使用活动目录服务的好处是什么?
完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力,这样可以:
? 简化管理任务 ? 加强网络安全性
? 通过互操作使用现存网络
简化管理
分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。例如,活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。基于下列原因,活动目录可以从以下方面帮助公司简化管理:
? 消除冗余管理任务 提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。
? 降低桌面系统的行程 针对用户在公司中所担当的角色自动向其分发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。
? 更好的实现IT资源的最大化 安全地将管理功能分派到组织机构的所有层次上。
? 降低总体拥有成本(TCO) 通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。
活动目录如何简化管理
以层次化组织用户和网络资源,活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务,同时,通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。
图4:活动目录简化了网络资源的管理
活动目录允许管理员分派特定的管理权限和任务给单独的用户和组,以便更好地使用系统管理资源。如上图所示,特定的管理任务,例如重新设置用户密码,可以被分派给市场机构的办公室管理员。更多的特权功能,如\创建用户\,可以为IT管理员保留。
活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分发给他们。例如,一个公司可以指定职员容器中的所有用户(无论是从哪里登录到网络上的)均可使用人力资源管理应用程序。活动目录集中存储这些信息,同时,应用智能镜像管理技术自动安装所分配的应用程序,并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。
除了使网络管理对于管理员而言更加容易外,活动目录同时也使每个人对网络的使用都变得更加容易。例如,用户为了找到诸如打印机这样的网络资源可以直接查询目录。由于目录能够存储对象的属性,它可以存储组织机构中打印机的位置和能力信息并使这些属性成为查询标准--以至于用户可以通过Windows的\开始\菜单直接查询\六号建筑物中的彩色打印机\。此外,目录可以从桌面计算机的操作系统中查阅安装一台新打印机所需的全部配置信息--以至于当用户找到所需的打印机时,便可立即使用它。
加强安全性
强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。例如,对多身份验证协议(如Kerberos,X.509认证以及由灵活的访问控制模型组成的智能卡)的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安全性:
? 改进了密码的安全性和管理 通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。
? 保证桌面系统的功能性 通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问,例如软件安装或注册项编辑。
? 加速电子商务的部署 通过提供对安全的Internet标准协议和身份验证机制的内建支持,如Kerberos, 公开密钥基础设施(PKI)和安全套接字协议层(SSL)之上的轻便目录访问协议(LDAP)。
? 紧密的控制安全性 通过对目录对象和构成他们的单独数据元素设置访问控制特权。
活动目录如何增强安全性
Windows 2000 服务器最主要的结构优势之一便是它对活动目录以及活动目录中实现新层次上数据保护的先进安全特征的集成。这对于通过Internet进行商务活动的组织机构尤为重要。
图5:活动目录在简化访问过程的同时还提供了可用于Internet的安全服务以保护数据
如图5所示,活动目录充当管理用户身份和网络资源控制访问验证的中央授权机构。它支持一系列用于在登录到Windows 2000这一层次之上证明身份的验证机制,包括Kerberos, x.509认证以及智能卡。一旦用户通过身份验证并登录,系统中的所有资源便被保护起来,同时,用户的访问根据一个单一的身份验证模型被准许或拒绝。这就意味着组织机构不必使用两种方法进行资源访问,其中一种方法针对通过内部网络登录的用户,而另一种方法则针对通过Internet上数字认证访问资源的用户。
另外,活动目录缺省支持完全集成的公开密钥基础设施(PKI)和Internet安全协议--如安全套接字协议层(SSL)之上的LDAP协议--来允许组织机构安
全地将选定目录信息扩展到防火墙之外,以便将其提供给外部网络用户和电子商务用户。这样,通过允许管理员使用相同的工具和步骤来维护桌面系统用户、远程拨号用户和外部电子商务客户的访问控制和用户权限,活动目录加强了安全性并加速了电子商务的部署。
扩展的互操作性
许多公司都有变化多样却又必须协同工作的技术集合。为此,许多企业的网络也拥有同等多样化的独立目录集合,这些目录集合作为电子邮件服务器、应用程序、网络设备、防火墙、电子商务应用程序等的组成部分而存在。活动目录为应用程序集成和开放同步机制提供了一套标准接口,以确保Windows能够与众多的应用程序和设备互操作。活动目录因具有下列功能而扩展了系统的互操作性:
? 利用现有的投资并确保灵活性。适应全部特性且基于标准的接口能够为将来的应用程序和基础结构利用现有投资并确保灵活性。
? 加强对多重应用程序目录的管理。在使用开放接口、连接器及同步机制的情况下,组织机构将能够加强包括有Novell NDS、LDAP、ERP、电子邮件及其它关键任务应用程序的目录。
? 允许组织机构部署具备目录功能的网络。来自诸如Cisco和3COM等领先供应商的网络设备能够通过目录来使管理员指定服务质量并根据用户在公司中所担当的角色为其分配网络带宽。
? 允许组织机构开发并部署具备目录功能的应用程序。通过使用全部可扩展的目录架构,开发者将能够开发应最终用户需求而量身定制的应用程序。
活动目录如何扩展互操作性
为将不同的系统结合在一起并增强目录及管理任务,活动目录提供了一个中枢集成点。上述功能是依靠将Windows 2000目录特性通过诸如LDAP、ADSI、JADSI及MAPI等基于标准的接口尽数开放来实现的,因此,公司能够加强现有的目录,并开发具备目录功能的应用程序和基础结构。关于Microsoft如何在其自身的产品线中使用活动目录特性的一个范例就是Microsoft Exchange。Exchange服务器已与活动目录相集成,以使公司能够在同一位置管理Windows 2000用户账号和Exchange邮箱。
图6:活动目录通过开放接口、连接器及同步机制为集成和扩展系统提供了一个平台
如图6所示,活动目录也为具备目录功能的应用程序提供一个开发平台。这就使应用程序开发者能够控制根据用户在公司中所担当角色而设计的应用程序的行为。例如,具备目录功能的应用程序能够参考目录中的用户简介,并根据该用户的工作职能为其提供特定的菜单选项和功能。这样一来,人事部门的用户将能够在人力资源管理应用程序中看到\改变工资\菜单选项,而财务部门的用户则不能看到该选项,即使这两个用户共享一台电脑。
正如组织机构能够改进其目录服务和应用程序协同工作的方式一样,他们也同样能够改进其网络硬件和软件与目录服务协同工作的方式。通过为具备目录功能的网络提供一个平台,活动目录使公司能够将网络资源分配同其商务处理需求相互匹配起来。特别应指出的是,管理员能够根据用户的业务需要为其分配相应的网络带宽。例如,管理员能够创建一个策略,以确保财务部门的用户在月末忙于结帐时能够分配到额外的网络带宽。
活动目录的益处能够向Windows环境的外延扩展。活动目录中的开放同步机制确保了Windows平台上众多应用程序和设备的互操作性。例如,对LDAP、DirSync及ADSI接口的本地支持使诸如Cisco、SAP、BAAN、及3COM等领先供应商能够将其产品与活动目录相集成,以提供对跨平台产品简化且强大的管理功能。
结论
今天,关于人员、应用程序和资源的信息遍布于大多数企业的信息系统之中。网络已从对互联设备的松散集成发展为由相互依存的资源所组成的复杂生态系统。为此,网络操作系统所要提供的服务将远远不止是简单的网络文件与打印服务。网络操作系统目前需要对分布式网络资源间的关系进行透明化管理。
Windows 2003中的活动目录服务为管理和保护Windows的用户帐号、客户及应用程序提供了一个焦点。此外,活动目录被设计成能与现有系统、应用程序及设备中的非Windows目录相兼容,以提供单一的空间和稳定的方式来管理整个网络基础结构。这样,活动目录通过减少管理员管理目录信息所需的空间以使组织机构现有的投资得到升值,同时,全面降低电算化成本。