舉例介紹活動目錄的優(yōu)勢

Active Directory服務提供了單一登入的能力和一個所有基礎設施相關信息的集中儲存機制，大幅度的簡化了使用者和計算機的管理，同時提供優(yōu)越的網絡資源存取能力。我在本文中主要講述一下Microsoft Windows Server 2003 中的 Active Directory 相關優(yōu)點、新功能和改進部份的概觀說明。
    微軟在Windows Server 2000中首次引入了AD技術，經過幾年的發(fā)展，AD技術已經成為了微軟網絡架構的核心，幾乎所有的產品和技術都是圍繞這AD這個核心運轉的?？梢赃@么說，在網絡中不實現AD，就無法基于微軟產品和技術實現基本的網絡管理，也無法適應將來的技術發(fā)展！
    那么到底安裝活動目錄有什么意義呢？這是所有初學Windows Server 2003的人首要要問的一個問題。因為活動目錄并不是Windows系統(tǒng)必需安裝的一種服務，要全面理解它又是非常的不容易，那么安裝活動目錄的意義在哪里呢？它主要體現在以下幾個方面：
    1、信息的安全性大大增強
    安裝活動目錄后信息的安全性完全與活動目錄集成，用戶授權管理和目錄進入控制已經整合在活動目錄當中了（包括用戶的訪問和登錄權限等），而它們都是WIN2K33系統(tǒng)的關鍵安全措施?；顒幽夸浖锌刂朴脩羰跈?，進行控制不僅僅在每一個目錄中的對象上定義，而且還能在每一個對象的每個屬性上定義，這一點是以前任何系統(tǒng)所不能達到的，包括WINNT 4.0.除此之外，活動目錄還可以提供存儲和應用程序作用域的安全策略，提供安全策略的存儲和應用范圍。安全策略可以包含帳戶信息，如域范圍內的密碼限制或對特定域資源的訪問權限等。所以從一定程序上可以這么說WIN2K3的安全性就是活動目錄所體現的安全性，由此可見對于網管來說如何配置好活動目錄中對象及屬性的安全性是一個網管配置好WIN2K3系統(tǒng)的關鍵。
    具體應用：比如在工作組下面有3臺計算機，分別是A、B、C，各有一個帳號a、b、c，如果B上有一個文檔要給a用戶訪問，b就要在B計算機上創(chuàng)建一個帳號a‘給a，讓a用a’去訪問，或者b把自己的帳號密碼告訴a，讓a來訪問，同理，其他資源也是一樣處理。結果就是每一個用戶要記好幾個帳號密碼來訪問不同的資源，或者就是網絡里有很多額外的帳號密碼存在，或者很多人的密碼告訴給其他人，最終網絡安全變成一句空話。
    但是如果實現了域就不一樣了，b只要在資源上設置a的訪問權限就可以了，不用額外創(chuàng)建帳號，也不用把自己的帳號密碼告訴別人，a來訪問的時候，如果權限合適就可以直接進行操作。用戶a也不需要記錄額外的帳號密碼。
    再比如，經理m有一臺計算機M，為了保證安全性，M計算機只能由m來登錄，在AD中只要簡單的設置一下就可以了。再有一臺打印機，如果有這這樣的安全要求，上班時間大家都可以使用，下了班就不能打印了。當有大文檔打印時，如果經理m要打印文檔，可以中間插入打印，m打印完了，原來的那個大文檔繼續(xù)打印下去。諸如此類的設置，在AD中都可以非常方便的設置。
    2、引入基于策略的管理，使系統(tǒng)的管理更加明朗
    活動目錄服務包括目錄對象數據存儲和邏輯分層結構（上次在杭州我講過的目錄、目錄樹、域、域樹、域林等所組成的層次結構），作為目錄，它存儲著分配給特定環(huán)境的策略，稱為組策略對象。作為邏輯結構，它為策略應用程序提供分層的環(huán)境。組策略對象表示了一套商務規(guī)則，它包括與要應用的環(huán)境有關的設置，組策略是用戶或計算機初始化時用到的配置設置。所有的組策略設置都包含在應用到活動目錄，域，或組織單元的組策略對象（GPOs）中。GPOs設置決定目錄對象和域資源的進入權限，什么樣的域資源可以被用戶使用，以及這些域資源怎樣使用等。例如，組策略對象可以決定當用戶登錄時用戶在他們的計算機上看到什么應用程序，當它在服務器上啟動時有多少用戶可連接至 Server，以及當用戶轉移到不同的部門或組時他們可訪問什么文件或服務。組策略對象使您可以管理少量的策略而不是大量的用戶和計算機。通過活動目錄，您可將組策略設置應用于適當的環(huán)境中，不管它是您的整個單位還是您單位中的特定部門。
    具體應用：比如單位里面為了放置病毒感染和信息安全，要求所有的計算機只能使用USB的鼠標和鍵盤，U盤和移用硬盤不能使用。為了控制USB接口的使用類型，工作組下面就只有一臺一臺計算機去設置組策略了，而AD下僅僅一條組策略就可以完成，花費不到10秒鐘！
    在比如，為了防止員工修改系統(tǒng)配置導致系統(tǒng)崩潰，或為了禁止員工上班時間玩游戲，需要禁止某些組件的使用，用AD自帶的組策略功能也非常方便。至于給所有員工發(fā)送一個信息或安裝一個軟件之類的常規(guī)性管理任務，AD的組策略也很容易就實現。而且這些策略的設置可以依據單位的部門或職稱架構來實現。非常方便！
    3、具有很強的可擴展性
    WIN2K3的活動目錄具有很強的可擴展性，管理員可以在計劃中增加新的對象類，或者給現有的對象類增加新的屬性。計劃包括可以存儲在目錄中的每一個對象類的定義和對象類的屬性。例如，在電子商務上你可以給每一個用戶對象增加一個購物授權屬性，然后存儲每一個用戶購買權限作為用戶帳號的一部分。
    具體應用：比如單位將來用實現郵件系統(tǒng)和企業(yè)內部通訊系統(tǒng)，實現依據網絡來完成企業(yè)內部的文件，信息，語音等等的通訊，這樣可以大大節(jié)省企業(yè)運行成本。利用活動目錄的可擴展性，只不過是在用戶帳號上多了郵箱屬性或MSN屬性而已，用戶甚至可以使用IE來安全的收發(fā)郵件，連Outlook都不需要！
    4、具有很強的可伸縮性
    活動目錄可包含在一個或多個域，每個域具有一個或多個域控制器，以便您可以調整目錄的規(guī)模以滿足任何網絡的需要。多個域可組成為域樹，多個域樹又可組成為樹林，活動目錄也就隨著域的伸縮而伸縮，較好地適應了單位網絡的變化。目錄將其架構和配置信息分發(fā)給目錄中所有的域控制器，該信息存儲在域的第一個域控制器中，并且復制到域中任何其他域控制器。當該目錄配置為單個域時，添加域控制器將改變目錄的規(guī)模，而不影響其他域的管理開銷。將域添加到目錄使您可以針對不同策略環(huán)境劃分目錄，并調整目錄的規(guī)模以容納大量的資源和對象。
    5、智能的信息復制能力
    信息復制為目錄提供了信息可用性、容錯、負載平衡和性能優(yōu)勢，活動目錄使用多主機復制，允許您在任何域控制器上而不是單個主域控制器上同步更新目錄。多主機模式具有更大容錯的優(yōu)點，因為使用多域控制器，即使任何單獨的域控制器停止工作，也可繼續(xù)復制。由于進行了多主機復制，它們將更新目錄的單個副本，在域控制器上創(chuàng)建或修改目錄信息后，新創(chuàng)建或更改的信息將發(fā)送到域中的所有其他域控制器，所以其目錄信息是最新的。域控制器需要最新的目錄信息，但是要做到高效率，必須把自身的更新限制在只有新建或更改目錄信息的時候，以免在網絡高峰期進行同步而影響網絡速度。在域控制器之間不加選擇地交換目錄信息能夠迅速搞垮任何網絡。通過活動目錄就能達到只復制更改的目錄信息，而不至于大量增加域控制器的負荷。
    6、與 DNS 集成緊密
    活動目錄使用域名系統(tǒng) （DNS）來為服務器目錄命名，DNS 是將更容易理解的主機名（如 Mike.Mycompany.com）轉換為數字 IP 地址的 Internet 標準服務，利于在TCP/IP網絡中計算機之間的相互識別和通訊。DNS 的域名基于 DNS 分層命名結構，這是一種倒置的樹狀結構，單個根域，在它下面可以是父域和子域（分支和葉子）。
    具體應用：任何一臺計算機加入到域之后，就獲得了一個限定名（FQDN），由于域名稱是層次結構的，所以該名稱在整個企業(yè)中也是的，這樣當我們需要查找任何計算機都可以使用該名稱。
    而且由于該名稱是由AD注冊在DNS中，完全符合當前網絡的狀態(tài)（所有計算機都在AD中注冊），這一點在動態(tài)地址分配的情況下非常有利。而且由于DNS是不受地域和網絡基礎結構影響的，任何地點的任何用戶都可以方便的訪問到需要的資源。
    另外，在AD中，每一個用戶都有的用戶主名（UPN），類似于郵件地址的用戶主名不僅有利于用戶記憶（在多域環(huán)境下特別有用），而且和郵件系統(tǒng)掛鉤，進一步簡化了終端用戶的使用。
    7、與其他目錄服務具有互連性
    由于活動目錄是基于標準的目錄訪問協(xié)議，許多應用程序界面（API）都允許開發(fā)者進入這些協(xié)議，例如活動目錄服務界面（ADSI）、輕型目錄訪問協(xié)議 （LDAP） 第三版和名稱服務提供程序接口 （NSPI），因此它可與使用這些協(xié)議的其他目錄服務相互*作。LDAP 是用于在活動目錄中查詢和檢索信息的目錄訪問協(xié)議。因為它是一種工業(yè)標準服務協(xié)議，所以可使用 LDAP 開發(fā)程序，與同時支持 LDAP 的其他目錄服務共享活動目錄信息?；顒幽夸浿С?Microsoft Exchange 2003客戶程序所用的 NSPI 協(xié)議，以提供與 Exchange 目錄的兼容性。
    8、具有靈活的查詢
    任何用戶可使用“開始”菜單、“網上鄰居”或“活動目錄用戶和計算機”上的“搜索”命令，通過對象屬性快速查找網絡上的對象。如您可通過名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶，反之亦然。
    具體應用：比如在A地的一個員工要給B地的員工發(fā)送一份文檔，他不需要將文檔打印出來再快遞過去，他完全可以在AD中搜索B地員工辦公室（或附近辦公地點）的某臺打印機就可以了，然后直接將文檔發(fā)送到那臺打印機上，B的用戶就可以直接拿到文檔了。而A的用戶不知道B地的打印機沒有關系，他可以根據地名，樓層，辦公室等等信息，很快定位到正確的打印機！