域是网络对象(包括组织单元、用户帐户、组和计算机,他们都共享与安全性有关的公用目录数据库)的集合 。域形成 Active Diectory 内逻辑体系结构的核心单元,因此在安全性中扮演重要角色 。如果将对象分组到一个或多个域中,您的网络就可反映您公司的组织方式 。
较大型的组织可以含有多个域,这种情况下的域层次结构就称为域目录树 。第一个创建的域是根域,它是在其下创建的域的父域,其下的域称为子域 。若要支持非常大型的组织,可将域目录树链接在一起,形成一种称为目录林的排列 。(在使用多个域控制器的情况下,Active Directory 会按固定时间间隔复制到域中的每个域控制器上,以使数据库永远同
步 。)
域可标识一个安全机构,并使用一致的内部策略及与其它域间的明确安全性关系形成一个安全边界 。特定域的管理员只在本域中有设置策略的权限 。这对大型企业的帮助很大,因为不同的管理员可以创建并管理组织中不同的域 。此管理含义在下面的“管理委派”部分有进一步的探讨 。
站点是在学习有关 Active Directory 的知识时会碰到的另一个术语 。域通常会反映一个组织的商业结构,而站点则通常被用来定义与地理分布有关的 Active Directory 服务器组 。这些计算机通常都以高速链接来连接,但它们彼此之间可以有也可以没有逻辑关系 。例如,若您有一个大型建筑物供一些相对无关的组织活动使用,如视频产品设备、备办食物、文件存储等,则这栋建筑物中的 Active Directory 服务器可以被当作一个站点(即使在该服务器上所完成的处理是不相关
的) 。
所谓组织单元(OU),是指一个容器,可用它将对象组织成域中的逻辑管理组 。OU 可包含对象,如:用户帐户、组、计算机、打印机、应用程序、文件共享和其他的 OU 。
对象包含关于个别项目(如特定用户、计算机或硬件)等的信息(称为属性) 。例如,用户对象的属性可能包含姓和名、电话号码和管理器名称 。计算机的对象可能包含计算机的位置及访问控制列表 (ACL),列表中会指定对该计算机拥有访问
权限的组和个人 。
通过将信息分组到域和 OU 中,可以管理对象集合(如用户组和计算机组)的安全性,而不是逐个管理每个用户和对象 。此概念将在下面的“使用组策略来管理安全性”部分作进一步描述 。首先,还有另一个对了解安全性如何使用 Active
Directory 极为重要的概念:信任 。
域间的信任关系
为了让用户登录网络一次就可以使用网络上所有资源(通常称为单一登录能力),Windows 2000 支持域间的信任关系 。所谓信任关系,是指一种逻辑关系,这种逻辑关系在域之间建立,用来支持直接传递身份验证,让用户和计算机可以在目录林的任何域中接受身份验证 。这让用户或计算机仅需登录网络一次就可以对任何他们有适当权限的资源进行访问 。这种穿越许多域的能力说明了传递信任这个术语,它是指跨越一连串信任关系的身份验证 。
基于 Windows NT 的网络使用单向、非传递的信任关系 。相反,当基于 Windows 2000 的域被组织成目录树时(如上面的 图 1 所示),域间会创建隐含信任关系 。这使在中型和大型组织中建立域间的信任关系更为容易 。属于域目录树的域定义与目录树中的父域的双向信任关系,而所有域都隐含地信任目录树中的其他域 。(如果有不应该有双向信任的特定域,您应该定义明确的单向信任关系 。)对于具有多个域的组织,使用 Windows 2000 比使用 Windows NT 4.0,明确的单向信任关系总数显著减少,这种改变将大大简化域的管理 。传递信任在默认情况下建立于目录树中,这样做之所以有意义是因为
推荐阅读
- 蓝色警报――解决Win 2000/XP的蓝屏陷阱
- 浅析Win 2000系统中的关机技巧
- 教程/win2000 输入法学习之一:了解字符集
- Windows 2000权限叠加―谈NC机房安全隐患
- Windows98/2000安装与卸载技巧
- 用Win2000 Server自动分配IP地址
- Windows 2000操作技巧完全手册
- Windows 2000操作系统共享上网完全攻略
- 浅析Win 2000中的NTLM安全策略
- 巧妙设置Windows 2000启动项