| Active Directory服务和Windows 2000或Windows Server 2003域(1) |
| 责任编辑:admin 更新日期:2005-8-6 |
|
|
第 1 部分涉及以下主题:
- 域层级
- Windows 2000 和 Windows Server 2003 域
- 信任关系
第 2 部分涉及以下主题:
- 管理边界
- Active Directory 交互
- 模拟域层级
- 编录域(目录分区)
- 分区目录
- 获取有关其他域中的对象的信息
- 编录企业(全局编录)
- 结束语
此信息摘自 Active Directory Services for Microsoft Windows 2000 Technical Reference (《Microsoft Windows 2000 的 Active Directory 服务技术参考》)一书的第 3 章:Active Directory Services and Windows 2000 Domains(Active Directory 服务和 Windows 2000 域)。进一步了解 Active Directory Services for Microsoft Windows 2000 Technical Reference(《Microsoft Windows 2000 的 Active Directory 服务技术参考》) 。该书已得到更新,以包含有关 Microsoft Windows Server 2003 的信息。
Microsoft Windows 2000 或 Windows Server 2003 域结构及其相关联的对象与它们的 Windows NT 4 前身有显著的不同,反映了 Active Directory 服务在 Windows 2000 或 Windows Server 2003 中的核心角色,以及使其成为可伸缩、面向企业的目录服务的设计要求。其中有些方面的改动很明显,如转为采用可传递信任关系模型;而有些方面则改动很小,如引入组织单位。无论改动是否明显,要理解 Windows 2000 或 Windows Server 2003 域与 Active Directory 服务之间的交互及依赖关系,对它们进行说明都是极其重要的。Active Directory 模拟 Windows 2000 和 Windows Server 2003 域模型;反之亦然(如果您要反过来看的话)。无论如何,Windows 2000 或 Windows Server 2003 域和 Active Directory 都互相依赖,甚至由对方的特性定义。要理解 Windows 2000 或 Windows Server 2003 域和 Active Directory 服务之间这种密不可分的关系,就需要说明 Windows 2000 或 Windows Server 2003 域模型,以及它与 Active Directory 服务交互的方式。因此,本章将首先讲述 Windows 2000 和 Windows Server 2003 域模型,并探讨该模型为何与 Windows NT 域模型大相径庭。
Windows NT 4 域的伸缩性不好。虽然有很多粉饰这一事实的辩解,但简单的事实摆在面前:Windows NT 4 域模型采用单向非传递信任,在大型企业中实现需要大量管理开销。Windows 2000 或 Windows Server 2003 及其域模型就不存在这一缺陷,主要是因为采用了新的信任方法,但也因为整个域概念得到了改进,以符合轻量目录访问协议 (LDAP) 和域名服务 (DNS) 等行业标准。
域层级
在 Windows 2000 和 Windows Server 2003 网络中,用层级组织域。通过域采用这种新的层级方式,就诞生了林和树的概念。这些新概念,加上现有的域概念,可帮助组织更高效地管理 Windows 2000 和 Windows Server 2003 网络结构。
域
Windows 2000 和 Windows Server 2003 域模型的基本单位未变,仍旧是域。域是一种管理边界,在 Windows 2000 和 Windows Server 2003 中,域代表与 DNS 域对应的名称空间(将在第 4 章中讨论)。有关 Active Directory 服务如何与 DNS 交互的更多信息,请参阅第 6 章“Active Directory Services and DNS”(Active Directory 服务和 DNS)。
Windows 2000 或 Windows Server 2003 部署中创建的第一个域称为根域,顾名思义,它是域树中创建的所有其他域的根。(域树将在下一节讲述。)由于 Windows 2000 和 Windows Server 2003 域的结构与 DNS 域层级有紧密联系,因此 Windows 2000 和 Windows Server 2003 域与我们所熟悉的 DNS 域层级的结构类似。根域是类似于 microsoft.com 或 iseminger.com 这样的域;它们是其 DNS 层级的根,也是 Windows 2000 和 Windows Server 2003 域结构的根。
给定的 Windows 2000 和 Windows Server 2003 域层级中后续创建的域将成为根域的子域。例如,如果 msdn 是 microsoft.com 的子域,msdn 域将成为 msdn.microsoft.com。
正如您所看到的,Windows 2000 和 Windows Server 2003 要求域不是层级中的根域,就是子域。Windows 2000 和 Windows Server 2003 还要求在给定的父级域中,域名是唯一的;例如,根域 microsoft.com 不能有两个名为 msdn 的直接子域。但是,在整个域层级中,可以有两个名为 msdn 的域。例如,可以有 msdn.microsoft.com 和 msdn.devprods.microsoft.com;microsoft.com 名称空间只有一个名为 msdn 的子域,而 devprods.microsoft.com 名称空间也只有一个名为 msdn 的子域。
域背后的概念是逻辑分区。大多数组织规模大到需要多个 Windows 2000 或 Windows Server 2003 域时,都具有区分职能或工作重点的逻辑结构。通过将组织划分为多个单位(在美国企业中,有时成为部门),可以更容易地对组织进行管理。实际上,对组织被进行分区是为了提供更符合逻辑的结构,使得在组织的不同部门之间分配工作成为可能。换个角度看,当逻辑业务单位(部门)合并在一个更大实体(可能是一个企业)的保护伞下时,这些在逻辑上不同的部门就构建了一个更大的实体。虽然不同部门中的工作可能互相独立且互不相同,但是这些部门总体上构成了一个更大但逻辑周密的实体。在将 Windows 2000 和 Windows Server 2003 域组合为一个更大的连续名称空间实体(称为树)时,这一概念也适用。
树
树有时也称为域树,是 Windows 2000 和 Windows Server 2003 域的集合,构成了连续名称空间。在创建子域并将其与给定的根域相关联的同时,构建了域树。就技术定义来说,树是一个连续的 DNS 命名层级;从概念图看,域树的外观类似于倒置树(根域位于顶部),分支(子域)在下方展开。
通过创建域树,组织能够在自己的组织内部创建一个域的逻辑结构,并使域符合并反映 DNS 名称空间。例如,David Iseminger 和 Company 可以有一个名为 micromingers.iseminger.com 的 DNS 域,并且公司内部可能有多个逻辑部门,如销售、财会、生产等部门。这种情况下,域树的外观为如图 3-1 中所示。
图 3-1. micromingers.iseminger.com 的域树
注意 :阅读到此处,您可能会注意到处都有 iseminger.com 的字眼。这不是因为作者的意图,而是出于出版商所坚持的法律方面的考虑。“请不要使用可能会引起争议的域”,出版商说,“请只使用作者所有的域,或者没有实际意义的域。”作者的网址为 www.iseminger.com,所以只好在本书中到处使用这个域名。我有一些更新颖的名称,但是没办法,还是不要招惹律师为好。
这种公司内的逻辑部门组织非常适用于有一个 DNS 域的公司,但是对于有多个“公司”的大型企业来说,可能需要解决多个公司问题。这一问题可以通过使用 Windows 2000 和 Windows Server 2003 林得到解决。
林
有些组织可能有多个根域,如 iseminger.com 和 microsoft.com 等;但该组织本身是一个单个实体,如本例中虚构的 David Iseminger 和 Company。这种情况下,这些多个域树可以构成一个非连续的名称空间,称为林。林是构成给定的企业的一个或多个连续的域树层级。逻辑上讲,这也意味着其域树中仅有一个域的组织也可以被看作一个林。在本章后面讨论 Active Directory 与 Windows 2000 或 Windows Server 2003 域和林交互的方式时,这种区分将更为重要。
林模型使得未构成连续名称空间的组织能够在其合并的域结构中维护组织范围的连续性。例如,如果 David Iseminger 和 Company(即 iseminger.com)能够共同融资购买另一家称为 Microsoft 且拥有自己的目录结构的公司,这两个实体的域结构将可以合并到一个林中。使用单个林有三个主要优点。首先,信任关系的管理更易管理(使一个域树中的用户能够访问另一个树中的资源)。其次,全局编录集合了整个林的对象信息,这使得整个企业搜索成为可能。第三,Active Directory 架构适用于整个林。(有关架构的技术信息,请参阅第 10 章。)图 3-2 阐述了 iseminger.com 和 Microsoft 域结构的合并,它们的根域之间有一条连线,表明它们之间存在 Kerberos 信任并建立了林。(第 8 章将详细讲述 Kerberos 协议。)
虽然一个林可以包含多个域树,但是它代表一个企业。通过创建林,所有的成员域都可以共享信息(通过使用全局编录)。您可能想问:如何建立林内的域树,使得整个企业(由林表示)能够作为一个单位运作。这个问题问得好,下面将通过讲述信任关系来尽量回答这个问题。
信任关系
Windows NT 4 域和 Windows 2000 或 Windows Server 2003 域之间最重要的区别可能就是:同一个组织的域之间信任关系的应用和配置。Windows 2000 和 Windows Server 2003 中没有像 Windows NT 4 中那样建立单向信任网,而是实现了可以在整个(新)域树结构中上下流动的可传递信任。这一模型简化了 Windows 网络的管理,我将通过一个数字示例来进行阐述。下面的两个等式(注意:以下等式仅供说明,不用记)举例说明了每一方法所产生的管理开销;等式表示每个域信任方法所需要的信任关系的数量,其中 n 表示域的数目:
Windows NT 4 域--( n * ( n -1))
Windows 2000 或 Windows Server 2003 域--( n -1)
仅用于演示,我们以一个有几个域的网络为例,来对以下不同的域模型方法进行比较。(假定网络中有 5 个域,即以下公式中 n = 5。)
Windows NT 4 域:(5 * (5-1)) = 20 个信任关系
Windows 2000 或 Windows Server 2003 域:(5 - 1) = 4 个信任关系
图 3-2. Iseminger.com 和 Microsoft 的域树的合并
必须管理的信任关系数量之间有显著的差异,但这甚至不是新的域方法最主要的优点。对于 Windows 2000 和 Windows Server 2003 域,默认情况下会创建和实现信任。管理员仅只需安装域控制器,就可以使用信任了。信任关系的自动创建基于以下事实:即 Windows 2000 和 Windows Server 2003 域(与 Windows NT 4 域不同)通过层级形式创建;也就是说,在给定的域树中,只有一个根域和若干子域。这就使得 Windows 2000 和 Windows Server 2003 能够自动了解给定域树中包含哪些域,以及根域之间何时建立了信任关系;还能够自动了解林中包含哪些域树。
与此相反,在 Windows NT 域之间,管理员必须创建(并随后管理)信任关系,并且他们必须记住信任关系的流向(以及对任一域中的用户权限的影响)。区别非常明显:管理开销被削减为很小的一部分,而这样的信任的实现也更为直观,所有这些优点都是因为采用了新的信任模型以及域和域树的层级方法。
在 Windows 2000 和 Windows Server 2003 中,有三种类型的信任关系,分别满足域结构中的某一需要。向 Windows 2000 和 Windows Server 2003 域提供的信任关系如下:
可传递信任
可传递信任在两个域之间建立一种信任关系,这种信任关系可以流动到其他域,例如,如果域 A 信任域 B,域 B 信任 C,则域 A 必然信任域 C,反之亦然,如图 3-3 所示。
图 3-3. 三个域之间的可传递信任
由于不再需要管理单向非传递信任网,因此可传递信任可以极大地减少有关维护域之间的信任关系的管理开销。在 Windows 2000 和 Windows Server 2003 中,每当在域树中创建新域时,都会自动建立父级和子级域之间的可传递信任关系。可传递信任限于 Windows 2000 或 Windows Server 2003 域,并仅限于同一域树或林中的域;不能与低级(Windows NT 4 和更早版本)域建立可传递信任关系,不能在位于不同林中的两个 Win[1] [2] 下一页 |
|
| 上一篇文章: 安装文件和打印机共享 |
| 下一篇文章: 对Windows Server 2003中安装的终端服务的更改 |
|
|
|
|
