|
Active Directory(简称AD)是用于Windows 2000 Server的目录服务,它存储有关网络对象的信息,例如,用户、组、计算机、共享资源、打印机和联系人等,并使管理员和用户可以方便地查找和使用网络信息。AD目录服务使用结构化的数据存储作为目录信息逻辑层次结构的基础。
Active Directory包括两个方面的内容:目录和目录服务。
 目录是存储有关网络上对象信息的层次结构。
目录服务,例如,Active Directory提供了用于存储目录数据并使该数据可由网络用户和管理员使用的方法。
Windows 2000 Server的活动目录是一个分布式的目录结构,不管用户从哪里访问分散在多台计算机中信息,对用户都提供统一的视图。
Active Directory是由组织(OU)、域(Domain)、域树(Tree)、域林(Forest)构成的层次结构。该层次结构使网络容易扩展、便于组织、管理和目录定位。
1. 域(domain )
域是Windows 2000目录服务的基本管理单位,是Active Directory的核心单元,是帐户和网络资源的集合。域的最大好处就是它的单一网络登录能力。它把一个域作为一个完整的目录,域之间能通过一种可传递的信任关系建立起树状连接,任何用户只要在域中有一个帐户,就可以漫游整个网络。
2. 域树和域林
一个域可以是其他域的子域或父域,多个域就构成一颗树,称为域树。如果创建的新域是已存在域的子域,即多个域有连续的DNS域名。Windows 2000的活动目录与域名系统(DNS)紧密集成,即活动目录的名称空间采用DNS的名称空间结构。在DNS名字结构中,由“.”分开DNS名字的各个部分,每个部分代表DNS层次结构树中的一个结点,也代表Windows 2000域中的一个活动目录域名。域树中的第一个域称作根域(root),如图7-2-1所示。root.com是根域,child是root.com的子域,grandchild是child.root.com的子域。域树中的每个域共享相同的配置、对象和全局目录,具有相同的DNS域名后缀,从而实现了连续的域名空间。
多个域树就构成域林,树林中的域树不形成连续的域名空间,每棵域树可以有自己独立的DNS名称。
3. 域信任关系
域信任关系是建立在两个域之间的关系,它使一个域中的用户由另一域中的域控制器验证。所有域信任关系在关系中只能有两个域:信任域和受信任域,如图7-2-2所示。
在Windows2000中,所有信任关系都是可传递的而且是双向的。如果A域信任B域且B域信任C域,则域中的用户(授予适当权限时)可以访问A域中的资源。
在域树中创建域时,相邻域(父域和子域)之间自动建立信任关系。域树或域林中新创建的 Windows 2000 域可以立即与域树或域林中每个其他Windows 2000 域建立信任关系。因为这些信任关系是可传递的,所以可以在域树或树林中的任何域之间进行用户和计算机的身份验证。
4. 组织单位(Organizational Unit)
域可以划分成组织单位,组织单位是一个逻辑单位,它是域中一些用户和组、文件与打印机等资源对象的集合。组织单位中还可以再划分下级组织单位,下级组织单位能够继承父单位的访问许可权,并且可以有自己单独的管理员和权限,从而可以实现对资源和用户的分级管理。
组织单位可用于组织、管理一个域内的对象,可以包含用户帐号、用户组、计算机和其他组织单位,但不能包括来自其他域的对象。组织单位是可以指派组策略或委派管理的最小作用域。
| 
收藏
推荐
评论(0条)
