Windows 2000活动目录详解之基础篇(6) 单向信任关系。 2、组织单元(OU) 组织单元(OU)是一个容器对象,它也是活动目录的逻辑结构的一部分,我们可以把域中的对象组织成逻辑组,它可以帮助我们简化管理工作。OU可以包含各种对象,比如用户账户、用户组、计算机、打印机等,甚至可以包括其他的OU,所以我们可以利用OU把域中的对象形成一个完全逻辑上的层次结构。对于企 业来讲,可以按部门把所有的用户和设备组成一个OU层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个OU层次结构。很明显,通过组织单元的包容,组织单元具有很清楚的层次结构,这种包容结构可以使管理者把组织单元切入到域中以反应出企业的组织结构并且可以委派任务与授权。建立包容结构的组织模型能够帮助我们解决许多问题,同时仍然可以使用大型的域、域树中每个对象都可以显示在全局目录,从而用户就可以利用一个服务功能轻易地找到某个对象而不管它在域树结构中的位置。 由于OU层次结构局限于域的内部,所以一个域中的OU层次结构与另一个域中的OU层次结构没有任何关系。因为活动目录中的域可以比NT4的域容纳更多对象,所以一个企业有可能只用一个域来构造企业网络,这时候我们就可以使用OU 来对对象进行分组,形成多种管理层次结构,从而极大地简化网络管理工作。组织中的不同部门可以成为不同的域,或者一个组织单元,从而采用层次化的命名方法来反映组织结构和进行管理授 权。顺着组织结构进行颗粒化的管理授权可以解决很多管理上的头疼问题,在加强中央管理的同时,又不失机动灵活性。 WINNT4.0中的很多域都可以成为OU,建立起更大的域和更简化的域关系,借助全局目录(GlobalCatalog),用户和管理员仍然能够迅速地找到对象和管理对象。 WIN2K可以在现存的WINNT4.0的环境中工作,保护现有的投资。 二、活动目录的物理结构 进制-活动目录中,物理结构与逻辑结构有很大的不同,它们是彼此独立的两个概念。逻辑结构侧重于网络资源的管理,而物理结构则侧重于网络的配置和优化。活动目录的物理结构主要着眼于活动目录信息的复制和用户登录网络时的性能优化。物理结构的两个重要概念是站点和 域控制器。 1、站点 站点是由一个或多个IP子网组成,这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定,可以依据站点结构配置活动目录的访问和复制拓扑关系,这样能使得网络更有效地连接,并且可使复制策略更合理,用户登录更快速, 活动目录中的站点与域是两个完全独立的概念,一个站点中可以有多个域,多个站点也可以位于同一域中。 活动目录站点和服务可以通过使用站点提高大多数配置目录服务的效率。可以通过使用活动目录站点和服务向活动目录发布站点的方法提供有关网络物理结构的信息,活动目录使用该信息确定如何复制目录信息和处理服务的请求。计算机站点是根据其在子网或一组已连接好子网中的位置指定的,子网提供一种表示网络分组的简单方法,这与我们常见的邮政编码将地址分组类似。将子网格式化成可方便发送有关网络与目录连接物理信息的形式,将计算机置于一个或多个连接好的子网中充分体现了站点所有计算机必须连接良好这一标准,原因是同一子网中计算机的连接情况通常优于网络中任意选取的计算机。使用站点的意义主要在于: (1)、提高了验证过程的效率 当客户使用域帐户登录时,登录机制首先搜索与客户处于同一站点内的域控制器,使用客户站点内的域控制器首先可以使网络传输本地化,加快了身份验证的速度,提高了验证过程的效率。 (2)、平衡了复制频率 活动目录信息可在站点内部或站点与站点之间进行信息复制,但由于网络的原因,活动目录在站点内部复制信息的频率高于站点间的复制频率。这样做可以平衡对最新目录信息需求和可用网络带宽带来的限制。您可通过站点链接来定制活动目录如何复制信息以指定站点的连接方法,活动目录使用有关站点如何连接的信息生成连接对象以便提供有效的复制和容错。 (3)、可提供有关站点链接信息 活动目录可使用站点链接信息费用,链接使用次数,链接何时可用以及链接使用频度等信息确定应使用哪个站点来复制信息,以及何时使用该站点。定制复制计划使复制在特定时间(诸如网络传输空闲时)进行会使复制更为有效。通常,所有域控制器都可用于站点间信息的交换,但也可以通过指定桥头堡服务器优先发送和接收站间复制信息的方法进一步控制复制行为。当拥有希望用于站间复制的特定服务器时,宁愿建立一个桥头堡服务器而不使用其他可用服务器。或在配置使用代理服务器时建立一个桥头堡服务器,用于通过防火墙发送和接收信息。
