当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 设置Active Directory域(1)

安全防护
2003服务器A级BT安全配置指南(12)
2003服务器A级BT安全配置指南(13)
修改用户控制权限管理自启动文件
IIS6.0下建立FTP“用户隔离”站点
SQL Server数据库安全规划全攻略(1)
从IIS到SQL Server数据库安全
匿名FTP的安全设定(1)
匿名FTP的安全设定(2)
SQL Server防范措施(2)
域名解析优化也会有麻烦
10个步骤保护IIS Web服务器安全
突破SQL错误提示上传webshell
判断Web数据库方式的一个小经验
sqlserver取得网站路径的几种方法以及比较(1)
sqlserver取得网站路径的几种方法以及比较(2)
阿江的WINDOWS服务器安全设置
RAdmin 服务端高级配置(2)
Win2000安全检查清单(1)
Win2000安全检查清单(2)
Win2000安全检查清单(3)

安全防护 中的 设置Active Directory域(1)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 47 ::
收藏到网摘: n/a

简介   


在针对Microsoft® Windows® 2000 Server操作系统所实施的多项重大改进中,Microsoft Active Directory?不仅是最为重要、而且也是最容易遭到混淆的技术特性。与其前身(Microsoft Windows NT®操作系统早期版本中所配备的域控制器)相比,内建于Windows 2000 Server的Active Directory提供了一种崭新的体系结构和一整套得到进一步扩展的功能特性。

尽管本文的目标并不在于针对Active Directory中所包含的全部特性加以讨论,然而,本文却提供了有关Active Directory技术的概括性资料,并将主要围绕以下两个新概念展开介绍:一种全新的域控制器体系结构模型和与DNS之间的一种新型集成化关系。这些特性对于理解像DuwamishOnline.com这样的Web区创建方式颇具裨益。此外,我们还将围绕借助Active Directory设置此类Web区的分步操作程序展开研讨。

本文假设读者已基本理解掌握了Windows NT早期版本中的网络互联概念。

Active Directory概述   


就像可提供人员与单位电话信息的电话目录服务一样,Active Directory也是一种可供用来存储全部网络资源信息、并提供针对此类信息之简易访问服务的目录服务功能。这里所说的网络资源主要包括计算机、打印机、共享文件夹和消息队列等对象。

Active Directory相当于整个网络环境中的主交换机。该技术可帮助用户和应用程序针对那些已处于网络连接状态的相关资源实施目标定位与访问调用,并在彼此之间实现网络互联。更重要的是,该技术还可供用来确保只有那些经过授权的用户或应用程序方可获准在具备安全保障的前提下针对相关资源实施访问调用。

在一个类似于Duwamish Online的服务器区内,部署Active Directory服务器的目的主要体现为,面向用户和应用程序提供针对网络上所有服务器的集中式、安全化访问调用服务。不仅如此,Active Directory还内建有可供消息队列(MSMQ)特性用来针对具备异步操作支持能力的消息队列实施管理的目录服务。(如需了解有关消息队列服务的更多信息资料,敬请参阅由我们提供的MSMQ专题文章。)

如需获取有关Active Directory的更多信息资料,敬请参阅“Active Directory概述”一文:http://www.microsoft.com/windows2000/guide/server/features/dirlist.asp。

接下来,我们将主要围绕首次被引入Active Directory的两个全新概念展开研讨。

域控制器最新体系结构模型
已安装有可提供目录服务功能之Active Directory组件的计算机设备通常被称作域控制器。而将Active Directory安装至某一运行Windows 2000 Server操作系统之计算机设备的处理过程则可将相关服务器转化或提升为对应于某一特定域的域控制器。

在使用Active Directory的前提下,所有Windows 2000 Server域控制器都将成为彼此对等的端点,并可为多主复制特性提供所需支持,同时,在全体域控制器范围内进行Active Directory信息复制操作。

而这恰恰是在体系结构设计方面针对Windows NT先前版本中存在于主域控制器(PDC)和备份域控制器(BDC)之间的主/从关系所做出的最为重大的修改。

在Windows NT操作系统早期版本中,只有PDC才保持着兼具读/写属性的目录信息主拷贝,并可将对应于目录信息的只读拷贝复制到BDC。而与Windows NT早期版本不同的是,Active Directory将在域控制器之间针对多主复制特性加以应用,并确保系统管理员具备从任一域控制器执行修改操作的能力。在某一域控制(特别是PDC)发生故障的情况下,这种机制将为系统提供更高层次的可靠性保障。

与DNS实现集成化
Active Directory中的另一项重大体系结构设计修订体现为该技术同域名系统(DNS)之间的高度集成化水平。在Windows 2000操作系统中,网络基本输入/输出系统(NetBIOS)名称已不再充当针对网上计算机或打印机加以识别的首要名称解析方法。取而代之的是一种被称作“完全合格域名(FQDN)”的属性,例如,“server1.microsoft.com”。这种完全合格域名将被用来执行上述识别任务。

这就意味着,Active Directory域目前正使用着同DNS域完全一致的命名结构(或名称空间)。举例来说,在Windows NT早期版本中,某一计算机设备既可能在对应于Windows网络域的NetBIOS下被引用为“SERVER1”,又可能在DNS域下被引用为“server1.microsoft.com”。而在Windows 2000操作系统中,该计算机则将在Active Directory域和DNS域下被同时引用为“server1.microsoft.com”。

当然,针对Active Directory与DNS之间的区别加以充分认识同样具有至关重要的意义。即使在两者处于高度协作状态的情况下,仍然存储着不同的数据资料,并针对不同对象实施管理。

DNS是一项对应于传输控制协议/Internet协议(TCP/IP)的名称解析服务。该服务针对资源记录进行存储的目的主要在于,将域名转化为与之相对应的IP地址。虽然DNS可在无需Active Directory支持的前提下独立发挥作用,但其所存储的数据却可在Active Directory中