Active Directory——名词解释(随学习进度不断摘录……)

directory(目录):根据数据不同属性系统的记录、整理,方便查询。
directory database(目录数据库):在Windows Server域中,用户账户、组、打印机、共享文件夹等对象(object)的存储处成为目录数据库。
Active Directory(活动目录):在Windows Server网络环境中,活动目录提供组织、管理与控制网络资源的各种功能。
Namespace(命名空间):一个界定好的区域(bounded area)
DNS,Domain Name System(域名系统):在TCP/IP网络中,用来解析计算机名与IP地址的对应关系,利用DNS可以得知另一台计算机的IP地址。
domain name(域名):Windows Server 2003的Active Directory与DNS是紧密结合的,它的域命名空间就采用DNS架构,而其域名也采用DNS格式命名。如,123.com。
attribute(属性):在Sever域内对象是通过属性来描述其特征的,每个对象都是一些属性的集合。
object class(对象类):具有相同对象类别的对象成为对象类,如所有的用户,都是对象类“用户”中册成员,他们的属性都同样为姓、名、电话、电邮,只是属性的值各不相同。
Container(容器):同样有自己的名称,也是一些属性的集合,容器可以包含独立的对象或其他容器。
Organization Units,OU(组织单位):除了可以包含其他的对象与组织容器外,还有组策略(group policy)功能,是Active Driectory中比较特殊的一种容器。
domain tree(域树):内含多个子域的网络,可以设置成树状形式,从最上层的根域(root domain)开始,其下可以延伸子域,而且这些域的命名具有连续性(contiguous),子域的域名会包含父域的域名。如,123.com为根域,aaa.123.com和bbb.123.com就是123.com的子域。
trust relationship(信任关系):两个域之间必须建立信任关系,才能互相访问对方域内的资源。Windows Server 2003环境中,一个新的域被加入到域树后,会自动同其父域建立相互的信任关系,且这种关系具有双向传递性(two-way transitive)。这个信任通过Kerberos安全协议(security protocol)完成,也成为Kerberos信任。例如,域A信任域B,当域C信任域B后,由于双向传递性,域A和域C之间同样会建立双向信任。
forest(林):当一个网络含有多个域树时,就可以组合成一个域林,一个林中可以包含一个或多个域树,即多个域名。一个林内的所有域树使用相同的架构(Schema)。
forest root domain(林根域):林中建立的第一个域会成为林的根域,即林名称。
域控制器:Active Directory存储在域控制器中,多台域控制器可具有容错及分担审核提高效率的作用。一台与控制器的活动目录数据发生变动,会自动将这些变动复制到其他的域控制器的活动目录内。域控制器的系统平台需要是Windows Server 2003的标准版、企业版或数据中心(Datacenter)版,Web版不可以。
multi-master replication model(多主机复制模式):活动目录数据库复制的二种模式之一,可以直接更新任意一台域控制器内的活动目录对象,并自动复制到其他域控制器。
single master operations model(单主机操作模式):活动目录数据库复制的二种模式之一,当产生数据变更要求时,由指定的域控制器进行接收与处理,再由其复制到其他的域控制器。
LDAP,Lightweight Directory Access Protocol(轻型目录访问协议):一种用来查询与更新活动目录的服务通信协议。
LDAP naming path(LDAP名称路径):2003域中利用LDAP命名路径来表示对象在活动目录中的位置。其包含以下内容:
可分辨名称(Distinguished Name,DN):对象在活动目录内的完整路径;
相对可分辨名称(Relative Distinguished Name,RDN):完整路径中用来代表某个部分的路径;
全局唯一标识符(Global Unique Identifier,GUID):一个128bit数值,所有建立的对象都会由系统自动指定一个GUID,且不可改变;
用户名规则(User Principal Name,UPN):格式类似电邮账户,用户从Windows XP等客户端系统登录域的时候,最好采用UPN方式登录,因为无论用户被迁移到哪个域,其UPN不会改变;
服务规则名(Service Principal Name,SPN):内含多重设定值的名称,根据DNS主机名称建立,用来代表某台计算机所支持的服务,以便其他计算机通过SPN与这台计算机沟通。
global catalog(全局编录):域树内所有域共享一个Active Directory,但是活动目录内的数据确实分开存储在各个域内的,且每个域只存储其本身的对象。因此,为了让每个用户、程序能够快速找到位于其他域内的对象。还负责用户登录时提供该用户所属“万用组”数据、当利用UPN登录时,提供该用户隶属于哪个域的数据。一个林内的所有域树共享“全局编录”,默认为林内第一台域控制器。

发表评论