A
--------------------------------------------------------------------------------
訪問控制(access control)--登錄計算機或網絡權限的管理。
ACE--參見"訪問控制條目"。
訪問控制條目(access control entry,簡稱ACE) --每一個ACE包括一個安全標識符(SID),這個標識符標識這個ACE的應用對象(用戶或小組)以及允許或者拒絕訪問的ACE信息的類型。
訪問控制表(access control list,簡稱ACL) --用來定義用戶/工作組與文件、目錄或其他資源相關的訪問權限的一組數據。在活動目錄服務中,一個ACL是一個存儲訪問權限與被保護對象相互之間關係的列表。在 Windows NT?操作系統中,一個ACL作爲一個二進制值保存,稱之爲安全描述符。
ACL--參見"訪問控制列表"。
活動目錄-- Windows? 2000支持的一種結構,這種結構可以跟蹤和定位網絡上任意一個對象。活動目錄是Windows 2000服務器中使用的目錄服務,爲Windows 2000分佈式網絡提供基礎。
活動目錄服務接口(Active Directory Service Interface,簡稱ADSI)--基於組件對象模型(COM)的客戶端軟件 。 ADSI定義了一個目錄服務模型和一組COM接口,通過這些接口可以使 Windows NT 和Windows 95客戶端應用程序訪問一些網絡目錄服務,包括活動目錄服務。ADSI允許應用程序與活動目錄進行通信。
ADSI提供目錄服務客戶端通過使用一組接口與任何提供ADSI實現的名字空間進行交流的方法。ADSI客戶端通過使用ADSI替代與網絡相關的應用程序編程接口(API)調用,從而獲得訪問名字空間服務的更簡單的方法。ADSI 遵守並且支持標準的COM特徵。ADSI也定義了可以從自動兼容軟件,例如Java、Visual Basic、Visual Basic Scripting Edition(VBScript),來訪問的接口和對象,這同樣可以應用到非自動兼容語言,例如C和C++,通過這個特性可以增強性能。此外,ADSI提供它自己的OLE數據庫提供者,並且可以完全支持任何客戶端已經使用的OLE數據庫,包括那些使用ActiveX? 技術的。
ADSI--參見活動目錄服務接口"。
屬性(attribute)--對象的單一屬性。對象通過它們的屬性值進行描述。例如,可以用屬性這樣來定義一輛車:製造商、模型、顏色等等。屬性這個術語和特性這個詞可以相互使用,它們使完全一樣的。屬性也是用來描述對象的數據項,這些對象通過模式中定義的類來表現的。在模式中,屬性和類使分開定義的;這樣使得一個屬性可以在多個類中使用。參見"對象"。
授權(authentication)--確定用戶的身份,即確定究竟是誰登錄到計算機系統中的,或確定事物的完整性。
B
--------------------------------------------------------------------------------
備份域控制器(backup domain controller,簡稱BDC) --在 Windows NT Server 4.0或早期的域中,運行Windows NT Server的計算機接受包括域中所有帳戶和安全策略信息的目錄的拷貝。這份拷貝信息週期性並且自動的與主域控制器中的主備份進行同步。備份域控制器也可以確認用戶並且配置成爲象PDC類似的功能。一個域上可以有多個備用域控制器。
在 Windows 2000域中,備份域控制器是不需要;所有域控制器是對等的,都可以維護目錄。當Windows NT 4.0和 Windows NT 3.51備份域控制器運行在混合模式下時,可以與Windows 2000域進行交流。參見"域控制器和主域控制器"。
C
--------------------------------------------------------------------------------
容器(container)--一種特殊的活動目錄對象類型。容器與其他的活動目錄對象一樣具有屬性,並且它是活動目錄名字空間中的一部分。但是,與其他對象不同的是,它沒有具體的表現形式。容器中可以包括一組對象和其他容器。參見"對象"。
D
--------------------------------------------------------------------------------
數據庫層(database layer)--一種活動目錄的體系結構層次,通過將應用程序編程接口提供給目錄系統代理(Directory System Agent,簡稱DSA)層防止對擴展存儲引擎(Extensible Storage Engine,簡稱ESE)直接的訪問,它可以將活動目錄服務的上層與低層的數據庫系統隔離開來。
委託(delegation)--允許更高層的管理機構將對容器和子樹特定的管理權利授予給個人和組織。這樣可以更加有利於域名管理員進行管理。訪問控制條目(Access control entry,簡稱ACE)可以將容器中對象的管理權利授予給用戶或小組。通過容器的訪問控制列表(Access Control List,簡稱ACL)可以在特定的對象類上給予特定的操作。
例如,爲了允許用戶"James Smith"成爲"公司帳戶"的管理員,您將在ACL中增加如下的ACE:
"James Smith"; Grant; Create, Modify, Delete; Object-Class User
"James Smith"; Grant; Create, Modify, Delete; Object-Class Group
"James Smith"; Grant; Write; Object-Class User; Attribute Password
現在James Smith可以在公司帳戶中創建新的用戶和小組,同時還可以已有用戶設置密碼,但是他不能創建任何對象類,也不能操作其他容器(除非他被授予了對其他容器管理的權利)中的用戶。
目錄(directory)--一種存儲網絡信息的層次結構。
目錄服務(directory service)--例如活動目錄,提供存儲目錄數據並且使它可以被網絡用戶和管理員訪問的方法。例如,活動目錄存儲有關用戶帳號的信息,例如姓名、密碼、電話號碼等等,同時還可以使同一網絡中的其他授權用戶訪問這些信息。參見"活動目錄,目錄分區"。
目錄激活網絡(directory-enabled networking,簡稱DEN)--從存儲有關用戶、應用程序和網絡資源的中心管理網絡元素,例如路由器、應用程序和用戶。
目錄分區(directoy partition)--目錄的相鄰子樹,它形成目錄的一個複製單元。一個指定的複製經常使一些目錄分區的拷貝。活動目錄由一個或多個目錄分區組成。
在活動目錄中,一個服務器經常有至少三個目錄分區。
模式
配置(拓撲結構和相關元數據的拷貝)
一個或多個每域目錄分區(子樹包括目錄中的實際對象)
有關模式和配置被拷貝到指定森林中的每一個域控制器中。而域目錄分區只拷貝到相應的域控制器中。
可分辨的名稱(distinguished name)--確定包含對象的域以及通過這個對象可以到達的完整路徑。活動目錄中每一個對象有唯一的可分辨的名稱(DN),一個典型的可分辨的名稱(DN)可以是: CN=JamesSmith,CN=Users,DC=Microsoft,DC=Com. 這個名字確定了Microsoft.com域中的 "James Smith" 的用戶對象。
DNS --參見"域名系統(Domain Name System)"。
域(domain)--基於Windows NT的計算機網絡的安全邊界。活動目錄由一個或多個域組成。在一個獨立的工作站上,域就是計算機自身。域可以跨越多個物理區域。每一個域都有自己的安全策略和與其他域的安全關係。當多個域通過信任關係連接起來,並且共享一個模式、配置和全局目錄的時候,它們組成一個域樹。多個域樹可以組成一個森林。參見"域控制器,局部域小組"。
域控制器(domain controller)--一個基於Windows NT的服務器擁有一個活動目錄分區。參見"域"。
局部域小組(domain local group)--可以包含森林、通用小組和本域中的其他局部小組中的用戶和全局小組。一個局部域小組只能在本域的ACL中使用。參見"域、森林"。
域名系統(Domain Name System,簡稱DNS)--一種層次分佈式數據庫,用來進行域名/地址轉換。域名系統是Internet上使用的名字空間,用來將計算機和服務名稱轉換成爲TCP/IP地址。活動目錄在它的定位服務中使用DNS,以便客戶端可以通過DNS查詢找到域控制器。
E
--------------------------------------------------------------------------------
可擴充存儲引擎(Extensible Storage Engine,簡稱ESE)--活動目錄數據庫引擎。ESE(Esent.dll)是Jet數據庫的改進版本,在Microsoft Exchange 服務器 4.x和5.5版本中使用。它實現一種事務處理數據庫系統,也就是說它使用日誌文件來確保提交的事務是安全的。
F
--------------------------------------------------------------------------------
森林(forest)--相互信任的一個或多個活動目錄樹形成的小組。森林中的所有樹共享一個模式、配置和全局目錄。當一個森林包括多個樹的時候,所有的樹不是形成連續的名字空間。給定森林中的所有樹通過信任關係的雙向傳遞相互彼此信任。與樹不同的是,森林不需要一個可分辨的名稱(DN)。森林作爲一組交叉引用的對象和成員樹之間的信任關係而存在。森林中的樹形成一層次信任關係。參見"樹,全局目錄"。
G
--------------------------------------------------------------------------------
全局目錄(global catalog,簡稱GC)--全局目錄包括目錄中每一個Windows 2000域的複製。全局目錄允許用戶和應用程序在活動目錄域樹中尋找給定一個或多個屬性的目標對象。它還包括目錄分區的模式和配置。這就是說全局目錄擁有活動目錄中每一個對象的複製,但是隻包括每一個對象的一部分屬性。活動目錄中的屬性都是一些在查詢中經常使用的(例如用戶的姓、名、登錄名稱等等)和那些在定位對象的完全複製時需要使用的。GC允許用戶在不知道對象屬於哪個域以及不需要連續擴展名字空間時對它們進行查找。全局目錄通過活動目錄複製系統自動創建。
GC --參見"全局目錄"。
全局目錄服務器--是一個Windows 2000域控制器,它包括一份森林全局目錄的拷貝。參見"全局目錄"。
全局小組(global group)--可以出現在任何森林中的ACL中,並且可以包括來自本域中的用戶和其他全局小組。
小組--參見"全局小組,局部域小組,通用小組和組策略"。
組策略(Group Policy)--指將策略應用到活動目錄容器中的計算機組和/或用戶。所包括的策略類型不僅是出現在Windows NT服務器4.0中的基於註冊的策略,還可以是目錄服務所允許的用來存儲策略數據的多種類型,例如:文件配置、應用程序配置、登錄和註銷腳本、啓動和關機腳本、域安全、Internet協議安全(Internet Protocol security,簡稱IPSec)等等。策略的集合稱爲組策略對象(Group Policy object,簡稱GPO)。
組策略對象(Group Policy object,簡稱GPO)--策略的虛擬集合。它有一個唯一的名稱,例如一個全局唯一標識符(globally unique identifier,簡稱GUID)。GPO在兩個位置存儲組策略設置:組策略容器(Group Policy container,簡稱GPC)(首選的)和組策略模板(Group Policy templet,簡稱GPT)。GPC是一個活動目錄對象,存儲版本信息、狀態信息和其他策略信息(例如應用程序對象)。GPT用於基於文件的數據並且存儲軟件策略、腳本和配置信息。GPT位於域控制器的系統卷文件夾上。
一個GPO可以於一個或多個活動目錄容器相關,例如站點、域或組織單元。多個容器可以與相同的GPO相關聯同時一個容器可以與一個或多個GPO相互關聯。
此外,缺省的,每一個計算機接受一個只包含指定安全策略的局部組策略對象(local Group Policy object,簡稱LGPO)。管理員也可以在單個計算機上設置和應用不同的局部組策略。這對於那些不是域的成員或那些管理員希望刪除從域中繼承組策略的計算機的情況是有力的。參見"組策略"。
GPO--參見"組策略對象"。
H
--------------------------------------------------------------------------------
層次式名字空間(hierarchical namespace)--一個名字空間,例如DNS名字空間和活動目錄名字空間,它們都是層次式結構,並且提供劃分名字空間的規則。參見"名字空間"。
K
--------------------------------------------------------------------------------
Kerberos--一種用來授權用戶的安全系統。對於服務或數據庫,Kerberos不提供授權;它在登錄時授權用戶身份,這在整個會話中都是要使用的。Kerberos協議是Windows 2000操作系統中的主要授權機制。
知識一致性校驗(Knowledge Consistency Checker,簡稱KCC)--運行在域中所有域控制器上的內置服務,並且自動的建立站點中機器之間的相互聯繫。這些稱爲Windows 2000目錄服務連接對象。管理員可以建立另外的連接對象或刪除連接對象。但是,當站點中的複製出現問題或錯誤的時候,KCC將會起作用並且建立新的連接來恢復活動目錄拷貝。
L
--------------------------------------------------------------------------------
輕型目錄訪問協議(Lightweight Directory Access Protocol ,簡稱LDAP)--用來訪問目錄服務的一種協議。目前的 Web 瀏覽器和電子郵件程序中都實現了LDAP,這樣就可以查詢一個LDAP目錄。LDAP是目錄訪問協議(Directory Access Procotol ,簡稱DAP)的一個簡化版本,可以用來訪問X.500目錄。編寫LDAP查詢代碼比DAP簡單,但是LDAP的功能不是十分完善。例如,如果沒有找到地址,DAP可以在其他的服務器上進行初始化尋找,但是LDAP就不具備這個功能。LDAP是活動目錄的主要的訪問協議。
M
--------------------------------------------------------------------------------
混合模式(mixed mode)--允許運行Windows 2000和Windows NT的域控制器同時存在域一個域中。在混合模式下,以前版本的Windows NT中的域特性仍然有效,但是卻有一些Windows 2000的特性是無效的。Windows 2000服務器域的缺省安裝是混合模式。在混合模式下,域中可能有現成Windows NT 4.0域控制器。混合模式下不支持嵌套小組。與原始模式相比較。
多主複製(multi_master replication)--是活動目錄的一個特徵,它可以支持和維護在域中的多個服務器上目錄的多分拷貝。由於給定目錄分區的所有拷貝都是可寫的,因此可以對其中任何一份拷貝進行更新。活動目錄複製系統將一個副本中的變化傳播到所有的副本中去 。複製是自動和透明的。
活動目錄多主複製可以將任何域控制器創建的任何對象(例如用戶、小組、計算機、域、組織單元、安全策略等等)傳播到其他相關的域控制器。如果域中的一個域控制器比較慢或出現錯誤,那麼本域中其他的域控制器可以提供必要的目錄訪問,因爲它們包含相同的目錄數據。參見"複製"。
N
--------------------------------------------------------------------------------
原始模式(native mode)--當域中所有的域控制器都運行Windows 2000服務器。這個模式允許機構充分利用新的活動目錄特性,例如通用小組、嵌套小組成員和域間小組成員。與"混合模式"進行比較。
名字空間(namespace)--根據一定的命名規則定義的一個名字或一組名字,它們可以在一定的範圍內被解析。活動目錄主要是一個名字空間,同樣也是一個目錄服務。一個電話目錄也是一個名字空間。Internent使用一種層次式的名字空間,它將名字劃分稱爲一些目錄--頂級域,例如.com, .edu, 和 .gov,它們都是在最頂層。
名字解析(name resolution)--將名字轉換成爲它所代表的對象或信息的過程。一個電話本組成一個名字空間,在這個空間中可以將電話用戶解析到相應的電話號碼。Windows NTFS文件系統組成一個名字空間,可以將文件名解析到文件本身。同樣的,活動目錄也組成一個名字空間,可以將目錄中對象的名字解析到對象本身。
O
--------------------------------------------------------------------------------
對象(object)--由一組屬性組成的集合,它代表的是具體的事物,例如用戶、打印機或一個應用程序。屬性就是用來描述目錄對象可以標識的數據。一個用戶的屬性可能是用戶姓、教名和電子郵件地址。
對象標識符(object identifier)--在目錄服務中用來確定對象類或屬性的一個數。對象標識符由發佈機構發佈,形成一個層次關係。對象標識符是一串用點分開的十進制數(例如"1.2.3.4")。企業(和個人)可以從發佈機構得到一個根對象標識符,並且使用它分配其他的對象標識符。例如,Microsoft得到的根標識符是"1.2.840.113556"。 Microsoft進一步管理從這個根發展的分支。這些分支中的一個是用來給活動目錄類分配一個對象標識符,另一個用來給活動目錄屬性分配標識符,等等。
世界上許多國家有確定的國家註冊機構(national registration authority,簡稱NRA),它們負責給企業發佈對象標識符。在美國,NRA是美國國家標準局(American National Standards Institute,簡稱ANSI)。企業也可以爲對象標識符註冊名稱。根對象標識符和註冊名字都是計費的。詳細信息,可以聯繫本國NRA。國際標準化組織(International Standards Organization)承認NRA並且在ISO站點維護相應的聯繫列表。參見"對象,屬性"。
組織單元(organizational unit,簡稱OU)--一個容器對象,它是活動目錄可管理的劃分。OU可以包含用戶、小組、資源和其他OU。組織單元可以管理權限委託給目錄中的子樹。
OU --參見"組織單元"。
P
--------------------------------------------------------------------------------
父子信任關係(parent-child trust relationship)--一種雙向、可傳遞的信任關係,當向一個活動目錄樹添加域時建立。活動目錄安裝過程自動爲正在創建的域(新的子域)和它的父域之間創建信任關係。
劃分(partition)--存儲中複製的一個完整單元。參見"目錄分區"。
PDC--參見"主域控制器"。
PKI --參見"公開密鑰基礎"。
策略(policy)--管理主題和對象相互作用的規則集合。例如,當Internet協議(Internt Protocol,簡稱IP)安全代理(主題)啓動一臺計算機(對象)時,策略需要確定計算機應該如何參與安全IP連接。
策略引擎(policy engine)--在決策點執行的軟件,它執行策略選擇、估算條件以及確定應該執行什麼行爲。策略引擎的概念十分羅嗦;它的功能性經常通過分佈式系統的多個部分進行傳播。例如,Windows 2000提供一個策略基礎結構,包括策略存儲(組策略對象)、作爲用戶登錄(WinLogon)的一部分而運行的策略引擎、激活策略選擇進程的一個API(GetGPOList)。一些應用程序和服務使用WinLogon集成將它們的策略應用到用戶,其他的使用GetGPOList來實現它們的策略決定和執行點。
主域控制器(primary domain controller,簡稱PDC)--Windows NT Server 4.0或早期的域中,PDC是運行Windows NT Server 的計算機,這個計算機授權域登錄並且維護域的目錄數據庫。PDC跟蹤域中所有計算機帳戶所做的改變。它是唯一可以直接接受變化的計算機。一個域只有一個主域控制器。Windows 2000中,每一個域中的一個域控制器標記爲PDC,它可以向下兼容客戶機和服務器。參見"域控制器,備用域控制器"。
配置文件(profile)--信息的集合,這些信息是通過策略條件的估算結果選擇出來的,應用於主題和對象之間交互作用的。配置文件的內容與正在討論的主題和對象相關的。配置文件可以通過減少策略總數進一步簡化管理。例如,給定服務器應用程序可能有很多配置參數。這個應用程序的策略可以引用它的簡表;這比使用多個策略來完成相同的任務簡單一些。參見"策略,對象"。
公用密鑰體系(public key infrastructure ,簡稱PKI)-- 在一個機構、工業領域或國家內建立交換信息的安全方法的策略。PKI也是一組服務和管理工具的集合,可以使用這些工具創建、配置和管理基於公共密鑰的應用程序。它包括加密方法、數字證書的使用、認證(certificate authority,簡稱CA)和管理進程的系統。
R
--------------------------------------------------------------------------------
相對唯一的名字(relative distinguished name,簡稱RDN)--對象名字的一部分,是它自身的一個屬性。爲對象提供RDN的屬性指命名屬性。參見"可分辨的名稱(DN)"。
複製(replication)--在數據庫管理系統中,通過例行公事的將整個數據庫或數據庫的子集拷貝到網絡中的其他 服務器上而使分佈式數據庫同步的功能。有幾種拷貝的方法,包括主站點複製、共享或傳輸所有權的複製、對稱複製(也稱爲隨時更新或對等複製)和失敗恢復複製。參見不同複製方法的完整定義"百科全書"。
活動目錄提供多主複製,它是對稱複製的一種形式。(參見"多主複製")
S
--------------------------------------------------------------------------------
模式(schema)--整個數據庫的定義;可以存儲在數據庫中的全局對象定義在模式中。對於每一個對象類而言,模式定義了類實例必須具有的屬性、可能有的附加屬性和當前對象的父親是基於什麼類的。參見"對象,屬性"。
模式主控(schema master)--用來控制森林中模式的所有更新的域控制器。任何時候,森林中只能有一個模式主控。參見"域控制器,森林,模式"。
SID--安全標識符。參見"訪問控制條目"。
單主操作(single-master operation)--活動目錄操作是單主操作,也就是在同一個時間,在網絡中不允許在不同地方發生。這些操作的例子包括:
分配相對標識符(Relative identifier,簡稱RID)
修改模式
挑選主域控制器
改變特定基礎結構
站點(site)--網絡中擁有活動目錄服務器的位置。站點是一個或多個完好連接的TCP/IP子網。完好連接是指網絡連接高度可靠、速度快。(LAN的速度,10Mbps或更高的)。
在活動目錄複製服務中站點起着非常重要的作用,它可以區分使用局域網連接(站點內複製)和慢速廣域網(WAN)連接(站點間)的複製。管理員使用活動目錄站點和服務管理器插件來管理站點內複製和站點間複製的複製拓撲關係圖。
存儲(store)--每個活動目錄複製的物理存儲。當一個對象存儲在活動目錄中時,系統將選擇存儲的一份複製,並且將對象寫入在那裏。複製系統將在所有其它的副本中複製對象。存儲使用擴展存儲引擎實現的。參見"擴展存儲引擎"。
T
--------------------------------------------------------------------------------
可傳遞信任關係(transitive trust)--Windows 2000域樹或森林中的域、森林中的樹、森林之間固有的存在信任關係。當一個域加入到一個已有的森林或域樹時,自動的建立可傳遞關係。可傳遞信任一般時雙向的關係。在域樹中的父子域、森林中域樹的根域這一系列信任關係允許森林中的所有域相互之間彼此信任,這樣的目的是授權。例如,如果域A信任域B,域B信任域C,那麼域A可以信任域C。參見"樹,森林"。
樹(tree)--通過可傳遞、雙向信任關係連接在一起的Windows NT域的集合,它們共享相同的模式、配置和全局目錄。域必須組成層次式的名字空間,例如,a.com是樹根,b.a.com是a.com的孩子,c.b.a.com是b.a.com的孩子等等。參見"模式,森林"。
U
--------------------------------------------------------------------------------
通用小組(universal group)--組的最簡單的形式。通用組可以出現在森林ACL的任何地方。小型安裝可以專有的使用通用小組而不要去關心全局和局部小組。
W
--------------------------------------------------------------------------------
完好連接(well-connected)--使網絡和活動目錄更好的服務於用戶的 充分的連接。這個術語的精確含義由具體的需求而定。
X
--------------------------------------------------------------------------------
X.500 --一組標準的集合,它定義了分佈式目錄服務,是國際標準委員會(International Standards Organization,簡稱 ISO)開發的