Windows 2000活动目录详解之结构篇

在上一篇对活动目录有个基本了解之后下面我就来接触一下活动目录实质上的一面——活动目录的结构。上篇我们讲到活动目录是包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理上的容器，与我们平常所说的目录没什么区别，目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理，它才是WIN2K活动目录的关键和精髓所在。

目录服务是WIN2K网络操作系统的核心支柱，也是中心管理机构，所以目录服务的引入对整个操作系统带来了革命性的变化，不仅系统平台上的各基础模块，比如网络安全机制、用户管理模块等发生了变化，而且上层应用的运作方式以及开发模式也有了相应的变化。这样来理解“活动目录”是不是觉得更加容易？

同时活动目录是一个分布式的目录服务，因为信息可以分散在多台不同的计算机上，保证各计算机用户快速访问和容错；同时不管用户从何处访问或信息处在何处，对用户都提供统一的视图，使用户觉得更加容易理解和掌握WIN2K系统的使用。活动目录集成了WIN2K服务器的关键服务，如域名服务(DNS)，消息队列服务（MSMQ），事务服务（MTS）等。在应用方面活动目录集成了关键应用，如电子邮件、网络管理、ERP等。要理解活动目录，我们必须从它的逻辑结构和物理结构入手。

一、活动目录的逻辑结构

“逻辑”两个字相信大家平时见的比较多，如我们常说的“逻辑思维、逻辑分析”等，也许大家一讲到“逻辑”两个字就觉得十分抽象，难以理解。其实我们在这里所讲的“逻辑结构”，我觉得还是很好理解的，“逻辑”一般与“物理”是对等的，我们知道“物理上的”是指实实在在的，那么“逻辑上的”不就是指非物理上的，非实体的东西，它是一种抽象的东西，比如讲一种“关系”、一个“空间、范围”等。在第一篇我们讲过活动目录的逻辑结构非常灵活，有目录树、域、域树、域林等，这些名字都不是实实在在的一种实体，只是代表了一种关系，一种范围，如目录树就是由同一名字空间上的目录组成，而域又是由不同的目录树组成，同理域树是由不同的域组成，域林是由多个域树组成。它们是一种完全的树状、层次结构视图，这种关系我们可以看成是一种动态关系。逻辑结构还与前面讨论过的名字空间有直接关系，逻辑结构为用户和管理员在一定的名字空间中查找、定位对象提供了极大方便。活动目录中的逻辑单元主要包括：

1、域、域树、域林

域既是WIN2K网络系统的逻辑组织单元，是对象（如计算机、用户等）的容器，这些对象有相同的安全需求、复制过程和管理，这一点对于网管人员应是相当容易理解的。在WIN2K中域中所有的域控制器都是平等的（这一点与WINNT4.0不一样，没有主、副之分），域是安全边界，域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或管理其他的域。每个域都有自己的安全策略，以及它与其他域的安全信任关系。在这里就涉及到了不同域之间的信任关系及传递关系，下面就具体讲一下WIN2K中的域信任关系。

域与域之间具有一定的信任关系，域信任关系使得一个域中的用户可由另一域中的域控制器进行验证，才能使一个域中的用户访问另一个域中的资源。所有域信任关系中只有两种域：信任关系域和被信任关系域。信任关系就是域A信任域B，则域B中的用户可以通过域A中的域控制器进行身份验证后访问域A中的资源，则域A与域B之间的关系就是信任关系。被信任关系就是被一个域信任的关系，在上面的例子中域B就是被域A信任，域B与域A的关系就是被信任关系。信任与被信任关系可以是单向的，也可以是双向的，即域A与域B之间可以单方面的信任关系，也可以是双方面的信任关系。

而在域中传递信任关系不受关系中两个域的约束，是经父域向上传递给域目录树中的下一个域，也就是说如果域A信任域B，则域A也就信任域B下面的子域域B1、域B2……，传递信任关系总是双向的：关系中的两个域互相信任（是指父域与子域之间）。默认情况下，域目录树或目录林（目录林可以看做是同一域中的多个目录树组成）中的所有WiIN2K 信任关系都是传递的。通过大大减少需管理的委托关系数量，这将在很大程度上简化域的管理。

WIN2K中的域传递信任关系一般是系统自动的，但对于相同域目录树或林中的WiIN2K域，也可以显式（手工）地创建传递信任关系。这对于形成交叉链接信任关系是非常重要的。不传递信任关系受关系中两个域的约束，并且不经父域向上传递到域目录树中的下一个域。必须显式地创建不传递信任关系。默认情况下，不传递信任关系是单向的，尽管也可以通过创建两个单向信任关系创建一个双向关系。所有不属于相同域目录树或林中WiIN2K 域间建立的委托关系都是不传递的。所有WiIN2K域和WINNT域之间的委托关系都是不传递的，这一点对于一个企业同时使用WIN2K和WINNT域控制器时应特别注意，当从 WindowsNT升级到WiIN2K时，所有已现有的WindowsNT信任关系都将保持不变。在混合模式的网络中，所有WindowsNT信任关系都是不传递的。WiIN2K 域和WINNT域目录林中的WIN2K域和另一目录林中的WIIN2K域WIN2K域和MITKerberosV5领域单向单向信任关系是单独的委托关系。双向信任关系包括一对单向委托关系，所有传递信任关系都是双向的。为使不传递信任关系成为双向，必须在所涉及的域间创建两个单向信任关系。

2、组织单元（OU）

组织单元（OU）是一个容器对象，它也是活动目录的逻辑结构的一部分，我们可以把域中的对象组织成逻辑组，它可以帮助我们简化管理工作。OU可以包含各种对象，比如用户账户、用户组、计算机、打印机等，甚至可以包括其他的OU，所以我们可以利用OU把域中的对象形成一个完全逻辑上的层次结构。对于企 业来讲，可以按部门把所有的用户和设备组成一个OU层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个OU层次结构。很明显，通过组织单元的包容，组织单元具有很清楚的层次结构，这种包容结构可以使管理者把组织单元切入到域中以反应出企业的组织结构并且可以委派任务与授权。建立包容结构的组织模型能够帮助我们解决许多问题，同时仍然可以使用大型的域、域树中每个对象都可以显示在全局目录，从而用户就可以利用一个服务功能轻易地找到某个对象而不管它在域树结构中的位置。

由于OU层次结构局限于域的内部，所以一个域中的OU层次结构与另一个域中的OU层次结构没有任何关系。因为活动目录中的域可以比NT4的域容纳更多对象，所以一个企业有可能只用一个域来构造企业网络，这时候我们就可以使用OU 来对对象进行分组，形成多种管理层次结构，从而极大地简化网络管理工作。组织中的不同部门可以成为不同的域，或者一个组织单元，从而采用层次化的命名方法来反映组织结构和进行管理授 权。顺着组织结构进行颗粒化的管理授权可以解决很多管理上的头疼问题，在加强中央管理的同时，又不失机动灵活性。

WINNT4.0中的很多域都可以成为OU，建立起更大的域和更简化的域关系，借助全局目录(GlobalCatalog)，用户和管理员仍然能够迅速地找到对象和管理对象。 WIN2K可以在现存的WINNT4.0的环境中工作，保护现有的投资。