二 Active Directory概述

可以给这些对象分配属性(如电话号码、房间位置等等) , 并可用这些属性查找目录数据库中对象的位置 。随着 Active Directory 架构的扩大(修改) , 使用属性进行搜索就变得越来越重要了 。当将对象、对象类和/或这些对象的属性添加到目录数据库中时 , 对于目录用户而言 , 它们的结构决定了它们的用途 。
目录树中的每个容器和对象都有一个唯一的名称 。这些名称空间是目录树中所有容器和对象、或分支和叶对象的完全路径 。对象在目录树中的位置决定了其可分辨的名称 。
对象的可分辨名称 (DN) 包含从特定名称空间的顶层到整个目录树层次结构的完整路径 。因为 DN 对于组织目录数据库非常有用 , 但对于记住该对象没有帮助 , 所以在 Active Directory 中也使用相对可分辨的名称 (RDN) 。RDN 是对象名的一部分 , 也是对象本身的一个属性 。
很多网络使用的名称空间是基于当前 Internet 上使用的域名系统 (DNS) 。这种 DNS 关系有助于确定 Active Directory 目录树的形状以及对象彼此之间的关系 。域控制器项目是可分辨名称中列出的域 , 而公用名称 (CN) 项目则是针对目录中用户对象的特定路径 。
全局编录
全局编录包含目录中每个 Windows 2000 域的部分副本 , 它是由 Active Directory 复制系统自动创建的 。这样 , 只要给出目标对象的一个或几个属性 , 用户和应用程序就可以在 Active Directory 域目录树中找到这些对象 。全局编录还包含目录分区的架构和配置 。这就是说 , 全局编录存储 Active Directory 中每个对象的副本 , 但只存储它们的很少一部分属性 。全局编录中的属性是搜索*作中那些最常使用的属性(如用户的名和姓、登录名等等) , 这些属性是查找对象完整副本位置所必需的 。
【二 Active Directory概述】使用这种公用信息 , 用户可以很快找到要找的对象 , 而无需知道这些对象在哪个域中 , 也不要求知道企业中相邻的扩展名称空间 。如果在全局编录中找不到该对象 , 则搜索功能将查询本地域分区以获得信息 。
您可以使用架构管理器工具更改架构 , 并定义在全局编录中存储哪些属性 。由于对所有全局编录服务器进行的更改都要复制全局编录 , 所以出于性能和维护的目的 , 最好限制本地分区中存储的属性数量 。
DNS 与 AD 的集成
DNS 和 Active Directory 的集成是 Windows 2000 Server 的一个核心特征 。DNS 域和 Active Directory 域对不同的名称空间使用完全相同的域名 。即使两个名称空间共享相同的域结构 , 它们也是不同的名称空间 , 了解这一点是非常重要的 。每个名称空间存储不同的数据并管理不同的对象 。DNS 使用区域和资源记录 , 而 Active Directory 使用域和域对象 。
例如 , 如果对象的某个属性是服务器的完全合格域名(如 SERVER1.SALES.MYCOMPANY.COM) , Active Directory 就会向 DNS 查询该服务器的 TCP/IP 地址 , Windows 2000 请求者随后可以建立与该服务器的 TCP/IP 会话 。
Active Directory 与 DNS 的集成是这样实现的:每个 Active Directory 服务器将自己的地址发布在 DNS 主机上的服务资源记录中 。
全球唯一标识符
因为网络中的每个对象必须用唯一的属性来标识 , 所以 Active Directory 通过将全局唯一标识符 (GUID) 与每个对象关联起来实现这一点 。即使对象的逻辑名称被更改 , 也应保证这个号码是唯一的且永远不会被目录数据库更改 。当用户或应用程序首次在目录中创建可分辨的名称 (DN) 时 , 就会生成 GUID 。
复制
虽然 Windows NT 4.0 中的网络结构基于 PDC 和 BDC 模型 , 但是 Windows 2000 网络上的所有服务器均用作域控制器 (DC) , 并且彼此之间没有主次之分 。对于 Active Directory , 所有 DC 在站点中自动复制 , 并支持多主机复制 , 以复制所有域控制器的 Active Directory 信息 。由于引入了多主机复制 , 管理员可以更新域中任何 Windows 2000 域控制器上的 Active Directory 。

推荐阅读