介紹
舊的說法"網絡就是系統"在Windows 2000分布式服務下變成一種現實。一個單個的登陸提供了到整個Windows 2000網絡的應用及資源的訪問。
最初,這可能是一種安全管理惡夢,但是如果Windows 2000正確應用的話,它能提供一個集中化的安全平台,帶有許多加強的安全特性。Kerberos和PKI(公鑰基礎結構)提供了網絡安全機會,MMC(微軟管理控制台)和加強的組策略簡單化了管理,提供了靈活的系統控制和應用訪問。
如果你目前有一個NT4.0環境,有大量的服務器和域,升級到Windows 2000平台需要仔細地規劃和實施。
樹林和域
活動目錄是定位在Windows 2000安全子系統核心的目錄服務,提供了管理網絡資源的結構和功能。活動目錄數據庫包含了關於網絡對象的信息,對象包括網絡站點、域、服務器、工作站、打印機、組和用戶。這些對象放置在有相關選定用戶組的域中,這些域變成對象的管理和安全邊界。管理的特權並不延伸到其它域,每一個域有它自己對象的安全策略。每一個域也有對相鄰域的安全策略。
樹林由一個分級結構的域組成,這個結構開始的那個域叫作樹林的根域,域在格式上與家族樹相同,如子域、父域、祖父域等等。一個樹林包含了一個或多個的樹。
默認情況下,任何子域與父域都有一個雙向信任的關系,它擴展到樹林中的所有其它的域,稱為可傳遞信任。當一個域的驗證授權驗證一個用戶或應用時,所有其它的域接受這個驗證,因為它是一個雙向信任的關系。在一個信任域裡對資源的訪問受到每一個域的訪問控制的限制,一個域基本上是一個安全邊界。
信任關系可以存在於一個Windows 2000域和一個基於UNIX M99v的領域,對域中的資源提供網絡訪問。一個Windows 2000域控制器可以驗證一個基本UNIX M99v領域的客戶去提供網絡訪問。
信任關系可以在使用高級服務器的康柏 VMS系統的域間建立,使用高級服務器的康柏 VMS系統也可以成為本地活動目錄的一個成員服務器。
當活動目錄被安裝的時候,第一個創建的域將成為樹林的根域,在為樹林域選擇一個命名時應該仔細考慮,因為一旦命名它就不能改變。另外,在一個樹林根域中所有域控制器的災難損失事件中,你僅能從備份中恢復樹林的根域。通過重新安裝去恢復樹林根域是不可能的。重新安裝它意味著所有的樹林將被清空重建。
企業管理組和規劃管理組僅存在於樹林的根域中,它們是對樹林的核心的管理和安全組,具有無限制的權力。一旦樹林被建立,訪問將被限制。
備份活動目錄也包括備份系統狀態數據文件。
系統狀態數據文件包括:
·活動目錄
·驗證服務數據庫(如果有驗證服務器)
·分級注冊(關於組件服務的數據庫信息)
·群集服務(如果安裝)
·性能計數器配置
·注冊表
·Sysvol目錄(包含組策略模板和登陸腳本的共享文件夾)
·系統開始文件
系統狀態數據備份可以執行常規備份,注意的是活動目錄目前並不支持增量備份,僅可能從全備份中恢復。你不能從超過60天以上的備份中恢復,因為這是一個墓碑生命時間,60天是域控制器保持跟蹤刪除對象的時間長度。
有兩種類型的恢復,非授權和授權。非授權是活動目錄恢復到備份時的狀態,在恢復後,目錄執行連續的檢查和維護,然後從其它域控制器上更新活動目錄和文件復制服務(FRS)。
在一個非授權恢復發生後,一個授權恢復可能執行。在一個域中多個域控制器允許對數據庫中標記為更新的特定信息進行授權恢復,在數據庫中每一個對象用版本號來標記,有最高版本號的域控制器將更新數據庫。這樣允許活動恢復到一個已知的狀態。
域控制器包含用於域驗證的用戶私鑰的拷貝,在域控制器的恢復後Syskey能用來重新創建私鑰,Syskey是一種微軟加密工具,它使用128位隨意Key,對所有私鑰提供加密。這個Key可以保存在域控制器的注冊表裡或是軟盤中,微軟推薦為保證最大的安全性將它存在軟盤中。
本機模式
當你安裝活動目錄創建第一個域時,活動目錄運行在默認的混合模式,這允許對運行NT4.0或Windows 2000域控制器的支持,當你規劃許可的時候,允許你升級域控制器到Windows 2000。
當運行在混合模式時,活動目錄是限制了對NT4.0安全帳號管理(SAM)的限制,當運行在本機模式時,數百萬的對象是可用的。
當樹林中所有的域控制器運行Windows 2000時,你可以轉換到本機模式,成員服務器可以在NT4.0上,工作站可以在98、ME、NT4.0。本機模式允許組嵌套和全局安全組。然而,一旦你轉換到了本機模式,將不能再轉換回混合模式。
架構
所有對象和它們屬性的活動目錄數據庫,叫做架構,如果架構的默認特性不能滿足你的組織的要求,你可以創建對象來滿足要求。活動目錄架構設計也定義了哪個對象和屬性將被索引,什麼將在活動目錄全局編目下發布。
對象被組織成組稱為容器,一個容器可以嵌套其它的容器。
架構在樹林中所有域控制器間是分布式的,這允許在架構中關於對象和屬性的信息對用戶應用是動態可用的,當改變可新的對象發生時它也是動態更新的。一個域控制器,叫作架構主機,將被指派在樹林中控制所有的更新,在樹林中只能有一個域控制器充當架構主機。
組織單元 (OU)
為管理的目的,對象可能放置在邏輯組中,一個組織單元(OU)是一個容器對象,它將如組、用戶帳號、計算機、打印機和其它OU這樣的對象組織起來。
Objects can be placed into logical groupings for administrative purposes. An Organizational Unit (OU) is a container object which organizes objects, such as groups, user accounts, computers, printers, and other OUs.
當創建一個樹林時,已存在的NT4.0的域的管理員仍可以在它們的環境下執行管理任務,當被限制為樹林的其它時,通過在一個OU中降低管理控制對象來實現。
一個OU能被指派到一個服務器或一個工作站,這幫助安全一個高危險或暴露的機器。
全局編錄
全局編錄是一個信息的倉庫,它包含了在活動目錄中所有對象連續請求信息的子集,例如一個用戶登陸ID、姓和名,Exchange 2000在分布式列表,郵件地址等方面將利用全局編錄。
編錄所在的域服務器稱為全局編錄服務器,默認情況下在活動目錄中創建的第一個域控制器為全局編錄服務器,其它的域服務器也可以指派作為全局編錄服務器來平衡網絡流量。在樹林根域控制中一個或更多的域控制器將始終為全局編錄服務器。全局編錄服務器的可用性對活動目錄的作用是至關重要的。
輕量級目錄訪問協議 (LDAP)
輕量級目錄訪問協議(LDAP)是目錄服務協議,它通常用來查詢和更新活動目錄。活動目錄的每個對象都有一個基於LDAP著名的命名習俗下的名字。LDAP提供對活動目錄中的第一個對象的唯一命名路徑。
活動目錄是一個企業級的目錄服務,通常被Windows 2000和Exchange 2000使用,因此,Exchange 2000使用LDAP查詢最靠近的全局編錄服務器去進行地址查找和信息路由。LDAP不是加密的,能被任何網絡sniffing設備所看到,當利用全局編錄服務器時,這是一個非常重要的安全考慮。
域控制器和復制
一個Windows 2000網絡僅有兩種類型的服務器,域控制器和成員服務器,如果一個域控制器壞了,其它的域控制器繼續提供網絡服務和信息,因為所有的域控制器都包含有一個活動目錄的復制,這個通過活動目錄中多主線目錄復制組件來實現。域控制器之間互相復制,每一個服務器記錄從其它服務器上接收到的更新,僅請求需要的更新去最小化網絡流量。
成員服務器可以被提升為域控制器,域控制器也可以被降為成員服務器,在NT4.0下是不可能實現的除非重新安裝服務器,這個在平衡網絡流量或域控制器丟失事件方面是非常有用的。
在Windows 2000下有一種情形存在,即當幾個系統管理員同時在幾個不同的域控制器上進行操作時,安全組信息可能丟失或被覆蓋。這是由於在域控制器間復制的延遲,特別是在遠程域控制器上。
如果集中化管理被利用,如同微軟指導手冊建議的一樣,這就不是一個問題,Windows 2000的下一個版本,即Windows 2002解決了這個情況。
域名稱系統(DNS)
DNS和活動目錄的結合是Windows 2000非常重要的特性。活動目錄使用DNS命名標准為它的域和計算機分級命名。
DNS和活動目錄使用相同的分級命名結構對域和計算機進行命名,因此,相同的分級命名結構可以表現DNS結點和活動目錄對象。
因此對DNS的兩條命名規定,同樣適用於活動目錄域的建立:
·相同父域的兩個子域不能相同
·一個子域僅能有一個父域
如果你的組織有一個在Internet上有出現,那麼你的樹林根域的名稱需要注冊,例如SANS機構利用sans.com作為Internet上的DNS命名,同時sans.com也將是他們的活動目錄樹林根域的名稱。
活動目錄需要DNS服務器支持SRV(服務資源記錄),SRV記錄域控制器到網絡服務的映射,當一個域服務器引導起來,它注冊有關服務的信息到DNS服務器。
Windows 2000使用SRV記錄去定位:
·在特定域可樹林中的域控制器
·同客戶同一站點的域控制器
·全局編錄服務器
·LDAP服務提供商
·Kerberos V5服務
·共享打印機或文件夾
客戶需要至少一個DNS服務器去定位一個域服務器去日志進程,客戶將聯系DNS服務器返回的所有域控制器,然後用第一個響應日志請求的域控制器進行登陸。
Windows 2000擴展
活動目錄的能力擴展出僅管理一個Windwos2000環境,ADSI(活動目錄服務接口),先前已知的OLE目錄服務,提供對多平台產品的管理。ADSI2.5提供NDS(Novell NetWare目錄服務)、NWCOMPAT(NetWare 3裝訂)和LDAP的混合。對網絡供應商而言,LDAP打開了利用公共管理平台的大門,Compaq's Advanced Server/Pathworks V7.4計劃與Windows 2000協作,包括活動目錄的集成。
結論
活動目錄是一個靈活和規模化的管理平台對分布式網絡資源和應用程序,謹慎規劃可以給用戶提供一個透明的結構化的安全環境,粗略的規劃和應用可能導致一場災難
