舉例介紹活動(dòng)目錄的優(yōu)勢(shì)

字號(hào):

Active Directory服務(wù)提供了單一登入的能力和一個(gè)所有基礎(chǔ)設(shè)施相關(guān)信息的集中儲(chǔ)存機(jī)制,大幅度的簡(jiǎn)化了使用者和計(jì)算機(jī)的管理,同時(shí)提供優(yōu)越的網(wǎng)絡(luò)資源存取能力。我在本文中主要講述一下Microsoft Windows Server 2003 中的 Active Directory 相關(guān)優(yōu)點(diǎn)、新功能和改進(jìn)部份的概觀說明。
    微軟在Windows Server 2000中首次引入了AD技術(shù),經(jīng)過幾年的發(fā)展,AD技術(shù)已經(jīng)成為了微軟網(wǎng)絡(luò)架構(gòu)的核心,幾乎所有的產(chǎn)品和技術(shù)都是圍繞這AD這個(gè)核心運(yùn)轉(zhuǎn)的。可以這么說,在網(wǎng)絡(luò)中不實(shí)現(xiàn)AD,就無法基于微軟產(chǎn)品和技術(shù)實(shí)現(xiàn)基本的網(wǎng)絡(luò)管理,也無法適應(yīng)將來的技術(shù)發(fā)展!
    那么到底安裝活動(dòng)目錄有什么意義呢?這是所有初學(xué)Windows Server 2003的人首要要問的一個(gè)問題。因?yàn)榛顒?dòng)目錄并不是Windows系統(tǒng)必需安裝的一種服務(wù),要全面理解它又是非常的不容易,那么安裝活動(dòng)目錄的意義在哪里呢?它主要體現(xiàn)在以下幾個(gè)方面:
    1、信息的安全性大大增強(qiáng)
    安裝活動(dòng)目錄后信息的安全性完全與活動(dòng)目錄集成,用戶授權(quán)管理和目錄進(jìn)入控制已經(jīng)整合在活動(dòng)目錄當(dāng)中了(包括用戶的訪問和登錄權(quán)限等),而它們都是WIN2K33系統(tǒng)的關(guān)鍵安全措施?;顒?dòng)目錄集中控制用戶授權(quán),進(jìn)行控制不僅僅在每一個(gè)目錄中的對(duì)象上定義,而且還能在每一個(gè)對(duì)象的每個(gè)屬性上定義,這一點(diǎn)是以前任何系統(tǒng)所不能達(dá)到的,包括WINNT 4.0.除此之外,活動(dòng)目錄還可以提供存儲(chǔ)和應(yīng)用程序作用域的安全策略,提供安全策略的存儲(chǔ)和應(yīng)用范圍。安全策略可以包含帳戶信息,如域范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問權(quán)限等。所以從一定程序上可以這么說WIN2K3的安全性就是活動(dòng)目錄所體現(xiàn)的安全性,由此可見對(duì)于網(wǎng)管來說如何配置好活動(dòng)目錄中對(duì)象及屬性的安全性是一個(gè)網(wǎng)管配置好WIN2K3系統(tǒng)的關(guān)鍵。
    具體應(yīng)用:比如在工作組下面有3臺(tái)計(jì)算機(jī),分別是A、B、C,各有一個(gè)帳號(hào)a、b、c,如果B上有一個(gè)文檔要給a用戶訪問,b就要在B計(jì)算機(jī)上創(chuàng)建一個(gè)帳號(hào)a‘給a,讓a用a’去訪問,或者b把自己的帳號(hào)密碼告訴a,讓a來訪問,同理,其他資源也是一樣處理。結(jié)果就是每一個(gè)用戶要記好幾個(gè)帳號(hào)密碼來訪問不同的資源,或者就是網(wǎng)絡(luò)里有很多額外的帳號(hào)密碼存在,或者很多人的密碼告訴給其他人,最終網(wǎng)絡(luò)安全變成一句空話。
    但是如果實(shí)現(xiàn)了域就不一樣了,b只要在資源上設(shè)置a的訪問權(quán)限就可以了,不用額外創(chuàng)建帳號(hào),也不用把自己的帳號(hào)密碼告訴別人,a來訪問的時(shí)候,如果權(quán)限合適就可以直接進(jìn)行操作。用戶a也不需要記錄額外的帳號(hào)密碼。
    再比如,經(jīng)理m有一臺(tái)計(jì)算機(jī)M,為了保證安全性,M計(jì)算機(jī)只能由m來登錄,在AD中只要簡(jiǎn)單的設(shè)置一下就可以了。再有一臺(tái)打印機(jī),如果有這這樣的安全要求,上班時(shí)間大家都可以使用,下了班就不能打印了。當(dāng)有大文檔打印時(shí),如果經(jīng)理m要打印文檔,可以中間插入打印,m打印完了,原來的那個(gè)大文檔繼續(xù)打印下去。諸如此類的設(shè)置,在AD中都可以非常方便的設(shè)置。
    2、引入基于策略的管理,使系統(tǒng)的管理更加明朗
    活動(dòng)目錄服務(wù)包括目錄對(duì)象數(shù)據(jù)存儲(chǔ)和邏輯分層結(jié)構(gòu)(上次在杭州我講過的目錄、目錄樹、域、域樹、域林等所組成的層次結(jié)構(gòu)),作為目錄,它存儲(chǔ)著分配給特定環(huán)境的策略,稱為組策略對(duì)象。作為邏輯結(jié)構(gòu),它為策略應(yīng)用程序提供分層的環(huán)境。組策略對(duì)象表示了一套商務(wù)規(guī)則,它包括與要應(yīng)用的環(huán)境有關(guān)的設(shè)置,組策略是用戶或計(jì)算機(jī)初始化時(shí)用到的配置設(shè)置。所有的組策略設(shè)置都包含在應(yīng)用到活動(dòng)目錄,域,或組織單元的組策略對(duì)象(GPOs)中。GPOs設(shè)置決定目錄對(duì)象和域資源的進(jìn)入權(quán)限,什么樣的域資源可以被用戶使用,以及這些域資源怎樣使用等。例如,組策略對(duì)象可以決定當(dāng)用戶登錄時(shí)用戶在他們的計(jì)算機(jī)上看到什么應(yīng)用程序,當(dāng)它在服務(wù)器上啟動(dòng)時(shí)有多少用戶可連接至 Server,以及當(dāng)用戶轉(zhuǎn)移到不同的部門或組時(shí)他們可訪問什么文件或服務(wù)。組策略對(duì)象使您可以管理少量的策略而不是大量的用戶和計(jì)算機(jī)。通過活動(dòng)目錄,您可將組策略設(shè)置應(yīng)用于適當(dāng)?shù)沫h(huán)境中,不管它是您的整個(gè)單位還是您單位中的特定部門。
    具體應(yīng)用:比如單位里面為了放置病毒感染和信息安全,要求所有的計(jì)算機(jī)只能使用USB的鼠標(biāo)和鍵盤,U盤和移用硬盤不能使用。為了控制USB接口的使用類型,工作組下面就只有一臺(tái)一臺(tái)計(jì)算機(jī)去設(shè)置組策略了,而AD下僅僅一條組策略就可以完成,花費(fèi)不到10秒鐘!
    在比如,為了防止員工修改系統(tǒng)配置導(dǎo)致系統(tǒng)崩潰,或?yàn)榱私箚T工上班時(shí)間玩游戲,需要禁止某些組件的使用,用AD自帶的組策略功能也非常方便。至于給所有員工發(fā)送一個(gè)信息或安裝一個(gè)軟件之類的常規(guī)性管理任務(wù),AD的組策略也很容易就實(shí)現(xiàn)。而且這些策略的設(shè)置可以依據(jù)單位的部門或職稱架構(gòu)來實(shí)現(xiàn)。非常方便!
    3、具有很強(qiáng)的可擴(kuò)展性
    WIN2K3的活動(dòng)目錄具有很強(qiáng)的可擴(kuò)展性,管理員可以在計(jì)劃中增加新的對(duì)象類,或者給現(xiàn)有的對(duì)象類增加新的屬性。計(jì)劃包括可以存儲(chǔ)在目錄中的每一個(gè)對(duì)象類的定義和對(duì)象類的屬性。例如,在電子商務(wù)上你可以給每一個(gè)用戶對(duì)象增加一個(gè)購(gòu)物授權(quán)屬性,然后存儲(chǔ)每一個(gè)用戶購(gòu)買權(quán)限作為用戶帳號(hào)的一部分。
    具體應(yīng)用:比如單位將來用實(shí)現(xiàn)郵件系統(tǒng)和企業(yè)內(nèi)部通訊系統(tǒng),實(shí)現(xiàn)依據(jù)網(wǎng)絡(luò)來完成企業(yè)內(nèi)部的文件,信息,語(yǔ)音等等的通訊,這樣可以大大節(jié)省企業(yè)運(yùn)行成本。利用活動(dòng)目錄的可擴(kuò)展性,只不過是在用戶帳號(hào)上多了郵箱屬性或MSN屬性而已,用戶甚至可以使用IE來安全的收發(fā)郵件,連Outlook都不需要!
    4、具有很強(qiáng)的可伸縮性
    活動(dòng)目錄可包含在一個(gè)或多個(gè)域,每個(gè)域具有一個(gè)或多個(gè)域控制器,以便您可以調(diào)整目錄的規(guī)模以滿足任何網(wǎng)絡(luò)的需要。多個(gè)域可組成為域樹,多個(gè)域樹又可組成為樹林,活動(dòng)目錄也就隨著域的伸縮而伸縮,較好地適應(yīng)了單位網(wǎng)絡(luò)的變化。目錄將其架構(gòu)和配置信息分發(fā)給目錄中所有的域控制器,該信息存儲(chǔ)在域的第一個(gè)域控制器中,并且復(fù)制到域中任何其他域控制器。當(dāng)該目錄配置為單個(gè)域時(shí),添加域控制器將改變目錄的規(guī)模,而不影響其他域的管理開銷。將域添加到目錄使您可以針對(duì)不同策略環(huán)境劃分目錄,并調(diào)整目錄的規(guī)模以容納大量的資源和對(duì)象。
    5、智能的信息復(fù)制能力
    信息復(fù)制為目錄提供了信息可用性、容錯(cuò)、負(fù)載平衡和性能優(yōu)勢(shì),活動(dòng)目錄使用多主機(jī)復(fù)制,允許您在任何域控制器上而不是單個(gè)主域控制器上同步更新目錄。多主機(jī)模式具有更大容錯(cuò)的優(yōu)點(diǎn),因?yàn)槭褂枚嘤蚩刂破?,即使任何單?dú)的域控制器停止工作,也可繼續(xù)復(fù)制。由于進(jìn)行了多主機(jī)復(fù)制,它們將更新目錄的單個(gè)副本,在域控制器上創(chuàng)建或修改目錄信息后,新創(chuàng)建或更改的信息將發(fā)送到域中的所有其他域控制器,所以其目錄信息是最新的。域控制器需要最新的目錄信息,但是要做到高效率,必須把自身的更新限制在只有新建或更改目錄信息的時(shí)候,以免在網(wǎng)絡(luò)高峰期進(jìn)行同步而影響網(wǎng)絡(luò)速度。在域控制器之間不加選擇地交換目錄信息能夠迅速搞垮任何網(wǎng)絡(luò)。通過活動(dòng)目錄就能達(dá)到只復(fù)制更改的目錄信息,而不至于大量增加域控制器的負(fù)荷。
    6、與 DNS 集成緊密
    活動(dòng)目錄使用域名系統(tǒng) (DNS)來為服務(wù)器目錄命名,DNS 是將更容易理解的主機(jī)名(如 Mike.Mycompany.com)轉(zhuǎn)換為數(shù)字 IP 地址的 Internet 標(biāo)準(zhǔn)服務(wù),利于在TCP/IP網(wǎng)絡(luò)中計(jì)算機(jī)之間的相互識(shí)別和通訊。DNS 的域名基于 DNS 分層命名結(jié)構(gòu),這是一種倒置的樹狀結(jié)構(gòu),單個(gè)根域,在它下面可以是父域和子域(分支和葉子)。
    具體應(yīng)用:任何一臺(tái)計(jì)算機(jī)加入到域之后,就獲得了一個(gè)限定名(FQDN),由于域名稱是層次結(jié)構(gòu)的,所以該名稱在整個(gè)企業(yè)中也是的,這樣當(dāng)我們需要查找任何計(jì)算機(jī)都可以使用該名稱。
    而且由于該名稱是由AD注冊(cè)在DNS中,完全符合當(dāng)前網(wǎng)絡(luò)的狀態(tài)(所有計(jì)算機(jī)都在AD中注冊(cè)),這一點(diǎn)在動(dòng)態(tài)地址分配的情況下非常有利。而且由于DNS是不受地域和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)影響的,任何地點(diǎn)的任何用戶都可以方便的訪問到需要的資源。
    另外,在AD中,每一個(gè)用戶都有的用戶主名(UPN),類似于郵件地址的用戶主名不僅有利于用戶記憶(在多域環(huán)境下特別有用),而且和郵件系統(tǒng)掛鉤,進(jìn)一步簡(jiǎn)化了終端用戶的使用。
    7、與其他目錄服務(wù)具有互連性
    由于活動(dòng)目錄是基于標(biāo)準(zhǔn)的目錄訪問協(xié)議,許多應(yīng)用程序界面(API)都允許開發(fā)者進(jìn)入這些協(xié)議,例如活動(dòng)目錄服務(wù)界面(ADSI)、輕型目錄訪問協(xié)議 (LDAP) 第三版和名稱服務(wù)提供程序接口 (NSPI),因此它可與使用這些協(xié)議的其他目錄服務(wù)相互*作。LDAP 是用于在活動(dòng)目錄中查詢和檢索信息的目錄訪問協(xié)議。因?yàn)樗且环N工業(yè)標(biāo)準(zhǔn)服務(wù)協(xié)議,所以可使用 LDAP 開發(fā)程序,與同時(shí)支持 LDAP 的其他目錄服務(wù)共享活動(dòng)目錄信息?;顒?dòng)目錄支持 Microsoft Exchange 2003客戶程序所用的 NSPI 協(xié)議,以提供與 Exchange 目錄的兼容性。
    8、具有靈活的查詢
    任何用戶可使用“開始”菜單、“網(wǎng)上鄰居”或“活動(dòng)目錄用戶和計(jì)算機(jī)”上的“搜索”命令,通過對(duì)象屬性快速查找網(wǎng)絡(luò)上的對(duì)象。如您可通過名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶,反之亦然。
    具體應(yīng)用:比如在A地的一個(gè)員工要給B地的員工發(fā)送一份文檔,他不需要將文檔打印出來再快遞過去,他完全可以在AD中搜索B地員工辦公室(或附近辦公地點(diǎn))的某臺(tái)打印機(jī)就可以了,然后直接將文檔發(fā)送到那臺(tái)打印機(jī)上,B的用戶就可以直接拿到文檔了。而A的用戶不知道B地的打印機(jī)沒有關(guān)系,他可以根據(jù)地名,樓層,辦公室等等信息,很快定位到正確的打印機(jī)!