Active Directory简介
Active Directory
1 Active Directory相关知识1.1Active Directory概述活动目录(Active Directory简称AD),是从win2000 开始引入的操作系统的重要组件。
AD可以认为是一个大的层次结构数据库,用来集中存储企业内部的用户帐户、计算机、打印机、应用程序、安全性与系统原则等各种重要资源。
AD允许网络用户通过单一登录就可以访问网络中任何位置的许可资源。
从开发人员角度看AD,可以理解AD是一种存放了应用程序所需要的特定资源信息的“数据库”。
AD还对这些资源信息的读取和查询进行了优化,而且它允许通过大量的用户定义以满足特定的商业和组织需要。
1.2几个相关术语简介1.2.1容器和非容器AD中的资源信息被组织成一个层次结构。
这个层次结构中的每一个实体都被简称为对象。
换句话说,AD中创建对象时,是把它们创建在一个层次结构中的。
该结构由两种类型的对象组成:Container(容器)和非Container(非容器)。
容器可容纳非容器或下一级的容器。
而非容器则不再包含其他对象,因此也常被成为叶或叶子对象。
在安装完活动目录后,操作系统已经默认自动创建了很多的Container,如Users, Builtin1.2.2 OUOU是Organizational Unit(组织单元或部门)的缩写。
OU是容器对象,它主要从逻辑的角度来管理和组织活动目录域。
可在其中放置用户、组、计算机、打印机、共享文件夹以及一个域内的其他部门。
部门(在Active Directory 用户和计算机界面中用文件夹表示)允许按逻辑关系组织并存储域中的对象。
如果有多个域,则每个域均可实现各自独立的部门层次。
如下图所示,部门中也可包含其他部门。
1.2.3 Naming ContextAD被分成许多部分,称之为分区或者命名上下文(Naming Context,简称NC)。
在AD中包含了三个命名上下文(Naming Context,NC):域命名上下文(Domain NC)、配置命名上下文(Configuration NC)和架构命名上下文(Schema NC)。
active directory的概念
active directory的概念Active Directory(AD)是由微软开发的一种目录服务。
它是用于在网络环境中管理和组织网络资源的一种基于域的层次结构。
AD的概念可以从以下几个方面进行阐述:1. 域的概念:域是AD中最基本的逻辑结构单元,它是一个安全边界,类似于一个边界防火墙。
域可以包含用户、计算机、组织单位等多种对象,并且提供了集中管理和控制这些对象的能力。
2. 目录服务的概念:目录服务是一种描述和组织网络资源的方式,类似于电话号码簿或黄页。
它提供了一种将网络资源分层和分类的方法,使得用户可以更方便地访问和管理这些资源。
3. 组织单位(OU)的概念:OU是AD中的一个组织单位,它用于将不同类型的对象进行逻辑划分和组织。
通过OU,管理员可以根据需要创建各种组织结构,方便地对其内部的对象进行管理和控制。
4. 权限和访问控制的概念:AD提供了强大的权限和访问控制机制,可以对对象进行细粒度的权限控制。
管理员可以通过AD设置访问规则和策略,限制用户对资源的访问权限,确保安全性和合规性。
5. 多域环境的概念:AD支持多域环境,可以在一个AD林(forest)中创建多个域。
不同域之间可以建立信任关系,使得用户或计算机可以跨域访问资源。
接下来,我们来一步一步回答关于AD的一些常见问题。
Q1:什么是域?域是AD中最基本的逻辑单位,相当于一个边界防火墙。
它提供了集中管理和控制网络资源的能力。
域可以包含用户、组织单位、计算机等多种对象。
域之间可以建立信任关系,使得用户可以跨域访问资源。
Q2:什么是目录服务?目录服务是一种描述和组织网络资源的方式,类似于电话号码簿或黄页。
它提供了将资源分层和分类的方法,方便用户访问和管理这些资源。
Q3:什么是组织单位(OU)?组织单位是AD中的一个组织单元,用于将不同类型的对象进行逻辑划分和组织。
通过OU,管理员可以方便地对其内部的对象进行管理和控制。
Q4:AD如何实现权限和访问控制?AD提供了强大的权限和访问控制机制,可以对对象进行细粒度的权限控制。
Active Directory技术介绍
Active Directory 技术概述Microsoft 公司发布日期: 2002年7月摘要在Microsoft® Windows® 2000操作系统的基础之上, Windows Server 2003家族中的Active Directory® 服务引入了一些关键特性,以确保它能够成为当今市场上最为灵活的目录服务之一。
随着基于目录的应用日益流行,各类组织可以开始使用Active Directory管理各种复杂的企业网络环境。
此外, Windows Server 2003产品家族还提供了众多的新功能,这使得它成为了开发和部署基于目录的应用程序的理想平台。
本文介绍了Active Directory的基本概念,并且概括了Windows Server 2003中的Active Directory所具有的一些新增功能和增强特性。
本白皮书只是预备性文档,并有可能在其所描述的软件产品投入最终商业发布之前接受实质性修订。
本文档所提供的信息资料仅代表Microsoft公司在信息发布当日就研讨活动所围绕的问题持有的临时观点。
鉴于Microsoft公司必须针对瞬息万变的市场状况不断做出相应调整,故而,本文档内容不应被解释为Microsoft方面所做出的任何承诺,与此同时,Microsoft也无法在发布之日后继续保证文件所含信息的准确性。
本白皮书仅供用于信息参考目的。
Microsoft并未在本文档中提供任何形式的保证、明示或暗示。
遵守所有适用版权法律是文档使用者所应承担的义务。
Microsoft公司虽未在版权保护下就与本文档相关的权利做出任何限定,但是,任何人未经Microsoft公司书面授权许可,均不得出于任何目的、以任何形式、利用任何手段(电子、机械、影印、录音等)将本文档的任何组成部分制作成拷贝、存储或引入检索系统、亦或向任何对象进行传送。
Microsoft公司可能就本文档所涉及的主题拥有专利、专利申请、商标、版权或其它形式的知识产权。
如何使用ActiveDirectory管理Windows用户和组
如何使用ActiveDirectory管理Windows用户和组Active Directory(AD)是Windows操作系统中最常用的目录服务,它允许管理员集中管理用户账户、安全策略、组织单位等,为组织提供基于角色的访问控制和身份认证。
本文将介绍如何使用Active Directory管理Windows用户和组。
第一章:Active Directory简介Active Directory是Windows Server操作系统的一项功能,用于集中管理用户、计算机、服务和其他资源。
它提供了分层的目录结构,按照域的概念组织,每个域包含一个或多个域控制器(Domain Controller)。
域控制器负责存储、验证和复制目录信息。
第二章:创建AD域和域控制器首先,我们需要创建一个自己的AD域。
在开始之前,请确保你有一台安装了Windows Server操作系统的计算机,并且以管理员身份登录。
打开“服务器管理器”,选择“添加角色和功能”,在向导中选择“Active Directory域服务”。
按照向导的提示完成安装,安装过程中会要求你创建一个新的域或加入现有域。
第三章:添加用户账户在Active Directory中,用户账户用来标识和验证用户。
为了添加新的用户账户,我们可以打开“Active Directory用户和计算机”,在合适的组织单位(OU)下右键选择“新建用户”并按照向导的提示填写相关信息。
一般来说,我们需要设置账户名称、用户名、密码、描述等信息。
新建用户账户后,可以通过选中该用户账户,右键选择“重置密码”来更改用户密码。
第四章:创建和管理组在Active Directory中,组用于将用户账户和计算机账户进行逻辑分组,以便于管理。
创建新组的方法与添加用户账户类似,只需在“Active Directory用户和计算机”中选择合适的OU,右键选择“新建组”。
在组属性中,我们可以设置组名称、描述、成员等信息。
简述active directory结构
简述active directory结构
Active Directory(AD)是Windows Server操作系统中的目录服务,用于存储、管理和组织网络对象的信息,例如用户、计算机、打印机和共享文件夹等。
其结构主要包括以下组件:
1. 域:域是AD的基本单位,是一组网络对象的集合,可以将其看作是一个大型的目录数据库。
每个域都有一个域控制器(Domain Controller),负责管理该域的所有活动。
2. 目录树:一个或多个域可以组成一个目录树。
目录树以一个域作为根域,其他域作为子域。
根域控制器管理整个目录树,其他域控制器则管理各自域内的对象。
3. 目录林:一个或多个目录树可以组成一个目录林。
目录林以一个目录树作为根目录树,其他目录树作为子目录树。
根目录树的管理员可以对整个目录林进行管理,而其他目录树的管理员只能管理各自目录树内的对象。
4. 组织单元(OU):组织单元是一种特殊类型的目录对象,用于将用户和计算机等对象组织成逻辑单元。
OU可以用来表示组织结构、地理位置或安全策略等信息。
5. 信任关系:信任关系是AD中不同域之间的一种关系,允许一个域的用户访问另一个域的对象。
例如,当一个用户从外部网络登录到内部网络时,可以通过信任关系进行身份验证和授权。
以上是Active Directory的基本结构,通过这种结构,管理员可以方便地管理网络中的对象,并确保安全性和可靠性。
Active Directory配置与应用
Active Directory配置与应用一. Active directory的概论1、Active directory 的几个基本概念目录(directory):它就象我们日常用的电话本,本子上记录着家人朋友的姓名、电话、住址、生日等等,这就是“电话目录”。
我们说的Active directory是在windows Server 2003域内负责提供目录服务的组件。
命名空间(Namespace):就是一个界定好的区域,在这块区域内我们可以利用某个名称来找到与这个名称有关的信息。
一个电话本好象是一个“命名空间”。
对象(object):在windows server 2003 域内用户、计算机、打印机、应用程序等都是对象。
属性(attribute):属性就是用来描述对象特征的。
对象本身就是一些“属性”的集合。
容器(container):它和对象相似,也是一些属性的集合。
容器内可以包含其他对象,比如“用户”“计算机”等对象,还可以包含其他容器。
组织单元(OU):实际就是一个特殊点的容器,可以包含其他容器与OU,还有“组策略”的功能。
域树(domain tree) :架设一个多域的网络,则网络可以设置成“域树”的架构,这些域是以倒置树状结构存在。
树的最上层是这棵域树的根域,根域之下会有很多会有很多子域。
信任(trust):要想让两个域可以访问对方域内的资源,必须让两个域建立“信任关系”。
任何一个windows server 2003域被加入域树后,这个域都会自动信任前一层的父域,同时父域也会自动信任此新域,这个信任的功能是通过Kerberos安全协议来完成的,也被称做kerberos信任。
如果A域和B域双向信任,B域和C域也互相信任,那么A域和C域也会自动双向信任,这也叫隐性信任。
林(forest):如果一个网络有多个域树则可以将这些域树组合成为一个“林”。
一个林可以包括一个或多个域树,每一个域树都有自己唯一的命名空间。
简述active directory的功能
Active Directory(AD)是Microsoft Windows Server操作系统中的核心组件,它提供了一种集中式的目录服务,用于管理和组织网络中的计算机、用户、组和资源。
以下是Active Directory的主要功能:目录服务:Active Directory作为中央目录服务,允许用户和计算机在网络中轻松找到和访问其他用户、计算机、共享文件夹、打印机和其他网络资源。
这大大简化了网络管理和资源访问。
身份验证和授权:Active Directory提供了一个集中的身份验证机制,使得用户可以登录到任何受信任的计算机,而无需重新输入用户名和密码。
同时,它还提供了基于角色的访问控制(RBAC),使得管理员可以轻松地管理用户的权限和访问级别。
组策略管理:通过Active Directory,管理员可以定义组策略(Group Policy),这是一种强大的管理工具,可以用于配置和管理网络中的计算机和用户。
组策略可以用于配置各种设置,如桌面壁纸、屏幕保护程序、应用程序配置、安全策略等。
安全策略管理:Active Directory还提供了一套完整的安全策略管理机制,包括防火墙规则、安全审计、数据加密等。
管理员可以通过Active Directory来管理和实施这些安全策略,确保网络的安全性。
网络服务管理:Active Directory可以用于管理各种网络服务,如文件共享、打印服务、电子邮件服务、数据库服务等。
管理员可以通过Active Directory来配置和管理这些服务,确保它们的正常运行。
报告和监视:Active Directory还提供了一套完整的报告和监视工具,可以帮助管理员了解网络的使用情况、安全状况、性能等。
这些工具可以帮助管理员及时发现和解决网络问题。
与其他应用的集成:Active Directory可以与其他Windows Server应用和服务无缝集成,如DNS服务、IIS服务、Exchange Server等。
active directory基本概念
active directory基本概念Active Directory(AD)是由Microsoft开发的一种目录服务,用于在网络中管理和组织用户、计算机、打印机等资源。
它提供了一个集中式数据库和认证服务,用于在组织内建立和维护网络中的对象的层次结构。
以下是一些关于Active Directory 的基本概念:1. 目录服务(Directory Service):• Active Directory 是一个目录服务,其主要作用是存储和组织网络中的对象信息,如用户、计算机、打印机等。
这些对象按照层次结构进行组织,形成一个树状的目录。
2. 域(Domain):•在Active Directory中,域是一个逻辑上的组,用于组织和管理网络中的对象。
每个域都有一个唯一的域名,域内的对象可以相互共享资源和认证信息。
3. 林(Forest):•一个林(Forest)是一个包含一个或多个域的集合。
域与域之间可以建立信任关系,形成一个林。
每个林都有一个共享的林根(Forest Root),所有域都共享这个林根。
4. 域控制器(Domain Controller):•域控制器是运行Active Directory服务的服务器。
每个域至少有一个域控制器,它存储了该域的目录信息,并提供认证和授权服务。
5. 组织单位(Organizational Unit,OU):•组织单位是用于组织和管理域内对象的容器。
OU可以包含用户、组、计算机等,并可以在OU内应用特定的策略。
6. 组(Group):•组是一种将用户、计算机等对象集合在一起的方式,以便更轻松地管理这些对象的权限和设置。
7. 用户和计算机账户:• Active Directory存储了用户和计算机的信息,包括登录名、密码、权限等。
用户和计算机账户可以被组织在域内的不同容器中。
8. 域名服务(DNS):• Active Directory使用DNS来命名和定位域控制器。
第6讲 Active Directory和域
Active Directory的服务功能及优点
高效地组织资源:AD服务把所有的可用资源按 照特有的目录方式进行存储和组织,可以应对网 络的扩展和资源的扩充; 简洁地查找资源:AD服务把资源组织成各个不 同的对象,使用AD服务工具可以方便地查找域 中的任何资源; 灵活地管理方式:AD服务提供了集中管理方式 和分布式管理方式,既发挥了集中式管理的安全 性,又考虑了分布式管理的效率。
成员服务器与工作站
Active Directory中可以包含一些普通的服务器,称为成
员服务器。成员服务器不负责AD的管理,它的任务是完 成应用相关的常规事项。
Active Directory中也包含一些工作站,完成和用户进行
数据和操作的交互,起到一个终端的作用。
6.3 Active Directory中的重要概念
多主域模型
多主域模型(Multiple Master Domain)可以克服主 域模型的缺点。该模型的结构与主域模型类似,但是 可以有多个主域,并且各主域间具有双向信任关系, 在不同非主域之间也可以存在信任。 优点是:可以克服主域模型的缺点,帐户进行分散管 理,减轻了单一主域的压力。 其缺点是:帐户分散在不同的主域间会增加管理上的 困难度。
全局目录:保存了森林中所有对象的所有特征的信息库, 默认保存在森林中第一个域控制器上,也可指定某域控制 器存储。 复制:通过该功能确保森林中的任何一台域控制器的任何 更改都能同步反映到其他域控制器上; 信任:指不同域之间访问资源的权限控制; DNS名称:使用用户友好的名字来标识AD中的所有资源。
简述active directory的功能 -回复
简述active directory的功能-回复Active Directory(AD)是一种由微软开发的目录服务,用于管理网络中的用户、计算机和其他网络资源。
它提供了一种集中式的方式来组织、管理和授权访问网络资源,从而提高网络安全性、效率和管理灵活性。
本文将介绍Active Directory的功能,以及它在企业网络中的重要作用。
一、认识Active DirectoryActive Directory是一种目录服务,它允许网络中的管理员将用户、计算机、组织单元(OU)等组织成一个层次结构,并为之分配适当的权限和访问控制。
用户可以通过单一的登录凭据来访问网络中的各种资源,无需为每个资源单独验证身份。
这种集中管理和认证的方式大大简化了管理员的工作,提高了用户的便利性和使用效率。
二、用户和计算机管理Active Directory允许管理员集中管理网络中的用户和计算机。
管理员可以创建和删除用户账户,配置密码策略,重置密码,以及授权用户的访问和权限等。
此外,管理员还可以将用户组织成组织单元(OU)和组,以便更好地组织和管理用户。
对于计算机,管理员可以将其加入域,为其分配正确的访问权限和配置策略,以确保网络安全性和资源的正确使用。
三、证书服务Active Directory集成了证书服务(Certificate Services),用于颁发和管理数字证书。
数字证书是一种用于认证身份和加密通信的安全工具。
通过集成证书服务,Active Directory可以为企业内部的用户和计算机签发数字证书,通过证书来验证身份和实现安全通信,保护数据的完整性和保密性。
四、资源共享和访问控制Active Directory提供了强大的资源共享和访问控制功能。
通过将资源(如文件夹、打印机等)添加到Active Directory中,管理员可以有效地控制用户对这些资源的访问权限。
管理员可以根据需要为用户、组或计算机分配不同级别的权限,例如只读、读写或完全控制权限。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Active Directory简介活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。
(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。
)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。
Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
Microsoft Active Directory 服务是Windows 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
目录形式的数据存储人们经常将数据存储作为目录的代名词。
目录包含了有关各种对象[例如用户、用户组、计算机、域、组织单位(OU)以及安全策略] 的信息。
这些信息可以被发布出来,以供用户和管理员的使用。
目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问。
一个域可能拥有一台以上的域控制器。
每一台域控制器都拥有它所在域的目录的一个可写副本。
对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。
由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
目录数据存储在域控制器上的Ntds.dit文件中。
我们建议将该文件存储在一个NTFS分区上。
有些数据保存在目录数据库文件中,而有些数据则保存在一个被复制的文件系统上,例如登录脚本和组策略。
有三种类型的目录数据会在各台域控制器之间进行复制:•域数据。
域数据包含了与域中的对象有关的信息。
一般来说,这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息,管理员和用户可能都会对这些信息感兴趣。
例如,在向网络中添加了一个用户帐户的时候,用户帐户对象以及属性数据便被保存在域数据中。
如果您修改了组织的目录对象,例如创建、删除对象或者修改了某个对象的属性,相关的数据都会被保存在域数据中。
•配置数据。
配置数据描述了目录的拓扑结构。
配置数据包括一个包含了所有域、域树和森林的列表,并且指出了域控制器和全局编录所处的位置。
•架构数据。
架构是对目录中存储的所有对象和属性数据的正式定义。
Windows Server 2003提供了一个默认架构,该架构定义了众多的对象类型,例如用户和计算机帐户、组、域、组织单位以及安全策略。
管理员和程序开发人员可以通过定义新的对象类型和属性,或者为现有对象添加新的属性,从而对该架构进行扩展。
架构对象受访问控制列表(ACL)的保护,这确保了只有经过授权的用户才能够改变架构。
活动目录功能活动目录(Active Directory)主要提供以下功能:①基础网络服务:包括DNS、WINS、DHCP、证书服务等。
②服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
③用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
④资源管理:管理打印机、文件共享服务等网络资源。
⑤桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑥应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
Active Directory和安全性安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。
通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,经过授权的网络用户可以访问网络任意位置的资源。
基于策略的管理则简化了网络的管理,即便是那些最复杂的网络也是如此。
Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。
因为Active Dir ectory不但可以保存用户凭据,而且可以保存访问控制信息,所以登录到网络上的用户既能够获得身份验证,也可以获得访问系统资源所需的权限。
例如,在用户登录到网络上的时候,安全系统首先利用存储在Active Directory中的信息验证用户的身份。
然后,在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表(DCAL)中所定义的属性。
因为Active Directory允许管理员创建组帐户,管理员得以更加有效地管理系统的安全性。
例如,通过调整文件的属性,管理员能够允许某个组中的所有用户读取该文件。
通过这种办法,系统将根据用户的组成员身份控制其对Active Directory中对象的访问操作。
Active Directory 的架构Active Directory的架构(Schema)是一组定义,它对能够存储在Active Directory中的各种对象——以及有关这些对象的各种信息——进行了定义。
因为这些定义本身也作为对象进行存储,Active Directory可以像管理目录中的其它对象一样对架构对象加以管理。
架构中包括了两种类型的定义:属性和分类。
属性和分类还可以被称作架构对象或元数据。
分类分类,又称对象分类,描述了管理员所能够创建的目录对象。
每一个分类都是一组对象的集合。
在您创建某个对象时,属性便存储了用来描述对象的信息。
例如,“用户”分类便由多个属性组成,其中包括网络地址、主目录等等。
Active Directory中的所有对象都是某个对象分类的一个实例。
架构的扩展有经验的开发人员和网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。
架构的内容由充当架构操作主控角色的域控制器进行控制。
架构的副本被复制到森林中的所有域控制器上。
这种共用架构的使用方式确保了森林范围内的数据完整性和一致性。
此外,您还可以使用“Active Directory架构”管理单元对架构加以扩展。
为了修改架构,您必须满足以下三个要求:• 成为“Schema Administrators”(架构管理员)组的成员• 在充当架构操作主控角色的计算机上安装“Active Dir ectory架构”管理单元• 拥有修改主控架构所需的管理员权限在考虑对架构进行修改时,必须注意以下三个要点:• 架构扩展是全局性的。
在您对架构进行扩展的时候,您实际上扩展了整个森林的架构,因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。
• 与系统有关的架构分类不能被修改。
您不能修改Active Directory架构中的默认系统分类;但是,用来修改架构的应用程序可能会添加可选的系统分类,您可以对这些分类进行修改。
• 对架构的扩展不可撤销。
某些属性或者分类的属性可以在创建后修改。
在新的分类或者属性被添加到架构中之后,您可以将它置于非激活状态,但是不能删除它。
但是,您可以废除相关定义并且重新使用对象标识符(OID)或者显示名称,您可以通过这种方式撤销一个架构定义。
有关架构修改的更多信息,请通过/reskit参阅Microsoft Windows 资源工具包。
Active Directory不支持架构对象的删除;但是,对象可以被标记为“非激活”,以便实现与删除同等的诸多益处。
属性属性和分类单独进行定义。
每一个属性仅仅定义一次,但是可以在多个分类中使用。
例如,“Description”(描述)属性可以使用在多个分类中,但是只需在架构中定义一次即可,以保持数据的一致性。
属性用来描述对象。
每一个属性都拥有它自己的定义,定义则描述了特定于该属性的信息类型。
架构中的每一个属性都可以在“Attribute-Schema”分类中指定,该分类决定了每一个属性定义所必须包含的信息。
能够应用到某个特殊对象上的属性列表由分类(对象是该分类的一个实例)以及对象分类的任何超类所决定。
属性仅仅定义一次,但是可以多次使用。
这确保了共享同一个属性的所有分类能够保持一致性。
多值属性属性可以是单值的也可以是多值的。
属性的架构定义指定了属性的实例是否必须是多值的。
单值属性的实例可以为空,也可以包含一个单值。
多值属性的实例可以为空,也可以包含一个单值或多值。
多值属性的每一个值都必须是唯一的。
索引属性索引应用于属性,而不是分类。
对属性进行索引有助于更快地查询到拥有该属性的对象。
当您将一个属性标记为“已索引”之后,该属性的所有实例都会被添加到该索引,而不是仅仅将作为某个特定分类成员的实例添加到索引。
添加经过索引的属性会影响Active Directory的复制时间、可用内存以及数据库大小。
因为数据库变得更大了,所以需要花费更多的时间进行复制。
多值属性也可以被索引。
同单值属性的索引相比,多值属性的索引进一步增加了Active Directory的大小,并且需要更多的时间来创建对象。
在选择需要进行索引的属性时,请确信所选择的共用属性,而且能够在开销和性能之间取得平衡。
一个经过索引的架构属性还可以被用来存储属性的容器所搜索,从而避免了对整个Active Directory数据库进行搜索。
这样不仅缩短了搜索所需花费的时间,而且减少了在搜索期间需要使用的资源数量。
全局编录的角色全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。
此外,全局编录还存储了每个对象最常用的一些可搜索的属性。
全局编录存储了它所在域的所有目录对象的完整副本,以及森林中其它域中所有目录对象的部分副本,所以您不必咨询域控制器即可实施有效的搜索操作。
全局编录在森林中最初的一台域控制器上自动创建。
您可以为任何一台域控制器添加全局编录功能,或者将全局编录的默认位置修改到另一台域控制器上。
全局编录担当了以下目录角色:• 查找对象全局编录允许用户搜索森林所有域的目录信息,而不管数据存储在何处。
森林内部的搜索可以利用最快的速度和最小的网络流量得以执行。
在您从“开始”菜单搜索人员或打印机,或者在某个查询的内部选择了“整个目录”选项的时候,您就是在对全局编录进行搜索。
在您输入搜索请求之后,请求便会被路由到默认的全局编录端口3268,以便发送到一个全局编录进行解析。
• 提供了根据用户主名的身份验证。
在进行身份验证的域控制器不知道某个账户是否合法时,全局编录便可以对用户的主名进行解析。
例如,如果用户的账户位于域,而用户决定利用user 1@这个用户主名从位于的一台计算机上进行登录,那么e 的域控制器将无法找到该用户的账户,然后,域控制器将于全局编录服务器联系,以完成整个登录过程。