在上一篇對活動目錄有個基本了解之後下面我就來接觸一下活動目錄實質上的一面——活動目錄的結構。上篇我們講到活動目錄是包括兩方面:目錄和目錄相關的服務。目錄是存儲各種對象的一個物理上的容器,與我們平常所說的目錄沒什麼區別,目錄管理的基本對象是用戶 計算機 文件以及打印機等資源。而目錄服務是使目錄中所有信息和資源發揮作用的服務,如用戶和資源管理 基於目錄的網絡服務 基於網絡的應用管理,它才是WIN2K活動目錄的關鍵和精髓所在。目錄服務是WIN2K網絡操作系統的核心支柱,也是中心管理機構,所以目錄服務的引入對整個操作系統帶來了革命性的變化,不僅系統平台上的各基礎模塊,比如網絡安全機制 用戶管理模塊等發生了變化,而且上層應用的運作方式以及開發模式也有了相應的變化。這樣來理解“活動目錄”是不是覺得更加容易?
同時活動目錄是一個分布式的目錄服務,因為信息可以分散在多台不同的計算機上,保證各計算機用戶快速訪問和容錯;同時不管用戶從何處訪問或信息處在何處,對用戶都提供統一的視圖,使用戶覺得更加容易理解和掌握WIN2K系統的使用。活動目錄集成了WIN2K服務器的關鍵服務,如域名服務(DNS),消息隊列服務(MSMQ),事務服務(MTS)等。在應用方面活動目錄集成了關鍵應用,如電子郵件 網絡管理 ERP等。要理解活動目錄,我們必須從它的邏輯結構和物理結構入手。
一 活動目錄的邏輯結構
“邏輯”兩個字相信大家平時見的比較多,如我們常說的“邏輯思維 邏輯分析”等,也許大家一講到“邏輯”兩個字就覺得十分抽象,難以理解。其實我們在這裡所講的“邏輯結構”,我覺得還是很好理解的,“邏輯”一般與“物理”是對等的,我們知道“物理上的”是指實實在在的,那麼“邏輯上的”不就是指非物理上的,非實體的東西,它是一種抽象的東西,比如講一種“關系” 一個“空間 范圍”等。在第一篇我們講過活動目錄的邏輯結構非常靈活,有目錄樹 域 域樹 域林等,這些名字都不是實實在在的一種實體,只是代表了一種關系,一種范圍,如目錄樹就是由同一名字空間上的目錄組成,而域又是由不同的目錄樹組成,同理域樹是由不同的域組成,域林是由多個域樹組成。它們是一種完全的樹狀 層次結構視圖,這種關系我們可以看成是一種動態關系。邏輯結構還與前面討論過的名字空間有直接關系,邏輯結構為用戶和管理員在一定的名字空間中查找 定位對象提供了極大方便。活動目錄中的邏輯單元主要包括:
1 域 域樹 域林
域既是WIN2K網絡系統的邏輯組織單元,是對象(如計算機 用戶等)的容器,這些對象有相同的安全需求 復制過程和管理,這一點對於網管人員應是相當容易理解的。在WIN2K中域中所有的域控制器都是平等的(這一點與WINNT4.0不一樣,沒有主 副之分),域是安全邊界,域管理員只能管理域的內部,除非其他的域顯式地賦予他管理權限,他才能夠訪問或管理其他的域。每個域都有自己的安全策略,以及它與其他域的安全信任關系。在這裡就涉及到了不同域之間的信任關系及傳遞關系,下面就具體講一下WIN2K中的域信任關系。