|
|
活动目录是一个包含各种对象的层次框架。为您提供了各种活动目录对象的信息,如资源,访问,用户帐户,组等等,可以对这些对象设置访问权限和安全策略。活动目录的网络组件的结构包括:
域: 一组共用一个通用目录数据库的计算机。
域树: 一个或多个共用一个连续名称空间的域。
域森林: 一个或多个共用通用目录信息的域树。
组织单位: 用于将域中的对象分类到到合理的管理组的容器对象。
对象: 对象代表单个实体,如计算机,资源,用户,应用等,也包括它们的属性。
活动目录组
组是能够包含用户,计算机和其他组(嵌套组)的活动目录对象。组分为两种类型,分别叫做安全组和通讯组。安全组被用于对组用户,计算机以及其它组指派使用资源的权限,通讯组只用于创建邮件通讯列表。 组的范围可以是本地,本地域,全局,或者是通用。
本地组: 其范围仅限于组所在的计算机。它可以被授予访问计算机资源的权限。
本地域组: 作用范围遍及整个域,也就是说它可以对域中的任意计算机授予资源权限。
全局组: 作用范围遍及整个域,也可以在任意域中被授予权限。
通讯组: 可以在任意域中被授予权限。包括其他林中的域(根据信任关系)。
活动目录用户
一个用户,要想登录到计算机或域,需要在活动目录中创建一个标识他/她身份的用户帐户。操作系统会基于这个身份来验证用户,并授予访问域资源的权限。有两个预定义用户帐户用于最初登录并进行必要的配置,他们是administrator和guest。
活动目录计算机
和用户帐户类似,计算机帐户被用于提供给计算机使用网络以及域资源的必要授权。
管理安全权限
Windows所支持的基本安全权限,如读,写,和完全控制,这些对于活动目录中的每一个用户对象都是可用的。除了这些标准权限,基于对象类(对象类包括:列出内容、删除树、列出对象、自身写入、访问控制、创建子对象、删除子对象、读属性、写属性等等),AD还提供了一些特殊权限。
这些权限必须指派到用户或组,从而限制或者授予用户访问活动目录对象的权限。指派给用户或组的权限,就被称为“访问控制条目”(ACE)。
继承权限
将一个容器(或父对象)的权限应用到他的子对象。这就被称为继承权限。活动目录安全模式允许您明确定义权限或传播权限给它们的子对象。例如,您可以将权限应用到如下对象:
只是这个对象
这个对象及全部子对象
计算机对象
组对象
组织单位对象
用户对象
容器可以是任意活动目录组件,比如域,组织单位,并且这些容器中的对象能够继承来自父对象的权限
接下来我们将要讨论一些常用的活动目录术语。
|
|