av网站免费线看精品_国产做a爱视频免费不_深爱激情网开心五月天_伊人五月天在线视频网

 
Windows 2000活動目錄詳解之結(jié)構(gòu)篇
發(fā)布時間:2005-03-17   瀏覽次數(shù):1234905
[ 來源:動網(wǎng) |作者:佚名 .] . 在上一篇對活動目錄有個基本了解之后下面我來接觸一下活動目錄實質(zhì)上的一面——活動目錄的結(jié)構(gòu)。上篇我們講到活動目錄是包括兩方面:目錄和目錄相關(guān)的服務(wù)。目錄是存儲各種對象的一個物理上的容器,與我們平常所說的目錄沒什么區(qū)別,目錄管理的基本對象是用戶、計算機、文件以及打印機等資源。而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù),如用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理,它才是WIN2K活動目錄的關(guān)鍵和精髓所在。目錄服務(wù)是WIN2K網(wǎng)絡(luò)操作系統(tǒng)的核心支柱,也是中心管理機構(gòu),所以目錄服務(wù)的引入對整個操作系統(tǒng)帶來了革命性的變化,不僅系統(tǒng)平臺上的各基礎(chǔ)模塊,比如網(wǎng)絡(luò)機制、用戶管理模塊等發(fā)生了變化,而且上層應(yīng)用的運作方式以及開發(fā)模式也有了相應(yīng)的變化。這樣來理解“活動目錄”是不是覺得更加容易?   同時活動目錄是一個分布式的目錄服務(wù),因為信息可以分散在多臺不同的計算機上,保證各計算機用戶快速訪問和容錯;同時不管用戶從何處訪問或信息處在何處,對用戶都提供統(tǒng)一的視圖,使用戶覺得更加容易理解和掌握WIN2K系統(tǒng)的使用;顒幽夸浖闪薟IN2K服務(wù)器的關(guān)鍵服務(wù),如域名服務(wù)(DNS),消息隊列服務(wù)(MSMQ),事務(wù)服務(wù)(MTS)等。在應(yīng)用方面活動目錄集成了關(guān)鍵應(yīng)用,如電子郵件、網(wǎng)絡(luò)管理、ERP等。要理解活動目錄,我們必須從它的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)入手! ∫、活動目錄的邏輯結(jié)構(gòu)  “邏輯”兩個字相信大家平時見的比較多,如我們常說的“邏輯思維、邏輯分析”等,也許大家一講到“邏輯”兩個字覺得十分抽象,難以理解。其實我們在這里所講的“邏輯結(jié)構(gòu)”,我覺得還是很好理解的,“邏輯”一般與“物理”是對等的,我們知道“物理上的”是指實實在在的,那么“邏輯上的”不是指非物理上的,非實體的東西,它是一種抽象的東西,比如講一種“關(guān)系”、一個“空間、范圍”等。在篇我們講過活動目錄的邏輯結(jié)構(gòu)非常靈活,有目錄樹、域、域樹、域林等,這些名字都不是實實在在的一種實體,只是代表了一種關(guān)系,一種范圍,如目錄樹是由同一名字空間上的目錄組成,而域又是由不同的目錄樹組成,同理域樹是由不同的域組成,域林是由多個域樹組成。它們是一種完全的樹狀、層次結(jié)構(gòu)視圖,這種關(guān)系我們可以看成是一種動態(tài)關(guān)系。邏輯結(jié)構(gòu)還與前面討論過的名字空間有直接關(guān)系,邏輯結(jié)構(gòu)為用戶和管理員在一定的名字空間中查找、定位對象提供了極大方便。活動目錄中的邏輯單元主要包括:  1、域、域樹、域林  域既是WIN2K網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元,是對象(如計算機、用戶等)的容器,這些對象有相同的需求、復(fù)制過程和管理,這一點對于網(wǎng)管人員應(yīng)是相當(dāng)容易理解的。在WIN2K中域中所有的域控制器都是平等的(這一點與WINNT4.0不一樣,沒有主、副之分),域是邊界,域管理員只能管理域的內(nèi)部,除非其他的域顯式地賦予他管理權(quán)限,他才能夠訪問或管理其他的域。每個域都有自己的策略,以及它與其他域的信任關(guān)系。在這里涉及到了不同域之間的信任關(guān)系及傳遞關(guān)系,下面具體講一下WIN2K中的域信任關(guān)系! ∮蚺c域之間具有一定的信任關(guān)系,域信任關(guān)系使得一個域中的用戶可由另一域中的域控制器進行驗證,才能使一個域中的用戶訪問另一個域中的資源。所有域信任關(guān)系中只有兩種域:信任關(guān)系域和被信任關(guān)系域。信任關(guān)系是域A信任域B,則域B中的用戶可以通過域A中的域控制器進行身份驗證后訪問域A中的資源,則域A與域B之間的關(guān)系是信任關(guān)系。被信任關(guān)系是被一個域信任的關(guān)系,在上面的例子中域B是被域A信任,域B與域A的關(guān)系是被信任關(guān)系。信任與被信任關(guān)系可以是單向的,也可以是雙向的,即域A與域B之間可以單方面的信任關(guān)系,也可以是雙方面的信任關(guān)系。而在域中傳遞信任關(guān)系不受關(guān)系中兩個域的約束,是經(jīng)父域向上傳遞給域目錄樹中的下一個域,也是說如果域A信任域B,則域A也信任域B下面的子域域B1、域B2……,傳遞信任關(guān)系總是雙向的:關(guān)系中的兩個域互相信任(是指父域與子域之間)。默認情況下,域目錄樹或目錄林(目錄林可以看做是同一域中的多個目錄樹組成)中的所有WiIN2K 信任關(guān)系都是傳遞的。通過大大減少需管理的委托關(guān)系數(shù)量,這將在很大程度上簡化域的管理! IN2K中的域傳遞信任關(guān)系一般是系統(tǒng)自動的,但對于相同域目錄樹或林中的WiIN2K域,也可以顯式(手工)地創(chuàng)建傳遞信任關(guān)系。這對于形成交叉鏈接信任關(guān)系是非常重要的。不傳遞信任關(guān)系受關(guān)系中兩個域的約束,并且不經(jīng)父域向上傳遞到域目錄樹中的下一個域。必須顯式地創(chuàng)建不傳遞信任關(guān)系。默認情況下,不傳遞信任關(guān)系是單向的,盡管也可以通過創(chuàng)建兩個單向信任關(guān)系創(chuàng)建一個雙向關(guān)系。所有不屬于相同域目錄樹或林中WiIN2K 域間建立的委托關(guān)系都是不傳遞的。所有WiIN2K域和WINNT域之間的委托關(guān)系都是不傳遞的,這一點對于一個企業(yè)同時使用WIN2K和WINNT域控制器時應(yīng)特別注意,當(dāng)從 WindowsNT升級到WiIN2K時,所有已現(xiàn)有的WindowsNT信任關(guān)系都將保持不變。在混合模式的網(wǎng)絡(luò)中,所有WindowsNT信任關(guān)系都是不傳遞的。WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和MITKerberosV5領(lǐng)域單向單向信任關(guān)系是單獨的委托關(guān)系。雙向信任關(guān)系包括一對單向委托關(guān)系,所有傳遞信任關(guān)系都是雙向的。為使不傳遞信任關(guān)系成為雙向,必須在所涉及的域間創(chuàng)建兩個單向信任關(guān)系! 2、組織單元(OU)  組織單元(OU)是一個容器對象,它也是活動目錄的邏輯結(jié)構(gòu)的一部分,我們可以把域中的對象組織成邏輯組,它可以幫助我們簡化管理工作。OU可以包含各種對象,比如用戶賬戶、用戶組、計算機、打印機等,甚至可以包括其他的OU,所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結(jié)構(gòu)。對于企 業(yè)來講,可以按部門把所有的用戶和設(shè)備組成一個OU層次結(jié)構(gòu),也可以按地理位置形成層次結(jié)構(gòu),還可以按功能和權(quán)限分成多個OU層次結(jié)構(gòu)。很明顯,通過組織單元的包容,組織單元具有很清楚的層次結(jié)構(gòu),這種包容結(jié)構(gòu)可以使管理者把組織單元切入到域中以反應(yīng)出企業(yè)的組織結(jié)構(gòu)并且可以委派任務(wù)與授權(quán)。建立包容結(jié)構(gòu)的組織模型能夠幫助我們解決許多問題,同時仍然可以使用大型的域、域樹中每個對象都可以顯示在全局目錄,從而用戶可以利用一個服務(wù)功能輕易地找到某個對象而不管它在域樹結(jié)構(gòu)中的位置! ∮捎贠U層次結(jié)構(gòu)局限于域的內(nèi)部,所以一個域中的OU層次結(jié)構(gòu)與另一個域中的OU層次結(jié)構(gòu)沒有任何關(guān)系。因為活動目錄中的域可以比NT4的域容納更多對象,所以一個企業(yè)有可能只用一個域來構(gòu)造企業(yè)網(wǎng)絡(luò),這時候我們可以使用OU 來對對象進行分組,形成多種管理層次結(jié)構(gòu),從而極大地簡化網(wǎng)絡(luò)管理工作。組織中的不同部門可以成為不同的域,或者一個組織單元,從而采用層次化的命名方法來反映組織結(jié)構(gòu)和進行管理授 權(quán)。順著組織結(jié)構(gòu)進行顆;墓芾硎跈(quán)可以解決很多管理上的頭疼問題,在加強中央管理的同時,又不失機動靈活性! INNT4.0中的很多域都可以成為OU,建立起更大的域和更簡化的域關(guān)系,借助全局目錄(GlobalCatalog),用戶和管理員仍然能夠迅速地找到對象和管理對象。 WIN2K可以在現(xiàn)存的WINNT4.0的環(huán)境中工作,保護現(xiàn)有的投資! 《、活動目錄的物理結(jié)構(gòu)  進制-活動目錄中,物理結(jié)構(gòu)與邏輯結(jié)構(gòu)有很大的不同,它們是彼此獨立的兩個概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)資源的管理,而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化;顒幽夸浀奈锢斫Y(jié)構(gòu)主要著眼于活動目錄信息的復(fù)制和用戶登錄網(wǎng)絡(luò)時的性能優(yōu)化。物理結(jié)構(gòu)的兩個重要概念是站點和 域控制器! 1、站點  站點是由一個或多個IP子網(wǎng)組成,這些子網(wǎng)通過高速網(wǎng)絡(luò)設(shè)備連接在一起。站點往往由企業(yè)的物理位置分布情況決定,可以依據(jù)站點結(jié)構(gòu)配置活動目錄的訪問和復(fù)制拓撲關(guān)系,這樣能使得網(wǎng)絡(luò)更有效地連接,并且可使復(fù)制策略更合理,用戶登錄更快速, 活動目錄中的站點與域是兩個完全獨立的概念,一個站點中可以有多個域,多個站點也可以位于同一域中! 』顒幽夸浾军c和服務(wù)可以通過使用站點提高大多數(shù)配置目錄服務(wù)的效率?梢酝ㄟ^使用活動目錄站點和服務(wù)向活動目錄發(fā)布站點的方法提供有關(guān)網(wǎng)絡(luò)物理結(jié)構(gòu)的信息,活動目錄使用該信息確定如何復(fù)制目錄信息和處理服務(wù)的請求。計算機站點是根據(jù)其在子網(wǎng)或一組已連接好子網(wǎng)中的位置指定的,子網(wǎng)提供一種表示網(wǎng)絡(luò)分組的簡單方法,這與我們常見的郵政編碼將地址分組類似。將子網(wǎng)格式化成可方便發(fā)送有關(guān)網(wǎng)絡(luò)與目錄連接物理信息的形式,將計算機置于一個或多個連接好的子網(wǎng)中充分體現(xiàn)了站點所有計算機必須連接良好這一標(biāo)準(zhǔn),原因是同一子網(wǎng)中計算機的連接情況通常優(yōu)于網(wǎng)絡(luò)中任意選取的計算機。使用站點的意義主要在于: 。1)、提高了驗證過程的效率  當(dāng)客戶使用域帳戶登錄時,登錄機制首先搜索與客戶處于同一站點內(nèi)的域控制器,使用客戶站點內(nèi)的域控制器首先可以使網(wǎng)絡(luò)傳輸本地化,加快了身份驗證的速度,提高了驗證過程的效率! 。2)、平衡了復(fù)制頻率  活動目錄信息可在站點內(nèi)部或站點與站點之間進行信息復(fù)制,但由于網(wǎng)絡(luò)的原因,活動目錄在站點內(nèi)部復(fù)制信息的頻率高于站點間的復(fù)制頻率。這樣做可以平衡對目錄信息需求和可用網(wǎng)絡(luò)帶寬帶來的限制。您可通過站點鏈接來定制活動目錄如何復(fù)制信息以指定站點的連接方法,活動目錄使用有關(guān)站點如何連接的信息生成連接對象以便提供有效的復(fù)制和容錯。 。3)、可提供有關(guān)站點鏈接信息  活動目錄可使用站點鏈接信息費用,鏈接使用次數(shù),鏈接何時可用以及鏈接使用頻度等信息確定應(yīng)使用哪個站點來復(fù)制信息,以及何時使用該站點。定制復(fù)制計劃使復(fù)制在特定時間(諸如網(wǎng)絡(luò)傳輸空閑時)進行會使復(fù)制更為有效。通常,所有域控制器都可用于站點間信息的交換,但也可以通過指定橋頭堡服務(wù)器優(yōu)先發(fā)送和接收站間復(fù)制信息的方法進一步控制復(fù)制行為。當(dāng)擁有希望用于站間復(fù)制的特定服務(wù)器時,寧愿建立一個橋頭堡服務(wù)器而不使用其他可用服務(wù)器;蛟谂渲檬褂么矸⻊(wù)器時建立一個橋頭堡服務(wù)器,用于通過防火墻發(fā)送和接收信息! 2、域控制器  域控制器是指運行WIN2KServer版本的服務(wù)器,它保存了活動目錄信息的副本。域控制器管理目錄信息的變化,并把這些變化復(fù)制到同一個域中的其他域控制器上,使各域控制器上的目錄信息處于同步。域控制器也負責(zé)用戶的登錄過程以及其他與域有關(guān)的操作,比如身份鑒定、目錄信息查找等一個域可以有多個域控制器。規(guī)模較小的域可以只需要兩個域控制器,一個實際使用,另一個用于 容錯性檢查。規(guī)模較大的域可以使用多個域控制器! IN2K的域結(jié)構(gòu)與WINNT的域結(jié)構(gòu)不同的是,活動目錄中的域控制器沒有主次之分,活動目錄采用了多主機復(fù)制方案,每一個域控制器都有一個可寫入的目錄副本,這為目錄信息 容錯帶來了無盡的好處。盡管在某一個時刻,不同的域控制器中的目錄信息可能有所不同,但一旦 活動目錄中的所有域控制器執(zhí)行同步操作之后,的變化信息會一致! ”M管活動目錄支持多主機復(fù)制方案,然而由于復(fù)制引起的通信流量以及網(wǎng)絡(luò)潛在的沖 突,變化的傳播并不一定能夠順利進行。因此有必要在域控制器中指定全局目錄服務(wù)器以及操 作主機。--全局目錄是一個信息倉庫,包含活動目錄中所有對象的一部分屬性,往往是在查詢過 程中訪問最為頻繁的屬性。利用這些信息,可以定位到任何一個對象實際所在的位置,而全局目 錄服務(wù)器是一個域控制器,它保存了全局目錄的一份副本,并執(zhí)行對全局目錄的查詢操作。全局 目錄服務(wù)器可以提高活動目錄中大范圍內(nèi)對象檢索的性能,比如在域林中查詢所有的打印機操 作。如果沒有一個全局目錄服務(wù)器,那么這樣的查詢操作必須要調(diào)動域林中每一個域的查詢過 程。如果域中只有一個域控制器,那么它是全局目錄服務(wù)器如果有多個域控制器,那么管理員 必須把一個域控制器配置為全局目錄控制器. 來源:http://edu.chinaz.com
立即預(yù)約