通信工程師考試在線輔導招生

通信工程師專業培訓面授班招生

閱讀2013年通信工程師考試大綱

了解2013年通信工程師考試指定教材

通信工程師報名及通信工程師成績查詢專題

2012年全國初級中級通信工程師考試成績查詢

相對明確名字:

對象的相對明確名字（RDN）是屬于對象本身屬性的名字的一部分。在前面的例子中用戶對象“JamesSmith”的RDN是CN=JamesSmith.父對象的RDN是CN=Users。

（1）命名上下文和分區

活動目錄由一個或多個命名上下文或分區構成。命名環境是目錄的任意臨近的子樹。命名上下文是復制的單位。

在活動目錄中，一個單獨的服務器通常最少包括3個命名上下文：模式、配置（復制拓撲和相關的元數據）以及一個或多個用戶命名上下文（在目錄中包括實際對象的子樹）。

　　（2）域

域是WindowsNT或Windows2000計算機網絡的獨立安全范圍。要了解域的更多信息，of參見Windows文檔。活動目錄由一個或多個域構成。一個域可以跨越不止一個物理地點。每一個域都有它自己的安全策略及域與其他域間的安全關系。當多個域通過信任關系連接起來，而且擁有共同的模式、配置和全局目錄時，您就擁有了一個域樹。多個域樹可以連接起來形成一個森林。

（3）域樹

域樹是由若干具有共同的模式、配置的域構成的，形成了一個臨近的名字空間。在樹屮的域也是通過信任關系連接起來的。活動目錄是一個或更多樹的集合。

樹可以通過兩種途徑表示。一種表示是域之間的關系，另一種表示是域樹的名字空間。

　　（4）表示信任關系

可以在個別域及它們如何相互信任的基礎上畫出一幅域樹的圖畫。

Windows2000域之間信任關系建立在Kerberos安全協議上。Kerberos信任是可傳遞的和分層次分層結構的，如果域A信任域B,域B信任域C,域A也信任域C。

（5）表示名字空間

可以在名字空間的基礎上繪制一幅域樹的圖畫。可以通過跟隨域樹的名字空間確定一個對象的顯著性名稱。這種表示對于把對象編為邏輯層次分層結構是很有益的。分層結構臨近名字空間的主要優點在于從名字空間的深入査找可以查找整個分層結構。表示一個域樹為名字空間如圖6-8所示。

（6）森林

森林是一個或多個不形成臨近名字空間樹的集合。森林中的樹具有相同的模式、配置和全局目錄。給定森林中的所有樹通過及物的分層結構Kerberos信任關系相互信任。與樹不同，一個森林不需要明確名字。森林作為相關對象的集合而存在，而且Kerberos信任關系對所有樹成員來講都是己知的。森林中的樹為了Kerberos信任的目的形成了分層結構；位于信任樹根部的樹的名稱可以用來確定一個給定的森林。森林中的多個樹如圖6-9所示。

（7）站點

站點是網絡中包括活動目錄服務器的地點。站點定義為一個或多個良好連接的TCP/IP子網。“良好連接的”意思是網絡連接高度可靠而且迅速（例如，LAN速度為10,000,000bit/s或更高）。定義站點為子網的集合使得管理員能夠快速、簡單地配置活動目錄使用權及復制拓撲，從而有利于利用物理網絡。當一個用戶登錄時，活動目錄客戶端在用戶的同一站點查找活動目錄服務器。由于從網絡上講在同一站點上的機器是靠近的，因此機器間的通信是可靠的、迅速的和有效的。在登錄時確定當地站點是容易實現的，因為用戶的工作站已經知道它在哪一個TCP/IP子網上，并且直接轉換為活動目錄站點。

（8）數據模型

活動目錄數據模型來自于X.500數據模型。目錄包括以屬性描述的表征各類事物的對象。可以存入目錄的對象的范圍在模式中定義。對于每一個對象種類，模式定義了該種類一定要具有什么屬性，可以具有什么附加屬性，以及什么對象種類可以是現有對象種類的父本。

　　（9）模式

活動目錄模式作為存儲于目錄中的對象種類情況的集合而應用。這與很多具有模式的目錄不同，在它們的情況下。模式存儲為文本文件以在啟動時閱讀。在目錄中存儲模式有很多優點。例如，用戶應用程序可以閱讀模式來確定什么對象和性質是可以得到的。

活動目錄模式可以動態升級。也就是說，一個應用程序可以擴展模式的新屬性和種類，而且可以立刻使用擴展的部分。模式的升級通過建立或改變目錄中的模式對象實現。與活動目錄中的所有對象相同，模式對象受訪問控制列表（ACL）所保護，所以只有授權的用戶可以改變模式。

（10）安全模型

目錄是Windows2000TrustedComputingBase的一部分，而且是Windows2000安全基本構造的完全參加者。ACLs保護了活動目錄中的所有對象。Windows2000訪問驗證歷程采用ACL來確認任何對活動目錄中對象或屬性訪問的嘗試。

（11）管理模型

授權的用戶在活動目錄中進行管理。一個經更高權限授權的用戶可以對目錄中某些確定子樹中指定的對象及對象種類進行指定的操作。這稱為委托管理。委托管理可以完全地控制誰能夠做什么，而且可以確立授權的委托而不必授予提高的特權。

目錄系統代理（DSA）是管理目錄物理存儲的過程。客戶采用一種支持的界面連接DSA,進而査找、閱讀及寫入目錄對象和它們的屬性。DSA使得客戶與物理存儲格式的目錄數據孤立。

（12）DNS集成

活動目錄與DomainNameSystem（DNS）緊密地集成在一起。DNS是分布式名字空間，用于Internet上來根據計算機和服務名稱來確定TCP/IP地址。大多數擁有Intranet的公司把DNS作為名稱解析服務來應用。活動目錄把DNS作為站點服務來應用。Windows2000域名就是DNS的域名。例如，“Microsofl.com”是一個有效的DNS域名，也可以是一個Windows2000的域名。緊密的DNS集成表明活動目錄自然地適用于Internet和Intranet環境。用戶可以快速、簡單地找到服務器。公司可以直接將活動目錄服務器連接于Imernet.從而為安全通信及與顧客、合作伙伴之間的電子商務提供便利。

（13）定位服務

活動目錄服務器公布它們的地址，這樣客戶在只知道域名的情況下也可以找到它們。活動目錄服務器通過DNS中的ServiceResourceRecords（SRVRR）來公布。SRVRR是DNS的一個記錄，用來描述一種服務及提供這種服務的服務器的地址。SRVRR的名稱是這種形式：

<service>.<protocol>.<domain>ldap.tcp.<domain>

活動目錄服務器通過TCP提供LDAP服務，這樣公布的名稱是這種形式：

ldap.tcp.<domain>這樣，為了Microsoft.com的SRVRR是ldap.tcp.microsofl.com?SRVRR中的附加信息指出了服務器的優先權及重要度，使得客戶可以選擇他們所需要的服務器。

在活動目錄服務器安裝好時，它通過動態DNS（下面介紹）公布它自己。由于TCP/IP地址隨時間變化而改變，所以服務器周期性地檢査它們的注冊來保證地址的正確性，并在需要的情況下將它們升級。

（14）動態DNS

動態DNS是對DNS標準的一個增加。動態DNS定義了一個協議，來滿足采用新的或變化了的數值動態升級DNS服務器的需要。在擁有動態DNS之前，管理員需要人工配置DNS服務器的存儲記錄。

[1]  [2]  [3]  [4]