多主复制

Windows NT 4.0 实现了一个单主复制模型

LDAP 作为互操作性的核心协议

为了确保Windows 2000 能够支持多个操作系统和目录下的目录同步和互操作性，活动目录使用轻量目录访问协议 （LDAP）作为客户访问协议

动态可扩展结构

目录的结构定义了该目录中可以被创建的对象和属性
www.orchn.com

在线备份和恢复

为了使域控制器实现很高的可用性，活动目录允许在线的域控制器备份

活动目录的特征

Microsoft Windows 2000把现在的Windows NT目录发展为一个完全可扩展，可伸缩的目录服务，既能满足商业ISP的需要，又能满足企业内联网和外联网的需要

活动目录的由来

活动目录是从一个数据存储开始的

活动目录的集成性(Integration)

微软的活动目录生动了结合了三个方面的管理内容：用户和资源管理、基于目录的网络服务，和基于网络的应用管理
www.orchn.com

迁移到活动目录的三大优点：

许多公司现今在Windows NT上有巨大的投资

Windows 2000 Server在Windows NT Server 4.0的基础上，进一步发展了"活动目录（Active Directory）"

Windows 2000 Server在Windows NT Server 4.0的基础上，进一步发展了"活动目录（Active Directory）"

Windows 2000 和活动目录实现了一个多主复制模型

一般而言，在对象数目相同的情况下，活动目录中的复制流量比Windows NT 4.0中的复制流量要小

为了使得管理更简单灵活， Windows 2000 目录使用了一个结构化数据库，这一数据库基于Microsoft Exchange目录存储库作为其数据存储库

因为活动目录具有百分之百的向后兼容性，所以企业可以先迁移它们的域控制器，再迁移它们的客户，或混合迁移服务器与客户

在数据存储之上，微软建立了一个对象模型，以构成活动目录

在Windows NT 4.0中， 为了能够对用户帐号、组等进行修改，PDC 必须总处于可用状态

在活动目录中实施了用于客户访问 的LDAP 版本2 和版本3

微软在Windows NT Server 4.0中就已经贯彻了目录服务的思想

此外，活动目录的扩展安全模型允许你非常精细地定义安全度
服务器

活动目录与改进的安全模型相结合，顾客就可以减少企业中域的数目

活动目录为访问控制许可提供了丰富的模式，这些模式在许多方面类似于文件和目录的许可管理
通信

活动目录包括两个方面：一个目录和与目录相关的服务

目录服务的六大关键特征是：

• 分层次和可伸缩的名字空间
• 多主复制
• 在线备份和恢复
• 动态可扩展结构
• 基于Internet的命名协议(DNS)
• 以轻量目录访问协议 （LDAP） 作为互操作性的核心协议
• 分层次和可伸缩的名字空间

Windows NT 4.0 的存储能力最大可以达到每域40兆字节（MB）的对象，这一存储能力允许在安全帐目管理器 （SAM）中最大达到每域40,000 个用户
www.orchn.com

目录管理的基本对象是用户和计算机，还包括文件、打印机等资源

通过给一个管理人员仅只在一个容器中创建或修改对象的权力， 就把他限制那个容器中

除了可以在一个域中构成组织单位的树之外，还可以构成一棵域的树
网络

进入到1999年，网络管理的目录服务逐渐深入人心

进入到1999年，网络系统中的目录服务逐渐深入人心
在一个Windows 2000 域中可以创建组织单位（OU），它们是活动目录中装对象的容器
微软公司正在实施这一目录访问的标准协议，同时也是IETF内部的LDAP 标准化进程的推动者之一
迁移的三大优点是：

• 支持混合环境

  Windows NT 支持Windows 2000 活动目录域控制器与Windows NT 4.0 域控制器组成的混合环境
  通过把名字空间分裂为层次结构， 再也不需要在一个平铺列表上观察上万个用户了
  "一次登录，Single Logon"在Windows NT Server的环境下有了具体的应用，比如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来，用户一次登录就可以获得Web、Email和数据库等多种多样的网络服务
  "一次登录，Single London"在Windows NT Server的环境下有了具体的应用，比如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来，用户一次登录就可以获得Web、Email和数据库等多种多样的网络服务
  NT的"域（domain）"的概念是目录服务的一个基本单元
  网络 NT的"域，domain"的概念是目录服务的一个基本单元
  OU 中包含用户、组、打印机等对象，这些对象能够被组织成一种逻辑结构， 这种逻辑结构与你运转和组织业务的方式相适应
  PDC把域数据库中的所有变化复制给BDC
  Schema包括了在活动目录中的计算机、用户和打印机等所有对象的定义，其本身也是活动目录的内容之一，在整个域森林中是唯一的
  Windows 2000也提供了一系列的手段，来进行域控制器的恢复
  一旦有了可以使用的标准复制协议，后面的版本将马上使用用于目录复制的LDAP
  与传统的大型主机的模式相比，客户机/服务器的模式更加优越，因为在这一模式下，网络管理员和用户具有了更大的灵活性，有了更好的扩展性，和更加广泛的应用软件选择性
  与传统的大型主机的模式相比，客户机/服务器的模式更加优越，因为在这一模式下，网络管理员和用户具有了更大的灵活性，有了更好的扩展性，和更加广泛的应用软件选择性
  www.orchn.com 中心IT 职员不必再去遥远的地区，或在缓慢的广域网线路上实现管理操作
  服务器 举例来说，用户对象的属性非常丰富，不但有常见的账号名、口令等，还包括邮件信箱和个人主页地址、在公司中的职位关系等，可以在活动目录中右键点击用户对象发送邮件和访问其个人主页等
  也决没有必要为了迁移域控制器或客户而让整个域离线
  企业选择一个主域模型的主要原因是，这样可以允许地方职员管理地方资源域，同时不用把地方资源域的用户管理权给予主域中的用户帐号
  但是客户机/服务器模式的灵活性，也有一定的弊病，比如用户经常性地在网络中迷失自己，找不到诸如打印机之类的网络资源；网络管理员也没有一个统一的网络资源管理方法，往往充当救火员的角色，宏观的疏导和配置能力不够
  但是客户机/服务器模式的灵活性，也有一定的弊病，比如用户经常性地在网络中迷失自己，找不到诸如打印机之类的网络资源；网络管理员也没有一个统一的网络资源管理方法，往往充当救火员的角色，宏观的疏导和配置能力不够
  低版本的客户可以认为他们在访问Windows NT 4.0 的域控制器
  你可以通过随意设定ACL（访问控制列表）来设定对任何组织单位中的对象的管理
  网络 使用多主复制，可以在域中的任何一个域控制器上对目录进行修改
  例如，一个人力资源应用软件已经在目录中找到了关于一个职员的大量信息，这些信息包括这个职员的姓名、电话号码、办公室号和家庭住址
  例如，你可以授权一个电脑管理员重新设置密码，但不把增加或删除帐号的权力授给他
  通信 信息可以分散在多台不同的计算机上，保证快速访问和容错；同时不管用户从何处访问或信息处在何处，都对用户提供统一的视图
  其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能非常优良
  其职位关系可以在公司的内部网上有Web组织结构图的方式动态地显示出来，也可以为内部采购、费用报销等应用程序利用来实施业务逻辑
  典型的主域或多主域模型可以被容易地迁移进一个活动目录树或活动目录森林
  单个的域控制器仅只在它们的操作系统更新的时候才不可使用
  另外，你可以利用组织单位来设定管理权
  可传递信任仅仅通过一个简单的对树的"连接"，就能进行域的管理
  可扩展存储引擎 （ESE） 的使用使得目录可以在一个单一数据存储中攀升到1千万个对象，克服了Windows NT 4.0中基于注册表的SAM 数据库的限制
  同时，地方用户可以更快地从地方支持职员那里得到支持
  因为复制的标准化进程还没有最后定稿，活动目录在第一个版本中实施了一个独有的复制协议
  因此，所有迁移的最主要目的都是让顾客的现有投资平缓地，逐渐地从Windows NT 4.0迁移到活动目录，以此保护顾客的现有投资
  通信 在刚才提到的人力资源应用软件的例子中，主管人力资源的职员能够访问用户对象，因为这对他们的工作非常重要，而管理人员尽管可以创建或删除用户，却不能够访问对象的薪水属性
  在同一个站点中，复制在一段延时之后开始，这段延时是可配置的
  在活动目录下，这个应用 软件可以通过扩展结构来增加一些必要的属性，例如这个职员的薪水属性
  在活动目录中，支持全局性的查找，比如

  [1] [2] 下一页

  
  在活动目录中，结构由三张表组成，每张表对应下面的一项：
  • 对象
  • 属性
  • 语法对象

  活动目录允许你扩充结构，创建新的属性和对象
  在迁移过程中决不需要同时把大量的服务器或客户迁移到新的操作系统中
  www.orchn.com 域之间还有层次关系，可以建立域树和域森林，无限地扩展
  网络 基于Windows NT的用户帐号在树的任何地方都是有效的，并为单个的用户提供了登录，这种登录对管理网络应用软件非常重要，因此它在分布式环境中需要被证明和认可
  如果PDC 服务器坏了或网络不通，目录就难以被修改
  如果你仅仅改变了一个对象中的一个属性，将只有这个属性被复制给它的复制伙伴，而不是把这个对象作为一个整体复制给它的复制伙伴
  它允许你创建站点，这些站点是IP 子网的聚集，具有很好的连通性
  它采用的是Exchange Server的数据存储，称为：Extensible Storage Service （ESS）
  尽管活动目录定义了更多的对象，每个对象有更多的属性，但因为活动目录中的复制在单个属性的层次上发生，所以复制变得更精细了
  开发者可以利用这一可扩展性（ADSI）在应用软件目录下创建他们自己的数据结构，从而把目录作为一个数据存储来使用
  微软还推出了许多建议，包括一些有关目录复制的建议
  所有其它的域控制器都是备份域控制器 （BDC）
  www.orchn.com 有了这样的分层次名字空间，活动目录从现有的域模型向前发展为一种新的 "树和森林" 模型
  根域控制器 （PDC）是唯一具有域数据库读写复制的域控制器
  活动目录充分体现了微软产品的"ICE"，即集成性（Integration），深入性(Comprehensive)，和易用性(Ease of Use)等优点
  活动目录是一个分布式的目录服务
  活动目录是一个完全可扩展，可伸缩的目录服务，既能满足商业ISP的需要，又能满足企业内部网和外联网的需要
  活动目录的分区是"域（Domain）"，一个域可以存储上百万的对象
  然后，这个域控制器把修改复制给它的复制伙伴
  由于Windows NT 4.0 为名字空间使用一个平铺列表结构，它管理一个巨大的域比较困难
  目录服务代理 （DSA） 运行于平铺数据库之上，实现了一个分层次的名字空间
  目录层次中组织单位的使用减少了域的数量，同时能够达到需要的管理层次
  目录是存储各种对象的一个物理上的容器；而目录服务是使目录中所有信息和资源发挥作用的服务
  站点之间的复制被预先安排，只能在选定时间内使用广域网带宽
  管理工具，例如域的用户管理器，不能迅速地启动和显示所有对象
  而且活动目录广泛地采纳了Internet标准，把众多的Internet服务都集成在一起，提供了革命性的价值
  而且， 因为平铺列表的数据形式，难以从中寻找一个特定的对象
  而且，地方支持职员往往对他们当地用户的日常工作有一个更好的理解
  还没有安装活动目录访问软件的Windows NT 工作站和Windows 95 的客户，可以通过使用Windows NT LAN 管理器 （NTLM） 询问/答复鉴定，登录到活动目录控制器上去
  这一对象模型对LDAP有纯粹的支持，还可以管理和修改Schema
  这个数据存储之上已建立索引的，可以方便快速地搜索和定位
  www.orchn.com 这些域被连入一棵使用Kerberos 可传递信任的层次树
  www.orchn.com 这既对中心信息技术（IT） 部门有益，又对地方用户有益
  这样就确保了公司可以在不打断它们业务的情况下迁移到活动目录
  这样，即使个别域控制器不能使用，目录还是百分之百可以被修改
  这种许可的颗粒化管理允许你提供对管理职责和边界的很精细的控制
  这证明了微软对基于标准的协议和与其他目录提供商协同工作的承诺
  通过修改Schema的工具，用户或开发人员可以自己定义特殊的类和属性，来创建所需要的对象和对象属性
  顾客可以基于业务的需要，以自己的步调来进行迁移
  

  0

  顶一下

  0

  踩一下