互聯(lián)網(wǎng)技術(shù)網(wǎng)絡(luò)相對(duì)明確名字[2]

　?。?5）對(duì)象命名

一個(gè)對(duì)象只有一個(gè)名字，即明確名字（DN）。DN獨(dú)一無二地確認(rèn)了對(duì)象，而且包括了足夠的信息使得用戶能夠從目錄中檢索到對(duì)象。對(duì)象的DN可能非常長(zhǎng)，而且難以記住。另夕卜，一個(gè)對(duì)象的DN可以改變。一個(gè)對(duì)象的DN是由對(duì)象的RDN及它的祖先構(gòu)成的，改變它自己的名稱或改變它任意祖先的名稱都將改變DN.

由于DN過于復(fù)雜而無法記憶，而且會(huì)發(fā)生改變，所以擁有其他方法檢索對(duì)象是大有益處的。活動(dòng)目錄支持屬性查詢，這樣即使對(duì)象的精確DN未知或改變了，仍然可以找到對(duì)象。為了簡(jiǎn)化對(duì)象的査詢過程，活動(dòng)目錄概要定義了兩種有用的概念。

①全局對(duì)象標(biāo)識(shí)符（GUID個(gè)128位數(shù)字，保證性。對(duì)象建立的同時(shí)就

分配了一個(gè)GUID.GUID絕對(duì)不會(huì)改變，即使對(duì)象移動(dòng)了或改名了。應(yīng)用程序可以存儲(chǔ)對(duì)象的GUID,從而不管該對(duì)象現(xiàn)在的DN是什么，都可以保證對(duì)它的査找。

②用戶主名--SecurityPrincipals（用戶及團(tuán)體）都有“友好的”名稱，用戶主名（UPN）比DN短，而且易于記憶。用戶主名是由用戶的“速記”名和用戶對(duì)象歸屬域樹的DNS名構(gòu)成的。例如，Microsoft.com樹中的用戶JamesSmith可以擁有一個(gè)UPN:JamesS@Microsoftcom.

（16）名字的性

明確名字要保證是。活動(dòng)目錄在同一個(gè)父本下不存在兩個(gè)具有相同RDN的對(duì)象。DN是由RDN構(gòu)成的，因此是。GU1D是通過定義保證性的；采用一定的運(yùn)算法則來保證產(chǎn)生GUID的性。對(duì)任意屬性來講，性并不是強(qiáng)制性的。

　?。?7）活動(dòng)目錄的訪問

訪問活動(dòng)目錄要通過線纜協(xié)議。線纜協(xié)議定義了信息的格式和客戶機(jī)與服務(wù)器的相互作用。各種各樣的應(yīng)用程序界面為開發(fā)者提供了訪問這些協(xié)議的道路。

（18）協(xié)議支持

支持的協(xié)議包括如下幾個(gè)。

①LDAP:活動(dòng)目錄核心協(xié)議是輕量目錄訪問協(xié)議（LDAP）oLDAP版本2及版本3均支持。

②MAPI-RP:活動(dòng)目錄支持遠(yuǎn)程過程調(diào)用（RPC），界面支持MAPI界面。

③X.500:活動(dòng)目錄信息模型來自于X.500信息模型。X.500定義了幾種活動(dòng)目錄未采用的協(xié)議。這些協(xié)議如下。

DAP:目錄訪問協(xié)議。

DSP:目錄系統(tǒng)協(xié)議。

DISP:目錄信息蔭蔽協(xié)議。

DOP:目錄操作捆綁管理協(xié)議。

活動(dòng)目錄未采用這些協(xié)議是因?yàn)閷?duì)這些協(xié)議沒有什么興趣，而且它們很少應(yīng)用。

這些協(xié)議依賴于OSI網(wǎng)絡(luò)。OSI是TCP/IP的替代品，但仍沒有廣泛地應(yīng)用^通過TCP/IP網(wǎng)絡(luò)傳遞OSI的效率不如直接采用TCP/IP高。

LDAP提供了大多數(shù)DAP和DSP提供的功能。LDAP還被設(shè)計(jì)來用于TCP/IP,而不必在TCP/IP頭上封裝OSI.

在RFC1993和1997的DISP和DOP的一致性應(yīng)用規(guī)格中有很多模糊之處，以至于不能夠保證共同運(yùn)行。這樣就大大降低了這些協(xié)議的價(jià)值。

（19）應(yīng)用程序編程接口API支持的API如下：

ADSI:活動(dòng)目錄服務(wù)接口（ADSI）為活動(dòng)目錄提供了一個(gè)簡(jiǎn)潔而有力的對(duì)象取向界面。開發(fā)人員可以采用不同的編程語言，包括Java,VisualBasic,C,C++和其他一些語言。為了系統(tǒng)管理員使用的方便，ADSI是完全腳本化的。ADSI對(duì)用戶隱藏了LDAP通信的細(xì)節(jié)。

LDAPAPI:在RFC1823中定義的LDAPCAPI是對(duì)C程序員適用的低級(jí)界面。

MAPI:為了從前的兼容性活動(dòng)目錄支持MAPI.現(xiàn)在的應(yīng)用程序應(yīng)該采用ADSI或LDAPCAPI.

　?。?0）虛擬容器

活動(dòng)目錄通過虛擬容器可以使其他目錄變得沒有遮蔽。虛擬容器使得任意滿足LDAP的目錄可以通過活動(dòng)目錄透明地訪問。虛擬容器通過存儲(chǔ)于活動(dòng)目錄中的認(rèn)知信息來實(shí)現(xiàn)。認(rèn)知信息包括對(duì)外來目錄應(yīng)在活動(dòng)目錄中出現(xiàn)位置的描述，還包括存有外來信息拷貝的服務(wù)器的DNS名稱，以及在外來的foreignDS中開始搜索的明確名字（DN）。

　?。?1）全局目錄

活動(dòng)目錄可以由很多分區(qū)或命名上下文構(gòu)成。對(duì)象的明確名字（DN）含有足夠的信息來定位存有對(duì)象復(fù)制的分區(qū)。但在很多時(shí)候，用戶或應(yīng)用程序并不知道目標(biāo)對(duì)象的DN或哪一個(gè)分區(qū)可能包含對(duì)象。如果用戶或應(yīng)用程序知道一個(gè)或更多的目標(biāo)對(duì)象的屬性，全局目錄就可以使它們?cè)诨顒?dòng)目錄的域樹中找到目標(biāo)對(duì)象。

全局目錄包含目錄中每一個(gè)用戶命名上下文的部分復(fù)制。它還包括命名上下文的模式及配置。這意味著GC中包括活動(dòng)目錄中每一個(gè)對(duì)象的復(fù)制，但只包括少部分的屬性。在GC中包括的屬性是那些搜索操作中最為常用的（如用戶的名和姓，登錄名等），以及那些需要定位對(duì)象整個(gè)復(fù)制的。GC使得用戶能夠快速地找到感興趣的對(duì)象，而不需要知道哪個(gè)域中包括它們，也不需要知道在公司中臨近的擴(kuò)展名字空間?；顒?dòng)目錄復(fù)制系統(tǒng)自動(dòng)地建立全局目錄并產(chǎn)生復(fù)制拓?fù)?。?fù)制進(jìn)全局目錄中的性質(zhì)包括由Microsoft定義的一套基本集合。管理員還可以指定附加的性質(zhì)來滿足他們?cè)O(shè)置的需要。

（22）安全性

這只是對(duì)活動(dòng)目錄安全性的概述。要了解關(guān)于Windows2000安全模型的更多信息，可查閱“使用MicrosoftWindows2000分布式安全性的安全網(wǎng)絡(luò)”白皮書。

　?。?3）對(duì)象保護(hù)

活動(dòng)目錄中所有的對(duì)象都在訪問控制列表（ACL）的保護(hù)下。ACL決定了誰可以看這些對(duì)象及每一個(gè)用戶可以對(duì)這些對(duì)象進(jìn)行什么操作。對(duì)于用戶，永遠(yuǎn)也看不到他未被授權(quán)的對(duì)象。

ACL是一個(gè)存儲(chǔ)了它保護(hù)的對(duì)象的訪問控制入口（ACE）列表。在Windows2000中，ACL以二進(jìn)制數(shù)值的形式存儲(chǔ)，稱為安全性描述符。每一個(gè)ACE包括一個(gè)安全性標(biāo)識(shí)符（SID），它標(biāo)識(shí)了ACE適用的委托人（用戶或組）及ACE允許或禁止訪問的信息類型。

目錄對(duì)象的ACL包括適用于整體對(duì)象的ACE及適用于對(duì)象單個(gè)屬性的ACE.這使得管理員不僅能夠控制哪一個(gè)用戶能夠看到對(duì)象，而且可以控制這些用戶可以看到哪些屬性。例如，所有用戶可以保證允許閱讀其他用戶的電子郵件和電話號(hào)屬性，但安全性屬性可能只對(duì)具有特殊安全性的管理員群體開放。個(gè)別用戶可能允許在他們個(gè)人自己的用戶對(duì)象上寫個(gè)人的屬性，如電話和通信地址。

（24）委托

委托是活動(dòng)目錄最重要的安全特性之一。委托使得較高級(jí)的管理員對(duì)個(gè)人或組授予對(duì)容器和子樹特定的管理權(quán)。這樣就通過取消大部分用戶組的權(quán)利而消除了對(duì)“域管理員”的需求。

ACE可以給用戶或組授予對(duì)容器中對(duì)象的特定的管理權(quán)。權(quán)利是對(duì)特定對(duì)象種類的特定操作而授予的，它是通過容器的ACL中的ACE給予的。例如，為了允許用戶“JamesSmith”成為“公司會(huì)計(jì)”組織單位的管理者，您應(yīng)該向“公司會(huì)計(jì)”的ACL中加入如下ACE:

“JamesSmith”;Grant;Create,Modify,Delete;Object-ClassUser

“JamesSmith”;Grant;Create,Modify,Delete;Object-ClassGroup

“JamesSmith”;Grant;Write;Object-ClassUser;AttributePassword

現(xiàn)在，JamesSmith可以在“公司會(huì)計(jì)”中創(chuàng)建新的用戶和組，并且可以設(shè)置現(xiàn)存用戶的密碼。但他不能創(chuàng)建其他的對(duì)象種類，而且他不能影響在任意其他容器中的用戶，除非ACE授予他對(duì)其他容器的訪問權(quán)。

[1]  [2]  [3]  [4]