活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。活动目录服务是Windows Server 2000操作系统平台的中心组件之一。理解活动目录对于理解Windows Server 2000的整体价值是非常重要的。这篇关于活动目录服务所涉及概念和技术的介绍文章描述了活动目录的用途,提供了对其工作原理的概述,并概括了该服务为不同组织和机构提供的关键性商务及技术便利。
人们经常将数据存储作为目录的代名词。目录包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位(OU)以及安全策略] 的信息。这些信息可以被发布出来,以供用户和管理员的使用。
目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
目录数据存储在域控制器上的Ntds.dit文件中。我们建议将该文件存储在一个NTFS分区上。有些数据保存在目录数据库文件中,而有些数据则保存在一个被复制的文件系统上,例如登录脚本和组策略。
有三种类型的目录数据会在各台域控制器之间进行复制:
·域数据。域数据包含了与域中的对象有关的信息。一般来说,这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息,管理员和用户可能都会对这些信息感兴趣。
例如,在向网络中添加了一个用户帐户的时候,用户帐户对象以及属性数据便被保存在域数据中。如果您修改了组织的目录对象,例如创建、删除对象或者修改了某个对象的属性,相关的数据都会被保存在域数据中。
·配置数据。 配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表,并且指出了域控制器和全局编录所处的位置。
·架构数据。架构是对目录中存储的所有对象和属性数据的正式定义。Windows Server 2003提供了一个默认架构,该架构定义了众多的对象类型,例如用户和计算机帐户、组、域、组织单位以及安全策略。管理员和程序开发人员可以通过定义新的对象类型和属性,或者为现有对象添加新的属性,从而对该架构进行扩展。架构对象受访问控制列表(ACL)的保护,这确保了只有经过授权的用户才能够改变架构。
原则一、域设计原则
1、在管理任务明显由区域划分的环境中可以独立设置域,如某公司的亚洲分部和欧洲分部等,可以设立域对各自独立的资源进行统一管理。
2、 特殊情况下,如果域数据库中的对象(包括被管理的用户、计算机、打印机等)过多,超过100万时(对于中小型企业很难达到),需要考虑增加域。
原则二、 林设计原则
公司由于业务等需求需要设定多个名字空间,如需要xxxx.xxx和xxxx.xx两个名字空间,则必须建立林,该林中包含以xxxx.xxx为根域和以xxxx.xx为根域的两棵树。并且,需根据实际情况为这2棵树之间确定好信任关系
原则三、OU设计原则
1、对于域安全准则一致的域,如果需要突出其中的某些业务和组织职能,则可以为域创建组织单元(OU),而没有必要重新创建单独的域。比如,对一个xxxx.xxx,底下划分为销售、人力等部门,可以创建sales、hr等等OU。
2、 在具体的OU设计中,微软给出了地理模型、对象模型、成本中心模型等7个基本模型供参考。
原则四、站点设计原则
站点设置的目的是控制网络产生的登录通信量和复制通信量。
(1)登录通信量:每次当用户登录网络时,Windows 2000/Windows Server 2003/Windows Server 2008都会试图查找与用户在同一站点的DC,产生登录通信量。
(2)复制通信量:将目录数据库的变动更新到多个DC,站点将控制该通信量如何以及何时产生。
原则五、GC设计原则
GC存储林中每个对象的一定数量的信息,这些信息通常是被频繁查询或者搜索的属性,当用户在域外查找对象时,使用GC可以避免调用目的地的DC,从而加快查询速度和减少网络流量。建议,每个site都配备一个GC。