La base de Win2000 Active Directory

  

Sabemos que uno de los mayores avances y éxitos del sistema WIN2K es su nuevo servicio Active Directory, que hace que el sistema WIN2K y varios servicios y protocolos en Internet. Está más estrechamente relacionado porque nombra con éxito el directorio con el método de denominación de "nombre de dominio", y luego lo analiza a través de DNS, para que logre el mismo efecto que el análisis de WINS en Internet. Active Directory también ilustra el cambio estratégico de Microsoft en la arquitectura de la red. Aunque algunos productos (como EXCHANGE SERVER, IIS, etc.) han proporcionado servicios similares a Active Directory en la era de NT anterior, Active Directory es un nuevo servicio integrado. Después del nacimiento de WIN2K llegó. El Directorio Activo parece ser ubicuo en todo el sistema WIN2K. Sin embargo, es fácil comprender realmente todos los aspectos de Active Directory. Me gustaría leer algunos capítulos para hacer un análisis detallado de los principales aspectos de Active Directory a través de algunas explicaciones populares. Espero que haya temores por el Active Directory de WIN2K. Un recién llegado a la psicología tiene una comprensión integral de las oportunidades.

Primero, el origen de Active Directory

Lo más interesante de Active Directory es el "directorio" en DOS, la "ruta" y la "carpeta" en Windows9X /ME. El "directorio" o "carpeta" en ese momento solo representa la posición y la relación jerárquica de un archivo en el disco. Después de que se genera un archivo, el directorio donde se encuentra el archivo es fijo.
(Por supuesto, se puede eliminar, transferir, etc., ahora no se considera. Estas), es decir, sus propiedades son relativamente fijas, estáticas. Este directorio solo puede representar la ubicación de almacenamiento de todos los archivos en este directorio y el tamaño total de todos los archivos, y no puede obtener otra información relevante, lo que afecta la eficiencia del uso general del directorio, lo que afecta la eficiencia general del sistema. Hacer la gestión completa del sistema complicada. Debido a que no hay correlación, el mismo objeto debe configurarse varias veces en diferentes aplicaciones, lo que es bastante complicado de administrar, lo que afecta la eficiencia de los recursos del sistema. Para cambiar esta relación ineficiente y fortalecer la relación con los protocolos relevantes en Internet, Microsoft decidió realizar una reforma integral en WIN2K, que es presentar el concepto de Active Directory. La clave para entender el Active Directory es la palabra "actividad". No elimine la palabra "actividad" y simplemente entiéndala desde el "directorio". Entonces, usted y yo no debemos poder dejar el original. El directorio bajo DOS o la carpeta bajo Windows9x, porque este directorio está activo, es dinámico, es un directorio que contiene funciones de servicio, puede hacer "asociación y mapeo", como Una vez que encuentre un nombre de usuario, puede asociar toda la información básica sobre su número de cuenta, información de nacimiento, correo electrónico, número de teléfono, etc., aunque los archivos que componen esta información pueden no estar en una sola pieza. Al mismo tiempo, se puede compartir información diferente entre diferentes aplicaciones, lo que reduce la pérdida de recursos de desarrollo del sistema y mejora la eficiencia de utilización de los recursos del sistema.

Active Directory consta de dos aspectos: el directorio y los servicios relacionados con el directorio. Un directorio es un contenedor físico para almacenar varios objetos. Desde una perspectiva estática, este Active Directory no es esencialmente diferente del "directorio" y la "carpeta" que hemos encontrado anteriormente. Es solo un objeto, una entidad; Un servicio de directorio es un servicio que hace que toda la información y los recursos del directorio funcionen. Active Directory es un servicio de directorio distribuido. La información se puede distribuir en varios equipos diferentes para garantizar un acceso rápido, ya que varias máquinas tienen la misma información. Por lo tanto, tiene un fuerte control sobre la información, por lo que este es el caso, independientemente de dónde se accede al usuario o dónde se encuentra la información, proporcionando una vista unificada del usuario.

En segundo lugar, la terminología relacionada

Aunque muchas de las tecnologías utilizadas en Active Directory han aparecido en otros productos de software, pero como una solución global de red global aún es la primera, muchas de ellas Los nombres o términos pueden ser desconocidos, por lo que es necesario aprender más acerca de los nombres o términos en Active Directory.

1. Espacio de nombres: en esencia, Active Directory es un espacio de nombres. Podemos entender el espacio de nombres como el límite de resolución de cualquier nombre dado. Este límite se refiere al nombre que se puede proporcionar o asociar. Un rango de toda la información que se asigna. En términos simples, resumimos toda la información relacionada que podemos encontrar en el servidor buscando un objeto, como un usuario. Si hemos definido este usuario en el servidor, como: nombre de usuario, contraseña de usuario, unidad de trabajo, número de contacto, La dirección de la casa, etc., la suma mencionada anteriormente se entiende en general como el espacio de nombre del nombre "usuario", porque solo podemos encontrar un nombre de usuario para encontrar toda la información enumerada anteriormente. La resolución de nombres es el proceso de traducir un nombre a un objeto o información representada por el nombre. Por ejemplo, en un directorio donde se forma un directorio telefónico, podemos resolver el nombre de cada cuenta de teléfono con el número de teléfono correspondiente, en lugar de que el nombre sea el nombre, el número que es el número y no poder ser contactado horizontalmente. El sistema de archivos del sistema operativo Windows también forma un espacio de nombres, y cada nombre de archivo se puede analizar en el propio archivo (incluida toda la información que debería tener).

2, objeto: Objeto es la entidad de información en Active Directory, que es el "atributo" que generalmente vemos, pero es una colección de atributos, que a menudo representa entidades tangibles, como las cuentas de usuario, Nombre del archivo, etc. El objeto describe sus características básicas a través de los atributos. Por ejemplo, los atributos de una cuenta de usuario pueden incluir el nombre, el número de teléfono, la dirección de correo electrónico y la dirección del usuario del usuario.

3, container: container es parte del espacio de nombres de Active Directory, como el objeto de directorio, también tiene atributos, pero a diferencia del objeto de directorio, no representa una entidad tangible, pero representa el espacio del objeto Debido a que solo representa el espacio en el que se almacena un objeto, es más pequeño que el espacio de nombres. Por ejemplo, un usuario, es un objeto, pero el contenedor de este objeto está limitado al espacio de información que se puede proporcionar desde el objeto en sí, ya que solo puede proporcionar el nombre de usuario, la contraseña del usuario. Otros como: unidad de trabajo, número de contacto, dirección del hogar, etc. no forman parte del contenedor de este objeto.

4, árbol de directorios: en cualquier espacio de nombres, el árbol de directorios se refiere a la jerarquía de contenedores y objetos. Las hojas y los nodos del árbol a menudo son objetos, y los nodos que no son hojas del árbol son contenedores. El árbol de directorios expresa cómo se conectan los objetos y también muestra la ruta de un objeto a otro. En Active Directory, el árbol de directorios es la estructura básica. Desde cada contenedor como punto de partida, puede formar un subárbol. Un directorio simple puede formar un árbol, una red informática o un dominio también puede constituir un árbol. También es muy fácil de entender. Cuando aprendimos por primera vez la computadora, ¿comenzó a partir de una comprensión completa del concepto de ruta en DOS? De hecho, este "árbol de directorios" es también una especie de "relación de ruta", si comprende el DOS. ¡"Path" cree que entender este "árbol de directorios" no es un problema!

5. Dominio: El dominio es el límite de seguridad del sistema de red WIN2K. Sabemos que la unidad más básica de una red de computadoras es el "dominio". Esto no es exclusivo de WIN2K, pero el Active Directory puede ejecutarse a través de uno o más dominios. En una computadora independiente, el dominio se refiere a la computadora en sí. Un dominio se puede distribuir en múltiples ubicaciones físicas. Al mismo tiempo, una ubicación física puede dividir diferentes segmentos de red en diferentes dominios. Cada dominio tiene su propia política de seguridad. Confíe en las relaciones en otros dominios. Después de conectar varios dominios a través de una relación de confianza, Active Directory puede ser compartido por varios dominios de confianza.

6. Unidad organizativa: el tipo de objeto de directorio que es particularmente útil en el dominio es la unidad organizativa. Una unidad organizativa es un contenedor que coloca usuarios, grupos, computadoras y otras unidades en Active Directory, y las unidades organizativas no pueden incluir objetos de otros dominios. Una unidad organizativa es la unidad de acción más pequeña a la que se le puede asignar una configuración de Directiva de grupo o derechos administrativos delegados. Con las unidades organizativas, puede crear contenedores en dominios que representan jerarquías lógicas en unidades organizativas, por lo que puede administrar cuentas, configuración de recursos y uso en función de su modelo organizativo, y puede usar unidades organizativas para crear una administración escalable a cualquier tamaño. Modelo Los usuarios pueden recibir derechos administrativos para todas las unidades organizativas en el dominio o para unidades organizativas individuales. El administrador de la unidad organizativa no necesita tener los derechos de administración de ninguna otra unidad organizativa en el dominio. La unidad organizativa es un poco como nuestro grupo de trabajo en la era del NT. La autoridad administrativa se puede entender de esta manera.

7, árbol de dominios: el árbol de dominios consta de varios dominios, estos dominios comparten la misma estructura de tabla y configuración, formando un espacio de nombres continuo. Los dominios en el árbol están conectados por una relación de confianza, y Active Directory contiene uno o más árboles de dominio. Cuanto más profundo es el nivel del dominio en el árbol de dominios, más bajo es el nivel. Un "." Representa una jerarquía. Por ejemplo, el dominio child.Microsoft.com es más bajo que el nivel de dominio de Microsoft.com porque tiene dos relaciones jerárquicas, mientras que Microsoft.com solo tiene Un nivel El dominio Grandchild.Child.Microsoft.com es más bajo que Child.Microsoft.com, y la verdad es la misma.

Los dominios en el árbol de dominios están conectados por una relación de confianza transitiva bidireccional. Debido a que estas relaciones de confianza son bidireccionales y transitivas, los dominios recién creados en el árbol o bosque de dominios pueden establecer inmediatamente confianza con el árbol de dominios o cualquier otro dominio en el bosque. Estas relaciones de confianza permiten que un proceso de inicio de sesión único autentique a los usuarios en todos los dominios en el árbol de dominios o en el bosque, pero esto no significa necesariamente que los usuarios autenticados tengan los mismos derechos y permisos en todos los dominios en el árbol de dominios. Debido a que los dominios son límites de seguridad, a los usuarios se les deben asignar los derechos y permisos apropiados para cada dominio.

8. Bosque de dominio: el bosque de dominio se compone de uno o más árboles de dominio que no forman un espacio de nombres continuo. La diferencia más obvia entre el árbol de dominio y el árbol de dominio mencionado anteriormente es que no hay dominio entre estos árboles de dominio. Se forma un espacio de nombres continuo, y el árbol de dominios se compone de dominios con espacios de nombres consecutivos. Sin embargo, todos los árboles de dominio en el bosque de dominio aún comparten la misma estructura de tabla, configuración y catálogo global. Todos los árboles de dominio en el bosque de dominio se establecen a través de las relaciones de confianza de Kerberos, por lo que cada árbol de dominio conoce la relación de confianza de Kerberos, y diferentes árboles de dominio pueden hacer referencia cruzada de objetos en otros árboles de dominio. El bosque de dominio tiene un dominio raíz. El dominio raíz del bosque de dominio es el primer dominio creado en el bosque de dominio. El dominio raíz de todos los árboles de dominio en el bosque de dominio establece una relación de confianza transferible con el dominio raíz del bosque de dominio.

9. Sitio: un sitio es una ubicación de red que incluye un servidor de dominio de Active Directory, generalmente una o más subredes conectadas por TCP /IP. Las subredes dentro del sitio están conectadas a través de una red confiable y rápida. La división del sitio permite al administrador configurar fácilmente la estructura compleja de Active Directory y hacer un mejor uso de las funciones físicas de la red para optimizar la comunicación de la red. Cuando un usuario inicia sesión en la red, el cliente de Active Directory encuentra el servidor de dominio de Active Directory en el mismo sitio. Dado que la comunicación de red dentro del mismo sitio es confiable, rápida y eficiente, es la más rápida para el usuario. Inicie sesión en el sistema de red dentro del tiempo. Debido a que el sitio está enlazado a una subred, Active Directory puede encontrar fácilmente el sitio donde se encuentra el usuario al iniciar sesión y luego encontrar el servidor de dominio de Active Directory para completar el inicio de sesión.

10, controlador de dominio: el controlador de dominio es la computadora del servidor WIN2K configurado mediante el Asistente de instalación de Active Directory. El asistente de instalación de Active Directory instala y configura componentes que proporcionan servicios de Active Directory para usuarios de red y computadoras para que los usuarios puedan elegir. El controlador de dominio almacena los datos del directorio y administra las interacciones del dominio del usuario, incluidos los procedimientos de inicio de sesión del usuario, la autenticación y las búsquedas en el directorio. Un dominio puede tener uno o más controladores de dominio. Para alta disponibilidad y tolerancia a fallas, una unidad pequeña que usa una sola red de área local (LAN) puede necesitar solo un dominio con dos controladores de dominio. Las grandes empresas con múltiples ubicaciones de red requieren uno o más controladores de dominio en cada ubicación para proporcionar alta disponibilidad y tolerancia a fallos.

Los controladores de dominio del Servidor WIN2K amplían las capacidades y características proporcionadas por los controladores de dominio del Servidor WINNT 4.0, y la replicación de múltiples ubicaciones del Servidor WIN2K sincroniza los datos del directorio en cada controlador de dominio para garantizar el tiempo Esta información sigue siendo coherente, es decir, dinámica, que es lo que hace Active Directory. La replicación múltiple es un desarrollo del modelo de controlador de dominio principal y controlador de dominio de respaldo utilizado en WINNT Server 4.0. En el servidor 4.0 de WINNT, solo hay un servidor, el controlador de dominio principal, que tiene una copia legible y escribible del directorio.

Copyright © Conocimiento de Windows All Rights Reserved