互联网技术网络相对明确名字[2]

　　（15）对象命名

一个对象只有一个名字，即明确名字（DN）。DN独一无二地确认了对象，而且包括了足够的信息使得用户能够从目录中检索到对象。对象的DN可能非常长，而且难以记住。另夕卜，一个对象的DN可以改变。一个对象的DN是由对象的RDN及它的祖先构成的，改变它自己的名称或改变它任意祖先的名称都将改变DN.

由于DN过于复杂而无法记忆，而且会发生改变，所以拥有其他方法检索对象是大有益处的。活动目录支持属性查询，这样即使对象的精确DN未知或改变了，仍然可以找到对象。为了简化对象的査询过程，活动目录概要定义了两种有用的概念。

①全局对象标识符（GUID个128位数字，保证性。对象建立的同时就

分配了一个GUID.GUID绝对不会改变，即使对象移动了或改名了。应用程序可以存储对象的GUID,从而不管该对象现在的DN是什么，都可以保证对它的査找。

②用户主名--SecurityPrincipals（用户及团体）都有“友好的”名称，用户主名（UPN）比DN短，而且易于记忆。用户主名是由用户的“速记”名和用户对象归属域树的DNS名构成的。例如，Microsoft.com树中的用户JamesSmith可以拥有一个UPN:JamesS@Microsoftcom.

（16）名字的性

明确名字要保证是。活动目录在同一个父本下不存在两个具有相同RDN的对象。DN是由RDN构成的，因此是。GU1D是通过定义保证性的；采用一定的运算法则来保证产生GUID的性。对任意属性来讲，性并不是强制性的。

　　（17）活动目录的访问

访问活动目录要通过线缆协议。线缆协议定义了信息的格式和客户机与服务器的相互作用。各种各样的应用程序界面为开发者提供了访问这些协议的道路。

（18）协议支持

支持的协议包括如下几个。

①LDAP:活动目录核心协议是轻量目录访问协议（LDAP）oLDAP版本2及版本3均支持。

②MAPI-RP:活动目录支持远程过程调用（RPC），界面支持MAPI界面。

③X.500:活动目录信息模型来自于X.500信息模型。X.500定义了几种活动目录未采用的协议。这些协议如下。

DAP:目录访问协议。

DSP:目录系统协议。

DISP:目录信息荫蔽协议。

DOP:目录操作捆绑管理协议。

活动目录未采用这些协议是因为对这些协议没有什么兴趣，而且它们很少应用。

这些协议依赖于OSI网络。OSI是TCP/IP的替代品，但仍没有广泛地应用^通过TCP/IP网络传递OSI的效率不如直接采用TCP/IP高。

LDAP提供了大多数DAP和DSP提供的功能。LDAP还被设计来用于TCP/IP,而不必在TCP/IP头上封装OSI.

在RFC1993和1997的DISP和DOP的一致性应用规格中有很多模糊之处，以至于不能够保证共同运行。这样就大大降低了这些协议的价值。

（19）应用程序编程接口API支持的API如下：

ADSI:活动目录服务接口（ADSI）为活动目录提供了一个简洁而有力的对象取向界面。开发人员可以采用不同的编程语言，包括Java,VisualBasic,C,C++和其他一些语言。为了系统管理员使用的方便，ADSI是完全脚本化的。ADSI对用户隐藏了LDAP通信的细节。

LDAPAPI:在RFC1823中定义的LDAPCAPI是对C程序员适用的低级界面。

MAPI:为了从前的兼容性活动目录支持MAPI.现在的应用程序应该采用ADSI或LDAPCAPI.

　　（20）虚拟容器

活动目录通过虚拟容器可以使其他目录变得没有遮蔽。虚拟容器使得任意满足LDAP的目录可以通过活动目录透明地访问。虚拟容器通过存储于活动目录中的认知信息来实现。认知信息包括对外来目录应在活动目录中出现位置的描述，还包括存有外来信息拷贝的服务器的DNS名称，以及在外来的foreignDS中开始搜索的明确名字（DN）。

　　（21）全局目录

活动目录可以由很多分区或命名上下文构成。对象的明确名字（DN）含有足够的信息来定位存有对象复制的分区。但在很多时候，用户或应用程序并不知道目标对象的DN或哪一个分区可能包含对象。如果用户或应用程序知道一个或更多的目标对象的属性，全局目录就可以使它们在活动目录的域树中找到目标对象。

全局目录包含目录中每一个用户命名上下文的部分复制。它还包括命名上下文的模式及配置。这意味着GC中包括活动目录中每一个对象的复制，但只包括少部分的属性。在GC中包括的属性是那些搜索操作中最为常用的（如用户的名和姓，登录名等），以及那些需要定位对象整个复制的。GC使得用户能够快速地找到感兴趣的对象，而不需要知道哪个域中包括它们，也不需要知道在公司中临近的扩展名字空间。活动目录复制系统自动地建立全局目录并产生复制拓扑。复制进全局目录中的性质包括由Microsoft定义的一套基本集合。管理员还可以指定附加的性质来满足他们设置的需要。

（22）安全性

这只是对活动目录安全性的概述。要了解关于Windows2000安全模型的更多信息，可查阅“使用MicrosoftWindows2000分布式安全性的安全网络”白皮书。

　　（23）对象保护

活动目录中所有的对象都在访问控制列表（ACL）的保护下。ACL决定了谁可以看这些对象及每一个用户可以对这些对象进行什么操作。对于用户，永远也看不到他未被授权的对象。

ACL是一个存储了它保护的对象的访问控制入口（ACE）列表。在Windows2000中，ACL以二进制数值的形式存储，称为安全性描述符。每一个ACE包括一个安全性标识符（SID），它标识了ACE适用的委托人（用户或组）及ACE允许或禁止访问的信息类型。

目录对象的ACL包括适用于整体对象的ACE及适用于对象单个属性的ACE.这使得管理员不仅能够控制哪一个用户能够看到对象，而且可以控制这些用户可以看到哪些属性。例如，所有用户可以保证允许阅读其他用户的电子邮件和电话号属性，但安全性属性可能只对具有特殊安全性的管理员群体开放。个别用户可能允许在他们个人自己的用户对象上写个人的属性，如电话和通信地址。

（24）委托

委托是活动目录最重要的安全特性之一。委托使得较高级的管理员对个人或组授予对容器和子树特定的管理权。这样就通过取消大部分用户组的权利而消除了对“域管理员”的需求。

ACE可以给用户或组授予对容器中对象的特定的管理权。权利是对特定对象种类的特定操作而授予的，它是通过容器的ACL中的ACE给予的。例如，为了允许用户“JamesSmith”成为“公司会计”组织单位的管理者，您应该向“公司会计”的ACL中加入如下ACE:

“JamesSmith”;Grant;Create,Modify,Delete;Object-ClassUser

“JamesSmith”;Grant;Create,Modify,Delete;Object-ClassGroup

“JamesSmith”;Grant;Write;Object-ClassUser;AttributePassword

现在，JamesSmith可以在“公司会计”中创建新的用户和组，并且可以设置现存用户的密码。但他不能创建其他的对象种类，而且他不能影响在任意其他容器中的用户，除非ACE授予他对其他容器的访问权。

[1]  [2]  [3]  [4]