用于管理 Windows 网络的最佳 Active Directory 设计.docx-道客多多

资源描述

1、用于管理 Windows 网络的最佳 Active Directory 设计本指南根据从已经在单位内部署了 Active Directory 的客户那里了解到的最佳做法，提供了循序渐进、由浅入深的方法。它还讲述了各种任务和决定，以便于您进行 Active Directory 设计，从而更好地管理 Windows 网络。本指南的读者对象是负责测试、试验和部署 Active Directory 设计的 IT 专业人士。引言借助于 Windows 2000 的 Active Directory 服务，各单位可以简化用户和资源管理，同时又可以建立一个可扩展的、安全而且易管理的基础结构，以便于部署更

2、多重要的和新出现的技术。为帮助缩短计划周期并确保成功的部署，Microsoft 正在陆续推出一系列结合场景加以叙述的指南，这些指南提供了说明性的、基于任务的并以解决方案为导向的指导。 Active Directory 部署场景与那些有特殊用途的目录不同，Active Directory 可以在一个单位内扮演多种角色。这些角色包括从管理 Windows 网络到支持启用目录的电子商务等范围很广的应用情形。然而，您打算使用 Active Directory 的方式将影响您作出重要的设计和部署决定时的方式。用于 Windows 网络管理的 Active Directory 本指南主要提供了各种最佳

3、做法，旨在帮助读者部署用于管理网络的 Active Directory，这样的网络由 Windows 客户端、Windows 服务器和与 Windows 兼容的应用程序和设备组成。本指南将把这一角色称为网络操作系统 (NOS) 管理角色。作为 NOS 管理角色来部署 Active Directory 的好处包括：对特大型 Windows 网络进行集中式管理（Active Directory 在设计上可支持数百万个对象）。能够消除资源域，包括它们所需要的硬件和管理。基于策略的桌面锁定和软件分发。在合适的情况下能够委派对资源的管理控制。共享资源的定位和使用得以简化。本指南只讨论了作为管

4、理 Windows 网络的一部分来部署 Active Directory 和 DNS 核心服务这方面的内容。附加在 Active Directory 上的其他服务可以在以后添加，它们不影响最初的设计。例如，组策略可以对用户、组、工作站和服务器提供基于策略的管理，从而简化管理过程。可以附加在 Active directory 上的一些服务包括：组策略 Exchange 2003 集成的公钥基础结构 (PKI) 服务基于域的 DFS 为分支机构进行部署时的特殊注意事项Microsoft 为在分支机构环境下部署 Active Directory 总结出了一些特殊的注意事项。分支机构环境有如下几个

5、特点：大量的物理位置需要有 Active Directory 数据的副本。每一个位置的用户数量都比较少。采用辐射状网络拓扑，在这种情况下，许多分支机构都依靠与中心站点的连接与单位内的其他分支机构进行通信。分支机构位置和中心站点之间的网络连接速度慢。由于这些要求名目繁多，Microsoft 针对在分支机构环境下部署 Active Directory 这项工作编写了更多的内容。部署 Exchange 2003 时的特殊注意事项本指南将帮助您设计一个可以托管 Exchange 2003 的 Active Directory 部署。不过，本文并未提供关于成功地将 Exchange 2003

6、作为 Active Directory 的组成部分来部署方面的信息。关于本指南本指南是为那些将要参加 Active Directory 计划和部署项目的 IT 专业人士编写的。它提供了设计 Active Directory 时采用最佳做法的方法，此方法包括业务和技术方面的综合指导，旨在尽可能地将在贵单位实现 Active Directory 所需要的时间和精力减至最低程度。本文档中还提供了工作表，以帮助您记录您的设计。采用最佳做法的方法采用最佳做法的方法是根据 Active Directory 开发小组从已经成功地实现了 Active Directory 的单位那里收集到的经验而总结出的

7、。此方法通过如下做法缩短了计划周期：推广了标准的、经过测试的 Active Directory 设计。将重点放在那些经实践证明在 Windows NOS 管理角色中效果相当好的设计选择。采用流程图和工作表明确了任务里程碑和各个任务的顺序。提供了各种场景，使设计概念更加具体化。本文档的适用范围虽然本文档中提供的指导几乎适用于任何一种 NOS 管理部署情形，但它们是专门针对以下环境进行测试和检验的：少于 100,000 个用户。少于 200 个物理位置。对于超出这些范围的部署情形，Microsoft 建议您考虑让一家咨询公司为您提供服务，这家咨询公司必须拥有在比较复杂的环境下部署

8、Active Directory 的丰富经验。如何使用本指南设计过程的每一阶段，如进行目录林设计，都将有其自己的流程图，以及必须完成的任务的列表。请按照这一顺序进行 Active Directory 设计。请注意，该过程中的每一步骤都可能涉及将负责作出决定的新的成员。每一个成员都应在提供的工作表中记录他的或她的设计决定。从本指南中将内容剪贴到您的设计文档中，以使新加入的项目成员可以理解以前的设计决定，这样也许会有帮助。只有在您填写完毕我们所提供的工作表而且所有负责人都同意了设计选择之后，才可以进入下一步骤。每一工作表都以以前的工作表中记录的信息和决定作为基础。如果您计划使用进行 Activ

9、e Directory 部署的最佳做法指南，在部署阶段也会引用到这些工作表。在继续进行设计之前，应确保您已经：为此次 Active Directory 部署确立了业务目标并且理解这些业务目标。得到管理层的支持，以便如设计的那样实现一个由 Active Directory 管理的 Windows 网络。 Active Directory 基础结构部署可以跨越技术和业务两个领域。因此，在设计方面是否能取得进展将取决于您是否能向 IT 和业务决策者阐明 Active Directory 的价值。本指南的读者对象本指南是为那些将要参加 Active Directory 计划和部署项目的 IT

10、专业人士编写的。其中包括结构设计师、项目经理、系统集成人员和咨询人员。由于 Active Directory 最好作为一个全单位范围内的基础结构来部署，所以设计小组很可能会涉及到您单位的许多人。本指南将阐明在项目的各个阶段分别需要哪些类型的代表。项目组必须让这些代表参加，让他们参与作出影响其所在部门的设计决定。例如，在大多数公司部署 Active Directory 就要求与一个现有的 DNS 基础结构集成。所以管理这些系统的人员对于此项目的成功是至关重要的。同时，让这些组的规模尽可能小以便更容易作出决定，这一点也非常重要。需要注意的是，作为 Windows 网络管理角色来部署 Activ

11、e Directory 应在全单位范围内进行而不是只在部门级别进行。如果您是一个部门级的管理员并想部署 Active Directory，那么您应与贵单位的 IT 管理员联系，以取得协助。如果不这样做，那么将来将您的部门级部署加入到全单位级别的 Active Directory 部署时就会有困难。项目角色虽然在一个典型的 Active Directory 部署过程中涉及许多人员，但在早期配备两个角色的人员特别重要：项目结构设计师和项目经理。在一个大型单位，可能要有好几个人共同承担这些角色。表 1 总结了 Active Directory 的设计角色。表 1 Active Directory

12、设计角色设计角色职责说明项目结构设计师技术设计负责技术决策并确保设计能满足贵单位的业务目标的专家或咨询人员。项目经理过程计划作为中心联系人推动设计过程的进行，具体职责是，让合适的人员参与到项目中来，并让大家在设计方面达成一致意见。负责全面的计划和日程安排，以支持设计。项目结构设计师每个目录林都要求有一名 Active Directory 结构设计师监督 Active Directory 的设计和迁移过程。具有目录管理经验的信息技术 (IT) 结构设计师或 IT 系统计划员可能是项目结构设计师的合适人选。或者，也可以考虑聘请一名在 Active Directory 设计和部署方

13、面有经验的咨询人员。聘请一名咨询人员可给设计小组带来重要的经验和看法，对于解决跨部门的问题可能特别有帮助。 Active Directory 结构设计师的职责包括：控制 Active Directory 的设计。理解关键设计决定的逻辑依据。确定单位的业务目标是否已得到满足。在必要时建议其他可能更好地反映业务需要的解决方案。最后的 Active Directory 设计必须既要反映出业务目标，又要反映出技术决定。因此，项目结构设计师将负责审阅设计决定，将它们与业务目标进行比较，并确保两者完全取得一致。项目经理为了推动设计过程有效地进行，管理层应任命一个人或一个小型委员会来担任项目经

14、理的角色。项目经理应负责加强各个业务部门之间的合作以及与那些管理着技术（如 DNS、网络和 Windows NT）的小组的合作。项目经理的职责包括：提供基本的项目计划，比如日程安排和预算。推动 Active Directory 设计过程的进行。在设计过程的每一阶段让合适的人员参与进来。作为目录项目的中心联系人。让各小组之间达成一致意见。 Active Directory 设计：关键概念随着设计开始日期的迫近，有一点必须说清楚，那就是您将要设计一个逻辑模型和一个物理模型。逻辑模型有了 Active Directory，管理员可以基于容器这一概念，将一个网络的各个元素（比如，用户、计算

15、机、设备等等）组织到一个分层的树状结构中。Active Directory 容器的最顶层叫做目录林。在目录林内有若干个域。在域内有若干个组织单元 (OU)。之所以将它叫做逻辑模型，是因为它是独立于部署项目的大多数物理方面（比如每一个域和网络拓扑内所需要的副本的数量）来设计的。为了便于对大量的对象进行管理，Active Directory 还支持容器级别的管理委派这一概念。通过委派，所有者可以将管理对象的权限转让给其他用户或组。委派是很重要的，因为它有助于将对大量对象的管理在许多受信任的人员中进行分配，让他们对特定的组和特定的对象类型进行管理。例如，图显示了一家虚构的位于北美的

16、机构中的用户分布情况。在此示例中，一个 Active Directory 单目录林包含了该单位内的所有用户、计算机、设备和其他实体。为支持基于地理位置进行管理，该单位创建了五个域（西部、中西部、东北部、东南部和拉丁美洲）作为目录林的第一层分区。为支持进一步的委派，该单位还将西部分区再分为若干个 OU，分别用虚线来表示。图 1 一个单位内的管理委派在此示例中，该单位将一些管理任务委派给了西部域的分区经理。西部域的分区经理又将一些管理任务委派给了其子分区经理。同样地，Active Directory 支持一种分层结构，此结构可创建多级管理委派，以支持目录服务和所有的目录林对象。在设计逻辑模型

17、时（遵循本指南稍后的分步过程），您实际上是在决定将目录林、域和 OU 边界放在哪里。物理模型您设计完逻辑模型之后，网络的物理性质将决定您还需要完成哪些任务。这些任务可能包括决定将域和全局编录数据的副本放在哪里。您还需要在 Active Directory 上的子网级别描述您的网络拓扑，以使它可以为局域网 (LAN) 之间的通信（如复制流量）设置一个最佳路径。您必须对复制决定特别注意，因为它们将影响网络流量和数据可见性的范围。例如，域控制器不在目录林之间复制目录数据。托管着全局编录的域控制器包含了有关目录林中的每一个对象的部分说明，并整个目录林范围内共享这一信息，但只与包含全局编录的其他域控

18、制器共享。在每一个域内，对该域内的对象的所有数据更新都会自动复制到该域内的每一个域控制器，但不会复制到其他域内的域控制器。再强调一遍，本指南提供了关于所有物理模型决定和过程的分步指导。第一部分：确定您单位的目录林的数量为您的单位确定目录林的数量 Active Directory 中最高级别的容器是目录林。作为设计过程的第一步，Active Directory 结构设计师和项目经理必须确定本单位需要多少个目录林。应尽可能让您的单位采用单目录林设计，因为这是最简单的管理模型。然而，单目录林部署模型有一些局限性，并不是每一个单位都可以选择这种模型。例如，那些当前管理本单位自治部门的 IT 基

19、础结构的人员，可能希望担任目录林所有者的角色并希望进行他们自己的目录林设计。不过，在有些情况下，潜在的目录林所有者可能选择将他们的自治部门合并到一个单一的目录林中，以便降低设计和运行他们自己的 Active Directory 所带来的费用或者便于资源共享。第一部分将向您介绍决定您的部署项目需要多少目录林的各种问题以及各自的利弊。目录林在 Windows 网络设计中的作用目录林是 Active Directory 部署的单个实例，根据定义，它在管理上是自治的，与单位内的其他 Active Directory 部署不在一起。换句话说，作为最高的所有权和控制级别，目录林表示一个完整的 Acti

20、ve Directory 安全和管理边界。在这一边界内，还有许多共享的元素。它们包括：架构。 Active Directory 架构包含了关于可以存储在目录林中的每个对象类别以及每一对象类别的所有属性的信息。例如，每个用户帐户都是架构中定义的用户类别的实例。架构说明存储在目录数据库的一部分中，该部分将复制到该目录林中的每一个域控制器。配置数据。 Active Directory 部署是通过一组配置对象来描述的，这些对象包含定义基础结构和拓扑元素（如域、站点和站点链接）的数据。配置数据也存储在目录数据库的一部分中，该部分将复制到该目录林中的每一个域控制器。可搜索的目录对象的全局编录。

21、除了存放域数据的副本外，管理员还可以指定域控制器存放目录林中的每一个对象的不完整副本。该数据存放在目录数据库的叫做全局编录的那一部分中。有了全局编录，就可以在整个目录林中进行快速、高效的对象搜索。目录林中的每一个全局编录域控制器，不管它属于哪一个域，都将持有一个完全相同的全局编录副本。目录林中所有域之间的信任关系。 Active Directory 自动在一个目录林中的所有域之间建立可传递的双向信任关系。任何成员计算机都能识别来自本目录林中的任何域的任何用户或组，并向其授予访问权限。由于目录林可以容纳数百万个对象，所以大多数的单位鲜有因为技术原因而不能部署单个目录林来满足其需要的。然而

22、，根据贵单位管理模型的具体情况，您可能需要部署多个目录林。在 Active Directory 设计的第一阶段，Active Directory 结构设计师将确定您单位需要多少目录林才能满足本单位的业务目标，并为每一个新的目录林指定一个所有者。影响目录林数量的要素Active Directory 结构设计师和项目经理负责完成他们单位的目录林计划。该计划应包含一个要为本单位设计的目录林的列表，并指出：每个目录林所有者的姓名。每个目录林的范围。比较服务和数据所有权您应先了解服务和数据所有权之间的差异，然后才能够理解本指南中讲述的所有权角色。在 Active Directory 出现之前，W

23、indows NT 管理模型将一个域定义为管理员所管理的一组对象。本指南引入了拆分 IT 管理的概念。Windows 2000 中有两个基本的管理员类型：数据（或对象）管理员和服务（或目录）管理员。拆分管理方式的最大优点是各业务部门不需要配备和培训支持目录服务的人员了。各业务部门可以集中精力完成他们的核心业务，而且只须管理目录中的数据就行了。为管理目录中的对象，数据管理员必须履行与您当前 Windows NT 管理员相类似的职能，并具有类似的权利和权限。在 Windows 2000 中，数据管理员通过履行如下职能来支持目录林中的用户和计算机：添加和删除计算机、用户、组和 OU。创建组策

24、略设置。服务管理员不与 Windows NT 域模型中的任何明确的管理角色担任者严格对应。服务管理员提供目录服务、对域进行管理、拥有域控制器，并对目录的配置进行管理。对于 Windows 2000 Active Directory 来说，服务管理员通过履行如下职能来支持目录林基础结构：创建或删除域。修改架构。安装和删除域控制器。管理域控制器配置。监视域控制器状况。管理站点拓扑。通过将数据管理与服务管理分离开来，管理员可以保留对一个部门的所有用户和计算机的完全自主控制权，同时又可将服务管理委派给另一个组。这一特点可使较大型的单位得到单个中心目录所带来的好处，同时又可保留当前的业务

25、惯例。在本文档的其余部分，本指南将讲述服务所有者和数据所有者之间的区别。分析目录林所有者角色目录林所有者最终负责为 Windows 网络提供目录服务。目录林所有者的职责包括：拥有架构和配置容器。拥有目录林根域中包含的数据。表 2 列出了指派给目录林所有者的这些和其他角色以及与每个角色关联的职责。目录林所有者将通过三个安全组来控制目录林：目录林根域的 Domain Admins Enterprise Admins Schema Admins 表 2 目录林所有者的角色和职责角色职责目录林根域中的域控制器的服务所有者在整个目录林中控制域控制器配置以管理复制问题。目录林根域中的数

26、据的管理所有者控制目录林根域中的 Domains Admins、Enterprise Admins 和 Schema Admins 安全组的成员资格。所有域数据的管理监督通过 Enterprise Admins 组，目录林所有者可以纠正目录中任何位置的错误。虽然您可以阻止 Enterprise Admins 对非根域进行管理访问，但这不是最佳做法。架构的管理所有者通过 Schema Admins：为架构扩展设置策略为架构扩展设置进程控制哪些人可以扩展架构配置的管理（和策略）所有者通过 Enterprise Admins：充当目录林中的新域的“ 看门人” 站点拓扑的管理所有者注

27、目录林所有者总应是一个非常值得信赖的人。因此，没有任何正当理由阻止目录林所有者访问非根域中的数据。万一在一个域的数据中由于恶意或善意的行为发生了严重错误，目录林所有者就需要访问该域，以排除问题。服务所有者角色之间的相互关系在整个目录林中对目录进行管理和委派数据的管理，在最佳模型中创造了新的管理角色。图 2 显示了作为一种最佳做法推荐的 IT 管理角色之间的职责界线。这些线表示了目录服务职责的委派，不一定与一个单位的报告结构有关联。例如，DNS 所有者将按照目录林所有者 - 可能还包括目录林中的每个域所有者 - 指定的方式提供和配置 DNS 服务。目录林所有者将各域的管理委派到一组域所有者，

28、将站点拓扑的管理委派到一个站点拓扑所有者，并将 DNS 服务的管理委派到一个 DNS 所有者。而每个域所有者又将每个 OU 的管理委派到一组 OU 所有者，并将 DNS 服务委派到 DNS 所有者。图 2 具有四个域的一个单目录林的目录服务管理角色的层次结构表 3 将 Active Directory 的主要管理角色分成了服务所有权和数据所有权角色。表 3 Active Directory 服务和数据所有权角色服务所有者数据所有者目录林所有者域所有者DNS 所有者站点拓扑所有者目录林所有者（对于根域）OU 所有者在一个大型目录林中，每个所有者角色都可以由一组管理员来共同担任，每个管理

29、员都拥有必需的管理权限以履行需要的职责。在较小的单位，一个人可以承担多个角色。注只有目录林所有者一人可以确定谁将成为域所有者。域所有者对目录林中的域控制器拥有管理控制权，因此必须是非常值得信赖的人才能担当此角色。最佳目录林模型哪一种目录林设计是最佳方案取决于贵单位的 IT 的业务惯例。为一个单位推荐的三种通用目录林模型是：单一全局目录林模型。预订模型。对应于业务部门的多目录林。单一目录林模型在单目录林模型中，一个单位选择将本单位内的所有目录对象放在单个目录林内并对它们进行管理。只要可能，采用单目录林是最理想的做法，因为其管理开销是最低的。图 3 所示的单目录林方案是针对一个具有三

30、个部门的单位而设计的。在这一 Active Directory 设计中，所有三个部门都成了一个单目录林的组成部分。图 3 为一个具有三个部门的单位设计的单目录林方案预订目录林设计在预订目录林模型中，有一些自治的、部门级别的目录林，但大多数部门都统一在由一个集中的 IT 部门操纵的一个较大的目录林中。预订目录林的优点是，可让率先采用 Active Directory 的部门能够快速部署，同时又让那些担心安全问题或者在共同承担职责的其他业务部门可以设计和管理他们自己的目录林。图 4 所示的预订目录林方案是针对一个具有三个业务部门的单位而设计的。在此示例中，两个业务部门选择了加入单个目录林，而

31、第三个部门创建了第二个目录林。图 4 为一个具有三个部门的单位设计的混合目录林模型多目录林设计在多目录林模型中，一个单位内的大多数业务部门都选择部署他们自己的 Active Directory 目录林。多目录林模型对于那些有一部分业务部门想（或者需要）保持管理自治的单位最适合。这种模型的管理开销也可能最高。图 5 所示的多目录林方案是针对一个具有三个部门的单位而设计的。每个业务部门在历史上和目前都管理着其自己的 IT 基础结构。结果，每个业务部门都选择了设计和部署一个独立的 Active Directory 目录林。图 5 具有三个 Active Directory 目录林的多目录林模

32、型目录林设计过程图 6 显示了目录林的设计过程。在目录林设计过程中，项目经理和 Active Directory 结构设计师将确定应为您的单位设计的目录林的数量。因为单目录林产生的管理开销可能会最小，因此采用这种模型是理想的。然而，由于有一些局限性，单目录林可能无法实现，因此尽可能地减少目录林的总数就变成了您努力的目标。为确定所需目录林的数量，您需要： 1. 确定所有的候选目录服务提供者。 2. 根据技术和组织因素，将各个部门分配到一个目录林。图 6 确定您单位的目录林数量所要完成的任务流程确定候选目录服务提供者确定您单位内具有为 Windows 网络提供目录服务的授权的 IT 管理员的

33、最高级别。您可能会发现，您单位有多个实体都能够提供目录服务。您单位的 IT 模型可能是集中式的，有一个首席信息官 (CIO) 根据需要将 IT 管理委派到部门管理员。这种情况表明只有单个候选目录服务提供者，因而也只有单个候选目录林。相反，您单位的 IT 模型也可能是分散式的，在这种模型中，部门级的 IT 管理员在他们的自治单位内进行网络管理和委派。权力分散的单位内通常会有地位相同的 CIO。这种情况表明有多个候选目录服务提供者，因而也就有多个候选目录林。您单位可能为了另外一种用途已经部署了 Active Directory。可考虑将任何当前的目录林所有者作为候选目录服务提供者。现有的目录

34、可能在支持着为数不多的几个业务部门的消息服务、Windows 网络服务，或者在支持其它一些用途。现有 Active Directory 是否可以作为构建扩展的目录服务的基础将取决于其用途及其部署方式。分配目录林应确定为满足贵单位的业务需求所需要的目录林的最小数目。为确定您单位需要的目录林的正确数量，您需要： 1. 如果只确定了一个候选目录服务提供者，那么应让这个将成为目录林所有者的人执行“第二部分：进行目录林设计”的任务。 2. 如果确定了多个候选目录服务提供者，那么就应确定是否可以指定其中一个候选人作为目录林所有者，而让其他所有候选人作为目录林参与者。下一节“参与单个目录林或预订目录林

35、”将帮助您作出这些决定。 3. 如果不是所有的候选目录服务提供者都同意采用单目录林，则要确定一个预订目录林是否适用于大多数候选目录服务提供者。注确定一个时间，截止到该时间为止，您 - 候选目录服务提供者 - 应作出是否加入一个目录林的决定。如果创建单个目录林要求您更改当前的业务惯例，并且所花的时间比您预期的要长得多，那么您可能需要创建您自己的目录林。 4. 如果您试图实现一个预订目录林但失败了，那么每个候选目录服务提供者都应创建一个新的、独立的目录林。下一节“创建您自己的目录林”将详细讲述作出这样一个决定需要考虑的方方面面。其中某个候选目录服务提供者可能一时没有兴趣、没有预算或缺少必要

36、的授权来部署目录服务。在这种情况下，此候选目录服务提供者可以选择这一次放弃部署 Active Directory，可以以后再进行部署，这样就不会妨碍其他候选目录服务提供者继续进行他们的设计。参与单个目录林或预订目录林可能已经存在一个目录林，或者您单位内的一个组可能已在为其他部门管理目录。只要有可能，候选目录服务提供者都应成为一个目录林参与者。对于候选者来说，选择拥有目录林或者选择参与目录林将分别担负不同的职责。目录林参与者是数据所有者，负责的是管理数据，而目录林所有者是服务所有者，负责的是将目录作为一个服务来维护。例如，数据所有者应确保用户的密码要正确地设置，而服务所有者应确保该密码要复制

37、到所有的域控制器。表 4 提供了拥有目录林和参与目录林时所承担的职责的比较。表 4 拥有目录林和参与目录林之比较如果您拥有一个目录林如果您参与一个目录林控制服务提供。负责服务的质量。将数据管理委派给各数据所有者。将服务的提供外包出去。只管理您的数据。当您预订由另一个组提供的目录服务时，就减少了您的管理成本，因为：无需启动您自己的设计过程。不需要进行重复性的目录管理，比如：负责进行目录部署和运行的专家计划小组。域控制器硬件管理。目录结构管理。不会让您的用户与其他目录林中的用户、资源和服务隔离开。共享目录林在许多情况下都适用，并且能大大地简化 Active Direc

38、tory 管理。在一个目录林中的所有域之间共享一个统一的配置有其具体的优点，其中包括：架构更改只须应用一次，即可在所有域中得到应用。配置更改只须应用一次，即可在所有域中得到应用。所有用户都使用一个共同的全局编录。在所有的域之间自动信任。您当前的业务惯例确定了共享一个目录林的价值和可行性。一些候选目录服务提供者可能会选择不参与共享目录林设计，因为他们有特别的安全要求，或者因为有一些网络和管理局限性在共享目录林中得不到解决。表 5 总结了大多数共享目录林所共有的特点。表 5 共享目录林的特点因素共享目录林的特征必需的安全性您可以信任目录林所有者和该目录林中的所有域所有者。所有

39、域控制器都将处于安全位置，或者您可以承担让域控制器位于不安全位置所带来的风险。管理您可以遵守目录林所有者制定的共同架构和配置策略。名称解析 DNS 服务能解析整个目录林中的名称。推荐的网络没有防火墙将域控制器隔开。没有网络地址转换 (NAT) 设备将域控制器隔开。部门间的协作在各个部门之间存在域信任。范围广泛的资源当前都可以在多个部门之间共享。IT 部门共同的 IT 基础结构组。如果您将目录服务管理外包，那么它只外包给一个提供者。重要信息目录林中的每一个域控制器都有一个架构和配置容器的可写入副本。如果一个人可以在一个域控制器上安装软件或者能够在物理上接触到一个域控制器，那么此人

40、可能能够绕开内置在 Windows 2000 中的安全功能并对这些容器进行更改。这说明该目录林存在安全风险。我们建议的最佳做法指导方针是：可以在域控制器上安装软件的所有管理员（如域管理员）应该是非常值得信赖的。域控制器应放在安全位置。如果缺少必需特征中的任何一个，都不能进行目录林共享。可能的目录林参与者可以不符合推荐的特征但仍可以共享一个目录林。不过，如果一个可能的目录林参与者与这些特征不符之处太多，那么参与目录林在技术上是难以实现的，而且也没有太大好处。如与表 5 中推荐的特征不相符，则不是最佳的做法。如果您的设计与这些不符，那么您应该寻求专家帮助，让他们帮助您进行设计和部署。如果您

41、选择加入一个目录林，那么要确认该目录林是否有明确的所有权。与另一个 IT 组共享一个目录林的所有权，或者将管理任务分配给多个承包者，都可能会带来您不希望看到的组织方面的困难。创建您自己的目录林虽然共享一个目录林有许多优点，但是这些优点是与各个部门之间合作与协作的程度成比例的。在下列情况下，您可能不应为您的单位设计单个目录林：您需要自治。您必须完全控制服务的提供，或者您无法接受由另一个目录林所有者提出的条件。通常您不与其他部门协作。如果需要进行协作，则需要判断协作的性质。协作可以是指交换电子邮件，或者是更密切一点的某种协作，如访问彼此的 Intranet 站点、访问共享资源以及共享应用

42、程序。如果各个部门之间的协作很密切，那么他们应位于同一目录林中。如果协作只是在极个别情况下发生而不是经常性的，那么您可以在每次需要协作时针对具体情况配置与其他目录林中的域之间的信任关系。例如，您当前在使用防火墙来限制部门之间的协作程度。由于您的单位较大，各部门有着不同的文化或使命，所以以前部署的基础结构未能做到这一点。在设计目录林时要记住，管理自治同时会带来成本的增加。应该认真地考虑在自治和管理效率之间找到一个平衡点。注部门分立会给目录林的规划带来不确定性。计划要分立的部门是应该放到您的目录林中还是应该放到专门为其建立的目录林中？我们的建议是，如果您绝对有把握要让一个部门分立，那么就

43、为该部门创建一个单独的目录林。否则，就应将其放在您的目录林中。万一分立成功，则可能需要将该部门迁移到一个新的目录林中，而万一分立失败，则可能需要将该部门合并到您的目录林中，这两者所花费的精力是相等的。目录林间协作所涉及的问题由于每个目录林都是分开管理的，如果在您的设计中增加更多的目录林，就会增加您单位的管理开销。在考虑是否要创建您自己的目录林时，需要对照所有的优点权衡表 6 中列出的相关因素。如果您的部门很少与其他业务部门协作，那么这些因素在您作决定时相对来说可能不那么重要。表 6 目录林间协作所涉及的问题功能方面的改变相关因素没有自动的可传递信任关系如要访问另一个目录林中的资源，

44、您必须在所涉及的两个域之间建立显式的信任关系。没有 Kerberos 身份验证目录林之间的身份验证缺少身份验证和相互身份验证的委派。没有一个统一的对象全局编录为了在多个目录林之间创建一个单一视图，您需要安装目录同步软件，如 Microsoft Metadirectory Services。多个全局编录可能会影响某些应用程序（如 Exchange 2000）。无法用电子邮件样式的用户主要名称 (UPN) 登录如果机器帐户和用户帐户位于不同的目录林中，则必须使用旧式的名称来识别用户。将下面的步骤委派给目录林所有者执行在设计过程中的这一阶段，一个包含目录林和目录林所有者的列表已经确定。每个目录

45、林所有者现在都可以独立地进入设计过程中的下一阶段，即“第二部分：进行目录林设计”。每个目录林所有者都应指定一名项目经理和一名 Active Directory 结构设计师来监督目录林设计阶段。图 7 显示了进行目录林设计所需要完成的任务。为单位指定的每个目录林所有者都要进行单独的 Active Directory 设计。第二部分：进行目录林设计进行域设计在 Active Directory 设计过程的这一阶段，目录林所有者都已确定并已准备好进行设计。作为设计过程的下一步骤，您将要设计目录林根域并确定此目录林根的所有子域。域在 Windows 网络设计中的作用域是 Active Dir

46、ectory 目录林中的一个单独的分区。各个单位都将 Active Directory 目录林分成多个域，以避免将数据复制到不需要的地方。这样可使目录在可用带宽有限的网络上全局性地扩展。对于 Active Directory，域的作用仍是作为对对象（如用户、组和计算机）进行管理的管理边界。此外，域还支持许多与管理相关的核心功能。在网络操作系统环境中，一个域的重要功能包括：身份验证。每个域都有安全主体对象，比如用户、组和计算机，可以授予，也可以拒绝授予它们对网络资源的访问权。一个用户只能由该域中托管着该用户的帐户的域控制器来进行身份验证。基于策略的管理。通过使用基于策略的管理，Acti

47、ve Directory 解决了域中对象管理的标准化问题 - 一个域中可能有成千上万个对象。例如，您可以使用组策略来将用户和计算机的配置标准化。组策略可以作为 Windows 2000 迁移的一部分来创建和应用，或者也可以在部署 Active Directory 之后随时创建和应用。针对用户帐户的安全策略。应用于特定的域用户帐户的一小组安全策略只能一个域一个域地进行设置。它们包括：密码策略帐户锁定策略 Kerberos 票证策略作为用于发布共享资源的目录。 Active Directory 为服务提供了一个发布关于共享资源的连接信息的地方。例如，打印机资源可以在一个域中发布，以便于用

48、户进行搜索。 Windows NT 域和 Active Directory 域之间的对比一个运行 Windows NT 的典型单位会有多个域。这些域是为了适应不同的业务惯例、位于不同地点的部门和 Windows NT 的局限性而设立的。有三个 Windows NT 产品局限性导致产生了大量的域：帐户数据库的大小有限。进行数据库更新时只能依靠主域控制器 (PDC)。无法在一个域内委派管理。为了克服这些局限性，较大的单位在部署 Windows NT 时通常采用多个主用户域 (MUD) 来管理帐户，并采用大量的资源域 (RD)。这些域内的管理员创建信任关系以链接整个单位的用户和资源。图 8

49、显示了一个典型单位的 Windows NT 主域模型结构。图 8 具有典型信任关系的 Windows NT 主域模型 Windows 2000 Active Directory 却没有这些局限性。因此，在 Windows NT 中创建的许多域都可以统一到少数几个 Active Directory 域中。域设计的要素目录林所有者将负责为他们的单位进行域设计。该设计应包括下列内容：目录林根域的名称。所有域的列表，上面应指出：域的名称。域的范围。域中用户的数量。一个列出了计划进行升级或合并的现有的 Windows NT 域的列表。域所有者角色域所有者在域级别提供目录服务管理。域所有者通过 Domain Admins 安全组和其他内置的安全组来对域进行控制。表 7 总结了域所有者的职责和分配的任务。表 7 域所有者的角色和职责职责范围关联的任务管理域控制器运行创建和

展开阅读全文