Windows 2000活动目录详解之结构篇
2016-01-29 20:24
Windows 2000活动目录详解之结构篇,Windows 2000活动目录详解之结构篇
同时活动目录是一个分布式的目录服务,因为信息可以分散在多台不同的计算机上,保证各计算机用户快速访问和容错;同时不管用户从何处访问或信息处在何处,对用户都提供统一的视图,使用户觉得更加容易理解和掌握WIN2K系统的使用。活动目录集成了WIN2K服务器的关键服务,如域名服务(DNS),消息队列服务(MSMQ),事务服务(MTS)等。在应用方面活动目录集成了关键应用,如电子邮件、网络管理、ERP等。要理解活动目录,我们必须从它的逻辑结构和物理结构入手。
一、活动目录的逻辑结构
“逻辑”两个字相信大家平时见的比较多,如我们常说的“逻辑思维、逻辑分析”等,也许大家一讲到“逻辑”两个字就觉得十分抽象,难以理解。其实我们在这里所讲的“逻辑结构”,我觉得还是很好理解的,“逻辑”一般与“物理”是对等的,我们知道“物理上的”是指实实在在的,那么“逻辑上的”不就是指非物理上的,非实体的东西,它是一种抽象的东西,比如讲一种“关系”、一个“空间、范围”等。在第一篇我们讲过活动目录的逻辑结构非常灵活,有目录树、域、域树、域林等,这些名字都不是实实在在的一种实体,只是代表了一种关系,一种范围,如目录树就是由同一名字空间上的目录组成,而域又是由不同的目录树组成,同理域树是由不同的域组成,域林是由多个域树组成。它们是一种完全的树状、层次结构视图,这种关系我们可以看成是一种动态关系。逻辑结构还与前面讨论过的名字空间有直接关系,逻辑结构为用户和管理员在一定的名字空间中查找、定位对象提供了极大方便。活动目录中的逻辑单元主要包括:
1、域、域树、域林
域既是WIN2K网络系统的逻辑组织单元,是对象(如计算机、用户等)的容器,这些对象有相同的安全需求、复制过程和管理,这一点对于网管人员应是相当容易理解的。在WIN2K中域中所有的域控制器都是平等的(这一点与WINNT4.0不一样,没有主、副之分),域是安全边界,域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或管理其他的域。每个域都有自己的安全策略,以及它与其他域的安全信任关系。在这里就涉及到了不同域之间的信任关系及传递关系,下面就具体讲一下WIN2K中的域信任关系。
域与域之间具有一定的信任关系,域信任关系使得一个域中的用户可由另一域中的域控制器进行验证,才能使一个域中的用户访问另一个域中的资源。所有域信任关系中只有两种域:信任关系域和被信任关系域。信任关系就是域A信任域B,则域B中的用户可以通过域A中的域控制器进行身份验证后访问域A中的资源,则域A与域B之间的关系就是信任关系。被信任关系就是被一个域信任的关系,在上面的例子中域B就是被域A信任,域B与域A的关系就是被信任关系。信任与被信任关系可以是单向的,也可以是双向的,即域A与域B之间可以单方面的信任关系,也可以是双方面的信任关系。
而在域中传递信任关系不受关系中两个域的约束,是经父域向上传递给域目录树中的下一个域,也就是说如果域A信任域B,则域A也就信任域B下面的子域域B1、域B2……,传递信任关系总是双向的:关系中的两个域互相信任(是指父域与子域之间)。默认情况下,域目录树或目录林(目录林可以看做是同一域中的多个目录树组成)中的所有WiIN2K 信任关系都是传递的。通过大大减少需管理的委托关系数量,这将在很大程度上简化域的管理。
WIN2K中的域传递信任关系一般是系统自动的,但对于相同域目录树或林中的WiIN2K域,也可以显式(手工)地创建传递信任关系。这对于形成交叉链接信任关系是非常重要的。不传递信任关系受关系中两个域的约束,并且不经父域向上传递到域目录树中的下一个域。必须显式地创建不传递信任关系。默认情况下,不传递信任关系是单向的,尽管也可以通过创建两个单向信任关系创建一个双向关系。所有不属于相同域目录树或林中WiIN2K 域间建立的委托关系都是不传递的。所有WiIN2K域和WINNT域之间的委托关系都是不传递的,这一点对于一个企业同时使用WIN2K和WINNT域控制器时应特别注意,当从 WindowsNT升级到WiIN2K时,所有已现有的WindowsNT信任关系都将保持不变。在混合模式的网络中,所有WindowsNT信任关系都是不传递的。WiIN2K
