4.1　相关知识

活动目录是Windows Server系统中非常重要的目录服务，用于存储网络上各种对象的有关信息，包括用户账户、组、打印机、共享文件夹等，并把这些数据存储在目录服务数据库中，便于管理员和用户查询及使用。活动目录具有安全性、可扩展性、可伸缩性的特点，与DNS集成在一起，可基于策略进行管理。

4.1.1　活动目录及意义

活动目录（Active Directory，AD）就是Windows网络中的目录服务，也即活动目录域服务（AD DS）。所谓目录服务，有两方面内容：目录和与目录相关的服务。

活动目录负责目录数据库的保存、新建、删除、修改与查询等服务，用户很容易在目录内寻找所需要的数据。活动目录具有以下意义。

1.简化管理

活动目录和域密切相关。域是指网络服务器和其他计算机的一种逻辑分组，凡是在共享域逻辑范围内的用户都使用公共的安全机制和用户账户信息，每个使用者在域中只拥有一个账户，每次登录的是整个域。

活动目录用于将域中的资源分层次地组织在一起，每个域都包含一个或多个域控制器（Directory Controller，DC）。域控制器就是安装活动目录的Windows Server 2008的计算机，它存储域目录完整的副本。为了简化管理，域中的所有域控制器都是对等的，可以在任意一台域控制器上做修改，更新的内容将被复制到该域中所有其他域控制器，活动目录为管理网络上的所有资源提供单一入口，进一步简化了管理，管理员可以登录任意一台计算机管理网络。

2.安全性

安全性通过登录身份验证及目录对象的访问控制集成在活动目录中。通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源，基于策略的管理简化了网络的管理。

活动目录通过对象访问控制列表及用户凭据保护用户账户和组信息，因为活动目录不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需的权限。例如在用户登录到网络时，安全系统会利用存储在活动目录中的信息验证用户的身份，在用户试图访问网络服务时，系统会检查在服务的自由访问控制列表（DCAL）中所定义的属性。

活动目录允许管理员创建组账户，管理员可以更加有效地管理系统的安全性，通过控制组权限可控制组成员的访问操作。

3.改进的性能与可靠性

Windows Server 2008能够更加有效地管理活动目录的复制与同步，不管是在域内还是在域间，管理员都可以更好地控制要在域控制器间进行同步的信息类型。活动目录还提供了许多技术可以智能地选择只复制发生更改的信息，而不是机械地复制整个目录的数据库。

4.1.2　活动目录的逻辑结构

活动目录结构是指网络中所有用户、计算机以及其他网络资源的层次关系，就像一个大型仓库中分出若干个小储藏间，每个小储藏间分别用来存放东西。通常活动目录的结构可分为逻辑结构和物理结构，分别包含不同的对象。

活动目录的逻辑结构非常灵活，目录中的逻辑单元包括域、组织单位（Organizational Unit，OU）、域树和域林。

1.域

域是在Windows NT/2000/2003/2008网络环境中组建客户机/服务器网络的实现方式。所谓域，是由网络管理员定义的一组计算机集合，实际上就是一个网络。在这个网络中，至少有一台称为域控制器的计算机，充当服务器角色。在域控制器中保存着整个网络的用户账号及目录数据库，即活动目录。管理员可以通过修改活动目录的配置来实现对网络的管理和控制。如管理员可以在活动目录中为每个用户创建域用户账号，使他们可登录域并访问域的资源。同时，管理员也可以控制所有网络用户的行为，如控制用户能否登录、在什么时间登录、登录后能执行哪些操作等。而域中的客户计算机要访问域的资源，则必须先加入域，并通过管理员为其创建的域用户账号登录域，才能访问域资源。同时，也必须接受管理员的控制和管理。构建域后，管理员可以对整个网络实施集中控制和管理。

2.组织单位

OU是组织单位，在活动目录中扮演特殊的角色，它是一个当普通边界不能满足要求时创建的边界。OU把域中的对象组织成逻辑管理组，而不是安全组或代表地理实体的组。OU是可以应用组策略和委派责任的最小单位。

组织单位是包含在活动目录中的容器对象。创建组织单位的目的是对活动目录对象进行分类。比如，由于一个域中的计算机和用户较多，会使活动中的对象非常多。这时，管理员如果想查找某一个用户账号并进行修改是非常困难的。另外，如果管理员只想对某一部门的用户账号进行操作，实现起来也不太方便。但如果管理员在活动目录中创建了组织单位，所有操作就会变得非常简单。比如管理员可以按照公司的部门创建不同的组织单位，如财务部组织单位、市场部组织单位、策划部组织单位等，并将不同部门的用户账号建立在相应的组织单位中，这样管理时也就非常容易、方便。除此之外，管理员还可以针对某个组织单位设置组策略，实现对该组织单位内所有对象的管理和控制。

总之，创建组织单位有如下好处。

（1）可以分类组织对象，使所有对象结构更清晰。

（2）可以对某些对象配置组策略，实现对这些对象的管理和控制。

（3）可以委派管理控制权，如管理员可以给不同部门的网络主管授权，让他们管理本部门的账号。

因此组织单位是可将用户、组、计算机和其他单元放入活动目录的容器，组织单位不能包括来自其他域的对象。组织单位是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单位，可在组织单位中代表逻辑层次结构的域中创建容器，这样就可根据组织模型管理网络资源的配置和使用。可授予用户对域中某个组织单位的管理权限，组织单位的管理员不需要具有域中任何其他组织单位的管理权。

3.域目录树

当要配置一个包含多个域的网络时，应该将网络配置成域目录树结构，如图4-1所示。

在图4-1所示的域目录树中，最上层的域名为China.com，是这个域目录树的根域，也称父域。下面两个域Jina.China.com和Beijing.China.com是China.com域的子域，3个域共同构成了这个域目录树。

活动目录的域名仍然采用DNS域名的命名规则进行命名。如在图4-1所示的域目录树中，两个子域的域名Jina.China.com和Beijing.China.com中仍包含父域的域名China.com，因此，它们的名称空间是连续的。这也是判断两个域是否属于同一个域目录树的重要条件。

在整个域目录树中，所有域共享同一个活动目录，即整个域目录树中只有一个活动目录。只不过这个活动目录分散地存储在不同的域中（每个域只负责存储和本域有关的数据），整体上形成一个大的分布式的活动目录数据库。在配置一个较大规模的企业网络时，可以配置为域目录树结构，比如将企业总部的网络配置为根域，各分支机构的网络配置为子域，整体上形成一个域目录树，以实现集中管理。

4.域目录林

如果网络的规模比前面提到的域目录树还要大，甚至包含了多个域目录树，这时可以将网络配置为域目录林（也称森林）结构。域目录林由一个或多个域目录树组成，如图4-2所示。域目录林中的每个域目录树都有唯一的命名空间，它们之间并不是连续的，这一点从图中的两个目录树中可以看到。

在整个域目录林中也存在一个根域，这个根域是域目录林中最先安装的域。在图4-2所示的域目录林中，China.com是最先安装的，则这个域是域目录林的根域。

注意：在创建域目录林时，组成域目录林的两个域目录树的树根之间会自动创建相互的、可传递的信任关系。由于有了双向的信任关系，使域目录林中的每个域中的用户都可以访问其他域的资源，也可以从其他域登录到本域中。

4.1.3　活动目录的物理结构

活动目录的物理结构与逻辑结构是彼此独立的两个概念。逻辑结构侧重于网络资源的管理，而物理结构则侧重于网络的配置和优化。物理结构的3个重要概念是站点、域控制器和全局编录服务器。

1.站点

站点由一个或多个IP子网组成，这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定，可以依据站点结构配置活动目录的访问和复制拓扑关系，使得网络更有效地连接，并且可使复制策略更合理，用户登录更快速，活动目录中的站点与域是两个完全独立的概念，一个站点中可以有多个域，多个站点也可以位于同一个域中。

活动目录站点和服务可以通过使用站点提高大多数配置目录服务的效率。通过使用活动目录站点和服务来发布站点，并提供有关网络物理结构的信息，从而确定如何复制目录信息和处理服务的请求。计算机站点是根据其在子网或组已连接好子网中的位置指定的，子网用来为网络分组，类似于生活中使用邮政编码划分地址。划分子网可方便发送有关网络与目录连接的物理信息，而且同一子网中计算机的连接情况通常优于不同网络。

使用站点的意义主要在于如下3点。

①提高了验证过程的效率。当客户使用域账户登录时，登录机制首先搜索与客户处于同一站点内的域控制器，使用客户站点内的域控制器可以使网络传输本地化，加快了身份验证的速度，提高了验证过程的效率。

②平衡了复制频率。活动目录信息可在站点内部或站点之间进行信息复制，但由于网络的原因，活动目录在站点内部复制信息的频率高于站点间的复制频率，这样做可以平衡对最新目录的信息需求和可用网络带宽带来的限制，可以通过站点链接来定制活动目录如何复制信息以指定站点的链接方法，活动目录使用有关站点如何链接的信息生成链接对象以便提供有效的复制和容错。

③可提供有关站点链接信息。活动目录可使用站点链接信息费用、链接使用次数、链接何时可用以及链接使用频度等信息确定应使用哪个站点来复制信息以及何时使用该站点。定制复制计划使复制在特定时间（诸如网络传输空闲时）进行，会使复制更为有效。通常所有域控制器都可用于站点间信息的变换，也可以通过指定桥头堡服务器优先发送和接收站间复制信息的方法进一步控制复制行为。当拥有希望用于站间复制的特定服务器时，宁愿建立一个桥头堡服务器而不使用其他可用服务器。或在配置代理服务器时建立一个桥头堡服务器，用于通过防火墙发送和接收信息。

2.域控制器

域控制器是指安装了活动目录的Windows Server 2008的服务器，它保存了活动目录信息的副本。域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其他域控制器上，使各域控制器上的目录信息同步。域控制器负责用户的登录过程以及其他与域有关的操作，如身份鉴定、目录信息查找等。一个域可以有多个域控制器，规模较小的域可以只有两个域控制器，一个实际应用，另一个用于容错性检查，规模较大的域则使用多个域控制器。

域控制器没有主次之分，采用多主机复制方案，每一个域控制器都有一个可写入的目录副本，这为目录信息容错带来了无尽的好处。尽管在某个时刻，不同的域控制器中的目录信息可能有所不同，但一旦活动目录中的所有域控制器执行同步操作之后，最新的变化信息就会一致。

3.全局编录

尽管活动目录支持多主机复制方案，然而由于复制引起通信流量以及网络潜在的冲突，变化的传播并不一定能够顺利进行，因此有必要在域控制器中指定全局编录（GlobaCatalog，GC）服务器以及操作主机。全局编录是个信息仓库，包含活动目录中所有对象的部分属性，是在查询过程中访问最为频繁的属性，利用这些信息，可以定位任何一个对象实际所在的位置。全局编录服务器是一个域控制器，它保存了全局编录的一份副本，并执行对全局编录的查询操作。全局编录服务器可以提高活动目录中大范围内对象检索的性能，比如在域林中查询所有的打印机操作，如果没有全局编录服务器，那么必须调动域林中每一个域的查询过程。如果域中只有一个域控制器，那么它就是全局编录服务器。如果有多个域控制器；那么管理员必须把一个域控制器配置为全局编录控制器。