活動目錄的優勢
active directory服務提供了單一登入的能力和乙個所有基礎設施相關資訊的集中儲存機制,大幅度的簡化了使用者和計算機的管理,同時提供優越的網路資源訪問能力。我在本文中主要講述一下microsoft windows server 2003 中的 active directory 相關優點、新功能和改進部份的概觀說明。
微軟在windows server 2000中首次引入了ad技術,經過幾年的發展,ad技術已經成為了微軟網路架構的核心,幾乎所有的產品和技術都是圍繞這ad這個核心運轉的。可以這麼說,在網路中不實現ad,就無法基於微軟產品和技術實現基本的網路管理,也無法適應將來的技術發展!
那麼到底安裝活動目錄有什麼意義呢?這是所有初學windows server 2003的人首要要問的乙個問題。因為活動目錄並不是windows系統必需安裝的一種服務,要全面理解它又是非常的不容易,那麼安裝活動目錄的意義在**呢?它主要體現在以下幾個方面:
1、資訊的安全性大大增強
安裝活動目錄後資訊的安全性完全與活動目錄整合,使用者授權管理和目錄進入控制已經整合在活動目錄當中了(包括使用者的訪問和登入許可權等),而它們都是win2k33系統的關鍵安全措施。活動目錄集中控制使用者授權,進行控制不僅僅在每乙個目錄中的物件上定義,而且還能在每乙個物件的每個屬性上定義,這一點是以前任何系統所不能達到的,包括winnt 4.0。除此之外,活動目錄還可以提供儲存和應用程式作用域的安全策略,提供安全策略的儲存和應用範圍。安全策略可以包含帳戶資訊,如域範圍內的密碼限制或對特定域資源的訪問許可權等。所以從一定程式上可以這麼說win2k3的安全性就是活動目錄所體現的安全性,由此可見對於網管來說如何配置好活動目錄中物件及屬性的安全性是乙個網管配置好win2k3系統的關鍵。
具體應用:比如在工作組下面有3臺計算機,分別是a、b、c,各有乙個帳號a、b、c,如果b上有乙個文件要給a使用者訪問,b就要在b計算機上建立乙個帳號a』給a,讓a用a』去訪問,或者b把自己的帳號密碼告訴a,讓a來訪問,同理,其他資源也是一樣處理。結果就是每乙個使用者要記好幾個帳號密碼來訪問不同的資源,或者就是網路裡有很多額外的帳號密碼存在,或者很多人的密碼告訴給其他人,最終網路安全變成一句空話。
但是如果實現了域就不一樣了,b只要在資源上設定a的訪問許可權就可以了,不用額外建立帳號,也不用把自己的帳號密碼告訴別人,a來訪問的時候,如果許可權合適就可以直接進行操作。使用者a也不需要記錄額外的帳號密碼。
再比如,經理m有一台計算機m,為了保證安全性,m計算機只能由m來登入,在ad中只要簡單的設定一下就可以了。再有一台印表機,如果有這這樣的安全要求,上班時間大家都可以使用,下了班就不能列印了。當有大文件列印時,如果經理m要列印文件,可以中間插入列印,m列印完了,原來的那個大文件繼續列印下去。諸如此類的設定,在ad中都可以非常方便的設定。
2、引入基於策略的管理,使系統的管理更加明朗
活動目錄服務包括目錄物件資料儲存和邏輯分層結構(上次在杭州我講過的目錄、目錄樹、域、域樹、域林等所組成的層次結構),作為目錄,它儲存著分配給特定環境的策略,稱為組策略物件。作為邏輯結構,它為策略應用程式提供分層的環境。組策略物件表示了一套商務規則,它包括與要應用的環境有關的設定,組策略是使用者或計算機初始化時用到的配置設定。所有的組策略設定都包含在應用到活動目錄,域,或組織單元的組策略物件(gpos)中。gpos設定決定目錄物件和域資源的進入許可權,什麼樣的域資源可以被使用者使用,以及這些域資源怎樣使用等。例如,組策略物件可以決定當使用者登入時使用者在他們的計算機上看到什麼應用程式,當它在伺服器上啟動時有多少使用者可連線至 server,以及當使用者轉移到不同的部門或組時他們可訪問什麼檔案或服務。組策略物件使您可以管理少量的策略而不是大量的使用者和計算機。通過活動目錄,您可將組策略設定應用於適當的環境中,不管它是您的整個單位還是您單位中的特定部門。
具體應用:比如單位裡面為了放置病毒感染和資訊保安,要求所有的計算機只能使用usb的滑鼠和鍵盤,u盤和移用硬碟不能使用。為了控制usb介面的使用型別,工作組下面就只有一台一台計算機去設定組策略了,而ad下僅僅一條組策略就可以完成,花費不到10秒鐘!
在比如,為了防止員工修改系統配置導致系統崩潰,或為了禁止員工上班時間玩遊戲,需要禁止某些元件的使用,用ad自帶的組策略功能也非常方便。至於給所有員工傳送乙個資訊或安裝乙個軟體之類的常規性管理任務,ad的組策略也很容易就實現。而且這些策略的設定可以依據單位的部門或職稱架構來實現。非常方便!
4、具有很強的可伸縮性
活動目錄可包含在乙個或多個域,每個域具有乙個或多個域控制器,以便您可以調整目錄的規模以滿足任何網路的需要。多個域可組成為域樹,多個域樹又可組成為樹林,活動目錄也就隨著域的伸縮而伸縮,較好地適應了單位網路的變化。目錄將其架構和配置資訊分發給目錄中所有的域控制器,該資訊儲存在域的第乙個域控制器中,並且複製到域中任何其他域控制器。當該目錄配置為單個域時,新增域控制器將改變目錄的規模,而不影響其他域的管理開銷。將域新增到目錄使您可以針對不同策略環境劃分目錄,並調整目錄的規模以容納大量的資源和物件。
5、智慧型的資訊複製能力
資訊複製為目錄提供了資訊可用性、容錯、負載平衡和效能優勢,活動目錄使用多主機複製,允許您在任何域控制器上而不是單個主域控制器上同步更新目錄。多主機模式具有更大容錯的優點,因為使用多域控制器,即使任何單獨的域控制器停止工作,也可繼續複製。由於進行了多主機複製,它們將更新目錄的單個副本,在域控制器上建立或修改目錄資訊後,新建立或更改的資訊將傳送到域中的所有其他域控制器,所以其目錄資訊是最新的。域控制器需要最新的目錄資訊,但是要做到高效率,必須把自身的更新限制在只有新建或更改目錄資訊的時候,以免在網路高峰期進行同步而影響網路速度。在域控制器之間不加選擇地交換目錄資訊能夠迅速搞垮任何網路。通過活動目錄就能達到只複製更改的目錄資訊,而不至於大量增加域控制器的負荷。
7、與其他目錄服務具有互連性
由於活動目錄是基於標準的目錄訪問協議,許多應用程式介面(api)都允許開發者進入這些協議,例如活動目錄服務介面(adsi)、輕型目錄訪問協議 (ldap) 第三版和名稱服務提供程式介面 (nspi),因此它可與使用這些協議的其他目錄服務相互*作。ldap 是用於在活動目錄中查詢和檢索資訊的目錄訪問協議。因為它是一種工業標準服務協議,所以可使用 ldap 開發程式,與同時支援 ldap 的其他目錄服務共享活動目錄資訊。活動目錄支援 microsoft exchange 2003客戶程式所用的 nspi 協議,以提供與 exchange 目錄的相容性。
8、具有靈活的查詢
任何使用者可使用「開始」選單、「網路上的芳鄰」或「活動目錄使用者和計算機」上的「搜尋」命令,通過物件屬性快速查詢網路上的物件。如您可通過名字、姓氏、電子郵件名、辦公室位置或使用者帳戶的其他屬性來查詢使用者,反之亦然。
具體應用:比如在a地的乙個員工要給b地的員工傳送乙份文件,他不需要將文件列印出來再快遞過去,他完全可以在ad中搜尋b地員工辦公室(或附近辦公地點)的某台印表機就可以了,然後直接將文件傳送到那台印表機上,b的使用者就可以直接拿到文件了。而a的使用者不知道b地的印表機沒有關係,他可以根據地名,樓層,辦公室等等資訊,很快定位到正確的印表機!
活動目錄的優勢
活動目錄的優勢 active directory服務提供了單一登入的能力和乙個所有基礎設施相關資訊的集中儲存機制,大幅度的簡化了使用者和計算機的管理,同時提供優越的網路資源訪問能力。我在本文中主要講述一下microsoft windows server 2003 中的 active director...
活動目錄的優勢
活動目錄的優勢 active directory服務提供了單一登入的能力和乙個所有基礎設施相關資訊的集中儲存機制,大幅度的簡化了使用者和計算機的管理,同時提供優越的網路資源訪問能力。我在本文中主要講述一下microsoft windows server 2003 中的 active director...
不是活動目錄的Azure活動目錄!
摘要 在現代雲時代的大環境下,雲服務的概念已經是無人不知無人不曉了。像阿里雲 谷歌雲 aws azure等等已經深入日常的方方面面。那對於雲中的身份,我們今天特別的介紹一下azure active directory aad 的概念,希望可以幫助您了解的更加清晰。azure活動目錄是一種新的現代化身...