域名专题 - Windows2000活动目录逻辑结构(转)
Windows9X的优点于一身,并在此基础上发展了许多新的特性和功能.如智能镜像、终端服务、分布式文件系统、磁盘定
额、DNS增强以及活动目录等等。其中最重要的特性是活动目录。
活动目录包括两方面:目录和目录相关的服务。目录是存储各种对象的一个物理上的容器,目录管理的基本对象是用
户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务,如用户和资源管理、基于
目录的网络服务、基于网络的应用管理。活动目录是一个分布式的目录服务。信息可以分散在多台不同的计算机上,保证
快速访问和容错;同时不管用户从何处访问或信息处在何处,对用户都提供统一的视图。在当今网络计算的爆炸性增长的
Internet时代,微软活动目录还广泛地采用了Internet标准,给用户带来了几乎无穷无尽的益处。活动目录集成了关键服
务,如域名服务(DNS),消息队列服务(MSMQ),事务服务(MTS)等;集成了关键应用,如电子邮件、网管、ERP等;同时
还集成了当今的关键的数据访问,如ADSI,OLE DB等。
由此看来,活动目录是Windows2000网络体系结构必不可少的、不可分割的重要组件,可以这样说:没有活动目录,就
没有Windows2000。所以理解活动目录,对于理解Windows2000的整体价值是十分重要的。要理解活动目录。我们必须从它
的逻辑结构和物理结构入手。在此,我为大家介绍活动目录的逻辑结构。
1、 层次化的目录结构
图 1 活动目录层次结构
如图1所示,Windows2000的活动目录是由组织单元(OU)、域(Domain)、域树(Tree)、森林(Forest)构成的层次结构。
活动目录为每个域建立一个目录数据库的副本,这个副本只存储用于这个域的对象。如果多个域之间有相互关系,它们可
以构成一个域树。在每个域树中,每个域都拥有自己的目录数据库副本存储自己的对象,并且可以查找域树中其它目录数
据库的副本。多个域树构成了森林。Windows2000活动目录的这种层次结构使得企业网络具有很强的扩展性,便于组织、管
理以及目录定位。这一点,NT4.0的域模型,不论是多主域模型还是完全信任域模型都无法与Windows2000活动目录结构模
型相比。Windows2000活动目录更适合企业的目录服务。
2、面向对象的存储
正如前面所提到的,活动目录以对象的形式存储关于网络元素的信息,对象是对象类(模式:对象schema Object)的
一个实例,而每个对象类都有很多属性,这些属性描述了某种对象类的特殊特征。这使得组织机构可以在目录中存储广泛
的信息,从而便于组织、管理和控制对它的访问。这种面向对象的存储机制同时也实现了对象的安全,因为对象的属性被
封装在对象内部。当然,所有这些对象都有一个全局唯一的标志。
3、域、域树、森林
域是NT活动目录的核心单元,是对象(如计算机、用户等)的容器,这些对象有相同的安全需求、复制过程和管理。
在域中,所有的域控制器都是平等的。活动目录以多主复制模型在域控制器间实现目录复制。一个域可以是其它域的子域
或父域,这些子域、父域构成了一棵树------域树。域树实现了连续的域名空间,域树上的域共享相同的DNS域名后缀。域
树的第一个域是该域树的根(root),域树中的每一个域共享共同的配置、模式对象、全局目录(Global catalog)。多棵
域树就构成了森林。森林中的域树不共享连续的命名空间。森林中的每一域树拥有它自己的唯一的命名空间。在森林中创
建的第一棵域树缺省地被创建为该森林的根树(Root Tree)。
4、使用包容结构建立组织模型
组织单元是组织、管理一个域内的对象的容器,它能包容用户帐号、用户组、计算机、打印机 和其它的组织单元。很
明显,通过组织单元的包容,组织单元具有很清楚的层次结构。这种包容结构可以使管理者把组织单元切入到域中以反应
出企业的组织结构并且可以委派任务与授权。建立包容结构的组织模型能够帮助我们解决许多问题,同时仍然可以使用大
型的域、域树中每个对象都可以显示在全局目录,从而用户就可以利用一个服务功能轻易地找到某个对象而不管它在域树
结构中的位置。
从上面我们对活动目录的逻辑结构的介绍,我们可以看出:活动目录的这种层次结构能帮助我们简化管理、加强网络
安全、轻易地查找所需要的对象和资源,在大型企业网络环境下我们再也不会因为找不到共享资源而头痛。