用DDNS在DNS中注册LDAP相关的SRV记录，这样LDAP客户端就可以通过LDAP查询来定位域控制器。域控制器也注册Kerberos V5认证协议相关的SRV记录，这样客户端可以定位那些运行kerberos key Distribution Center (KDC)服务的服务器。

[活动目录作为数据库]

活动目录是一个分布式的数据库，此外它代表着一个数据库管理系统，因为它提供了管理、查看和操作活动目录中的数据的方法。活动目录的层次包括：

Security Account Manger (SAM)|LDAP|      Replication
     Core Directory Service Agent (DSA)
               Database Layer
         Extensible Storage Engine (ESE)

ESE由定义目录结构的两个表组成，是客户不可见的。 Database Layer包含了定义活动目录内容的三张表：
1. Schema Table；定义了能够在这个目录中创建的对象类型。
2. Link Table；存储了定义对象之间是如何相关的。
3. Data Table；包含了对象数据，如用户帐户，组，应用数据等。

[活动目录对象]

活动目录中的对象既可以是其他对象的容器，也可以是叶子对象。活动目录中的对象具有属性。例如一个用户对象有密码属性，名字属性或者电话号码属性。

属性可以是可选的，但有些是强制的，例如Globally Unique Identifier (GUID)。当一个对象被创建的时候，活动目录为它指定一个128位的GUID。

活动目录中的对象为Access Control Lists （ACLs）所保护。

[活动目录模式（Schema）]

活动目录的模式是定义活动目录和它包含对象的规则。模式控制着命名结构、数据类型、对象类型等等。

 

[参考]

 

1. http://en.wikipedia.org/wiki/Active_Directory_Service_Interfaces

2. http://msdn.microsoft.com/en-us/library/aa772170(VS.85).aspx

3. http://articles.techrepublic.com.com/5100-10878_11-1060540.html?tag=rbxccnbtr1