ActiveDirectory

1 Activ e Directory 相关知识 1.1Activ e Directory 概述 活动目录（Active Directory 简称AD），是从win2000 开始引入的操作系统的重要组件。AD 可以认为是一个大的层次结构数据库，用来集中存储企业内部的用户帐户、计算机、打印机、应用程序、安全性与系统原则等各种重要资源。AD 允许网络用户通过单一登录就可以访问网络中任何位置的许可资源。 从开发人员角度看 AD，可以理解 AD 是一种存放了应用程序所需要的特定资源信息的“数据库”。 AD 还对这些资源信息的读取和查询进行了优化，而且它允许通过大量的用户定义以满足特定的商业和组织需要。 1.2 几个相关术语简介 1.2.1 容器和非容器 AD 中的资源信息被组织成一个层次结构。这个层次结构中的每一个实体都被简称为对象。换句话说，AD 中创建对象时，是把它们创建在一个层次结构中的。该结构由两种类型的对象组成：Container(容器)和非 Container(非容器)。容器可容纳非容器或下一级的容器。而非容器则不再包含其他对象，因此也常被成为叶或叶子对象。在安装完活动目录后，操作系统已经默认自动创建了很多的Container，如 Users, Builtin 1.2.2 OU OU 是Organizational Unit(组织单元或部门)的缩写。OU 是容器对象，它主要从逻辑的角度来管理和组织活动目录域。可在其中放置用户、组、计算机、打印机、共享文件夹以及一个域内的其他部门。部门（在 Active Directory 用户和计算机界面中用文件夹表示）允许按逻辑关系组织并存储域中的对象。如果有多个域，则每个域均可实现各自独立的部门层次。 如下图所示，部门中也可包含其他部门。 1.2.3 Naming Contex t AD 被分成许多部分，称之为分区或者命名上下文（Naming Contex t，简称NC）。在AD 中包含了三个命名上下文（Naming Contex t，NC）：域命名上下文（Domain NC）、配置命名上下文（Configu ration NC）和架构命名上下文（Schema NC）。Domain NC 用于保存用户、组和组织单元的相关信息。Configu ration NC 用于保存整个域森林中的配置数据信息，如域控制器（DC）、站点（site）、子网（su bnet）、站点连接及其他配置对象。而 Schema NC负责保存与在活动目录中能够创建的所有的对象和属性集相关的数据。 1.2.4 AD 架构 AD 架构（Schema，又译做架构）是定义对象种类和对象信息类型的定义集，它存储在Activ e Directory 中。这些定义本身也作为对象存储，以...