|
举例介绍活动目录的优势(1) Active Directory服务提供了单一登入的能力和一个所有基础设施相关信息的集中储存机制,大幅度的简化了使用者和计算机的管理,同时提供优越的网络资源存取能力。我在本文中主要讲述一下Microsoft Windows Server 2003 中的 Active Directory 相关优点、新功能和改进部份的概观说明。
微软在Windows Server 2000中首次引入了AD技术,经过几年的发展,AD技术已经成为了微软网络架构的核心,几乎所有的产品和技术都是围绕这AD这个核心运转的。可以这么说,在网络中不实现AD,就无法基于微软产品和技术实现基本的网络管理,也无法适应将来的技术发展!
那么到底安装活动目录有什么意义呢?这是所有初学Windows Server 2003的人首要要问的一个问题。因为活动目录并不是Windows系统必需安装的一种服务,要全面理解它又是非常的不容易,那么安装活动目录的意义在哪里呢?它主要体现在以下几个方面:
1、信息的安全性大大增强
安装活动目录后信息的安全性完全与活动目录集成,用户授权管理和目录进入控制已经整合在活动目录当中了(包括用户的访问和登录权限等),而它们都是WIN2K33系统的关键安全措施。活动目录集中控制用户授权,进行控制不仅仅在每一个目录中的对象上定义,而且还能在每一个对象的每个属性上定义,这一点是以前任何系统所不能达到的,包括WINNT 4.0.除此之外,活动目录还可以提供存储和应用程序作用域的安全策略,提供安全策略的存储和应用范围。安全策略可以包含帐户信息,如域范围内的密码限制或对特定域资源的访问权限等。所以从一定程序上可以这么说WIN2K3的安全性就是活动目录所体现的安全性,由此可见对于网管来说如何配置好活动目录中对象及属性的安全性是一个网管配置好WIN2K3系统的关键。
具体应用:比如在工作组下面有3台计算机,分别是A、B、C,各有一个帐号a、b、c,如果B上有一个文档要给a用户访问,b就要在B计算机上创建一个帐号a‘给a,让a用a’去访问,或者b把自己的帐号密码告诉a,让a来访问,同理,其他资源也是一样处理。结果就是每一个用户要记好几个帐号密码来访问不同的资源,或者就是网络里有很多额外的帐号密码存在,或者很多人的密码告诉给其他人,最终网络安全变成一句空话。
但是如果实现了域就不一样了,b只要在资源上设置a的访问权限就可以了,不用额外创建帐号,也不用把自己的帐号密码告诉别人,a来访问的时候,如果权限合适就可以直接进行操作。用户a也不需要记录额外的帐号密码。
再比如,经理m有一台计算机M,为了保证安全性,M计算机只能由m来登录,在AD中只要简单的设置一下就可以了。再有一台打印机,如果有这这样的安全要求,上班时间大家都可以使用,下了班就不能打印了。当有大文档打印时,如果经理m要打印文档,可以中间插入打印,m打印完了,原来的那个大文档继续打印下去。诸如此类的设置,在AD中都可以非常方便的设置。
2、引入基于策略的管理,使系统的管理更加明朗
活动目录服务包括目录对象数据存储和逻辑分层结构(上次在杭州我讲过的目录、目录树、域、域树、域林等所组成的层次结构),作为目录,它存储着分配给特定环境的策略,称为组策略对象。作为逻辑结构,它为策略应用程序提供分层的环境。组策略对象表示了一套商务规则,它包括与要应用的环境有关的设置,组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录,域,或组织单元的组策略对象(GPOs)中。GPOs设置决定目录对象和域资源的进入权限,什么样的域资源可以被用户使用,以及这些域资源怎样使用等。例如,组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序,当它在服务器上启动时有多少用户可连接至 Server,以及当用户转移到不同的部门或组时他们可访问什么文件或服务。组策略对象使您可以管理少量的策略而不是大量的用户和计算机。通过活动目录,您可将组策略设置应用于适当的环境中,不管它是您的整个单位还是您单位中的特定部门。
| 
