介绍 |
活动目录服务是Windows 2000操作系统平台的中心组件之一。理解活动目录对于理解Windows 2000的整体价值是非常重要的。这篇关于活动目录服务所涉及概念和技术的介绍文章描述了活动目录的用途,提供了对其工作原理的概述,并概括了该服务为不同组织和机构提供的关键性商务及技术便利。
今天,对于在商业运作中保持竞争力而言,网络化计算变得比以往任何时候都更为重要。为此,就要求现代化的操作系统具有管理存在于构成网络环境所需分布式资源中的一致性和关联性的机制。目录服务提供一定空间,用于存储与基于网络的实体相关的信息,例如应用程序、文件、打印机和人员。同时,该服务也提供用于命名、描述、定位、存取、管理及保证独立资源信息安全性的一致性方法。
更形象地说,目录服务在网络操作系统中扮演着一个接线总机的角色。它是通过对一致性进行管理,并调度那些分布式资源间关联,从而使它们共同工作的中心授权机构。由于目录服务提供这些基础的网络操作系统功能,它必须与用于管理和提供安全性的操作系统机制紧密结合在一起,从而保证网络的完整性和保密性。同时,目录服务也在组织机构的下列能力中发挥至关重要的作用,这些能力包括:定义和维护网络基础构件的能力,执行系统管理的能力以及控制一家公司信息系统中全部用户经验的能力
对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。随着局域网(LAN)、广域网(WAN)规模与复杂性的不断提高和这些网络不断被连入Internet,以及应用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上,对目录服务的需求也日渐增多。基于下列原因,目录服务成为扩展的计算机系统中最重要的部件之一:
简化管理 提供对用户、应用程序和设备的单一、一致性的管理点。 加强安全性 向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使他们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。 扩展的互操作性 向所有活动目录特性提供基于标准的存取方式以及对通用目录的同步支持。
目录服务兼任管理工具和用户工具。随着网络中对象数量的增加,目录服务变得必不可少。目录服务在一个庞大的分布式系统中发挥着网络集线器的作用。致力于这些需求,Windows 2000 服务器版引入了活动目录--即一套用于改进Windows网络操作系统管理、安全性和互操作性的完整的目录服务集。
活动目录是Windows 2000网络体系结构中一个基本且不可分割的部分。它在Windows NT 4.0操作系统的域结构基础上改进而成,并提供了一套为分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。
总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。
许多厂家在他们的应用程序中建立了专用的知识库或目录服务并设计特殊的功能来满足客户的需求。例如,电子邮件产品包含使用户能够寻找对方和向其发送邮件的目录服务。同时,服务器操作系统使用目录服务实现诸如用户账号管理和存储应用程序配置信息等功能。由于这些目录服务仅能勉强达到应用程序或设备的需要且往往缺乏基于标准化的界面,大多数公司发现他们必须负责维护许多不能集中管理或相互之间不能轻松实现交互操作的不同的目录。使用众多不兼容的目录服务意味着:
终端用户必须使用多个用户账号和密码以便登录到不同的系统,并且他们必须知道信息在网络中的精确位置。 管理员必须懂得如何管理网络中的每一个目录且必须在操作过程中重复许多步骤,例如,向公司中添加一个新的雇员这种操作就需要涉及许多不同的目录。 应用程序开发者必须为他们开发的应用程序中需要访问的每一个目录书写不同的逻辑。
定制目录服务工作量的增加直接导致所有者成本的不断提高:需要更庞大的管理,必须编写更复杂的应用程序,并且对终端用户的工作效率产生负面影响。换句话说,公司需要找到一种途径来终止这种趋势并使在以往巩固工作中建立起来的目录总数最小化。总的来说,最佳的解决方案是实现基于技术的标准化以提供可伸缩的需求层次、基于标准的互操作和操作系统集成。
活动目录是第一个企业级的目录服务,它具有伸缩性,并使用基于Internet的技术从底层向上建立起来,且完全与操作系统集成在一起。除了向Windows应用程序提供全面的目录服务外,活动目录被设计为隔离、移植、集中管理和减少公司目录数量的集合点。这使得活动目录成为集体信息共享和公用网络资源管理的理想而长期的基础,包括应用程序、网络操作系统和支持目录的设备。
下面章节给出了活动目录核心技术的概述。有关这些资料的详细表述是一个可用的Windows媒体事件,可以通过下面的链接章节进行访问。
活动目录允许组织机构按照层次式的、面向对象的方式存储信息,并且提供支持分布式网络环境的多主复制机制。
层次式组织
活动目录使用对象来代表诸如用户、组、主机、设备及应用程序这样的网络资源。它使用容器来代表组织(如市场部)或相关对象的集合(如打印机)。它将信息组织为由这些对象和容器组成的树结构,这与Windows操作系统用目录和文件来组织一台计算机上信息的方法非常类似。
图1:活动目录使用层次化方式组织信息以简化网络的使用和管理
此外,活动目录通过提供单一、集中、全面的视图来管理对象集合和容器集合间的联系。这使得资源在一个高度分布式的网络中更容易被定位、管理和使用。活动目录的层次式结构具有灵活性并且可以进行配置,因此,组织机构能够按照一种优化自身可用性和管理能力的方法对资源进行组织。
在图1中,容器用来代表用户、主机、设备和应用程序的集合。容器可以被嵌套(在一个容器中创建另一个容器),从而精确反映公司内部的组织结构。在这个例子中,市场和人力资源组织容器代表它们各自的部门以及它们在公司内部的相互联系。将对象组织在目录中允许管理员在一个宏观层次上(作为集合)管理对象而非采取一对一的方式。这种方式在允许组织机构根据其自身商务运作来安排网络管理的同时,更增加了管理的效率和准确性。
面向对象的存储
如前所述,活动目录用对象的形式存储有关网络元素的信息。这些对象可以被设置属性来描述对象的特征。这种方式允许公司在目录中存储各种各样的信息并且密切控制对信息的访问。
图2:活动目录的对象和属性被访问控制列表所保护
如图2所示,对象和属性级安全性允许管理员精确控制对存储在目录中的信息访问。例如,一个为Bob Jones创建的存储在目录中的用户对象拥有用于记录Bob的姓名、电子邮件地址、电话号码和社会保险号码的属性。活动目录允许管理员为对象的每一个属性和对象自身分配访问权限。在这个例子中,系统管理员允许对Bob Jones对象进行全局访问,却封闭了对其社会保险号码的访问。
多主复制
为了在分布式环境中提供高性能、可用性和灵活性,活动目录使用多主复制。如下图3所示,这种机制允许组织机构创建被称作目录复制的多个目录拷贝,并把它们放置在网络中的各个位置上。网络中任一位置上的变更都将自动被复制到整个网络上(这与单主复制机制相反,在单主复制中,所有变更必须针对单一的、授权的目录复制)
图3:活动目录通过支持多主复制实现灵活性、高可用性和性能
例如,完全同步的目录复制能够使活动目录在广域网(WAN)中的每个位置上均可使用。因为用户可以使用本地目录服务而非在广域网中漫游来定位资源,该过程能够向用户提供更高速的网络性能。根据可用的管理资源情况,这些相同的目录可在本地或远程进行管理。
完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力,这样可以:
简化管理任务 加强网络安全性 通过互操作使用现存网络
分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。例如,活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。基于下列原因,活动目录可以从以下方面帮助公司简化管理:
消除冗余管理任务 提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。 降低桌面系统的行程 针对用户在公司中所担当的角色自动向其分发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。 更好的实现IT资源的最大化 安全地将管理功能分派到组织机构的所有层次上。 降低总体拥有成本(TCO) 通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。
活动目录如何简化管理
以层次化组织用户和网络资源,活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务,同时,通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。
图4:活动目录简化了网络资源的管理
活动目录允许管理员分派特定的管理权限和任务给单独的用户和组,以便更好地使用系统管理资源。如上图所示,特定的管理任务,例如重新设置用户密码,可以被分派给市场机构的办公室管理员。更多的特权功能,如"创建用户",可以为IT管理员保留。
活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分发给他们。例如,一个公司可以指定职员容器中的所有用户(无论是从哪里登录到网络上的)均可使用人力资源管理应用程序。活动目录集中存储这些信息,同时,应用智能镜像管理技术自动安装所分配的应用程序,并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。
除了使网络管理对于管理员而言更加容易外,活动目录同时也使每个人对网络的使用都变得更加容易。例如,用户为了找到诸如打印机这样的网络资源可以直接查询目录。由于目录能够存储对象的属性,它可以存储组织机构中打印机的位置和能力信息并使这些属性成为查询标准--以至于用户可以通过Windows的"开始"菜单直接查询"六号建筑物中的彩色打印机"。此外,目录可以从桌面计算机的操作系统中查阅安装一台新打印机所需的全部配置信息--以至于当用户找到所需的打印机时,便可立即使用它。
强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。例如,对多身份验证协议(如Kerberos,X.509认证以及由灵活的访问控制模型组成的智能卡)的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安全性:
改进了密码的安全性和管理 通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。 保证桌面系统的功能性 通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问,例如软件安装或注册项编辑。 加速电子商务的部署 通过提供对安全的Internet标准协议和身份验证机制的内建支持,如Kerberos, 公开密钥基础设施(PKI)和安全套接字协议层(SSL)之上的轻便目录访问协议(LDAP)。 紧密的控制安全性 通过对目录对象和构成他们的单独数据元素设置访问控制特权。
活动目录如何增强安全性
Windows 2000 服务器最主要的结构优势之一便是它对活动目录以及活动目录中实现新层次上数据保护的先进安全特征的集成。这对于通过Internet进行商务活动的组织机构尤为重要。
图5:活动目录在简化访问过程的同时还提供了可用于Internet的安全服务以保护数据
如图5所示,活动目录充当管理用户身份和网络资源控制访问验证的中央授权机构。它支持一系列用于在登录到Windows 2000这一层次之上证明身份的验证机制,包括Kerberos, x.509认证以及智能卡。一旦用户通过身份验证并登录,系统中的所有资源便被保护起来,同时,用户的访问根据一个单一的身份验证模型被准许或拒绝。这就意味着组织机构不必使用两种方法进行资源访问,其中一种方法针对通过内部网络登录的用户,而另一种方法则针对通过Internet上数字认证访问资源的用户。
另外,活动目录缺省支持完全集成的公开密钥基础设施(PKI)和Internet安全协议--如安全套接字协议层(SSL)之上的LDAP协议--来允许组织机构安全地将选定目录信息扩展到防火墙之外,以便将其提供给外部网络用户和电子商务用户。这样,通过允许管理员使用相同的工具和步骤来维护桌面系统用户、远程拨号用户和外部电子商务客户的访问控制和用户权限,活动目录加强了安全性并加速了电子商务的部署。
许多公司都有变化多样却又必须协同工作的技术集合。为此,许多企业的网络也拥有同等多样化的独立目录集合,这些目录集合作为电子邮件服务器、应用程序、网络设备、防火墙、电子商务应用程序等的组成部分而存在。活动目录为应用程序集成和开放同步机制提供了一套标准接口,以确保Windows能够与众多的应用程序和设备互操作。活动目录因具有下列功能而扩展了系统的互操作性:
利用现有的投资并确保灵活性。适应全部特性且基于标准的接口能够为将来的应用程序和基础结构利用现有投资并确保灵活性。 加强对多重应用程序目录的管理。在使用开放接口、连接器及同步机制的情况下,组织机构将能够加强包括有Novell NDS、LDAP、ERP、电子邮件及其它关键任务应用程序的目录。 允许组织机构布署具备目录功能的网络。来自诸如Cisco和3COM等领先供应商的网络设备能够通过目录来使管理员指定服务质量并根据用户在公司中所担当的角色为其分配网络带宽。 允许组织机构开发并部署具备目录功能的应用程序。通过使用全部可扩展的目录架构,开发者将能够开发应最终用户需求而量身定制的应用程序。
活动目录如何扩展互操作性
为将不同的系统结合在一起并增强目录及管理任务,活动目录提供了一个中枢集成点。上述功能是依靠将Windows 2000目录特性通过诸如LDAP、ADSI、JADSI及MAPI等基于标准的接口尽数开放来实现的,因此,公司能够加强现有的目录,并开发具备目录功能的应用程序和基础结构。关于Microsoft如何在其自身的产品线中使用活动目录特性的一个范例就是Microsoft Exchange。Exchange服务器已与活动目录相集成,以使公司能够在同一位置管理Windows 2000用户帐号和Exchange邮箱。
图6:活动目录通过开放接口、连接器及同步机制为集成和扩展系统提供了一个平台
如图6所示,活动目录也为具备目录功能的应用程序提供一个开发平台。这就使应用程序开发者能够控制根据用户在公司中所担当角色而设计的应用程序的行为。例如,具备目录功能的应用程序能够参考目录中的用户简介,并根据该用户的工作职能为其提供特定的菜单选项和功能。这样一来,人事部门的用户将能够在人力资源管理应用程序中看到"改变工资"菜单选项,而财务部门的用户则不能看到该选项,即使这两个用户共享一台电脑。
正如组织机构能够改进其目录服务和应用程序协同工作的方式一样,他们也同样能够改进其网络硬件和软件与目录服务协同工作的方式。通过为具备目录功能的网络提供一个平台,活动目录使公司能够将网络资源分配同其商务处理需求相互匹配起来。特别应指出的是,管理员能够根据用户的业务需要为其分配相应的网络带宽。例如,管理员能够创建一个策略,以确保财务部门的用户在月末忙于结帐时能够分配到额外的网络带宽。
活动目录的益处能够向Windows环境的外延扩展。活动目录中的开放同步机制确保了Windows平台上众多应用程序和设备的互操作性。例如,对LDAP、DirSync及ADSI接口的本地支持使诸如Cisco、SAP、BAAN、及3COM等领先供应商能够将其产品与活动目录相集成,以提供对跨平台产品简化且强大的管理功能。
今天,关于人员、应用程序和资源的信息遍布于大多数企业的信息系统之中。网络已从对互联设备的松散集成发展为由相互依存的资源所组成的复杂生态系统。为此,网络操作系统所要提供的服务将远远不止是简单的网络文件与打印服务。网络操作系统目前需要对分布式网络资源间的关系进行透明化管理。
Windows 2000中的活动目录服务为管理和保护Windows的用户帐号、客户及应用程序提供了一个焦点。此外,活动目录被设计成能与现有系统、应用程序及设备中的非Windows目录相兼容,以提供单一的空间和稳定的方式来管理整个网络基础结构。这样,活动目录通过减少管理员管理目录信息所需的空间以使组织机构现有的投资得到升值,同时,全面降低电算化成本。
转载于:https://blog.51cto.com/limy123/75575
1488
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
