（15）對象命名

一個對象只有一個名字，即明確名字（DN）。DN獨一無二地確認(rèn)了對象，而且包括了足夠的信息使得用戶能夠從目錄中檢索到對象。對象的DN可能非常長，而且難以記住。另夕卜，一個對象的DN可以改變。一個對象的DN是由對象的RDN及它的祖先構(gòu)成的，改變它自己的名稱或改變它任意祖先的名稱都將改變DN.

由于DN過于復(fù)雜而無法記憶，而且會發(fā)生改變，所以擁有其他方法檢索對象是大有益處的?；顒幽夸浿С謱傩圆樵?，這樣即使對象的精確DN未知或改變了，仍然可以找到對象。為了簡化對象的査詢過程，活動目錄概要定義了兩種有用的概念。

①全局對象標(biāo)識符（GUID個128位數(shù)字，保證性。對象建立的同時就

分配了一個GUID.GUID絕對不會改變，即使對象移動了或改名了。應(yīng)用程序可以存儲對象的GUID,從而不管該對象現(xiàn)在的DN是什么，都可以保證對它的査找。

②用戶主名--SecurityPrincipals（用戶及團(tuán)體）都有“友好的”名稱，用戶主名（UPN）比DN短，而且易于記憶。用戶主名是由用戶的“速記”名和用戶對象歸屬域樹的DNS名構(gòu)成的。例如，Microsoft.com樹中的用戶JamesSmith可以擁有一個UPN:JamesS@Microsoftcom.

（16）名字的性

明確名字要保證是?；顒幽夸浽谕粋€父本下不存在兩個具有相同RDN的對象。DN是由RDN構(gòu)成的，因此是。GU1D是通過定義保證性的；采用一定的運(yùn)算法則來保證產(chǎn)生GUID的性。對任意屬性來講，性并不是強(qiáng)制性的。

　?。?7）活動目錄的訪問

訪問活動目錄要通過線纜協(xié)議。線纜協(xié)議定義了信息的格式和客戶機(jī)與服務(wù)器的相互作用。各種各樣的應(yīng)用程序界面為開發(fā)者提供了訪問這些協(xié)議的道路。

（18）協(xié)議支持

支持的協(xié)議包括如下幾個。

①LDAP:活動目錄核心協(xié)議是輕量目錄訪問協(xié)議（LDAP）oLDAP版本2及版本3均支持。

②MAPI-RP:活動目錄支持遠(yuǎn)程過程調(diào)用（RPC），界面支持MAPI界面。

③X.500:活動目錄信息模型來自于X.500信息模型。X.500定義了幾種活動目錄未采用的協(xié)議。這些協(xié)議如下。

DAP:目錄訪問協(xié)議。

DSP:目錄系統(tǒng)協(xié)議。

DISP:目錄信息蔭蔽協(xié)議。

DOP:目錄操作捆綁管理協(xié)議。

活動目錄未采用這些協(xié)議是因為對這些協(xié)議沒有什么興趣，而且它們很少應(yīng)用。

這些協(xié)議依賴于OSI網(wǎng)絡(luò)。OSI是TCP/IP的替代品，但仍沒有廣泛地應(yīng)用^通過TCP/IP網(wǎng)絡(luò)傳遞OSI的效率不如直接采用TCP/IP高。

LDAP提供了大多數(shù)DAP和DSP提供的功能。LDAP還被設(shè)計來用于TCP/IP,而不必在TCP/IP頭上封裝OSI.

在RFC1993和1997的DISP和DOP的一致性應(yīng)用規(guī)格中有很多模糊之處，以至于不能夠保證共同運(yùn)行。這樣就大大降低了這些協(xié)議的價值。

（19）應(yīng)用程序編程接口API支持的API如下：

ADSI:活動目錄服務(wù)接口（ADSI）為活動目錄提供了一個簡潔而有力的對象取向界面。開發(fā)人員可以采用不同的編程語言，包括Java,VisualBasic,C,C++和其他一些語言。為了系統(tǒng)管理員使用的方便，ADSI是完全腳本化的。ADSI對用戶隱藏了LDAP通信的細(xì)節(jié)。

LDAPAPI:在RFC1823中定義的LDAPCAPI是對C程序員適用的低級界面。

MAPI:為了從前的兼容性活動目錄支持MAPI.現(xiàn)在的應(yīng)用程序應(yīng)該采用ADSI或LDAPCAPI.

　?。?0）虛擬容器

活動目錄通過虛擬容器可以使其他目錄變得沒有遮蔽。虛擬容器使得任意滿足LDAP的目錄可以通過活動目錄透明地訪問。虛擬容器通過存儲于活動目錄中的認(rèn)知信息來實現(xiàn)。認(rèn)知信息包括對外來目錄應(yīng)在活動目錄中出現(xiàn)位置的描述，還包括存有外來信息拷貝的服務(wù)器的DNS名稱，以及在外來的foreignDS中開始搜索的明確名字（DN）。

　?。?1）全局目錄

活動目錄可以由很多分區(qū)或命名上下文構(gòu)成。對象的明確名字（DN）含有足夠的信息來定位存有對象復(fù)制的分區(qū)。但在很多時候，用戶或應(yīng)用程序并不知道目標(biāo)對象的DN或哪一個分區(qū)可能包含對象。如果用戶或應(yīng)用程序知道一個或更多的目標(biāo)對象的屬性，全局目錄就可以使它們在活動目錄的域樹中找到目標(biāo)對象。

全局目錄包含目錄中每一個用戶命名上下文的部分復(fù)制。它還包括命名上下文的模式及配置。這意味著GC中包括活動目錄中每一個對象的復(fù)制，但只包括少部分的屬性。在GC中包括的屬性是那些搜索操作中最為常用的（如用戶的名和姓，登錄名等），以及那些需要定位對象整個復(fù)制的。GC使得用戶能夠快速地找到感興趣的對象，而不需要知道哪個域中包括它們，也不需要知道在公司中臨近的擴(kuò)展名字空間?；顒幽夸洀?fù)制系統(tǒng)自動地建立全局目錄并產(chǎn)生復(fù)制拓?fù)?。?fù)制進(jìn)全局目錄中的性質(zhì)包括由Microsoft定義的一套基本集合。管理員還可以指定附加的性質(zhì)來滿足他們設(shè)置的需要。

（22）安全性

這只是對活動目錄安全性的概述。要了解關(guān)于Windows2000安全模型的更多信息，可查閱“使用MicrosoftWindows2000分布式安全性的安全網(wǎng)絡(luò)”白皮書。

　　（23）對象保護(hù)

活動目錄中所有的對象都在訪問控制列表（ACL）的保護(hù)下。ACL決定了誰可以看這些對象及每一個用戶可以對這些對象進(jìn)行什么操作。對于用戶，永遠(yuǎn)也看不到他未被授權(quán)的對象。

ACL是一個存儲了它保護(hù)的對象的訪問控制入口（ACE）列表。在Windows2000中，ACL以二進(jìn)制數(shù)值的形式存儲，稱為安全性描述符。每一個ACE包括一個安全性標(biāo)識符（SID），它標(biāo)識了ACE適用的委托人（用戶或組）及ACE允許或禁止訪問的信息類型。

目錄對象的ACL包括適用于整體對象的ACE及適用于對象單個屬性的ACE.這使得管理員不僅能夠控制哪一個用戶能夠看到對象，而且可以控制這些用戶可以看到哪些屬性。例如，所有用戶可以保證允許閱讀其他用戶的電子郵件和電話號屬性，但安全性屬性可能只對具有特殊安全性的管理員群體開放。個別用戶可能允許在他們個人自己的用戶對象上寫個人的屬性，如電話和通信地址。

（24）委托

委托是活動目錄最重要的安全特性之一。委托使得較高級的管理員對個人或組授予對容器和子樹特定的管理權(quán)。這樣就通過取消大部分用戶組的權(quán)利而消除了對“域管理員”的需求。

ACE可以給用戶或組授予對容器中對象的特定的管理權(quán)。權(quán)利是對特定對象種類的特定操作而授予的，它是通過容器的ACL中的ACE給予的。例如，為了允許用戶“JamesSmith”成為“公司會計”組織單位的管理者，您應(yīng)該向“公司會計”的ACL中加入如下ACE:

“JamesSmith”;Grant;Create,Modify,Delete;Object-ClassUser

“JamesSmith”;Grant;Create,Modify,Delete;Object-ClassGroup

“JamesSmith”;Grant;Write;Object-ClassUser;AttributePassword

現(xiàn)在，JamesSmith可以在“公司會計”中創(chuàng)建新的用戶和組，并且可以設(shè)置現(xiàn)存用戶的密碼。但他不能創(chuàng)建其他的對象種類，而且他不能影響在任意其他容器中的用戶，除非ACE授予他對其他容器的訪問權(quán)。

[1]  [2]  [3]  [4]