域是网络对象(包括组织单元、用户帐户、组和计算机,他们都共享与安全性有关的公用目录数据库)的集合。域形成 Active Diectory 内逻辑体系结构的核心单元,因此在安全性中扮演重要角色。如果将对象分组到一个或多个域中,您的网络就可反映您公司的组织方式。
较大型的组织可以含有多个域,这种情况下的域层次结构就称为域目录树。第一个创建的域是根域,它是在其下创建的域的父域,其下的域称为子域。若要支持非常大型的组织,可将域目录树链接在一起,形成一种称为目录林的排列。(在使用多个域控制器的情况下,Active Directory 会按固定时间间隔复制到域中的每个域控制器上,以使数据库永远同 步。)
域可标识一个安全机构,并使用一致的内部策略及与其它域间的明确安全性关系形成一个安全边界。特定域的管理员只在本域中有设置策略的权限。这对大型企业的帮助很大,因为不同的管理员可以创建并管理组织中不同的域。此管理含义在下面的“管理委派”部分有进一步的探讨。
站点是在学习有关 Active Directory 的知识时会碰到的另一个术语。域通常会反映一个组织的商业结构,而站点则通常被用来定义与地理分布有关的 Active Directory 服务器组。这些计算机通常都以高速链接来连接,但它们彼此之间可以有也可以没有逻辑关系。例如,若您有一个大型建筑物供一些相对无关的组织活动使用,如视频产品设备、备办食物、文件存储等,则这栋建筑物中的 Active Directory 服务器可以被当作一个站点(即使在该服务器上所完成的处理是不相关 的)。
所谓组织单元(OU),是指一个容器,可用它将对象组织成域中的逻辑管理组。OU 可包含对象,如:用户帐户、组、计算机、打印机、应用程序、文件共享和其他的 OU。
对象包含关于个别项目(如特定用户、计算机或硬件)等的信息(称为属性)。例如,用户对象的属性可能包含姓和名、电话号码和管理器名称。计算机的对象可能包含计算机的位置及访问控制列表 (ACL),列表中会指定对该计算机拥有访问 权限的组和个人。
通过将信息分组到域和 OU 中,可以管理对象集合(如用户组和计算机组)的安全性,而不是逐个管理每个用户和对象。此概念将在下面的“使用组策略来管理安全性”部分作进一步描述。首先,还有另一个对了解安全性如何使用 Active Directory 极为重要的概念:信任。
域间的信任关系
为了让用户登录网络一次就可以使用网络上所有资源(通常称为单一登录能力),Windows 2000 支持域间的信任关系。所谓信任关系,是指一种逻辑关系,这种逻辑关系在域之间建立,用来支持直接传递身份验证,让用户和计算机可以在目录林的任何域中接受身份验证。这让用户或计算机仅需登录网络一次就可以对任何他们有适当权限的资源进行访问。这种穿越许多域的能力说明了传递信任这个术语,它是指跨越一连串信任关系的身份验证。
基于 Windows NT 的网络使用单向、非传递的信任关系。相反,当基于 Windows 2000 的域被组织成目录树时(如上面的 图 1 所示),域间会创建隐含信任关系。这使在中型和大型组织中建立域间的信任关系更为容易。属于域目录树的域定义与目录树中的父域的双向信任关系,而所有域都隐含地信任目录树中的其他域。(如果有不应该有双向信任的特定域,您应该定义明确的单向信任关系。)对于具有多个域的组织,使用 Windows 2000 比使用 Windows NT 4.0,明确的单向信任关系总数显著减少,这种改变将大大简化域的管理。传递信任在默认情况下建立于目录树中,这样做之所以有意义是因为 通常是由单个管理员来管理一个目录树。但因为目录林不太可能被单个管理员控制,因此目录林的目录树间的传递信任关系必须特别创建。
有关信任关系工作方式的说明,请再次参考上面的图 1。Windows 2000 自动于根域 (Microsoft.com) 及其两个子域(FarEast.Microsoft.com 和 Europe.Microsoft.com)间建立双向信任关系。此外,因为 Microsoft.com 信任这两个子域,因此信任关系也在 FarEast 和 Europe 域间传递性地建立。这些关系在基于 Windows 2000 的域间自动建立。在有基于 Windows 2000 和基于 Windows NT 域的网络中,管理员可以创建用在基于 Windows NT 的网络中明确的单向信任关系。
|