部署Active Directory 目录服务 Active Directory存储了网络对象大量的相关信息,网络用户和应用程序可根据不同的授权使用在Active Directory中发布的有关用户、计算机、文件和打印机等信息。Active Directory支持 LDAP v2和LDAP v3,能够与其他供应商的目录服务互操作。Active Directory实际上是一种用于组织、管理和定位网络资源的企业级工具。对于 Windows网络来说,规模越大,需要管理的资源越多,建立 Active Directory目录服务也就越有必要。 Active Directory 基础 1.Active Directory 的功能 Active Directory提供了一种组织方式并简化了计算机网络系统中资源的访问。作为一种增强性目录服务,它具有下列功能。 l 数据存储,也称为目录,它存储着与 Active Directory 对象有关的信息。这些对象包括共享资源,如服务器、文件、打印机、网络用户和计算机账户。 l 包含目录中每个对象信息的全局编录。允许用户和管理员查找目录信息,而与目录中实际包含数据的域无关。 l 查询和索引机制的建立,可以使网络用户或应用程序发布并查找这些对象及其属性。 l 通过网络分发目录数据的复制服务。对目录数据所做的任何更改都被复制到域中的所有域控制器。 l 与网络安全登录过程的安全子系统的集成,以及对目录数据查询和数据修改的访问控制。 l 提供安全策略的存储和应用范围,支持组策略来实现网络用户和计算机的集中配置和管理。 2.Active Directory 对象 与其他目录服务器一样,Active Directory以对象为基本单位,采用层次结构来组织管理对象。这些对象包括网络中的各项资源,如用户、计算机、打印机和应用程序等。AD对象以层次结构组织,可分为两种类型。一类是容器对象,即可以包含下层对象的对象;另一类是非容器对象,即不能包含下层对象的对象。每个对象均有一组属性,用来记录该对象的特性。对象与属性的关系相当于数据库中的记录和字段之间的关系。每个对象都可通过多种不同的名称引用。Active Directory 根据对象创建或修改时提供的信息,为每个对象创建RDN和规范名称。例如,在abc.com 域、unit1 组织单位中名为mycomputer 的计算机的DN 是“CN=mycomputer, OU=unit1, DC=abc, DC=com”。如果采用规范名称(DN 的另一种表示方法),则表示为“abc.com/unit/1mycomputer”。除此之外,用户账户还具有一个称为UPN(用户主体名称)的名称。UPN是一个友好的名称,比 DN短并且容易记忆...
