1、ADAM 简介针对需要灵活支持启用目录的应用程序的单位,Microsoft 开发了 Active Directory 应用程序模式 (ADAM)。ADAM 是一种轻型目录访问协议 (LDAP) 目录服务,它作为用户服务而不是作为系统服务运行。可以在运行 Microsoft Windows Server 2003 的服务器上运行 ADAM,也可以在运行 Microsoft Windows XP Professional 的客户端上运行 ADAM。ADAM 为启用目录的应用程序提供了数据存储和检索,但不需要 Active Directory 目录服务所要求的依赖关系。ADAM 提供了大量与 Act
2、ive Directory 相同的功能,但它不要求部署域或域控制器。可以在同一台计算机上同时运行多个 ADAM 实例,每个 ADAM 实例都具有单独管理的架构。数据和数据存储Active Directory 应用程序模式 (ADAM) 在基于文件的分层目录存储中存储目录数据。默认情况下,给定 ADAM 实例的目录存储位于下列位置:%ProgramFiles%Microsoft ADAMinstancenamedataadamntds.dit每个 ADAM 实例都有一个单独的目录存储。在 ADAM 中执行的任何数据操作,包括搜索、读取、导入、导出、索引、复制、备份和还原,都在某些方面使用 ADA
3、M 目录存储。目录存储被组织到逻辑目录分区(也被称为“命名上下文”)中。使用 ADAM 管理工具Active Directory 应用程序模式 (ADAM) 附带了多个管理工具。在安装新 ADAM 实例时,ADAM 安装向导将安装 ADAM 管理工具。另外,也可不通过 ADAM 安装向导安装新 ADAM 实例,而仅通过它安装 ADAM 管理工具。要打开从中运行 ADAM 管理工具的命令提示符,请依次单击“开始”、“所有程序”,指向“ADAM”,然后单击“ADAM 工具命令提示”。下表描述了 ADAM 管理工具和它们的用途。工具 用途ADAM ADSI 编辑 用于常规 ADAM 管理(包括复制计
4、划)的 Microsoft 管理控制台 (MMC) 管理单元。ADAM 架构 用于管理 ADAM 架构的 MMC 管理单元。Adamsetup 启动 ADAM 安装向导的命令,通过命令行参数,还可用于执行无人参与的 ADAM 安装。Csvde用于导入和导出诸如架构定义和目录对象之类的作为逗号分隔 (.csv) 文件存储的目录内容的命令行工具。Dsmgmt 用于常规 ADAM 管理的命令行工具。Dsacls用于显示和更改 ADAM 中的对象的访问控制列表 (ACL) 中的权限(访问控制项 (ACE))的命令行工具。Dsdbutil 用于管理 ADAM 数据库 (.dit) 文件的命令行工具。Ds
5、diag 用于常规 ADAM 监视的命令行工具。Ldifde用于导入和导出诸如架构定义和目录对象之类的作为 LDAP 数据交换格式 (LDIF) 文件存储的目录内容的命令行工具。Ldp 用于对轻型目录访问协议 (LDAP) 目录服务进行常规管理的图形用户界面 (GUI) 工具。Repadmin 用于监视复制的命令行工具。管理目录分区Active Directory 应用程序模式 (ADAM) 中存在三种目录分区类型:配置、架构和应用程序。配置和架构目录分区是在安装过程中自动创建的。应用程序目录分区可以安装过程中或者在安装之后创建。每一个 ADAM 目录分区都有一个唯一的可分辨名称。默认情况下,
6、ADAM 实例不指定命名上下文,但可以对它进行配置以向客户端提供默认的命名上下文。可以使用在 ADAM 安装过程中安装的 ADAM 管理工具来查看和管理 ADAM 配置和架构目录分区。应用程序目录分区通常是通过启用目录的应用程序来进行管理的。在安装新 ADAM 实例时,还可以选择从现有的 ADAM 实例复制一个或多个应用程序目录分区。或者,也可以指定创建一个新应用程序分区。当您在安装过程中创建一个新应用程序目录分区时,必须为该分区指定一个唯一的可分辨名称。新应用程序目录分区只能由具有您指定的可分辨名称的分区容器对象构成。命名目录分区每一个 ADAM 目录分区都有其自己的唯一可分辨名称。对于顶层
7、目录分区,ADAM 支持 DNS 样式和 X.500 样式的名称,包括在下表中列出的可分辨名称组件。可分辨名称属性 意义C= 国家(地区)CN= 公用名DC= 域组件L= 位置O= 组织OU= 组织单位ADAM 用户要在 ADAM 中创建用户,必须首先将 ADAM 所附带的可选用户类别导入到 ADAM 架构。这些用户类别在可导入的 .ldf 文件(ms-User.ldf、ms-InetOrgPerson.ldf、ms-UserProxy.ldf)中提供,而 .ldf 文件则可以在安装了 ADAM 的计算机上的目录 %windir%adam 中找到。下表描述了每一个可选 .ldf 文件的内容。.
8、ldf 文件 用户类别 在下列情况下导入此文件ms-user.ldf Person Organizational-Person User希望在 ADAM 目录中创建用户对象,但不希望创建 inetOrgPerson 类别的用户ms-inetorgperson.ldf Person Organizational-Person User 希望在 ADAM 目录中创建用户对象,并希望创建 inetOrgPerson 类别的用户 inetOrgPerson ms-userproxy.ldf User-Proxy 希望在 ADAM 中创建代理对象以便在绑定重定向中使用。禁用或启用 ADAM 用户1. 打
9、开“ADAM ADSI 编辑”。 2. 连接并绑定到 ADAM 实例。 3. 浏览到要禁用或启用的 ADAM 用户,右键单击此用户,然后单击“属性”。 4. 在“属性”中,单击“msDS-UserAccountDisabled”,然后单击“编辑”。 5. 执行下列操作之一,然后单击“确定”: o 要禁用 ADAM 用户,请单击“True”。 o 要启用 ADAM 用户,请单击“False”或“未设置”。 ADSI 接口编程知识Active Directory 服务接口提供一种构造复杂计算机网络的简单方法。Active Directory 服务接口系统以分层树状结构排列。每个节点表示网络上的一个
10、资源或服务(对应网络中的域或工作组) ,并且这个节点包含一组可检索和操作的属性(对应网络中的主机) 。Active Directory 服务接口是 Microsoft Windows Active Directory 的编程接口。它允许应用程序使用单个接口与网络上的不同目录进行交互。System.DirectoryServices 命名空间中有两个主要类,即 DirectoryEntry 和 DirectorySearcher。DirectoryEntry 类常用属性、常用方法及其说明:属性 说明AuthenticationType获取或设置要使用的身份验证的类型。Children 获取 Di
11、rectoryEntries实例,它包含 ActiveName 获取用基础目录服务命名的对象的名称。NativeObject 获取本机 Active Directory服务接口(ADSI)对象。Parent 获取 Active Directory层次结构中的此项的父级。Password 获取或设置在对客户端进行身份验证时使用的密码。Path 获取或设置此 DirectoryEntry的路径。Properties 获取在此对象上设置的属性的 PropertyCollection。SchemaClassName 获取用于此 DirectoryEntry的架构的名称。SchemaEntry获取 Di
12、rectoryEntry,它保存此项的架构信息。项的架构确定其强制属性和可选属性的名称的列表。UsePropertyCache 获取或设置一个值,该值指示在每次运算之后是否应提交缓存。Username 获取或设置在对客户端进行身份验证时使用的用户名。表 01:DirectoryEntry 类的常用属性及其说明方法 说明Close 关闭 DirectoryEntry并释放与此组件关联的任何系统资源。CommitChanges 保存对 Active Directory 对象的更新。CopyTo 创建此项的副本,并将其作为指定父级的子项。DeleteTree 从 Active Directory层次
13、结构中删除此项及其整个子树。Exists 搜索指定路径处的目录存储区,以查看是否存在项。Invoke 在本机 Active Directory上调用方法。MoveTo 将此项移至指定父级。RefreshCache 将此目录项的属性值加载到属性缓存中。Rename 更改此项的名称。表 02:DirectoryEntry 类的常用方法及其说明DirectorySearcher 类常用属性、常用方法及其说明:CacheResults 获取或设置一个值,该值指示是否在客户计算机上缓存结果。 ClientTimeout 获取或设置客户端等候服务器返回结果的最长时间。如果服务器在此时间内不响应,则中止搜索
14、,不返回任何结果。 Container(从 Component 继承) 获取 IContainer,它包含 Component。 Filter 获取或设置轻量目录访问协议 (LDAP) 格式筛选器字符串。 PageSize 获取或设置分页搜索中的页大小。 PropertiesToLoad 获取在搜索过程中检索的属性集。 SearchRoot 获取或设置 Active Directory 层次结构中的搜索开始处的节点。 SearchScope 获取或设置服务器遵循的搜索范围。 ServerPageTimeLimit 获取或设置在搜索单页结果时服务器应遵循的时间限制(与整个搜索的时间限制相对)。
15、ServerTimeLimit 获取或设置服务器在进行搜索时可花费的最长时间。如果达到时间限制,则只返回在该时间之前查找到的项。 SizeLimit 获取或设置服务器在搜索中返回的对象的最大数量。 Sort 获取对结果进行排序所依据的属性。CreateObjRef(从 MarshalByRefObject 继承) 创建一个对象,该对象包含生成用于与远程对象进行通讯的代理所需的全部相关信息。 FindAll 执行搜索并返回找到的项的集合。 FindOne 执行搜索并只返回找到的第一项。 使用 SQLServer 查询分析器查询活动目录数据的实现方法:为 AD 创建一个链接服务器(你可以在企业管理
16、器的具体 SQLServer 服务器里的“安全性”里看到该项) 。在查询分析器中执行下面命令即可:sp_addlinkedserver ADSI, Active Directory Service Interfaces, ADSDSOObject, adsdatasource现在你就可以在查询分析器中查询 AD 数据了。例如下面查询语句:SELECT * FROM OpenQuery(ADSI, SELECT title, displayName, sAMAccountName, givenName, telephoneNumber, facsimileTelephoneNumber, sn
17、FROM LDAP:/DC=mydomain,DC=local where objectClass = User)ADAM 编程实例1、 前期准备在微软网站下载并安装 ADAM 程序,安装时创建一个目录分区,可分辨名称为:cn=partition1,dc=test,dc=com;并导入 ms-User.ldf、ms-InetOrgPerson.ldf 系统缺省 Schema2、 程序基本功能建立连接、绑定到目录路径、查找用户、添加用户信息、修改用户信息、删除用户信息、判断用户所属组、将用户添加到组等3、 程序代码及运行效果(另见附件 ADAMUser)微软活动目录(AD)是一种完善的、适应性强
18、的目录服务,它允许用户进行很高程度上的修改以便满足特殊的商业和机构需求。特别在分布式环境中,要求有各种信息可以被各种应用很方便地访问读取。活动目录正式为分布式环境中的信息提供一种访问途径。它提供了一个公共的区域来保存分布式环境中的各种信息,并且对这些信息进行定位。如果公司的所有用户都具有 AD 域账号,平时员工以本地帐户登陆计算机,只有在需要访问 OA、 Internet 和邮件时,才需要借助域账号和密码,进行身份验证,以及登陆。 A 公司希望文档安全系统可以使用域用户信息,减少用户信息录入的工作量,方便用户对文档安全系统客户端的使用。 活动目录是一种存放了应用程序所需要的特定资源信息的“数据
19、库” 。活动目录还对这些资源信息的读取和查询进行了优化。 活动目录应用程序模式(ADAM) 提供了大量与 Active Directory 相同的功能,但它不要求部署域或域控制器。ADAM 组中的所有服务器都拥有数据库的一份可写拷贝,它就像一个真实的 AD。可以在同一台计算机上同时运行多个 ADAM 实例,每个 ADAM 实例都具有单独管理的架构。不同部门的实例包含了各自特定的信息,它们相对独立并不互相影响。ADAM 数据库属性的安全性受到了“访问控制列表 ”(Access Control List,简称 ACL)的保护唯一的问题是用户对结构描述所作的任何修改都会被复制到所有的“网域控制器”中。另外,也只有结构描述管理安全小组的成员才有权限对其进行修改。
