Active Directory
l Active Directory
Windows Active Directory Active Directory
Windows Active Directory Active Directory
l
DNS
DNS
l
Active Directory Active Directory
Active Directory Active Directory
l
Active Directory
Active Directory
l
l
Active Directory (GPO)
Active Directory (GPO)
l
Active Directory
DNS DNS DNS Active Directory DNS Active Directory
Active Directory
DNS DNS DNS Active Directory DNS Active Directory
l
Active Directory (ISO) X.500
Active Directory (ISO) X.500
l
Active Directory Active Directory Active Directory
Active Directory Active Directory Active Directory
l
Active Directory
Active Directory
l
Active Directory (LDAP)
Active Directory (LDAP)
l
LDAP TCP/IP LDAP LDAP Internet (IETF) 的工作組制定。Active Directory 實現了 LDAP 屬性草案規範以及 LDAP 第二版和第三版的 IETF 標準。
LDAP TCP/IP LDAP LDAP Internet (IETF) 的工作組制定。Active Directory 實現了 LDAP 屬性草案規範以及 LDAP 第二版和第三版的 IETF 標準。
l 域樹
在 DNS 中,是指用來索引域名的反向分層樹結構。域樹在目的和概念方面與磁盤存儲的計算機文件歸檔系統所使用的目錄樹類似。例如,當磁盤上存儲了很多文件時,就可以用目錄將文件組織成邏輯集合。當域樹有一個或多個分支時,每一個分支都可以將名稱空間中使用的域名組織成邏輯集合。
在 Active Directory 中,是指一個或多個域的分層結構,通過可傳遞的、雙向信任實現連接,從而形成了一個連續的名稱空間。多個域樹可以屬於同一個林。
在 DNS 中,是指用來索引域名的反向分層樹結構。域樹在目的和概念方面與磁盤存儲的計算機文件歸檔系統所使用的目錄樹類似。例如,當磁盤上存儲了很多文件時,就可以用目錄將文件組織成邏輯集合。當域樹有一個或多個分支時,每一個分支都可以將名稱空間中使用的域名組織成邏輯集合。
在 Active Directory 中,是指一個或多個域的分層結構,通過可傳遞的、雙向信任實現連接,從而形成了一個連續的名稱空間。多個域樹可以屬於同一個林。
l 林
共享相同類和屬性定義(架構)、站點和複製信息(配置)以及林範圍搜索能力(全局編錄)的一個或多個 Active Directory 域。同一個林內的域是按雙向可傳輸的信任關係進行鏈接的。
共享相同類和屬性定義(架構)、站點和複製信息(配置)以及林範圍搜索能力(全局編錄)的一個或多個 Active Directory 域。同一個林內的域是按雙向可傳輸的信任關係進行鏈接的。
l 信任關係
在域之間建立的邏輯關係,以便允許通過身份驗證,其中信任域負責受信域的登錄驗證。受信域中定義的用戶帳戶和全局組可以獲得信任域的權利和權限,即使該用戶帳戶或組不在信任域的目錄中。
在 Active Directory 中創建域時,相鄰域(父域和子域)之間自動創建信任關係。在林中,在林根域和從屬於此林根域的任何樹根域或子域之間自動創建信任關係。因爲這些信任關係是可傳遞的,所以可以在林中的任何域之間進行用戶和計算機的身份驗證。
在域之間建立的邏輯關係,以便允許通過身份驗證,其中信任域負責受信域的登錄驗證。受信域中定義的用戶帳戶和全局組可以獲得信任域的權利和權限,即使該用戶帳戶或組不在信任域的目錄中。
在 Active Directory 中創建域時,相鄰域(父域和子域)之間自動創建信任關係。在林中,在林根域和從屬於此林根域的任何樹根域或子域之間自動創建信任關係。因爲這些信任關係是可傳遞的,所以可以在林中的任何域之間進行用戶和計算機的身份驗證。
l 站點
Active Directory® 中的站點代表網絡的物理結構,或稱拓撲。Active Directory 使用拓撲信息(在目錄中存儲爲站點和站點鏈接對象)來建立最有效的複製拓撲。可使用“Active Directory 站點和服務”以定義站點和站點鏈接。站點是一組有效連接的子網。站點和域不同;站點代表網絡的物理結構,而域代表組織的邏輯結構。這種物理和邏輯結構的區分提供了下列好處:
Active Directory® 中的站點代表網絡的物理結構,或稱拓撲。Active Directory 使用拓撲信息(在目錄中存儲爲站點和站點鏈接對象)來建立最有效的複製拓撲。可使用“Active Directory 站點和服務”以定義站點和站點鏈接。站點是一組有效連接的子網。站點和域不同;站點代表網絡的物理結構,而域代表組織的邏輯結構。這種物理和邏輯結構的區分提供了下列好處:
n 可以單獨設計和維護網絡的邏輯和物理結構。
n 不必使域名稱空間建立在物理網絡基礎之上。
n 可以爲相同站點中的多個域部署域控制器。也可以爲多個站點中的相同域部署域控制器。
單個域可跨越多個物理位置或站點,並可包含衆多對象。站點結構和域結構互相獨立而且非常靈活。單個域可跨越多個地理站點,並且單個站點可包含屬於多個域的用戶和計算機。
l 全局編錄
全局編錄是存儲林中所有 Active Directory 對象的副本的域控制器。全局編錄存儲林中主持域的目錄中所有對象的完整副本,以及林中所有其他域中所有對象的部分副本,如下圖所示。
全局編錄中包含的所有域對象的部分副本是用戶搜索操作中最常用的部分。作爲其架構定義的一部分,這些屬性被標記爲包含在全局編錄中。在全局編錄中存儲所有域對象的最常搜索的屬性,可以爲用戶提供高效的搜索,而不會以不必要的域控制器參考影響網絡性能。
可以使用“Active Directory 架構”管理單元在全局編錄中手動添加或刪除其他對象屬性。
在林中的初始域控制器上,會自動創建全局編錄。可以向其他域控制器添加全局編錄功能,或者將全局編錄的默認位置更改到另一個域控制器上。詳細信息,請參閱啓用或禁用全局編錄。
全局編錄執行如下目錄角色:
全局編錄是存儲林中所有 Active Directory 對象的副本的域控制器。全局編錄存儲林中主持域的目錄中所有對象的完整副本,以及林中所有其他域中所有對象的部分副本,如下圖所示。
全局編錄中包含的所有域對象的部分副本是用戶搜索操作中最常用的部分。作爲其架構定義的一部分,這些屬性被標記爲包含在全局編錄中。在全局編錄中存儲所有域對象的最常搜索的屬性,可以爲用戶提供高效的搜索,而不會以不必要的域控制器參考影響網絡性能。
可以使用“Active Directory 架構”管理單元在全局編錄中手動添加或刪除其他對象屬性。
在林中的初始域控制器上,會自動創建全局編錄。可以向其他域控制器添加全局編錄功能,或者將全局編錄的默認位置更改到另一個域控制器上。詳細信息,請參閱啓用或禁用全局編錄。
全局編錄執行如下目錄角色:
n 查找對象
全局編錄允許用戶在林中的所有域中搜索目錄信息,而不用考慮數據存儲的位置。執行林內的搜索時可獲得最大的速度併產生最少的網絡通信。
當您從“開始”菜單搜索用戶或打印機時,或者在查詢中選擇了“整個目錄”選項時,您就在搜索全局編錄。當您輸入搜索請求之後,該請求就被路由到默認的全局編錄端口 3268,並被髮送到某個全局編錄進行解析。詳細信息,請參閱查找目錄信息和 Microsoft Windows 資源工具包網站上的“Finding information in Active Directory”(在 Active Directory 中查找信息)。
全局編錄允許用戶在林中的所有域中搜索目錄信息,而不用考慮數據存儲的位置。執行林內的搜索時可獲得最大的速度併產生最少的網絡通信。
當您從“開始”菜單搜索用戶或打印機時,或者在查詢中選擇了“整個目錄”選項時,您就在搜索全局編錄。當您輸入搜索請求之後,該請求就被路由到默認的全局編錄端口 3268,並被髮送到某個全局編錄進行解析。詳細信息,請參閱查找目錄信息和 Microsoft Windows 資源工具包網站上的“Finding information in Active Directory”(在 Active Directory 中查找信息)。
n 提供用戶主體名稱身份驗證
當執行身份驗證的域控制器沒有帳戶信息時,全局編錄將解析用戶主體名稱 (UPN)。例如,如果用戶的帳戶位於 example1.microsoft.com 中,而用戶決定通過用戶主體名稱 [email protected] 從位於 example2.microsoft.com 的計算機登錄,則位於 example2.microsoft.com 的域控制器將找不到用戶的帳戶,因此它將聯繫全局編錄以完成登錄過程。詳細信息,請參閱 Active Directory 命名。
當執行身份驗證的域控制器沒有帳戶信息時,全局編錄將解析用戶主體名稱 (UPN)。例如,如果用戶的帳戶位於 example1.microsoft.com 中,而用戶決定通過用戶主體名稱 [email protected] 從位於 example2.microsoft.com 的計算機登錄,則位於 example2.microsoft.com 的域控制器將找不到用戶的帳戶,因此它將聯繫全局編錄以完成登錄過程。詳細信息,請參閱 Active Directory 命名。
n 在多域環境中提供通用組成員身份信息
與全局組成員身份不同(存儲在每個域中),通用組成員身份只存儲在全局編錄中。例如,當屬於某個通用組的用戶登錄設置爲 Windows 2000 本機域功能級別或更高級別的域時,全局編錄在此用戶登錄到該域的時候會提供此用戶帳戶的通用組成員身份信息。
如果在用戶登錄到設置爲 Windows 2000 本機功能級別或更高級別的域時全局編錄不可用,則如果用戶先前曾登錄該域,計算機將使用緩存的憑據使該用戶登錄。如果用戶先前未曾登錄到該域,則用戶只能登錄本地計算機。但是,如果用戶以 Administrator 身份(Builtin Administrator 帳戶)登錄到該域,用戶將始終能登錄到該域,即使全局編錄不可用,也是如此。
與全局組成員身份不同(存儲在每個域中),通用組成員身份只存儲在全局編錄中。例如,當屬於某個通用組的用戶登錄設置爲 Windows 2000 本機域功能級別或更高級別的域時,全局編錄在此用戶登錄到該域的時候會提供此用戶帳戶的通用組成員身份信息。
如果在用戶登錄到設置爲 Windows 2000 本機功能級別或更高級別的域時全局編錄不可用,則如果用戶先前曾登錄該域,計算機將使用緩存的憑據使該用戶登錄。如果用戶先前未曾登錄到該域,則用戶只能登錄本地計算機。但是,如果用戶以 Administrator 身份(Builtin Administrator 帳戶)登錄到該域,用戶將始終能登錄到該域,即使全局編錄不可用,也是如此。