Windows Server 2008 AD架构-第01部分 目录服务、创建windows server 2008域、安装AD DS升级AD.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 将C对象移至A对象下层后,则只有X、Z使用者对C对象具有写入权限, Y使用者则丧失对C对象的写入权限。 AD对象的主要功能是记载AD域内各种资源的资讯,这些信息便是对象的属性。 每个AD对象通常有多个属性,以使用者 （User）对象为例,预设有两百多个属性,较常用到的属性如下： sn：使用者的姓。 givenName：使用者的名字。 userPassword：用户的密码。 objectGUID：使用者的GUID。 lastLogon：使用者最近一次的登入时间。 userCertificate：使用者的数字证书。 url：使用者的个人网址。 homePhone：用户家中的电话号码。 thumbnailPhoto：使用者的数码相片。 在实际的应用上,通常不会用到所有的属性,而是依需求来存取部份的属性,因此用户仅能存取应用程序所提供的属性。 例如：Windows Server 2008的用户帐户管理界面,并没有出现thumbnailPhoto属性可供设定。 倘若有储存使用者相片档的需求,则必须另行撰写程序,提供该属性的设定选项,让操作者能将相片文件储存在用户对象中。 先前提过,不同类的AD对象可能具有不同的属性,例如：打印机对象有『纸张尺寸』属性,但是用户对象就不可能有此属性。 到底什么样的对象具有哪些属性,这是由AD schema所决定。 AD schema如同一份规格文件,将对象分成各种类别(Class),并定义每一种类别的对象该有哪些属性。 透过这些已定义属性的对象类别来建立对象,可确保套用这个类别所产生的对象,皆有相同的属性。 例如：定义user类别所包含的属性之后,所有的用户对象都根据user类别来建立,如此所产生的用户对象便会有相同的属性。 在其它的目录服务中, schema经常是以文本文件的形式来呈现。 但是在AD中,则将schema包装成AD对象,换言之,虽然AD schema本身是用来定义对象,可是自己也是一种对象,可以说是『用来定义对象』的对象。 在AD schema中,相同属性可以存在于不同类别,例如：description属性同时存在于user、group、computer等类别,而且彼此完全独立。 修改user的description属性不会影响group对象的description属性。 虽然Windows Server 2008已经提供相当多的类别与属性,但为了提高AD功能的弹性,仍允许系统管理员自行定义新的类别或属性。 由于用户或网络程序可能会以不同方式来存取对象,而每一种存取方式对于对象都有自己的命名方式,因此AD对象会有多种名称,以适用于不同的场合。 AD是采用LDAP 3协议的目录服务,因此客户端可透过LDAP协定来存取AD中的对象。 存取时所指定的对象名称,可区分为以下2类： DN (Distinguished Name)与RDN (Relative Distinguished Name) 标准名称 AD目录中各对象皆具有符合LDAP规格的DN与RDN名称,以便让LDAP客户端程序存取对象。 对象本身具有一个RDN属性,用以记载自己的RDN；对象的DN则是由自己的RDN再加上层所有对象的RDN所组成,以下图为例。 对象A的RDN为： DN为： 其中, CN (Common Name)通常用来代表对象名称,例如用户名称、打印机名称等等；OU (Organizational Unit)代表组织单位名称；DC (Domain Component)代表域名。 这里要注意我们首先的是DNS域名称,例如：.tw,但是LDAP则是用『DC=』加在每个域之前,形成『DC=flag, DC=com, DC=tw』的表示法。 对象的DN是由系统根据对象的RDN与其位置而自动产生的。移动对象时, DN也会随之变更,以反映移动后的位置。 除了程序设计师在开发程序时,会用到冗长难记的DN外,一般情形很少直接使用DN来存取对象。 标准名称是以简化方式表示LDAP的DN,假设对象的DN为： 则在AD中此对象的标准名称为： 换言之,标准名称省略了DN中的CN=、OU=等等保留字,并改用DNS域名来表示DN中的域名。 使用者在登入Windows Server 2008主机或域时,可使用以下两种名称： UPN (User Principal Name) SAM (Security Account Ma