写给刚接触Active Directory的朋友
把用户与机器帐户及密码集中管理只是一个开始。首先在NT3.51系统上出现了用户配置文件;在NT4上,域成了集中放置“系统策略”的地方;Windows2000的域可以集中存储DNS信息,并且还提供了“系统策略”的改良版本“组策略”,组策略可以说是整个网络中某种形式的“控制面板”。
当然,并不是一定要有域才能将一些运行Windows系统的电脑组成网络,但是如果在网络中有了域,那么很多事情都会变得非常容易。
Active Directory(AD)域的作用
域可以做很多事情。我只能介绍其中一部分的内容,但这不是一份清单。这些内容包括:
* 集中存储用户和密码
* 提供一组服务器作为“身份认证”和“登录”服务器,也就是“域控制器”
* 对域中的资源维护一个可供搜索的索引,方便人们查找
* 允许建立带有不同级别的用户;同时,域还允许创建子管理员
* 允许将域细分
网络的首要任务是提供服务,它是集中存储文件或数据库、共享打印机以及其它服务的地方,使人们
可以通过电子邮件或是其它技术彼此通信。第二个任务是:安全。那么在一些保护代措施下会发生两件事情:
* 身份验证
* 授权
早期的NT系统,从3.1到4都只有一个文件,叫作SAM,也就是Security Accounts Manager的缩写。它包含了用户名、用户全名、密码、允许登录时间、帐户过期日期、说明、隶属于组名和配置文件信息。这个文件是加密的。今天,NT系统仍然使用SAM,包含Windows 2000 Pro和Windows XP。默认情况下,Windows Server 2003服务器也包含并使用SAM。当然,少数系统将保存在Active Directory的集中数据库中,这些服务器被称为域控制器(Domain Controller),它们是没有SAM的。在NT时代,域控制器使用的是SAM,自从Windows 2000以后,它们开始使用Active Directory。Active Directory在NTDS.DIT文件中存储了SAM的大量用户信息,而这两者不同的地方很少。NTDS是一个经过修改的数据库,并且存储的数据要比SAM多得多。
那么AD域与NT域之间有什么不同呢?让我们来看看:AD域比NT域大得多。在NT域中最多容纳5000个用户帐户,这也使得一些大型企业建议多域来维护自己的全部用户帐户,这样的域称为多主模型。而AD域可以在Active Directory容纳150万个用户,这对任何一家企业来说都足够了。不是吗?
现在让我们来看一下什么时候工作站会使用位于AD中的信息。当用户试图访问一个文件共享时,AD就会验证他的身份。也就是说,你坐在电脑A前,试图访问服务器B上的一个共享文件,那么B会问A你是谁,然后才决定是否让你得到这个文件的访问权。可见,AD提供了一个集中式的数据库,用来存储用户帐户。
假如我有1000名用户,1000台工作站,还有50台服务器。这1000名用户中的任何人都需要访问我的任何一台服务器,而且,我还要使这些用户能够在任何一台电脑前登录工作。想想,如果不用域,我要做些什么事情?我必须在1000台工作站上的SAM中输入每个用户的帐户,还要在每台服务器前做同样的事情,这太不可思议了,太可怕了。而如果我用域呢?那么我只需要在少量的服务器上存储一个用户和密码数据库,这就是NTDS.DIT,然后为网络提供服务,我们把这些少量的机器称为“登录服务器”或是“身份验证服务器”,也就是常常听说的“域控制器”。
域控制器是具有如下特征的电脑:
* 运行Server版本的操作系统
* 维护域信息的数据库
* 保证多台域控制器之间的域信息副本一致
* 提供身份验证服务
关于搜索部分略过,实在找不到有什么好说的。
当网络发展到足够大的时候,那么我们可能就需要在这个大型的网络上进行一些必要的调整了,我们可能需要把这个网络划分为多个小一些的网络,也就意味着需要创建子域,同时需要子域管理员做一些诸如重设密码备份文件之类的操作。随着网络规模的加大与职责的增多,我们可能需要分派更多的工作给子域管理员,这就会牵涉到权限分配和连接性及复制的问题。当公司有分散在各地的机构时,其中一名用户变更了密码或是新加入一个用户帐户时,这个大型网络的AD之间需要在这些方面发生变化时需要彼此通信并且进行AD复制。NT4系统中,NT4域控制器每5分钟更新一次,也就意味着每5分钟,一台域控制器会试图将发生的改变复制到另一台域控制器上,就算是慢速连接也是这样,这样的通信会给通信线路造成堵塞,也会使一些更重要的数据传输无法实现。AD在这方面进行了改进,它允许用户告诉域控制器之间采取了哪种连接,让域控制器知道如何运用这些连接来达到更好的复制效果。而且,Windows 2000可以在发送数据前对数据进行压缩,比例甚至可以达到10:1,而Server 2003上我们可以选择是否进行压缩处理,因为压缩处理会需要一定有CPU处理能力。
首先说明一点:本文假设你已经建立了一个Active Directory域,并且拥有一定的Active Directory知识,关于AD方面规划更多的内容,你可以参考Microsoft网站(http://www.microsoft.com/china/technet/desktopdeployment/inframan/inframanad.mspx)。
当然,要使一个AD系统运转起来,还必须具备以下条件:
* 操作主机
* 时间同步
* 域数据库同步
* 站点
这里,我们着重介绍操作主机的架构角色。
我们知道,AD域及域控制器与NT4或更早的域之间一大区别就在于采用了多主机复制技术代替了单主机复制技术。在NT4及更早系统中,有一台域控制器叫“主域控制器”,其中保存着一份SAM,这份SAM是可以被修改的唯一的副本(主副本),其他域控制器叫“备份域控制器”。它们可以对用户身份进行验证,但不接受对帐户进行更改。AD系统对此进行了改进,形成了多主复制机制。在多主复制机制下,任何域控制器都可以接受对用户帐户的更改。由于任何域控制器都可以接受更改信息,因此任何域控制器都可以拥有可写副本(主副本),因此称为多主复制。Active Directory在整体结构中都在实现分布式控制,所有的域控制器都基本相同,但有时候,部分域控制器也有一些不地方,这就是服务于五种角色的域控制器,这些域控制器被称为“操作主机”,也就是Flexible Single Master of Operator(FSMO)。
AD环境中有五种FSMO角色:
* 架构
* 域命名
* RID
* 主域控制器
* 基础设施
在林系统中只有一个架构FSMO和一个域命名FSMO,每个域都有自己的RID、主域控制器和基础设施FSMO。
架构指的是AD数据库的结构。它是数据库中对象的列表,也就是Active Directory目录。架构管理单元并不存在于“管理工具”中,可以按照以下步骤打开这个管理单元。
1. 运行regsvr32 schmmgmt.dll,将schmmgmt.dll在DIIRegisterServer注册;
2. 打开MMC,添加“Active Directory架构”到管理单元中。
如果你是架构管理员,那么你可以根据你的需要更改架构。但是我们并不需要经常的更改架构,记得,如果你对架构进行了更改,那你所做的更改将会影响整个林系统,因为更改某个域的架构是没有意义的。那么在什么时候需要更改架构呢?一般会造成架构更改的操作就是添加新的基于服务器系统的程序,如安装Exchange。
默认情况下,林系统中的第一个域的第一台域控制器是你的架构FSMO,当然,也可以把这个角色移动到其它的域控制器上。
上面两个图片已经显示了可以进行的操作。当然,你必须得是架构管理员才可以移动架构FSMO角色。