在windows server 2003的網絡環境之中,活動目錄(Active Directory)提供組織,管理和控制網絡資源的各種功能。
現在我們就來認識一下活動目錄:
1.1 Active Directory 的基本概念
什麼是目錄呢?這個在我們的日常生活中隨處可以看到的,比如我們手機裏的電話簿它裏面記錄着我們身邊經常聯繫的人的電話號碼,姓名,地址,生日等信息,這就是電話目錄,從裏面我們可以很容易的找到我們想要的信息:還有我們都在用的computer,它的裏面有很多的文件系統——file system裏面記錄着文件的名字,大小,日期,存儲的位置等等,這就是所謂的文件目錄。
如果像我們上面說的兩個目錄能夠事先系統的整理好的話,我們就能很輕鬆地,快速地找到我們所需要的信息數據,通過提供這種服務來提高我們的日常工作效率,這就是所說的目錄服務。
在我們的windows Server 2003域中的目錄是用來存儲用戶賬戶,用戶組,打印機,共享文件夾等等對象的,在這裏我們把這些對象的存儲地方叫做(目錄數據庫 directory database )。在windows Server 2003的域內負責提供目錄服務的組件那就是我們現在所說的活動目錄(Active Directory),在這裏它負責目錄數據庫的保存,新建、刪除,修改和查詢等服務。
1.1.1 Active Directory的適用範圍
它的適用範圍是很廣泛的,比如我們經常接觸的計算機,還有就是我們組建的小型局域網,還有我們經常用到的廣域網。
1.1.2 Active Directory的命名
在windows server 2003的域內,活動目錄其實就是一個命名空間。利用活動目錄我們可以在這個域內查找我們想要的對象的所有信息。
1.1.3 對象跟屬性
在這個域內所有的資源都是以對象的形式存在,像我們的用戶,應用程序,打印機,等等都是對象,我們的這些對象都是用所謂的屬性來描述其特徵的,這就是說對象的本身就是一些屬性的集合。
1.1.4 容器和組織單位
容器跟我們上面說的對象很相似,它有自己的名稱,也是一些屬性的集合。
組織單位在活動目錄裏是一個比較特殊的容器,它除了可以包含其他對象跟OU外,還有組策略的功能。
1.1.5 域樹
所謂的域樹就是把許多個域想象成樹狀的形式存在。它包含有根域,還有其子域。如圖所示:
1.1.6 信任
在windows server 2003中,兩個域之間必須建立了信任關係,才能訪問到對方域內的資源。任何一個windows server 2003的域只要加入到這個域樹後,都會自動的雙向信任這個域樹內的所有的域。
1.1.7 域林
如果我們的網絡裏包含有多個域樹的話,那它就形成了我們所說的域林啦!
1.1.8 活動目錄的架構
在活動目錄內所有的對象類和屬性數據都是定義在架構內的。在一個林內所有的域樹都使用相同的架構。
1.1.9 域控制器和Active Directory複製
Active Directory存儲在域控制器中,當一臺域控制器內的Acitve Directory的數據發生變化後,其他的域控制器也會跟着變動。
Active Directory數據庫複製分爲兩種模式:
1:多主機複製模式
2:單主機複製模式
1.1.10 輕型目錄訪問協議
輕型目錄訪問協議(Lightweight Directory Access Protocol )是一種用來查詢和更新Active Directory的目錄服務協議。
1.1.11 全局編錄
在windows server 2003中,全局編錄負責存儲對象的部分屬性,還負責提供用戶登錄時,該登錄用戶的所隸屬的萬用組數據。在一個林內的所有域樹共享相同的全局編錄,系統在默認情況下會把林內的第一臺域控制器設置成全局編錄。也可以另外指定域控制器作爲全局編錄。
1.1.12 站點
站點是由一個或數個IP子網所組成,這些子網之間是通過高速且可靠地鏈接串接起來的,子網之間的鏈接速度要夠快,穩定且符合需要,否則應將它們分別規劃爲不同的站點。
1.2 域功能和林功能
1.2.1域功能的級別 : windows 2000混合模式 windows 2000原始模式 windows server 2003模式
1.2.2 林功能級別 :windows 2000 windows server 2003過渡版 windows server 2003
1.3 目錄分區
Active Directory數據庫被邏輯地分爲多個目錄分區(Directory Partition),它們分別是:
Schema Directory Partition 存儲着整個林中所有對象和屬性的定義數據,還存儲着如何建立這些對象和屬性的規則。
Congiguration Directory Partition 存儲着整個Active Directory的結構,如有哪些域,有哪些站點,有哪些域控制器等數據。
Domain Directory Partition 在每一個域各有一個,存儲着該域內的對象。
Application Directory Partition 這個一般是由應用程序所建立的,用來存儲與此應用程序有關的數據。