Active Directory 服務及 Windows 2000 或 Windows Server 2003 網域 (第一部)

文章翻譯 文章翻譯
文章編號: 310996 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文所涵蓋之資訊的提供者為:Microsoft Press

本文為說明 Active Directory 服務及 Windows 2000 或 Windows Server 2003 網域的兩篇文件中的第一部份。如果要檢視第二部份,請按一下下列連結:
310997 Active Directory 服務及 Windows 2000 或 Windows Server 2003 網域 (第二部)
第一部份中涵蓋下列主題:
  • 網域階層
    • Windows 2000 及 Windows Server 2003 網域
      • 網域
      • 樹狀目錄
      • 樹系
  • 信任關係
    • 可轉移信任
    • 單向信任
    • 交叉連結信任
第二部份中涵蓋下列主題:
  • 系統管理範圍
    • 網域
    • 組織單位
  • Active Directory 互動
    • 模擬網域階層
    • 分類網域 (目錄分割)
    • 分割目錄
    • 取得其他網域的物件詳細資訊
      • 發佈目錄
      • 複寫目錄
    • 分類企業 (通用類別目錄)
  • 結論
這些資訊是《Microsoft Windows 2000 的 Active Directory 服務技術參照》(英文) 一書第 3 章的摘要:Active Directory 服務及 Windows 2000 網域。進一步瞭解有關《Microsoft Windows 2000 的 Active Directory 服務技術參照》(英文) 的詳細資訊。它目前已經更新為包含有關 Microsoft Windows Server 2003 的詳細資訊。

其他相關資訊

繼 Windows NT 4 後,Microsoft Windows 2000 或 Windows Server 2003 網域結構及其相關聯的物件有大幅的改變,藉以反映 Active Directory 服務在 Windows 2000 或 Windows Server 2003 裡的中心角色,以及讓這兩種作業系統變為更具擴充性且適用於企業的目錄服務所需的設計。其中有些變更比較明顯,例如移至可轉移信任關係模型,有些變更則較為細微,例如組織單位的採用。但無論這些問題是明顯還是細微,提供它們的說明是瞭解 Windows 2000 或 Windows Server 2003 網域及 Active Directory 服務之間的互動和依存性的最主要工作。Active Directory 會模擬 Windows 2000 及 Windows Server 2003 網域模型,反之亦然 (如果您想要以這種方式檢視)。無論使用何種方法,Windows 2000 或 Windows Server 2003 網域及 Active Directory 都會互相依賴,甚至會以對方的特性來定義。為了要瞭解 Windows 2000 或 Windows Server 2003 網域及 Active Directory 服務之間這種密不可分的關係,將需要說明 Windows 2000 或 Windows Server 2003 的網域模型,以及這個模型與 Active Directory 服務互動的方式。因此,本章將以說明 Windows 2000 及 Windows Server 2003 網域模型為開始,並審視該模型與 Windows NT 網域模型為何會有如此大的不同。

Windows 2000 及 Windows Server 2003 網域

Windows NT 4 網域模型的擴充性並不完整。當然還是有其他方式可解釋這種現象,好為事實裹上糖衣,但是有個淺而易見的事實,就是 Windows NT 4 網域模型 (以及它的單向不可轉移信任) 在大型的企業實作中,將耗用大量的系統管理負荷。然而這種現象在 Windows 2000 或 Windows Server 2003 及其網域模型中已不復見,其中最主要的原因就是新的信任方法,但另一個重要的原因,就是整個網域概觀都已全面修改為向業界標準看齊,例如輕量型目錄存取協定(LDAP) 及網域名稱服務 (DNS)。

網域階層

在 Windows 2000 及 Windows Server 2003 網路中,網域是依照階層來組織的。有了這種處理網域的新階層式方法後,樹系及樹狀目錄的概觀也隨之產生。這些新概觀 (加上現有的網域概觀) 可協助組織更有效率地管理 Windows 2000 及 Windows Server 2003 的網路結構。
網域
Windows 2000 及 Windows Server 2003 網域模型的基本單位並沒有變更 - 仍然是網域。基本上,網域是代表系統管理的範圍,而在 Windows 2000 及 Windows Server 2003 中,網域則是代表對應至 DNS 網域的名稱區 (第 4 章中有提到)。如需有關 Active Directory 服務與 DNS 互動方式的詳細資訊,請參閱第 6 章<Active Directory 服務及 DNS>。

在 Windows 2000 或 Windows Server 2003 部署中第一個建立的網域就稱為根網域,並且就如同它的名稱一樣,這個網域是網域樹狀目錄中建立的所有其他網域的根 (下一節中將說明網域樹狀目錄)。由於 Windows 2000 及 Windows Server 2003 網域結構已與 DNS 網域階層合為一體,因此 Windows 2000 及 Windows Server 2003 網域的結構會與 DNS 網域階層的結構類似。根網域就是如 microsoft.com 或 iseminger.com 的網域,是 DNS 階層的根網域,也是 Windows 2000 和 Windows Server 2003 網域結構的根網域。

後來在指定的 Windows 2000 及 Windows Server 2003 網域階層中所建立的網域,就會成為根網域的子網域。例如,如果 msdn 是 microsoft.com 的子網域,msdn 網域就會變成 msdn.microsoft.com。

如同您所看到的,在 Windows 2000 及 Windows Server 2003 中,網域在網域階層中不是根網域就是子網域。Windows 2000 及 Windows Server 2003 也會要求網域名稱在指定的父網域內都必須是唯一的;例如,您無法在根網域 microsoft.com 的直接子網域中,同時擁有兩個命名為 msdn 的網域。不過,在整個網域階層中,還是可以擁有兩個命名為 msdn 的網域。例如,您可以同時擁有 msdn.microsoft.com 及 msdn.devprods.microsoft.com;microsoft.com 名稱區只可以擁有一個命名為 msdn 的子網域,而 devprods.microsoft.com 名稱區同樣也只可以擁有一個命名為 msdn 的子網域。

網域所蘊含的概念,也是一種邏輯磁碟分割。大部份規模大到需要一個以上的 Windows 2000 或 Windows Server 2003 網域的組織,都會具有用來劃分職責或工作重點的邏輯結構。透過將組織劃分為數個單位 (在美國公司中有時會稱為部門),可讓組織的管理變得更為簡單。實際上,分割組織可提供更具有邏輯的結構,並且或許可以劃分不同組織部門的工作性質。從另一個角度來看,當邏輯業務單位 (部門) 都集合在一個大實體 (也許是整個企業) 的傘形結構下時,這些邏輯上不同的部門就能夠產生一個較大的實體。雖然不同部門中的工作性質可能會很分散且有許多差異,可是將這些部門加以集合即可形成一個較大但在邏輯上是個完整的個體。這個概念也可套用於將 Windows 2000 及 Windows Server 2003 網域集合成一個較大且連續的名稱區個體,也就是樹狀目錄。
樹狀目錄
樹狀目錄 (有時稱為網域樹狀目錄) 就是可形成連續的名稱區的 Windows 2000 及 Windows Server 2003 網域集合。當建立子網域,並且與指定的根網域相關聯時,就會形成網域樹狀目錄。若從技術定義來說,樹狀目錄就是連續的 DNS 命名階層;若從概念圖示來說,網域樹狀目錄就像一顆倒過來的樹 (即是根網域位於頂端),其分枝 (子網域) 則會向下延伸。

建立網域樹狀目錄可讓組織在旗下建立邏輯的網域結構,並且讓這個結構遵守並對應到 DNS 名稱區。例如,David Iseminger and Company 可以擁有稱為 micromingers.iseminger.com 的 DNS 網域,並且在公司中有許多不同的邏輯部門,例如銷售部門、會計部門及製造部門等。在這種情況下,這個網域樹狀目錄看起來會像是圖示 3-1 中的網域樹狀目錄。

摺疊此圖像展開此圖像
 micromingers.iseminger.com
		  的網域樹狀目錄圖片

圖示 3-1. micromingers.iseminger.com 的網域樹狀目錄

注意:您現在應該已經注意到,整篇文件都是使用 iseminger.com 來說明。這並不是為了滿足作者的虛榮心;而是為了發行公司所堅守的法律考量。他們說:「請勿使用可能會產生爭議的網域。請僅使用作者所擁有的網域,或是確定非常不常見的網域。」而作者擁有 www.iseminger.com 的權限,因此本書中全部都使用這個網域名稱。其實本人有更具創意的名稱,但是為了符合律師的要求,只好放棄了。

公司內這種具有邏輯部門的組織非常適用於擁有一個 DNS 網域的公司,但是在大型企業裡,可能會有一個以上的「公司」的問題仍然必須解決。這個問題可透過 Windows 2000 及 Windows Server 2003 樹系的使用來解決。
樹系
有些組織可能會有多個根網域,例如 iseminger.com 及 microsoft.com,但組織本身仍是個單一的實體 (例如在本範例中虛構的 David Iseminger and Company)。在這種案例中,這些多重網域樹狀目錄可以形成一個非連續的名稱區,這就叫樹系。樹系是指一或多個可形成指定企業的連續網域樹狀目錄階層。在邏輯上,這也表示在網域樹狀目錄中只擁有單一網域的組織也可視為一個樹系。當我們在本章稍後部份討論到 Active Directory 與 Windows 2000 或 Windows Server 2003 網域及樹系的互動方式時,這種區別會變得更為重要。

樹系模型可以讓沒有連續名稱區的組織,在其聚集式網域結構中維護整個組織的連續性。例如,如果 David Iseminger and Company (iseminger.com) 已有足夠的資金,可買下另一家稱為 Microsoft 的公司 (該公司擁有自己的目錄結構),則可以將這兩個實體的網域結構合併為一個樹系。擁有單一樹系有三個主要的優點:第一點,更易於管理的信任關係 (可讓網域樹狀目錄中的使用者取得位於其他樹狀目錄中的資源存取權)。第二點,「通用類別目錄」可合併整個樹系的物件資訊,這能夠讓搜尋整個企業的動作變為可能。第三點,Active Directory 架構可套用至整個樹系 (如需有關架構的技術資訊,請參閱第 10 章)。圖示 3-2 說明 iseminger.com 及 Microsoft 網域結構的合併,在這兩個根網域之間具有一條線,指出存在於其間並建立出樹系的 Kerberos 信任 (第 8 章中有 Kerberos 通訊協定的詳細說明)。

雖然樹系可以用來組成多重網域樹系,但它仍是代表一個企業。建立樹系可以讓所有的成員網域共用資訊 (透過「通用類別目錄」的使用)。您可能會覺得好奇,樹系中的網域樹狀目錄是如何建立可讓整個企業 (以樹系為代表) 成為一個單位來運作的關係。這是個很好的問題,下列有關信任關係的說明將會是最好的答案。

信任關係

也許 Windows NT 4 網域及 Windows 2000 或 Windows Server 2003 網域之間最重要的差異,就在於相同組織的網域之間,應用程式及設定的信任關係的不同。Windows 2000 及 Windows Server 2003 會執行向上或向下 (新增) 延伸網域樹狀目錄結構的可轉移信任,而不會建立緊密的單向信任 (即是 Windows NT 4 中的執行方式)。這個模型可簡化 Windows 網路管理,稍後將以數字來提供範例說明。下列兩個方程式 (請忍耐一下,這些方程式只是要用於示範,而不是要您痛苦地強記下來) 示範了每種方法所帶來的管理負荷;這些方程式代表每個網域信任方法所需的信任關係數量,其中的 n 代表網域數量:
Windows NT 4 網域--(n * (n-1))
Windows 2000 或 Windows Server 2003 網域--(n-1)
這只是用於示範目的;請假設有個擁有若干網域的網路,並看看如何比較網域模型的方法 (假設指定有 5 個網域,則下列的公式中的 n 就等於 5)。
Windows NT 4 網域:(5 * (5-1)) = 20 個信任關係
Windows 2000 或 Windows Server 2003 網域:(5 - 1) = 4 個信任關係
摺疊此圖像展開此圖像
 合併 Iseminger.com
		  及 Microsoft 網域樹狀目錄的圖片

圖示 3-2. 合併 Iseminger.com 及 Microsoft 網域樹狀目錄

必須管理的信任關係數量差異很大,但是減少數量並不是網域新方法所能夠帶來的最大好處。使用 Windows 2000 及 Windows Server 2003 網域,就會依照預設方式來建立並執行信任。即使系統管理員只有安裝網域控制站,而沒有執行任何其他動作,也能夠馬上實行這些信任關係。這種自動建立的信任關係與利用階層來建立 Windows 2000 及 Windows Server 2003 網域的事實 (與 Windows NT 4 網域不同) 緊密相連;也就是說,指定的網域樹狀目錄中,除了根網域及子網域外,不會有其他東西。這可以讓 Windows 2000 及 Windows Server 2003 自動瞭解包含在指定網域樹狀目錄中的網域,並能夠在根網域之間建立信任關係時,自動瞭解樹系中所包含的網域樹狀目錄。

相對地,系統管理員必須在 Windows NT 網域之間建立信任關係 (以及執行後續管理),還必須記住信任關係流動的方向 (以及在各個網域中使用者權限所受到的影響)。顯著的差異、將管理工作化整為零,以及更為直覺式的信任執行,都必須歸功於新的信任模型以及網域和網域樹狀目錄的階層式方法。

在 Windows 2000 及 Windows Server 2003 中,有三種類型的信任關係,其中每一種關係在網域結構中都符合特定的需要。Windows 2000 及 Windows Server 2003 網域可用的信任關係如下:
  • 可轉移信任
  • 單向信任
  • 交叉連結信任
可轉移信任
可轉移信任能夠在兩個網域之間建立可以轉移至其他網域中的信任關係,如此一下,如果網域 A 信任網域 B,而網域 B 信任網域 C,網域 A 就可以繼承對網域 C 的信任,反之亦然;請參閱圖示 3-3。

摺疊此圖像展開此圖像
三個網域之間可轉移信任的圖片

圖示 3-3. 三個網域之間的可轉移信任

可轉移信任能夠大幅減少維持網域間信任關係的相關系統管理負荷,因為這樣就不再需要管理冗長的緊密單向不可轉移信任。在 Windows 2000 及 Windows Server 2003 中,當網域樹狀目錄中有建立新的網域時,就會自動建立父網域與子網域之間的可轉移信任關係。可轉移信任受限於 Windows 2000 或 Windows Server 2003 網域中,也侷限在相同網域樹狀目錄或樹系內的網域;您無法與前版 (Windows NT 4 及更早版本) 網域建立可轉移信任關係,也無法在位於不同樹系的兩個 Windows 2000 網域或兩個 Windows Server 2003 網域之間建立可轉移信任關係。
單向信任
由於單向信任不可轉換,因此它們只會定義相關網域間的信任關係,且並非雙向的。不過,您還是可以透過建立兩個分開的單向信任關係 (兩種方向各一個),建立雙向的信任關係,就如同您在完全的 Windows NT 4 環境中所執行的動作一樣。但是請注意,這種交互往返的單向信任並不等同於可轉移信任;單向信任中的信任關係,只對兩個相關的網域有效。Windows 2000 及 Windows Server 2003 中的單向信任與 Windows NT 4 中的單向信任完全一樣,並且可在 Windows 2000 或 Windows Server 2003 中用來處理許多狀況。下列將說明一些最常見的狀況。

首先,當必須與前版網域 (例如 Windows NT 4 網域) 建立信任關係時,通常就會使用單向信任。由於前版網域無法加入 Windows 2000 及 Windows Server 2003 的可轉移信任環境 (例如樹狀目錄或樹系) 中,因此必須建立單向信任,讓 Windows 2000 或 Windows Server 2003 網域及前版的 Windows NT 網域之間產生信任關係。

注意:這種單向信任狀況不適用於遷移程序 (例如將現有的 Windows NT 4 網域模型升級至 Windows 2000 或 Windows Server 2003 網域/樹狀目錄/樹系模型)。在整個從 Windows NT 4 遷移至 Windows 2000 或 Windows Server 2003 的過程中,您已建立的信任關係都會視為要完成程序所需的遷移程序,直到 Windows 2000 或 Windows Server 2003 的所有網域及可轉移信任環境都已建立為止。第 11 章<遷移至 Active Directory 服務>中有專門詳細說明遷移程序的內容。

第二,如果必須在不是位於相同 Windows 2000 或 Windows Server 2003 樹系中的網域之間建立信任關係,就可以使用單向信任。您可以在不同 Windows 2000 或 Windows Server 2003 樹系的網域之間使用單向信任關係,來區隔與建立和維護關係所在的網域信任關係,而不用建立會影響到整個樹系的信任關係。讓我用範例來做更詳細的說明。

請想像您的組織擁有製造部門和銷售部門。製造部門想要與標準個體共用某些處理資訊 (儲存在 Windows 2000 或 Windows Server 2003 網域的伺服器上)。然而,銷售部門不想讓儲存在網域伺服器上的機密銷售和行銷資訊被標準個體看到 (也許它的銷售成績太過搶眼,而會讓標準個體想要大叫「壟斷!」來抗議。)使用單向信任可確保銷售資訊的安全。為了提供必要的存取給標準個體,可以在製造網域和標準個體的網域之間建立單向信任,而由於單向信任是不可轉移的,因此這個信任關係只會在兩個相關的網域之間建立。此外,因為信任網域是製造網域,所以製造網域中的使用者將無法使用標準個體網域中的任何資源。

當然,無論是使用這裡所略述的哪一種單向信任案例,您都可以利用兩個個別的單向信任關係,來建立雙向信任。
交叉連結信任
交叉連結信任可用來增加效能。有了交叉連結信任,就會在樹狀目錄或樹系階層裡建立虛擬的信任驗證橋樑,進而達到更快速的信任關係確認 (或拒絕)。這只是個不錯的簡短說明,不過如果要確實瞭解使用交叉連結信任的方法與原因,您必須先瞭解網域間驗證在 Windows 2000 及 Windows Server 2003 中的處理方法。

當 Windows 2000 或 Windows Server 2003 網域需要驗證使用者 (或是確認驗證要求) 對於不在其本身網域中資源的存取權時,它就會以類似 DNS 查詢的動作執行。Windows 2000 及 Windows Server 2003 首先會判定資源是否位於發出要求的網域中。如果資源不是位於本機網域中,網域控制站 (明確地說,是網域控制站上的 Key Distribution Service [KDC]) 就會將用戶端要求轉介給階層中的下一個網域 (視情況向下或向下)。下一個網域控制站就會繼續進行這個「本機資源」檢查,直到抵達資源所在的網域為止 (第 8 章中有關於轉介程序的詳細說明)。

當「網域樹狀目錄漫步」正常運作時,這個虛擬的網域階層漫步需要花費一些時間,而所花費的時間可能會影響到查詢回應的效能。如果要將這個過程以另一種可能更易於瞭解的術語來解釋,請假設下列緊急情況:

您正在機場中,航站大樓的兩個通道形成一個 V 字形。通道 A 位於 V 的左側,而通道 B 位於右側。登機門是依序編號的,因此通道 A 和通道 B 的登機門 1 都很靠近 V 的底端 (即是兩個通道連接的地方),並且登機門 15 都是位於 V 的最遠端。所有的登機門都與 V 連接。您正要趕去搭飛機,並且已到達通道 A 登機門 15 (V 的最遠端),才知道您的班機是要從通道 B 起飛。您向窗戶外看去,並且看到要搭乘的班機正在通道 B 登機門 15,但是您必須先一直走 (要跑也可以啦) 過整個通道 A,到達 V 的底端,然後在通道 B 上持續慢跑 (您現在應該已經很累了吧),才能到達登機門 15,最後卻只能眼睜睜地看著飛機從您眼前飛過。您現在必須待在等候區,再等兩個小時後才有下一個班機,呆坐在看著班機飛過眼前的地點,透過 V 字形注視著通道 A,這時您突然想到了一個好點子:在兩個通道的盡頭建造一座天橋,這樣子乘客 (就像您) 可以快速地從通道 A 登機門 15 移動到通道 B 登機門 15。這樣做合乎常理嗎?這種情況只有在兩個通道的登機門 15 之間有大量的流量時,才會合乎常理。

相同地,交叉連結信任可以做為網域間的驗證橋樑,但是這些網域在樹系或樹狀目錄階層中,彼此間在邏輯上具有一段距離,而且它們之間有大量的驗證流量。怎樣才算是大量的驗證流量?請想像一下 Windows 2000 或 Windows Server 2003 網域樹狀目錄的兩個分枝。第一個分枝是由網域 A、B、C 和 D 所組成的;A 是 B 的父項,B 是 C 的父項,而 C 是 D 的父項。第二個分枝是由網域 A、M、N 和 P 所組成的;A 是 M 的父項,M 是 N 的父項,而 N 是 P 的父項。這樣說有點繞口,因此請檢視圖示 3-4,以取得這個結構的圖示範例。

摺疊此圖像展開此圖像

		  範例網域階層的圖片

圖示 3-4. 範例網域階層

現在請想像網域 D 中有個使用者定期會使用位於網域 P 的資源 (無論原因為何)。當網域 D 的使用者想要使用網域 P 的資源時,Windows 2000 及 Windows Server 2003 就會朝著向樹狀目錄的根部 (在這個範例中是網域 A) 進行的轉介路徑推進,然後朝下向適當的分枝推進,直到達到網域 P 為止。如果一直進行這些驗證,這個方法就會產生大量的流量。另一個較好的方法,就是在網域 D 和 P 之間建立一個交叉連結信任,如此就可以在這兩個網域之間產生驗證,而不需要向網域樹狀目錄的根部 (或是樹狀目錄分枝的基礎網域分散點) 推進。這樣的結果可帶來更好的驗證效能。

?考

本文資訊為 Microsoft Press 所發行之《Microsoft Windows 2000 的 Active Directory 服務技術參照》(英文) 一書的摘要。

摺疊此圖像展開此圖像
《Microsoft Windows
		  2000 的 Active Directory 服務技術參照》一書的圖片


進一步瞭解有關 《Microsoft Windows 2000 的 Active Directory 服務技術參照》(英文) 的詳細資訊

如需有關此書及其他 Microsoft Press 書目的詳細資訊,請參閱 http://mspress.microsoft.com

屬性

文章編號: 310996 - 上次校閱: 2007年12月3日 - 版次: 5.2
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
關鍵字:?
kbinfo KB310996
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com