《活动目录术语表》word版

1、.活动目录术语表A-访问控制access control-登录计算机或网络权限的管理。ACE-参见"访问控制条目"。访问控制条目access control entry，简称ACE-每一个ACE包括一个平安标识符SID，这个标识符标识这个ACE的应用对象用户或小组以及允许或者回绝访问的ACE信息的类型。访问控制表access control list，简称ACL-用来定义用户/工作组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录效劳中，一个ACL是一个存储访问权限与被保护对象互相之间关系的列表。在Windows NT&reg；操作系统中，一个ACL作为一

2、个二进制值保存，称之为平安描绘符。ACL-参见"访问控制列表"。活动目录-Windows&reg；2000支持的一种构造，这种构造可以跟踪和定位网络上任意一个对象。活动目录是Windows 2000效劳器中使用的目录效劳，为Windows 2000分布式网络提供根底。活动目录效劳接口Active Directory Service Interface，简称ADSI-基于组件对象模型COM的客户端软件。ADSI定义了一个目录效劳模型和一组COM接口，通过这些接口可以使Windows NT和Windows 95客户端应用程序访问一些网络目录效劳，包括活动目录效劳。ADS

3、I允许应用程序与活动目录进展通信。ADSI提供目录效劳客户端通过使用一组接口与任何提供ADSI实现的名字空间进展交流的方法。ADSI客户端通过使用ADSI替代与网络相关的应用程序编程接口API调用，从而获得访问名字空间效劳的更简单的方法。ADSI遵守并且支持标准的COM特征。ADSI也定义了可以从自动兼容软件，例如Java、Visual Basic、Visual Basic Scripting EditionVBScript，来访问的接口和对象，这同样可以应用到非自动兼容语言，例如C和C+，通过这个特性可以增强性能。此外，ADSI提供它自己的OLE数据库提供者，并且可以完全支持任何客户端已经使

4、用的OLE数据库，包括那些使用ActiveX&reg；技术的。ADSI-参见活动目录效劳接口"。属性attribute-对象的单一属性。对象通过它们的属性值进展描绘。例如，可以用属性这样来定义一辆车：制造商、模型、颜色等等。属性这个术语和特性这个词可以互相使用，它们使完全一样的。属性也是用来描绘对象的数据项，这些对象通过形式中定义的类来表现的。在形式中，属性和类使分开定义的；这样使得一个属性可以在多个类中使用。参见"对象"。受权authentication-确定用户的身份，即确定终究是谁登录到计算机系统中的，或确定事物的完好性。B-备份域控制器backup

5、 domain controller，简称BDC-在Windows NT Server 4.0或早期的域中，运行Windows NT Server的计算机承受包括域中所有帐户和平安策略信息的目录的拷贝。这份拷贝信息周期性并且自动的与主域控制器中的主备份进展同步。备份域控制器也可以确认用户并且配置成为象PDC类似的功能。一个域上可以有多个备用域控制器。在Windows 2000域中，备份域控制器是不需要；所有域控制器是对等的，都可以维护目录。当Windows NT 4.0和Windows NT 3.51备份域控制器运行在混合形式下时，可以与Windows 2000域进展交流。参见"域控

6、制器和主域控制器"。C-容器container-一种特殊的活动目录对象类型。容器与其他的活动目录对象一样具有属性，并且它是活动目录名字空间中的一部分。但是，与其他对象不同的是，它没有详细的表现形式。容器中可以包括一组对象和其他容器。参见"对象"。D-数据库层database layer-一种活动目录的体系构造层次，通过将应用程序编程接口提供给目录系统代理Directory System Agent，简称DSA层防止对扩展存储引擎Extensible Storage Engine，简称ESE直接的访问，它可以将活动目录效劳的上层与低层的数据库系统隔分开来。委托del

7、egation-允许更高层的管理机构将对容器和子树特定的管理权利授予给个人和组织。这样可以更加有利于域名管理员进展管理。访问控制条目Access control entry，简称ACE可以将容器中对象的管理权利授予给用户或小组。通过容器的访问控制列表Access Control List，简称ACL可以在特定的对象类上给予特定的操作。例如，为了允许用户"James Smith"成为"公司帐户"的管理员，您将在ACL中增加如下的ACE："James Smith"；Grant；Create,Modify,Delete；Object-Cla

8、ss User"James Smith"；Grant；Create,Modify,Delete；Object-Class Group"James Smith"；Grant；Write；Object-Class User；Attribute Password如今James Smith可以在公司帐户中创立新的用户和小组，同时还可以已有用户设置密码，但是他不能创立任何对象类，也不能操作其他容器除非他被授予了对其他容器管理的权利中的用户。目录directory-一种存储网络信息的层次构造。目录效劳directory service-例如活动目录，提供存储目录数据

9、并且使它可以被网络用户和管理员访问的方法。例如，活动目录存储有关用户帐号的信息，例如姓名、密码、 号码等等，同时还可以使同一网络中的其他受权用户访问这些信息。参见"活动目录，目录分区"。目录激活网络directory-enabled networking，简称DEN-从存储有关用户、应用程序和网络资源的中心管理网络元素，例如路由器、应用程序和用户。目录分区directoy partition-目录的相邻子树，它形成目录的一个复制单元。一个指定的复制经常使一些目录分区的拷贝。活动目录由一个或多个目录分区组成。在活动目录中，一个效劳器经常有至少三个目录分区。形式配置拓扑构造和相

10、关元数据的拷贝一个或多个每域目录分区子树包括目录中的实际对象有关形式和配置被拷贝到指定森林中的每一个域控制器中。而域目录分区只拷贝到相应的域控制器中。可分辨的名称distinguished name-确定包含对象的域以及通过这个对象可以到达的完好途径。活动目录中每一个对象有唯一的可分辨的名称DN，一个典型的可分辨的名称DN可以是：CN=JamesSmith,CN=Users,DC=Microsoft,DC=Com.这个名字确定了Microsoft 域中的"James Smith"的用户对象。DNS-参见"域名系统Domain Name System"。域

11、domain-基于Windows NT的计算机网络的平安边界。活动目录由一个或多个域组成。在一个独立的工作站上，域就是计算机自身。域可以跨越多个物理区域。每一个域都有自己的平安策略和与其他域的平安关系。当多个域通过信任关系连接起来，并且共享一个形式、配置和全局目录的时候，它们组成一个域树。多个域树可以组成一个森林。参见"域控制器，部分域小组"。域控制器domain controller-一个基于Windows NT的效劳器拥有一个活动目录分区。参见"域"。部分域小组domain local group-可以包含森林、通用小组和本域中的其他部分小组中的用户

12、和全局小组。一个部分域小组只能在本域的ACL中使用。参见"域、森林"。域名系统Domain Name System，简称DNS-一种层次分布式数据库，用来进展域名/地址转换。域名系统是Internet上使用的名字空间，用来将计算机和效劳名称转换成为TCP/IP地址。活动目录在它的定位效劳中使用DNS，以便客户端可以通过DNS查询找到域控制器。E-可扩大存储引擎Extensible Storage Engine，简称ESE-活动目录数据库引擎。ESEEsent.dll是Jet数据库的改进版本，在Microsoft Exchange效劳器4.x和5.5版本中使用。它实现一种事务

13、处理数据库系统，也就是说它使用日志文件来确保提交的事务是平安的。F-森林forest-互相信任的一个或多个活动目录树形成的小组。森林中的所有树共享一个形式、配置和全局目录。当一个森林包括多个树的时候，所有的树不是形成连续的名字空间。给定森林中的所有树通过信任关系的双向传递互相彼此信任。与树不同的是，森林不需要一个可分辨的名称DN。森林作为一组穿插引用的对象和成员树之间的信任关系而存在。森林中的树形成一层次信任关系。参见"树，全局目录"。G-全局目录global catalog，简称GC-全局目录包括目录中每一个Windows 2000域的复制。全局目录允许用户和应用程序在活

14、动目录域树中寻找给定一个或多个属性的目的对象。它还包括目录分区的形式和配置。这就是说全局目录拥有活动目录中每一个对象的复制，但是只包括每一个对象的一部分属性。活动目录中的属性都是一些在查询中经常使用的例如用户的姓、名、登录名称等等和那些在定位对象的完全复制时需要使用的。GC允许用户在不知道对象属于哪个域以及不需要连续扩展名字空间时对它们进展查找。全局目录通过活动目录复制系统自动创立。GC-参见"全局目录"。全局目录效劳器-是一个Windows 2000域控制器，它包括一份森林全局目录的拷贝。参见"全局目录"。全局小组global group-可以出如今任

15、何森林中的ACL中，并且可以包括来自本域中的用户和其他全局小组。小组-参见"全局小组，部分域小组，通用小组和组策略"。组策略Group Policy-指将策略应用到活动目录容器中的计算机组和/或用户。所包括的策略类型不仅是出如今Windows NT效劳器4.0中的基于注册的策略，还可以是目录效劳所允许的用来存储策略数据的多种类型，例如：文件配置、应用程序配置、登录和注销脚本、启动和关机脚本、域平安、Internet协议平安Internet Protocol security，简称IPSec等等。策略的集合称为组策略对象Group Policy object，简称GPO。组策

16、略对象Group Policy object，简称GPO-策略的虚拟集合。它有一个唯一的名称，例如一个全局唯一标识符globally unique identifier，简称GUID。GPO在两个位置存储组策略设置：组策略容器Group Policy container，简称GPC首选的和组策略模板Group Policy templet，简称GPT。GPC是一个活动目录对象，存储版本信息、状态信息和其他策略信息例如应用程序对象。GPT用于基于文件的数据并且存储软件策略、脚本和配置信息。GPT位于域控制器的系统卷文件夹上。一个GPO可以于一个或多个活动目录容器相关，例如站点、域或组织单元。多个

17、容器可以与一样的GPO相关联同时一个容器可以与一个或多个GPO互相关联。此外，缺省的，每一个计算机承受一个只包含指定平安策略的部分组策略对象local Group Policy object，简称LGPO。管理员也可以在单个计算机上设置和应用不同的部分组策略。这对于那些不是域的成员或那些管理员希望删除从域中继承组策略的计算机的情况是有力的。参见"组策略"。GPO-参见"组策略对象"。H-层次式名字空间hierarchical namespace-一个名字空间，例如DNS名字空间和活动目录名字空间，它们都是层次式构造，并且提供划分名字空间的规那么。参见&q

18、uot;名字空间"。K-Kerberos-一种用来受权用户的平安系统。对于效劳或数据库，Kerberos不提供受权；它在登录时受权用户身份，这在整个会话中都是要使用的。Kerberos协议是Windows 2000操作系统中的主要受权机制。知识一致性校验Knowledge Consistency Checker，简称KCC-运行在域中所有域控制器上的内置效劳，并且自动的建立站点中机器之间的互相联络。这些称为Windows 2000目录效劳连接对象。管理员可以建立另外的连接对象或删除连接对象。但是，当站点中的复制出现问题或错误的时候，KCC将会起作用并且建立新的连接来恢复活动目录拷贝。

19、L-轻型目录访问协议Lightweight Directory Access Protocol，简称LDAP-用来访问目录效劳的一种协议。目前的Web阅读器和电子邮件程序中都实现了LDAP，这样就可以查询一个LDAP目录。LDAP是目录访问协议Directory Access Procotol，简称DAP的一个简化版本，可以用来访问X.500目录。编写LDAP查询代码比DAP简单，但是LDAP的功能不是非常完善。例如，假设没有找到地址，DAP可以在其他的效劳器上进展初始化寻找，但是LDAP就不具备这个功能。LDAP是活动目录的主要的访问协议。M-混合形式mixed mode-允许运行Windo

20、ws 2000和Windows NT的域控制器同时存在域一个域中。在混合形式下，以前版本的Windows NT中的域特性仍然有效，但是却有一些Windows 2000的特性是无效的。Windows 2000效劳器域的缺省安装是混合形式。在混合形式下，域中可能有现成Windows NT 4.0域控制器。混合形式下不支持嵌套小组。与原始形式相比较。多主复制multi_master replication-是活动目录的一个特征，它可以支持和维护在域中的多个效劳器上目录的多分拷贝。由于给定目录分区的所有拷贝都是可写的，因此可以对其中任何一份拷贝进展更新。活动目录复制系统将一个副本中的变化传播到所有的副

21、本中去。复制是自动和透明的。活动目录多主复制可以将任何域控制器创立的任何对象例如用户、小组、计算机、域、组织单元、平安策略等等传播到其他相关的域控制器。假设域中的一个域控制器比较慢或出现错误，那么本域中其他的域控制器可以提供必要的目录访问，因为它们包含一样的目录数据。参见"复制"。N-原始形式native mode-当域中所有的域控制器都运行Windows 2000效劳器。这个形式允许机构充分利用新的活动目录特性，例如通用小组、嵌套小组成员和域间小组成员。与"混合形式"进展比较。名字空间namespace-根据一定的命名规那么定义的一个名字或一组名字，它

22、们可以在一定的范围内被解析。活动目录主要是一个名字空间，同样也是一个目录效劳。一个 目录也是一个名字空间。Internent使用一种层次式的名字空间，它将名字划分称为一些目录-顶级域，例如 ,.edu,和.gov，它们都是在最顶层。名字解析name resolution-将名字转换成为它所代表的对象或信息的过程。一个 本组成一个名字空间，在这个空间中可以将 用户解析到相应的 号码。Windows NTFS文件系统组成一个名字空间，可以将文件名解析到文件本身。同样的，活动目录也组成一个名字空间，可以将目录中对象的名字解析到对象本身。O-对象object-由一组属性组成的集合，它代表的是详细的事物

23、，例如用户、打印机或一个应用程序。属性就是用来描绘目录对象可以标识的数据。一个用户的属性可能是用户姓、教名和电子邮件地址。对象标识符object identifier-在目录效劳中用来确定对象类或属性的一个数。对象标识符由发布机构发布，形成一个层次关系。对象标识符是一串用点分开的十进制数例如""。企业和个人可以从发布机构得到一个根对象标识符，并且使用它分配其他的对象标识符。例如，Microsoft得到的根标识符是"1.2.840.113556"。Microsoft进一步管理从这个根开展的分支。这些分支中的一个是用来给活动目录类分配一个对象标

24、识符，另一个用来给活动目录属性分配标识符，等等。世界上许多国家有确定的国家注册机构national registration authority，简称NRA，它们负责给企业发布对象标识符。在美国，NRA是美国国家标准局American National Standards Institute，简称ANSI。企业也可以为对象标识符注册名称。根对象标识符和注册名字都是计费的。详细信息，可以联络本国NRA。国际标准化组织International Standards Organization成认NRA并且在ISO站点维护相应的联络列表。参见"对象，属性"。组织单元organiza

25、tional unit，简称OU-一个容器对象，它是活动目录可管理的划分。OU可以包含用户、小组、资源和其他OU。组织单元可以管理权限委托给目录中的子树。OU-参见"组织单元"。P-父子信任关系parent-child trust relationship-一种双向、可传递的信任关系，当向一个活动目录树添加域时建立。活动目录安装过程自动为正在创立的域新的子域和它的父域之间创立信任关系。划分partition-存储中复制的一个完好单元。参见"目录分区"。PDC-参见"主域控制器"。PKI-参见"公开密钥根底"。策略p

26、olicy-管理主题和对象互相作用的规那么集合。例如，当Internet协议Internt Protocol，简称IP平安代理主题启动一台计算机对象时，策略需要确定计算机应该如何参与平安IP连接。策略引擎policy engine-在决策点执行的软件，它执行策略选择、估算条件以及确定应该执行什么行为。策略引擎的概念非常罗嗦；它的功能性经常通过分布式系统的多个部分进展传播。例如，Windows 2000提供一个策略根底构造，包括策略存储组策略对象、作为用户登录WinLogon的一部分而运行的策略引擎、激活策略选择进程的一个APIGetGPOList。一些应用程序和效劳使用WinLogon集成将它

27、们的策略应用到用户，其他的使用GetGPOList来实现它们的策略决定和执行点。主域控制器primary domain controller，简称PDC-Windows NT Server 4.0或早期的域中，PDC是运行Windows NT Server的计算机，这个计算机受权域登录并且维护域的目录数据库。PDC跟踪域中所有计算机帐户所做的改变。它是唯一可以直接承受变化的计算机。一个域只有一个主域控制器。Windows 2000中，每一个域中的一个域控制器标记为PDC，它可以向下兼容客户机和效劳器。参见"域控制器，备用域控制器"。配置文件profile-信息的集合，这些信

28、息是通过策略条件的估算结果选择出来的，应用于主题和对象之间交互作用的。配置文件的内容与正在讨论的主题和对象相关的。配置文件可以通过减少策略总数进一步简化管理。例如，给定效劳器应用程序可能有很多配置参数。这个应用程序的策略可以引用它的简表；这比使用多个策略来完成一样的任务简单一些。参见"策略，对象"。公用密钥体系public key infrastructure，简称PKI-在一个机构、工业领域或国家内建立交换信息的平安方法的策略。PKI也是一组效劳和管理工具的集合，可以使用这些工具创立、配置和管理基于公共密钥的应用程序。它包括加密方法、数字证书的使用、认证certifica

29、te authority，简称CA和管理进程的系统。R-相对唯一的名字relative distinguished name，简称RDN-对象名字的一部分，是它自身的一个属性。为对象提供RDN的属性指命名属性。参见"可分辨的名称DN"。复制replication-在数据库管理系统中，通过例行公事的将整个数据库或数据库的子集拷贝到网络中的其他效劳器上而使分布式数据库同步的功能。有几种拷贝的方法，包括主站点复制、共享或传输所有权的复制、对称复制也称为随时更新或对等复制和失败恢复复制。参见不同复制方法的完好定义"百科全书"。活动目录提供多主复制，它是对称复制的

30、一种形式。参见"多主复制"S-形式schema-整个数据库的定义；可以存储在数据库中的全局对象定义在形式中。对于每一个对象类而言，形式定义了类实例必须具有的属性、可能有的附加属性和当前对象的父亲是基于什么类的。参见"对象，属性"。形式主控schema master-用来控制森林中形式的所有更新的域控制器。任何时候，森林中只能有一个形式主控。参见"域控制器，森林，形式"。SID-平安标识符。参见"访问控制条目"。单主操作single-master operation-活动目录操作是单主操作，也就是在同一个时间，在网络中不允许在不