（计算机应用技术专业论文）活动目录企业应用的研究.pdf

摘要 一j i i i j - 摘要 越来越多的企业认识到利用新技术提高企业运营效益的紧迫性，如何摆脱原 始而传统的管理方法与手段，合理高效地构建基于i n t e r n e t 的企业内部网络， 统一管理企业分布到各地的资源，达到降低成本和提高企业管理效率的双重目 的，成为了大多数企业都要面临的一个急需解决的新课题。 合理规划企业整个目录服务体系以适应企业业务和技术的需要，这是一个十 分复杂的问题。因为要做到企业网络良好的可应用性和可扩展性必须要彻底地了 解企业复杂分支结构，包括企业的业务范围、地理位置以及其原有网络架构等重 要因素。本文主要介绍了本人在活动目录的企业应用课题中所做的研究和实践工 作。 本文首先介绍了活动目录的基本概念和主要技术特点，阐明了课题的来源及 研究意义。分析了活动目录的相关技术及活动目录与当今市场其它目录主流产品 n d s 的异同点。接下来从规划企业网络目标、评估企业当前9 5 l 络、选择域模 型、规划d n s 、设计树和森林、设计域结构、设计组织单元、设计站点和安全策 略等各个方面详细描述了规划和实施企业目录服务的步骤。最后简要介绍了如何 用a d s i 实现活动目录的编程并对全文进行总结。 关键词活动目录；n d s ：域；a d s i ；d n s a b s t r a c t m o r ea n dm o r ee n t e r p r i s e sh a v er e a l i z e dt h a t i t s u r g e n tf o r t h e mt o i n c r e a s et h e i rb e n e f i tb ym e a n so fn e wt e c h n o l o g y t h e r ea r em a n yn e w p r o b l e m sf o re n t e r p r i s e st os o l v e ，s u c ha sh o wt og e tr i do fo r i g i n a la n d t r a d i t i o n a lm a n a g e m e n tm e t h o d s ，h o wt oc o n s t r u c ti n t r a n e te f f i c i e n t l y ， h o wt om a n a g ed i s t r i b u t e dr e s o u r c e sa n dh o wt or e d u c ec o s t sa n di m p r o v e m a n a g e m e n te f f i c i e n c ya n ds o o n i t sv e r yc o m p l i c a t e dt od e s i g ne n t i r ed i r e c t o r ys e r v i c e ss y s t e mw i t h i n r e a s o nf o ri n d u s t r i a lo p e r a t i o na n dt e c h n o l o g i cn e e d s w em u s tu n d e r s t a n d d e e p l yt h ec o m p l e xf r a m e w o r ka b o u te n t e r p r i s e si n c l u d i n gt h eo p e r a t i o n a r e a s ，l o c a t i o na n de x i s t e n t n e t w o r kf r a m e w o r ke t c ，s ot h a tw ec a n r e a l i z e s a t i s f y i n ga p p l i c a b l e a n d e x p a n s i b l e i n t r a n e t t h i st h e s i s p r i m a r il yc o n c e n t r a t e so nt h er e s e a r c ha n de x p e r i m e n to fa c t i v ed i r e c t o r y a p p l i c a t i o n i ne n t e r p r i s ei n t r a n e t f i r s t l y ，i nt h i st h e s i s ，b a s i cc o n c e p t sa r ei n t r o d u c e d t h eo r i g i na n d t h er e s e a r c hs i g n i f i c a t i o no fp r i m a r yt e c h n i c a lc h a r a c t e r i s t i c sa b o u t a c t i v ed i r e c t o r ya r ea l s oi l l u s t r a t e d s e c o n d l y ，t h ei n t e r r e l a t e d t e c h n o l o g i e sa b o u ta c t i v ed i r e c t o r ya r ed e s c r i b e d t h es i m i l a r i t i e sa n d d i f f e r e n c e sb e t w e e na c t i v e d i r e c t o r y s e r v i c e sa n dn o v e l ld i r e c t o r y s e r v i c e s ，w h i c hi so n eo ft h em a i nd i r e c t o r ys e r v i c e sp r o d u c ti nm a r k e t ， a r ed i s c u s s e d t h i r d l y ，i nt h et h e s i s ，t h es t e p so fp r o g r a m m i n ga n d p r a c t i c i n ge n t e r p r i s ed i r e c t o r ys e r v i c e sa r es p e c i f i e di nd e t a i l s ，s u c h a sc o n f i r m i n ge n t e r p r i s e n e t w o r k o b j e c t i v e ，e v a l u a t i n g e x i s t e n t e n t e r p r i s en e t w o r k ，c h o o s i n gd o m a i nm o d e l ，p l a y i n gt h el a y o u ta b o u td n s ， d e s i g n i n gd o m a i nt r e e sa n dd o m a i nf o r e s t ，s e t t i n gu pd o m a i ns t r u c t u r e f o u n d i n go r g a n i z a t i o nu n i t ，i s s u i n gs t a t i o na n ds e c u r i t yp o l i c i e sa n ds o o n f i n a l l y ，h o wt op r o g r a m i na c t i v ed i r e c t o r yw i t ha c t i v ed i r e c t o r y s e r v i c e si n t e r f a c e ( a d s i ) i sa l s oi n t r o d u c e d a n dt h es u m m a r yi sa tt h e e n do ft h i st h e s i s k e yw o r d sa c t i v ed i r e c t o r y ( a d ) ：n d s ；d o m a i n ：a d s i ：d n s i i 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 繇艇日期 关于论文使用授权的说明 f 口# 6 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：- 兰垃导师签名丝嗍竺生 第1 章绪论 一l i l l l i 一 1 1 活动目录的概念 第l 章绪论 活动目录是包含在w i n d o w s2 0 0 0 中的目录服务。它是种分布式的、多副 本的。可保存、导航和管理不同大小的对象，从几百个对象的单个服务器，到具 有几百万个对象的上千个服务器。 目录服务它首先包含了目录的功能，存储了有关网络上对象信息的层次结 构。在w i n d o w s2 0 0 0 域这种分布式的计算环境或公共计算机网络系统( 比如因 特网中) ，它存储着与a c t i v ed i r e c t o r y 对象有关的信息，包括打印机、传真 服务器、应用程序、数据库和其他用户的相关信息。目录服务不仅用于保存信息， 而且它还提供服务使这些信息能够被用户所使用。举个例子：用户或系统管理员 常常不知道它们感若趣的对象的准确名字，他们有时只知道对象的某一个属性， 通过目录查询能获得与这个属性相匹配的一组对象列表。在给定对象的某种属性 的情况下，可使用目录服务找到任何一个对象。例如：“查找在销售部中的所有 双工打印机。” 目录服务提供了主要如下的功能： 为了防止信息被入侵者破坏，强化系统管理员定义的安全特性。 使目录分布在网络内的多台计算机上。 为了提供多个用户使用及防止目录故障，能够进行目录的复制。 为了保存大的对象，能够将目录分为多个分区进行存储。 活动晷录是一个分布式的鼠录服务。信息可以分散在多台不同的计算机上。 保证快速访问和容错；同时不管用户从何处访问或信息处在何处，都对用户提供 统一的视图。随着网络中对象数量的增多，可以预见它将成为大型分布式应用系 统的中枢。 l 。2 活动目录的产生背景及发展历史 1 2 1 活动目录的产生背景 在目录服务出现之前，多数的网络操作系统( n o s ) 都是“基于服务器”的 北京工业大学工学硕士学位论文 系统。每台服务器都要维护个用户清单，其中记录了登录用户列表( a c c o u n t s d a t a b a s e - - 账户数据库) 及用户的资源访问权( a c c e s sc o n t r o ll i s t 一访问控 制列表) 。例如：如果某个系统有两台服务器，则每台服务器都要维护一份自己 的授权用户列表，并且管理各自的资源。这种系统虽然简单、易于理解，但是当 系统增长到一定程度，则用户和资源列表就会长得让人感到无法适从，复杂到无 法控制。 为了解决这个问题，一些n o s 软件如w i n d o w sn t 4 系统引入了域( d o m a i n ) 的概念。在网络中，配置成允许一些小型的服务器工作组共享一份用户列表( 称 为中央账户数据库) ，根据这份列表完成系统安全保护和认证过程。域结构的引 入解决了以下三个问题： 用户的单次登录 用户、工作组和网络资源的集中管理 对资源的一般访问 然而w in d o w sn t 4 的域模型也妨碍了它在更大更复杂环境中的可扩展性， 首先它不能支持大型组织中的大量用户。虽然可以使用多域来简化管理和解决网 络限制问题，但是管理这些域很快变得十分复杂，另外保证网络账号的同步性所 需要的带宽对于网络而言是个沉重的负担。其次域本身是平面实体，用它来组织 和管理信息时，并不考虑具体的业务结构，也不能以分层结构进行组织，因此系 统管理员不得不将用户放在组里，由于组不能嵌套( 不能有子组) 因此对于很多 组织来说，在每个域中管理数以百计的用户组是很常见的，设置资源( 如文件和 打印服务) 的权限也会成为令人厌烦的、容易出错的过程。从安全角度出发，由 于w i n d o w sn t 系统在对业务中特定的区域分配相应的权限时所提供的选项不是 很难实现就是没有提供足够的灵活性，所有的这些都导致了不能进行最优化的配 置。比如。用户得到的安全策略设置常常多于完成工作所需的权限。 在现代企业中，规划、实现和管理各种网络资源，服务器、工作站和路由 器是基本的工具。除非在很小的环境中，否则管理这些技术资源需要投入很多精 力。w i n d o w s 2 0 0 0 活动目录正是为此而生。目录的最基本定义是记录信息并可被 用户访问的数据库。活动目录的设计总目标是创建单一的、集中的信息库以便安 全管理企业的资源。用户账号管理、安全性和应用程序只是其中几个方面，活动 目录是一个数据存储，允许管理员在单个分布式数据库中管理各种类型的信息， 从而解决了前面所提到的问题。 2 第1 章绪论 _ l _ _ - _ _ _ _ _ _ _ - _ _ _ _ - _ _ _ _ _ _ _ _ - _ _ - - i _ _ _ l l _ _ - _ - i i 1 2 2 活动目录的发展历史 网络目录( n e t w o r kd i r e c t o r y ) 是一个存储着用于访问、管理或配置网络 信息的数据库。目前一些成熟的网络目录有： d o m a i nn a m es y s t e m ( 域名字系统，d n s ) d o m a i nn a m es e r v i c e ( 域名服务) 是一个用于把主机名解析成i p 地址 的数据库，它被分解成较小的部分( 域) 并且分布式存储在多台服务器上， 这种服务提供了把多个分离的文件结合成逻辑整体的机制。通过使用一系列 主服务器和从服务器，在多台服务器上复制域的信息，从而提供了一定的容 错能力。 虽然d n s 具有许多优点，但不能把它作为通用网络目录技术使用。因为 d n s 设计的目的很专一：把主机名解析成i p 地址。d n s 以一系列文本文件为 基础，是一种纯文件式的数据库，因而d n s 无法按照人们的想法进行扩展， 适应其他功能的要求，如添加存储路由器的配置信息功能。虽然d n s 是现代 分布式环境的基本组成部分，但是它并没有解决环境所带来的所有目录问 题。 w i n d o w si n t e r n e tn a m es e r v i c e ( w i n d o w s 因特网名字服务，w i n s ) w i n s 是目前w i n d o w sn t 环境中使用的另一种网络目录。它是微软公 司对实现企业功能目录服务的首次尝试。与d n s 相似，w i n s 用于解析n e t b i o s 名。与d n s 不同，w i n s 服务器建立的是动态数据库，随着工作站对服务的 注册而添加记录，因此它不需要网络管理员的介入就可以实现更新，从而大 大减少了网络管理人员的工作。尽管w i n s 技术已在活动目录中大量被采用， 但其本身并不能提供真正的网络目录应该具有的服务水平。 n o v e l ld i r e c t o r ys e r v i c e s ( n o v e l l 公司目录服务，n d s ) n d s 是n o v e l l 公司引入了在目前市场取得了巨大成功的网络目录技术。 n d s 设计作用在n e t w a r e 环境下集中地管理所有网络服务。n d s 功能全面、 技术成熟、运行稳定，是网络目录技术所能够提供的服务水平的典范，可以 作为衡量其他网络目录的标准。本论文将有一小节专门用来讨论n d s 和a d s 之间的相异处。 1 3 课题的来源及研究意义 在激烈的市场竞争中，越来越多的企业已逐渐认识到利用新技术提高企业运 北京工业大学工：学硕士学位论文 营效益的紧迫性。如何摆脱原始而传统的管理方法与手段，向高科技应用索取效 率和利润，是每个企业都要面临的一个急需解决的新课题。在这种大潮的推动下， 许多的企业都构建了基于i n t e r n e t 技术的企业内部网络i n t r a n e t ，企图通过 企业内部网来统管理企业分布到各地的资源从而达到降低成本，提高企业管理 效率的目的。 如何高效安全的管理这些分布式资源成为了网络管理员不可回避的问题。例 如：一个企业的员工从一个地方出差到任何一个地方，打开任何一台计算机登录 到公司网络后，他登录后所有的应用都不应该改变，包括“我的文档”、收藏夹、 桌面等等该员工的私人数据。这就涉及到域管理( 即活动目录管理a d ) ，由于有 了域管理，同时对安全的防范如杀毒软件的升级等都可以采用了自动推行策略进 行，避免了单个分发的麻烦。 w i n d o w s2 0 0 0 系统最大的突破性就在于它全新引入的“活动目录( a c t i v e d i r e c t o r y ) 服务”，使得w i n d o w s2 0 0 0 系统与i n t e r n e t 上的各项服务和协议 更加联系紧密。活动目录作为一种全新的综合服务方式是在w i n d o w s2 0 0 0 的诞 生后随之而来的，它贯穿了w i n d o w s2 0 0 0 系统的网络管理、安全机制、认证机 制等各个方面。对于大型企业要组建内部网络即要求能达到一定标准的安全性。 同时还要要求整个网络管理架构要与企业内部机构设置相一致、具有很强的可扩 展、可伸缩性和灵活的查询，活动目录不失为一种好的选择。 中国正在步入到信息时代，很多大的传统企业都需要转变成现代企业，因此 我觉得这种分布式的架构设计和研究具有很大的市场前景，在经过多方面的调研 下，我选择了活动目录企业应用的研究作为我毕业论文的题目，因为这方面的研 究具有重大的意义1 1 4 活动目录的主要特点 层次结构 与域模型的平面结构对比，活动目录是基于分层结构的。通过使用结构 组件，可以建立一个网络管理基础架构来映射企业的业务组织结构，这个架 构能够有效地支持逻辑的和物理的信息资源，如数据库、用户和计算机。另 外在域名系统中集成的网络命名服务还提供在整个企业和公共i n t e r n e t 上 对资源的分级命名和定位。 可扩展模式 存储在活动目录中的信息可以使用多种工具进行扩展和定制，其中一个 幂覃缮论 供w i n d o w s 开发者使用的工具是“a c t i v ed i r e c t o r y 服务接口( a d s i ) ”。 a d s i 提供一些对象和接口，常见的编程语言( 例如v i s u a lb a s i c ，v i s u a lc + + 和活动服务器网页( a s p ) ) 都可以访问这些对象和接口。这个特性使活动目 录可以适应特定的应用程序和存储所需的附加信息。使得组织中的所有部门 可以基于活动目录结构来方便地共享数据。 可复制性 通过复制技术，使数据存储可以分布在网络中的不同服务器上。系统和 网络管理员通过定义站点来限制远程站点之间的通信量，以保证足够的性能 和可使用性，即所有域控制器都能够更新存储在活动目录中的信息，并同时 确保信息的一致性。 网络安全 通过使用单一的登录过程以及多种身份验证和加密机制，活动目录可以 保证整个企业的安全。通过“授权”过程，高级别的安全权威可以对其他管 理员分配权限。为了便于管理，活动目录中的对象可以继承父对象的权限， 应用程序的开发者可以利用这些特性来保证用户是唯一且安全的。网络管理 员可以在单一的信息库中根据需要创建和更新权限，从而减少了错误或过时 的配置。 北京工业大学工学硕士学位论文 第2 章活动目录相关技术分析 2 1 轻量目录访问协议( l d a p ) l d a p 是一种目录服务，类似于文件系统中所使用的目录，类似于查询电话号 码使用的电话号码簿。简要地说，l d a p 提供了访问、认证和授权的集中管理。 从目录服务技术的发展来看，l d a p 标准实际上是在x 5 0 0 标准基础上产生的 一个简化版本。作为i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) 一个正式的标 准，l d a p 是x 5 0 0 标准中的目录访问协议( d a p ) 的一个子集“1 ，可用于建立x 5 0 0 目录。3 。在信息模型上，它使用了项、对象类、属性等概念和模式来描述信息； 在命名空间方面。使用了目录信息树结构和层次命名模型；在功能模型上，使用 共有四类操作来管理目录信息，如查询类操作、认证类操作、更新类操作及其他 操作( 放弃和扩展操作) ；在认证框架方面，使用用户名称和密码，或者基于安 全加密方式的认证机制。 l d a p 提供了目录访问协议( d a p ) 的绝大数功能，同时又避免了目录访问协 议( d a p ) 的一些弱点。 首先，l d a p 对客户设备的要求很低，这样就使得几乎任何处理器都有机 会访问和使用目录，从而避免基于d a p 的软件会给客户机所带来巨大的 负荷。因为许多客户机特别是p c 机缺乏支持d a p 服务所需要的资源。 其次，通过使l d a p 成为更多以服务器为中心的服务，就可以使l d a p 与 其它厂家的特定目录系统通信。从而克服d a p 只能与专门与x 5 0 0 目录 通信的缺陷，这意味着使用具有d a p 功能的软件将无法访问许多厂家的 专用产品。 再者，d a p 需要在o s i 会话层和表示层上进行许多的建立连接和包处理 的任务，需要特殊的网络软件实现对网络的访问。l d a p 则直接运行在更 简单和更通用的t c p i p 或其它可靠的传输协议层上，避免了在o s i 会话 层和表示层上的开销，使连接的建立和包的处理更简单、更快，对于互 联网和企业网应用更理想。 其它。l d a p 协议更为简单，它继承了x 5 0 0 最好的特性，同时去掉了它 的复杂性。l d a p 通过使用查找操作实现列表操作和读操作，另一方面省 去了x 5 0 0 中深奥的和很少使用的服务控制和安全特性，只保留常用的 6 第2 章活动目录相关技术分析 - 11 1 1 i _ 特性，简化了l d a p 的实现。 最后，l d a p 对来自x 5 0 0 目录询问的应答次数加以限制，因而比x 5 0 0 具有更少的响应时间。 2 2 活动目录服务接口( a d s i ) a d s i 是一套组件对象模型( c o m ，c o m p o n e n to b j e c tm o d e l ) a p i ，它提供 了一系列用于管理分布式计算机环境中的网络资源的目录服务接口。系统管理员 和活动目录开发者可以利用a d s i 服务来完成他们的管理任务和开发任务，例如 添加网络用户、管理网络打印机和定位分布式计算机环境中的网络资源等。它是 一个不与特定目录相关的接口，同时由于a d s i 基于c o m 机制，所以用户可以选 用任何一种支持c o m 的语言来使用a d s i ，如v i s u a lb a s i c ，j a v a ，c ，c + + 以及 v b s c r i p t 等。 a d s i 不仅仅支持来自多种编程语言的访问，还提供针对多种目录的访问。 如a d s l 2 5 就支持w i n d o w sn t 安全账号管理器( s a m ，s e c u r i t ya c c o u n t m a n a g e r ) 、n o v e l l 目录服务( n d s ) 、活动目录以及n o v e l ln e t w a r e3 x 服务器 连接库。 2 3 活动目录和d n s 集成 在活动目录中采用d n s 主要有两个理由：首先，d n s 是i n t e r n e t 标准，是 i n t e r n e t 的命名系统。从这个角度上看，微软认识到自己的系统与i n t e r n e t 无 缝集成的重要性。其次，使用d n s 也有技术上的原因。实现全局目录需要解决两 个问题：一个目录客户如何发现与之通信的目录服务器；如果把所有的名字和地 址信息都存储在目录中，客户如何得到启动目录。针对上述问题，有三个解决方 案：可以配置工作站显式地与某个特定目录服务器通信( 不灵活且管理不方便) ， 或者使用工作站广播，查找目录服务器( 不确定且扩展性不好) ，或者使用另一 个已存在的名字系统如d n s 来发现想要的目录服务器，这就是微软所采用的办 法。 在a d s 环境中布置d n s 服务时，用户有两种选择：一种是使用基于文件的传 统区文件；另一种把区域信息与a d 集成起来。推荐使用第二种方法，因为将二 者集成起来能达到三个目的：首先d n s 域形成了活动目录域结构框架。其次，活 动目录客户程序使用d n s 定位活动目录域控制器。最后，d n s 服务可以使用活动 7 北京工业大学工学硕士学位论文 目录作为数据的存储和复制。 简而言之就是活动目录本身依靠d n s 来查找客户、服务器和可用的网络服 务。客户依靠d n s 来查找文件、打印机和其他所需要的网络资源。 2 4 动态主机配置协议( d h c p ) 在典型的i p 路由网络中，每台主机都必须设置特定的参数才能正确地进行 通信。最常用的三个参数是：i p 地址、子网掩码和缺省网关。一般情况下，这 些参数都是在网络各台设备上人工设置的。从管理的角度看，这就意味着管理员 必须具体来到所有设备前配置各个参数，这将需要花大量的时间而且容易出错。 d h c p 给客户自动分配i p 地址的过程如下： 需要i p 地址的客户机用它的姒c 地址广播一个d h c pd i s c o v e r 分包向 d h c p 服务器发送请求信息。 如果有d h c p 服务器，它接受这个请求，并用d h c po f f e r 分组回答，里 面包括了没有用的i p 。 客户机在送来的地址中选择一个，并用i ) h c pr e q u e s t 分组广播它的选 择。 被选定的服务器用d h c pa c k 确认它的给予。给出的地址有生命期，必 须刷新以保持有效。当主机完成任务后。发送一个d h c p r e l e a s e 分组， 否则当超过生命期后，地址自动被释放。 为提供具有容错能力的d h c p 服务，通常是在一个网络中放置多台d h c p 服务 器，然而为了防止重复的地址分配，每台服务器的作用域是互不交叉韵。 8 第3 章活动目录与n o v e l l 目录服务( n d s ) 比较分析 目前目录服务技术主要分为四种：超级目录、基于消息的目录、i n t e r n e t 目 录以及经过特殊裁剪的n o s ( 网络操作系统) 目录。基于这些技术不同的公司有不 同的产品。n o v e l l 的n i ) s 及微软的a c t i v ed i r e c t o r y 占据了当前主要的市场份 额。 总的来说，两家公司的产品都不失为一套较完善的解决方案。 3 1 活动目录与n o v e l t 目录服务相同点 n d s 和a c t i v ed i r e c t o r y 都是企业级可扩展的，即用户可以自定义对象类以 存储专用于特定环境的信息。目录技术中对象类的定义称为方案。对于任何目录 技术而言，扩展新方案以包含新的或自定义对象的能力都是适应未来需要的关键 技术。 n d s m a d 都源于x 5 0 0 体系结构。”，提供了x 5 0 0 格式的层次名字空间，并 且都可以通过l d a p 协议来访问。 都有一个全局数据库。在活动目录中称为全局编目，它包含了活动目录环境 下所有域中所有对象的相关信息，它解决了多域环境中一个潜在的问题：某个域 中韵用户要寻找存储于其它域中的对象，但他们又不知道这些对象的任何其它信 息。通常需要根据技术上的( 网络连接) 和组织上的考虑( 如每个远程站点的用 户数) 来决定活动目录上的那些服务器应该包含全局编目的拷贝。在n d s 中称为 全球数据库( g l o b a ld a t a b a s e ) ，它保证了网络目录能集中控制网络的运行，解 决了用户如果要访问位于不同服务器上的不同资源时需进行多次登录的问题，网 络管理员不需为用户可能访问的每台服务器上生成一份用户账户。 二者的名称空间一致嘶1 。所以这两种产品均可以访问目录中存储的信息。可 以把名字空间理解为任何给定名字的解析边界，这个边界就是指这个名字所能提 供或关联、映射的所有信息范围即通过查找一个对象可以查到的所有关联信息的 总和。例如电话号码簿就构成了一个名字空间，在这里，电话用户的名字被解析 为电话号码；在目录中的对象名被解析为对象本身，当在服务器上给某个用户定 义了：用户名、用户密码、工作单位、联系电话、家庭住址等相关信息，则这些 信息就是这个用户的名字空间，因为只要输入一个用户名即可找到前面所列的一 9 北京工业大学工学硕士学位论文 _ iii i i i 一 切信息。 作为技术成熟并市场占有率比较高的两种目录服务还有许多其它相似点，本 文只叙述了其中主要的几点。 3 2 活动目录与n o v e l l 目录服务不同点 3 2 1 建立分级目录方法不同 n d s 从顶部开始，从上向下运行，而a c t i v ed i r e c t o r y 从底部开始从下 向上运行。 n o v e l l 的目录采用分层式体系结构o ”，n d s 目录树由三类对象组成：根 ( r o o t ) 、树枝目录( c o n t a i n e r ，或称为容器) 和叶子( l e a f ) 3 。网络中的各 种元件就处于这个树的不同分支上。n d s 正是用一个具有层次的倒置的树来表现 网络。树的最顶层就是根，根对象是在首次安装n d s 时自动创建的，不能改名或 删除，在一个给定的n d s 树中只能有一个根对象。树枝目录是用来组织对象的， 它包含了n d s 的叶子对象。n d s 树中的分支或子树由一个树枝目录对象和它下面 所有的对象组成。树枝目录对象提供了一个逻辑组织n d s 树中其它对象的方法。 在一般的设计时，根通常指企业的名称，树枝目录对象通常根据公司的位置、分 支、部门或工作组来命名，例如企业的二级单位计划部、财务部、办公室等。叶 子对象是单实体对象，它们不包含其它对象，它们与实际的物理实体，例如用户、 服务器和打印机相对应。如果两个独立的目录具有相同的模式时。n d s 可以通过 工具d s m e r g e 将这两个目录结合在一起。 a c t i v ed i r e c t o r y 的基本结构单元是n t 域姗，它是w i n d o w s2 0 0 0 计算机网 络系统中单一的安全区，活动目录由一个或多个域构成。域树的根就是一个d n s 域名，树的低层名字都遵循d n s 的命名习惯。域树必须通过顺序的名字空间形成， 也就是说：下层域的名字必须是上层域名字按照熟悉的d n s 域的形式的扩展。它 也可以有子序用于不连续的域名共享一个公共的虚拟根，称作域森林( f o r e s t ) 。 在授权给某个伙伴访问时，使用域森林就很方便，在一个公司加入时也可以不必 改变整个名字。在a c t i v ed i r e c t o r y 域中实现信赖关系的传递，就不必在多个 域中规定明确的信赖关系，允许访问权在域内向下移动。与平匦域的结构相比， 简化了许多管理任务。w i n d o w sn t 并不允许管理人员把n t 域从一个域树移至另 一个域树。并且a c t i v ed i r e c t o r y 不能把两个现有的域合并在一起，但可以将 两个域建立起一个的域森林来。 1 0 第3 章活动目录与v e i i 目录服务( n d s ) 比较分析 3 2 2 核心协议和运行环境不同 活动目录使用l d a p 作为它的绑定协议。1 ，而n d s 则是使用一个运行于 n e t w a r e 核心协议( n c p ，n e t w a r ec o r ep r o t o c 0 1 ) 之上的，并类似于x 5 0 0 目录访问协议( d a p ，d i r e c t o r ya c c e s sp r o t o c 0 1 ) 的协议，后来n o v e l l 公司 将l d a p 加入到n d s 中，但是核心协议仍保持不变，直到具有n d s 版本8 的n e t w a r e 5 0 出现，才将l d a p 作为其核心协议“”。 活动目录仅运行在w i n 2 0 0 0 上，而n d s 则可在n e t w a r e 服务器、l i n u x 、 w i n d o w sn t 4 和s o l a r i s 之上运行。活动目录的模式可在运行时被扩展，而n d s 的模式必须在停止n d s 服务并重新启动n d s 后才能扩展。 3 2 3 策略方式不同 a c t i v ed i r e c t o r y 的组策略( g p o ) 继承模型与n d s 的z e nw o r k s 策略方式 截然不同。在z e nw o r k s 中，如果在n o v e l l 目录服务( n d s ) 树上的不同点使 用多个策略包，只有距离用户对象最近的策略包才起作用。在w i n 2 0 0 0 中，如果 在a d 的不同层次上定义四个g p o ，操作系统使用“l s d o u ”优先顺序来执行这些 策略，对计算机或用户的作用是这四个策略执行的“和”。此外，有时在一个g p o 中的设置会被其他g p o 中的设置抵消。通过a d 级g p o ，用户可以拥有更多的策 略控制委托，例如，公司的安全部门负责在域一级上设计用于所有系统设备的安 全g p o 。通过使用g p o ，可以让某个0 u 的系统管理员拥有在0 u 上安装软件的权 利。在z e nw o r k s 模型中，必须在希望使用策略的所有层次上复制这些策略，而 且策略对用户或计算机对象的作用并非是所有策略的“和”。 3 2 4 其他方面 n d s 是一种成熟、稳定、高效的网络目录技术，可以作为衡量其它网络目录 的标准。n d s 存在的一个弱点是0 1 ：在n d s 刚刚发布时，由于市场上还没有其它 可用的目录技术，这就意味着n o v e l l 公司的开发人员得不到业界标准的指导， 刚开始出来的目录产品造成非n o v e l l 环境的管理员无法访问，后来n o v e l l 公司 针对n d s 的这一缺陷发布了名为n d sf o rn t 的产品，为n t 域提供借助于n o v e l l 公司n d s 实现的目录管理技术。但根据w i n d o w sn t 和微软的长期发展情况来看， 开发者更愿意在a d s 的基础上开发插件程序。 北京工业大学工学硕士学位论文 _ l ii l li _ n o v e l l 对基于文件和打印共享服务方面的目录技术进行了大量的改进，处 于领先地位。但它在n e t w a r e 系统的目录中缺乏对应用服务的良好支持。n o v e l l 应用服务支持策略是使企业通过使用n e t w a r el o a d a b l em o d u l e ( n l m ，n e t w a r e 可装载模块) 来连接他们的核心操作系统。使用n l m 技术使n e t w a r e 服务器对频 繁的冲突和故障非常脆弱，从而使得本来稳定的文件和打印服务也变得不可靠。 活动目录的域结构可以实现与e x c h a n g e2 0 0 0 、i s as e r v e r 应用服务器紧密集成， 通过i s a s e r v e r 发布e x c h a n g e 服务，提高了i n t e r n e t 访问电子邮件的安全性， 并可以控制用户访问i n t e r n e t 。从这个方面看n o v e ll 可能处于这样一种境地： 不得不去说服客户使用n e t w a r e 来进行文件打印和目录服务，同时又要用 w i n d o w s2 0 0 0 ( 或u n i x ) 来提供应用服务器支持。 本文只从技术角度来讨论两种目录服务的优缺点，现已出现了n e t w a r e 和 w i n d o w sn t 共存的折衷方法o ：利用w i n d o w sn t 作为应用服务器，而将n e t w a r e 作为价格低廉、性能高的文件服务器，并将目录服务器安装成n d sf o rn t 。这 种产品可以无隙集成进n t 服务器站点，并使用n e t w a r e 管理工具来管理域。 笫4 章企业目录臆务规划设计 第4 章企业目录服务规划设计 4 1 企业网络目标的规划 一般来说，企业信息化会经历以下六个发展过程“”。”： ( 1 ) 构建企业内部的系统基础架构和业务应用，提供最基本的企业网和广 域网，比如实施e r p 系统、桌面工作应用等，目前几乎所有企业已经 达到这个层次。 ( 2 ) 企业通过w e b 服务器在i n t e r n e t 上发布静态内容，这种内容并没有与 企业内部系统进行连接和集成，w e b 服务器非常孤立，很多企业目前处 于这个层次。 ( 3 ) 企业w e b 服务器发布由应用服务器创建的基于身份的内容，可以产生 动态的内容，与最终用户进行交流沟通。 ( 4 ) 通过结合企业目录服务将w e b 服务器与企业后端系统集成起来，跨越 应用服务器和内部企业系统对身份进行同步；集成外部数据，将来自 多种数据源的内容集成起来。 ( 5 ) 一旦第4 层中提供信息的复杂程度超过某个阈值，管理将会成为难题。 目录服务将复杂的内容集成起来简化管理，通过个性化门户提供、管 理内容和应用，将网络服务扩展到合作伙伴并通过集成多个企业系统 创建交易中心。 ( 6 ) 企业信息化的发展将网络服务扩展到多种终端设备上，利用网络服务 的基础扩展业务范围，创建多渠道收入来源。 对于企业来说，其网络服务软件贯穿了这六个层次，但核心的基础是跨平台 的目录，所以说目录服务才是企业信息化的核心。 随着企业信息化工作的不断深入，人们对信息系统及应用平台的安全性、可 管理性、可维护性提出了更高的要求：将企业的o a 系统、e r p 、电子商务系统和 网络服务有机结合起来，减少重复设置和不必要的成本支出。对规模越来越大的 企业网络实施一个结构化的、跨地区的集中分布式管理。保持网络结构具有更大 的灵活性，以便今后根据工作需要随时变更和调整。在这样一个网络中快速查看、 跟踪和管理企业信息和资源，并保障其安全。采用活动目录来构架整个网络可以 满足以上所有要求。 北京工业大学工学硕士学位论文 i i 一i i - 4 2 评估和准备当前网络环境 每个活动目录的实现在很大程度上依赖于企业当前的技术和业务环境。网络 架构、业务规模和组织层次等这些因素对于设计目录服务结构都起着十分重要的 作用。在小型商业环境中由于业务复杂性比较低，考察当前网络和业务环境可能 是件较为简单的事情，可对于一些对跨洲、跨国、跨地区规模的大中型企业而言， 花费几个月时间的规划工作也许只能完成一些表面工作。评估当前环境时主要考 虑以下四个因素m 。 4 2 i 确定用户的数量和类型 在规划活动目录时全面地估计用户的数量是十分重要的。在某些情况下，统 计用户的数量是相当容易的，如果企业正在使用个网络操作系统，便可以简单 地计算出其中用户数目，如w i n d o w sn t 安全数据库中就有关于账号数量的信息。 当要考虑到系统将来可能支持的用户数量时，就必须全面考虑到企业当前人 力资源信息以及招聘和业务发展计划。收集这些信息需要企业的大力配合。比如， 可能需要从总经理那里了解公司的发展情况，或到人力资源部门了解当前雇员的 准确数量。 同时还应该了解网络环境中用户是如何分布的，以便设计出最优的域控制器 分布。 4 2 2 企业的地理分布 如果企业的所有用户都位于同一建筑内，可以采用高速网络设备来连接用户 和他们需要的资源。然而对于大多数中大规模的商业组织而言，支持远程站点不 可避免。在理想的环境中，地理分布不会产生太大的影响，所有站点都使用相同 的高速连接，但是在设计分布式网络时，通常还需要考虑技术限制和成本等特殊 问题。 只有充分考虑到了企业的地理分布。才能实现活动目录得最优物理结构。 4 2 3 企业的网络构架 当考虑网络架构时，应该从最新的准确网络图开始规划。如图4 - 1 就显示 4 第4 章企业目录服务规划设计 了一个网络图的示例，其中考虑了每个站点上的工作站和服务器的数量及站点之 间的连接情况，还包括网络连接的带宽和站点之间当前的通信量“。 5 1 2 k b p s 分部( 广州) 1 0 m p b s 2 0 个客户机 2 个服务器 公司总部( 北京) 1 0 0 m p b s 5 0 0 个客户机 2 0 个服务器 分部( 上海) 1 0 m p b s 1 3 5