第07章域的组织和管理..doc

域的组织和管理 概述 当我们完成了域的建立工作后，马上面临的就是如何去管理域。因为在Windows 2000中域作为一个分布式的大型信息库，里面的信息量是可能非常庞大的。 在这里，我们把这个工作分为两个部分，也可以认为是两个阶段，就是组织和管理。组织的目的是让域中的信息变得整齐有序，然后才能顺利地完成对域的管理。 在域中，组织的工具是组织单元Organizational Unit，而管理的工具是控制授权Delegation of Control。 域的组织 进入一个域，就如同进入了一个档案库。档案库绝对不会是乱作一团，必然有各种档案柜，档案架，档案夹等，将所有档案存放得整整齐齐。我们当然需要我们的域也是一样的有条理，否则肯定无法有良好的管理。 域的组织，实际上就是对域中的对象的组织。 域中的对象 当我们完成了域的建立工作以后，就可以开始管理域中的对象了。我们使用的是Active Directory Users and Computers管理工具。打开这个管理工具，我们看到是一个象硬盘的资源管理器的一样的画面，里面已经有了很多东西。这些东西都是存放在域数据库中的对象。我们可以在其中点击鼠标右键，选择New，就可以看到我们能够在域中创建的对象的种类。这些对象有： Computer 加入到域中的使用Windows 2000/NT的计算机都有相应着一个帐号，这个对象就在AD的数据库中代表了这些计算机 Contact 相当于一种记录个人信息的名片 Group 某类用户的组织 Organizational Unit AD中的容器对象 Printer 在AD中发布的打印机 User 用户对象，代表域中的用户 Shared Folder 在AD中发布的共享文件夹 这些都是Active Directory中定义的对象类型。当然AD提供了完善的可扩展性，用户可以建立自己的对象。其他的一些服务，如Exchange Server 2000, ISA Server 2000等，都会在AD中建立自己的对象。 对象的组织 一个域可以是一个庞大的数据库，其中包含了大量各种类型的对象，包括用户、组、计算机、打印机等内置类型的对象，也可以包括用户自己定义的对象。这么多的对象聚在一起，如果没有一个合理的存放方式，就好像没有文件柜和文件架的档案库，可以想象你根本无法找到你所需要的档案。 如何存放和组织这数量庞大的对象呢？在计算机中，有一种存放东西的方法是我们非常熟悉的。在我们的硬盘分区中，同样存放了大量的档案，也就是各种文件。我们用什么来组织这些文件呢？用的是树型结构的文件夹和子文件夹。 文件系统结构 对于域中的对象，采用了同样的结构来组织，即树型的对象容器和子容器，相当于文件系统中的文件夹和子文件夹。这种结构能够清楚地分类和存放各种档案，并且最重要的是，这种方式是我们非常熟悉和能够有效使用的方式，因为我们都习惯了用这种方式来组织我们的数量巨大的文件。这对于提高工作的效率是非常有好处的。 域的组织结构 在文件系统中，组织的关键角色是文件夹，在域中，组织的关键角色就是组织单位——Organizational Unit, 简称为OU。 OU的特性 如果我们将整个Active Directory的数据库看成是一个硬盘分区，那么OU就是这个分区上的文件夹。所以OU和文件夹是非常相似的。 OU是Active Directory中的容器(Container)对象。所谓容器对象，就是说其他的对象可以放在这个对象中。例如在AD中我们建立了一个用户（User）对象，起名叫Mike，这个对象就代表了域中的一个人。作为一个域中的对象，他必须被放在某个地方，这个地方就是一个容器。客气一点讲，我们可以说这是这个人住的房间。一旦我们把这个人安排在了指定的房间，他就不可能出现在其他房间中了。其他的对象也是一样的。 所以对域中的任何一个对象，都必须位于一个指定的容器当中。如果系统管理员将某个对象移动到了另一个容器，则你在原来的容器中就看不到这个对象了。 OU和文件夹的对比 为了进一步加深对OU的理解，我们将OU和文件夹做一个对比： 他们都是各自系统中（Active Directory和文件系统）的容器，可以在里面放置其它对象 他们都可以建立树形的结构，文件夹中可以包含子文件夹，OU中可以包含子OU 他们都是用来组织各自系统中的对象 他们都是用类似的安全属性对自己及内部对象的访问进行控制 内置的容器 我们在提到Active Directory中的容器时，并没有直接称容器为OU，因为在AD中，除了OU外，还存在着少数几个特殊的容器对象。它们不是OU，但它们也是容器。这些容器是Active Directory中系统内置的容器对象，各自有特定的用途。 内置的容器对象主要有以下几个：