 |
|
 |
|
![]() |
![]() |
|
 |
| Windows 2000活动目录详解之结构篇 |
|
| 作者:佚名 文章来源:EBOOK-CN.COM 更新时间:2005-12-4 15:11:31 |
![]() |
|
|
|
系就是被信任关系。信任与被信任关系可以是单向的,也可以是双向的,即域A与域B之间可以单方面的信任关系,也可以是双方面的信任关系。
而在域中传递信任关系不受关系中两个域的约束,是经父域向上传递给域目录树中的下一个域,也就是说如果域A信任域B,则域A也就信任域B下面的子域域B1、域B2……,传递信任关系总是双向的:关系中的两个域互相信任(是指父域与子域之间)。默认情况下,域目录树或目录林(目录林可以看做是同一域中的多个目录树组成)中的所有WiIN2K 信任关系都是传递的。通过大大减少需管理的委托关系数量,这将在很大程度上简化域的管理。
WIN2K中的域传递信任关系一般是系统自动的,但对于相同域目录树或林中的WiIN2K域,也可以显式(手工)地创建传递信任关系。这对于形成交叉链接信任关系是非常重要的。不传递信任关系受关系中两个域的约束,并且不经父域向上传递到域目录树中的下一个域。必须显式地创建不传递信任关系。默认情况下,不传递信任关系是单向的,尽管也可以通过创建两个单向信任关系创建一个双向关系。所有不属于相同域目录树或林中WiIN2K 域间建立的委托关系都是不传递的。所有WiIN2K域和WINNT域之间的委托关系都是不传递的,这一点对于一个企业同时使用WIN2K和WINNT域控制器时应特别注意,当从 WindowsNT升级到WiIN2K时,所有已现有的WindowsNT信任关系都将保持不变。在混合模式的网络中,所有WindowsNT信任关系都是不传递的。WiIN2K 域和WINNT域目录林中的WIN2K域和另一目录林中的WIIN2K域WIN2K域和MITKerberosV5领域单向单向信任关系是单独的委托关系。双向信任关系包括一对单向委托关系,所有传递信任关系都是双向的。为使不传递信任关系成为双向,必须在所涉及的域间创建两个单向信任关系。
2、组织单元(OU)
组织单元(OU)是一个容器对象,它也是活动目录的逻辑结构的一部分,我们可以把域中的对象组织成逻辑组,它可以帮助我们简化管理工作。OU可以包含各种对象,比如用户账户、用户组、计算机、打印机等,甚至可以包括其他的OU,所以我们可以利用OU把域中的对象形成一个完全逻辑上的层次结构。对于企 业来讲,可以按部门把所有的用户和设备组成一个OU层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个OU层次结构。很明显,通过组织单元的包容,组织单元具有很清楚的层次结构,这种包容结构可以使管理者把组织单元切入到域中以反应出企业的组织结构并且可以委派任务与授权。建立包容结构的组织模型能够帮助我们解决许多问题,同时仍然可以使用大型的域、域树中每个对象都可以显示在全局目录,从而用户就可以利用一个服务功能轻易地找到某个对象而不管它在域树结构中的位置。
由于OU层次结构局限于域的内部,所以一个域中的OU层次结构与另一个域中的OU层次结构没有任何关系。因为活动目录中的域可以比NT4的域容纳更多对象,所以一个企业有可能只用一个域来构造企业网络,这时候我们就可以使用OU 来对对象进行分组,形成多种管理层次结构,从而极大地简化网络管理工作。组织中的不同部门可以成为不同的域,或者一个组织单元,从而采用层次化的命名方法来反映组织结构和进行管理授 权。顺着组织结构进行颗粒化的管理授权可以解决很多管理上的头疼问题,在加强中央管理的同时,又不失机动灵活性。
WINNT4.0中的很多域都可以成为OU,建立起更大的域和更简化的域关系,借助全局目录(GlobalCatalog),上一页 [1] [2] [3] [4] 下一页
|
|
|
|
|
|
|
 |
|
![]() |
|
![]() |
|
