讓你系統(tǒng)更好的管理挑戰(zhàn)活動目錄故障

字號:

挑戰(zhàn)活動目錄故障
    當(dāng)您管理的網(wǎng)絡(luò)不斷擴(kuò)大,軟件、硬件和網(wǎng)絡(luò)服務(wù)不斷增多,這些資源如何有效管理?不同應(yīng)用系統(tǒng)的令人頭痛的用戶安全驗證如何統(tǒng)一?微軟的活動目錄(AD,Active Directory)是的解決方案。
    活動目錄的由來
    活動目錄,是Windows 2000服務(wù)器版操作系統(tǒng)的一種新的目錄服務(wù)。它提供了單一登錄的能力,并且為您的整個網(wǎng)絡(luò)架構(gòu)提供了一個集中的信息知識庫。它大大簡化了用戶和計算機(jī)的管理,并且提供了網(wǎng)絡(luò)資源的更便捷的訪問方式。
    活動目錄的相關(guān)術(shù)語
    活動目錄是一項較新的技術(shù),有許多術(shù)語或許是不曾聽說過的,所以有必要了解活動目錄相關(guān)術(shù)語。
    1.層次化的目錄結(jié)構(gòu)
    活動目錄是由對象(Object)、組織單元(OU)、域(Domain)、域樹(Tree)、森林(Forest)構(gòu)成的層次結(jié)構(gòu)?;顒幽夸洖槊總€域建立一個目錄數(shù)據(jù)庫的副本,這個副本只存儲用于這個域的對象。如果多個域之間有相互關(guān)系,它們可以構(gòu)成一個域樹。在每個域樹中,每個域都擁有自己的目錄數(shù)據(jù)庫副本存儲自己的對象,并且可以查找域樹中其他目錄數(shù)據(jù)庫的副本。多個域樹構(gòu)成森林。這種層次結(jié)構(gòu)使得企業(yè)網(wǎng)絡(luò)具有很強(qiáng)的擴(kuò)展性,便于組織、管理及目錄定位。
    2.對象、組織單位
    對象可以是一個用戶、一臺打印機(jī)或一個網(wǎng)絡(luò)共享。它有描述它們的屬性。組織單元可以是組織的任何部分,組織單位也稱為容器(OU,Organizational Units)。組織單位是可以將對象和其他單位放入活動目錄的容器中的,組織單位的主要用途是委派管理權(quán)。
    3.域、域控制器
    域是活動目錄的核心單元,是對象(如計算機(jī)、用戶等)的容器,這些對象有相同的安全需求、復(fù)制過程和管理。域名是基于通常的Internet“域名系統(tǒng)”結(jié)構(gòu)。一個域可以有多個服務(wù)器,每個服務(wù)器存儲域中的所有對象,沒有主服務(wù)器,所有服務(wù)器都是同等的。這是一個多主機(jī)模型,對象可以在域的多個服務(wù)器之間復(fù)制。
    4.域樹、森林
    一個域可以是其他域的子域或父域,這些子域、父域構(gòu)成了一棵樹—域樹。域樹實現(xiàn)了連續(xù)的域名空間,域樹中的域?qū)哟卧缴罴墑e越低,一個“.”代表一個層次,如域child.china.com 就比 china.com這個域級別低,因為它有兩個層次關(guān)系,而china.com只有一個層次。多棵域樹構(gòu)成了森林,森林中的每一棵域樹都有自己的命名空間。
    5.組策略
    組策略是用戶或計算機(jī)初始化時用到的配置設(shè)置。組策略設(shè)置定義了系統(tǒng)管理的用戶的桌面環(huán)境的多個組件,實現(xiàn)軟件自動分發(fā)和升級。組策略的實施限制了用戶對計算機(jī)和網(wǎng)絡(luò)的更改權(quán)限,提高了管理員管理網(wǎng)絡(luò)結(jié)構(gòu)的能力。
    6.AD服務(wù)接口(ADSI)
    ADSI是一個目錄服務(wù)接口,它可用于編寫應(yīng)用程序以訪問和管理AD和基于LDAP(輕型目錄訪問協(xié)議)的不同目錄,簡化了開發(fā)和管理跨平臺多個目錄系統(tǒng)的分布式應(yīng)用程序,是實現(xiàn)單點登錄的有效手段。
    活動目錄的意義
    Windows是PC機(jī)的大腦,那么“目錄服務(wù)”就是網(wǎng)絡(luò)的靈魂。微軟活動目錄的作用主要體現(xiàn)在以下幾方面。
    1.單點登錄
    由于活動目錄是以LDAP協(xié)議為基礎(chǔ)的,各應(yīng)用程序可通過ADSI調(diào)用AD的用戶驗證,這樣統(tǒng)一了各應(yīng)用系統(tǒng)的用戶和密碼,實現(xiàn)單點登錄。
    2.信息的安全性高
    集成了關(guān)鍵的安全性,如Kerberos第五版本和公開密鑰基礎(chǔ)設(shè)施等,用戶授權(quán)管理和目錄進(jìn)入控制已經(jīng)整合在活動目錄當(dāng)中了,而它們都是Windows 2000操作系統(tǒng)的關(guān)鍵安全措施。
    3.以策略為基礎(chǔ),管理更加簡化
    通過組策略您可以決定目錄對象和域資源的進(jìn)入權(quán)限,什么樣的域資源可以被用戶使用,以及這些域資源怎樣使用等,從而幫助您更加經(jīng)濟(jì)高效地管理企業(yè)。
    4.信息的復(fù)制性
    活動目錄使用多主機(jī)復(fù)制,使您能在任何域控制器上同步更新目錄。多主機(jī)模式提供容錯和負(fù)載平衡。
    5.與DNS緊密結(jié)合
    活動目錄使用域名系統(tǒng)(DNS)來為服務(wù)器目錄命名,AD將Internet的名稱空間的概念和操作系統(tǒng)的目錄服務(wù)融合在一起,這有利于在TCP/IP網(wǎng)絡(luò)中計算機(jī)之間的相互識別和通信。
    6.具有很強(qiáng)的可伸縮性和可擴(kuò)展性
    活動目錄可包含在一個或多個域中,每個域具有一個或多個域控制器,以便您調(diào)整目錄的規(guī)模以滿足任何網(wǎng)絡(luò)的要求。多個域可以合并為一棵域樹,多個域樹又可合并為樹林,活動目錄也就隨著域的伸縮而伸縮,較好地適應(yīng)了單位網(wǎng)絡(luò)的變化。管理員可以在計劃中增加新的對象類,或者給現(xiàn)有的對象類增加新的屬性。