1Window域详解

一、域结构简介

1、域的含义：

域是由一群以网络连接在一起的计算机所组成的，它们将计算机内的资源共享给其他人使用。

2、与工作组结构网络区别：

域内所有的计算机共享一个集中式的目录数据库，它包括整个域内的用户与安全数据。而工作组结构的网络，每台计算机的位置平等。可以相互的共享。

3、域中的计算机类型：

A、域控制器：

只有WIN2000SERVER或WIN2003才可以做域控制器，域控制器在一个网络中可以有多个。一台的目录数据库可以自动复制到别一个域服务器的目录数据库中，域可以审核登录用户的用户名和密码。多台域服务器共同审核用户的登录可以提高效率。

B、成员服务器：

域内的WIN2000服务器如果不是域控制器，就是成员服务器，如果不加入域就是独立服务器，成员服务器没有活动目录，不能审核域用户的登录，但它们都有自己的本地安全数据库。以审核本地用户。

C、其他计算机：

其他计算机可以用来访问这些计算机的资源。

二、活动目录定义

1、概述：

目录：

举例来说一个电话本：其中有姓名、与姓名相对应的又有电话号码、通讯地址等，这些就是目录，我可以很容易从找到所需的数据。

目录服务：

就让用户很容易在目录中查找所要的数据。而在WIN2000或WIN2003中，存储用户、组、打印机等对象相关数据的位置称为目录数据库，负责提供目录服务的组件称为活动目录。

2、适用范围

应用范围很广，可以在一台计算机、一个计算机网络，大至数据广域网的组合。

3、名称空间

A、名称空间的含义：就是一块划好的区域。在这个区域内，可以利用某个名字来找

到与这个名字有关的信息。

B、WIN2000或WIN2003中的活动目录就是“名称空间”，可以利用对象名称找到相

关的数据。

C、WIN2000或WIN2003的名称结构采用了DNS的结构。

4、对象与属性

WIN2000或WIN2003中的资源都是以对象的形式存在，而一个对象通过属性来描述其特征。如用户就是一个对象类别。用户的姓、名、电话，就是用户的属性。

5、容量与组织单位

A、容量与对象相似，也有自己的名称，也有自己的属性，但它不是一个实体，而可以

一组对象和其它容量。

B、组织单位，就是一个容量，可以包括其他对象和组织单位。

6、域目录树

A、域目录树：对一个包含多个域的网络，则可以将网络设置成域目录树的结构，也就

是说这些域以树状的形式存在。

B、域目录树中的子域名包含着父域的域名

C、域目录树中的所有的域共享一个活动目录。但活动目录中的数据分散地存储在各个

域内。将各个域内的数据合并为一个活动目录。

7、信任

两个域之间，必须建立信任关系，才可以访问对方域内的资源，一个域加入到一个域目录树中后，这个域会自动信任其上一层域，并且这些信任关系具备双传递性。

8、域目录林

如果一个网络设置成多个域目录树的结构，那么可以让这些域目录树合并为一个域目录林。如域与域。

9、架构

在活动目录内的对象类别等数据定义在架构内，如定义了用户这个对象类别内饮食了哪些属性等。在一个域目录林中的所有域目录树共享一个架构。

10、全局编录

A、全局编录的原因：活动目录内的数据分散存储在各个域内，而每一个域只存储与

些域本身相关数据。WIN2000将存储在各个域内的数据合并为一个活动目录。为

了让WIN2000用户可以快速找到其它域内的资源，WIN2000才设计了“全局编录”。

B、“全局编录”内包含着目录服务器中的每一个对象，不过只存储每个对象的部分

属性，而不是全部属性。

C、“全局编录”的数据存储在全局编录服务器，系统默认第一台域控制器就是全局

编录服务器。在域目录林共享一个全局编录服务器。

11、站点

A、站点的含义：指的是一个或多个IP子网，这些子网之间是通过高速（512K）网络

互连的，这些子网就是站点。

B、站点与域的区别：域是实体的分组，而站点是实体的分组，、每个站点可能会包含

多个域，而一个域也可以同时属于多个站点。

12、名称

活动目录内，每个对象都有一个名称，并且利用名称来识别每个对象。

A、可分辨的名称（ND）：它包含对象所在的完整路径，\north\sales\bobyong.

B、相对可分辨的名称（RDN）：RDN是DN的完整路径中。

C、全局标识符：GUID是一个128的数值，所建立的任何一个对象，系统都会自动给

这个对象指定一个唯一的GUID。GUID永远不会改变的。

D、用户主体名称{VPN}：todayhero@这是一个用户的主体名称。

活动目录介绍

（一）目录服务

目录，是一个数据库，存贮了网络资源相关的信息，包括了资源的位置、管理等信息。

目录服务是一种网络服务，目录服务标记管理网络中的所有实体资源（比如计算机、用户、打印机、文件、应用等），并且提供了命名、描述、查找、访问以及保护这些实体信息的一致的方法，使网络中的所有用户和应用都能访问到这些资源。

（二）活动目录（Active Directory）

活动目录是Windows 2000完全实现的目录服务，也是Windows 2000网络体系的基本结构模型，是Windows 2000网络操作系统的核心支柱，也是中心管理机构。

Microsoft在Windows 2000中提供的活动目录是一个全面的目录服务管理方案，也是一个企业级的目录服务，具有很好的可伸缩性。活动目录采用了Internet的标准协议，它与操作系统紧密地集成在一起。活动目录不仅可以管理基本的网络资源，比如计算机对象、用户账户、打印机等，它也充分考虑了现代应用的业务需求，为这些应用提供了基本的管理对象模型，比如用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎所有的应用可以直接利用系统提供的目录服务结构，而且活动目录也具有很好的扩充能力，允许应用程序定制目录中对象的属性或者添加新的对象类型。

（三）活动目录的用处

利用AD的优点：

●简化管理提供对用户、应用程序和设备的单一、一致性的管理点。

●加强安全性向用户提供单一的网络资源登录，为管理员提供强大、一致性的工具

以使他们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供

的安全服务。

●扩展的互操作性向所有活动目录特性提供基于标准的存取方式以及对通用目录

的同步支持。

（四）活动目录的逻辑结构

活动目录的逻辑结构非常灵活，它为活动目录提供了完全的树状层次结构视图，逻辑结构与前面我们讨论过的名字空间有直接的关系。逻辑结构为用户和管理员查找、定位对象提供了极大的方便。活动目录中的逻辑单元包括：域、组织单元（Organizational Unit，简称OU）、域树、域森林。