微軟活動目錄邏輯結構分析
原創在這里所講的“邏輯結構”是指非物理上的,非實體的東西,它是一種抽象的東西,比如講一種“關系”、一個“空間、范圍”等。活動目錄的邏輯結構非常靈活,有目錄樹、域、域樹、域林等,這些名字都不是實實在在的一種實體,只是代表了一種關系,一種范圍,如目錄樹就是由同一名字空間上的目錄組成,而域又是由不同的目錄樹組成,同理域樹是由不同的域組成,域林是由多個域樹組成。它們是一種完全的樹狀、層次結構視圖,這種關系我們可以看成是一種動態關系。邏輯結構還與前面討論過的名字空間有直接關系,邏輯結構為用戶和管理員在一定的名字空間中查找、定位對象提供了極大方便。活動目錄中的邏輯單元主要包括:
1、 域、域樹、域林
域既是WIN2K網絡系統的邏輯組織單元,是對象(如計算機、用戶等)的容器,這些對象有相同的安全需求、復制過程和管理。在WIN2K中域中所有的域控制器都是平等的(這一點與WINNT4.0不一樣,沒有主、副之分),域是安全邊界,域管理員只能管理域的內部,除非其他的域顯式地賦予他管理權限,他才能夠訪問或管理其他的域。每個域都有自己的安全策略,以及它與其他域的安全信任關系。在這里就涉及到了不同域之間的信任關系及傳遞關系,下面就具體講一下WIN2K中的域信任關系。
域與域之間具有一定的信任關系,域信任關系使得一個域中的用戶可由另一域中的域控制器進行驗證,才能使一個域中的用戶訪問另一個域中的資源。所有域信任關系中只有兩種域:信任關系域和被信任關系域。信任關系就是域A信任域B,則域B中的用戶可以通過域A中的域控制器進行身份驗證后訪問域A中的資源,則域A與域B之間的關系就是信任關系。被信任關系就是被一個域信任的關系,在上面的例子中域B就是被域A信任,域B與域A的關系就是被信任關系。信任與被信任關系可以是單向的,也可以是雙向的,即域A與域B之間可以單方面的信任關系,也可以是雙方面的信任關系。
而在域中傳遞信任關系不受關系中兩個域的約束,是經父域向上傳遞給域目錄樹中的下一個域,也就是說如果域A信任域B,則域A也就信任域B下面的子域域B1、域B2……,傳遞信任關系總是雙向的:關系中的兩個域互相信任(是指父域與子域之間)。默認情況下,域目錄樹或目錄林(目錄林可以看做是同一域中的多個目錄樹組成)中的所有WiIN2K 信任關系都是傳遞的。通過大大減少需管理的委托關系數量,這將在很大程度上簡化域的管理。
WIN2K中的域傳遞信任關系一般是系統自動的,但對于相同域目錄樹或林中的WiIN2K域,也可以顯式(手工)地創建傳遞信任關系。這對于形成交叉鏈接信任關系是非常重要的。不傳遞信任關系受關系中兩個域的約束,并且不經父域向上傳遞到域目錄樹中的下一個域。必須顯式地創建不傳遞信任關系。默認情況下,不傳遞信任關系是單向的,盡管也可以通過創建兩個單向信任關系創建一個雙向關系。所有不屬于相同域目錄樹或林中WiIN2K 域間建立的委托關系都是不傳遞的。所有WiIN2K域和WINNT域之間的委托關系都是不傳遞的,這一點對于一個企業同時使用WIN2K和WINNT域控制器時應特別注意,當從 WindowsNT升級到WiIN2K時,所有已現有的WindowsNT信任關系都將保持不變。在混合模式的網絡中,所有WindowsNT信任關系都是不傳遞的。WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和MITKerberosV5領域單向單向信任關系是單獨的委托關系。雙向信任關系包括一對單向委托關系,所有傳遞信任關系都是雙向的。為使不傳遞信任關系成為雙向,必須在所涉及的域間創建兩個單向信任關系。
2、 組織單元(OU)
組織單元(OU)是一個容器對象,它也是活動目錄的邏輯結構的一部分,我們可以把域中的對象組織成邏輯組,它可以幫助我們簡化管理工作。OU可以包含各種對象,比如用戶賬戶、用戶組、計算機、打印機等,甚至可以包括其他的OU,所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構。對于企業來講,可以按部門把所有的用戶和設備組成一個OU層次結構,也可以按地理位置形成層次結構,還可以按功能和權限分成多個OU層次結構。很明顯,通過組織單元的包容,組織單元具有很清楚的層次結構,這種包容結構可以使管理者把組織單元切入到域中以反應出企業的組織結構并且可以委派任務與授權。建立包容結構的組織模型能夠幫助我們解決許多問題,同時仍然可以使用大型的域、域樹中每個對象都可以顯示在全局目錄,從而用戶就可以利用一個服務功能輕易地找到某個對象而不管它在域樹結構中的位置。
由于OU層次結構局限于域的內部,所以一個域中的OU層次結構與另一個域中的OU層次結構沒有任何關系。因為活動目錄中的域可以比NT4的域容納更多對象,所以一個企業有可能只用一個域來構造企業網絡,這時候我們就可以使用OU 來對對象進行分組,形成多種管理層次結構,從而極大地簡化網絡管理工作。組織中的不同部門可以成為不同的域,或者一個組織單元,從而采用層次化的命名方法來反映組織結構和進行管理授權。順著組織結構進行顆粒化的管理授權可以解決很多管理上的頭疼問題,在加強中央管理的同時,又不失機動靈活性。
WINNT4.0中的很多域都可以成為OU,建立起更大的域和更簡化的域關系,借助全局目錄(GlobalCatalog),用戶和管理員仍然能夠迅速地找到對象和管理對象。 WIN2K可以在現存的WINNT4.0的環境中工作,保護現有的投資。
