本科毕业设计王文美.doc

目 录目 录i前 言11.绪论21.1 Active Directory 的优点概括21.2 Active Directory目录服务的意义31.3 Active Directory合并了DNS特点51.4 DNS与Internet的概述51.5 DNS与Active Directory名称空间的集成的应用61.6 Active Directory创建域控制器方法92. 全局编录的特点与意义112.1 登录全局编录112.2 查询全局编录123. 操作主机角色在企业中应用133.1域命名主机133.2 相对标识符(RID)主机143.3 主域控制器(PDC)模拟器143.4 基础结构主机144. 企业网络体系结构164.1 对象164.2 架构174.3 架构属性与查询175. 架构对象名称以及SAM账户195.1 扩展架构205.2 对象命名规则215.3 安全主管名称225.4 目录树285.5 目录林336. Active Directory应用企业站点信息417. 多主机复制在企业应用中意义47致 谢52主要参考文献53前 言研究的目的和意义：在信息化高速发展的今天，信息化建设已经是企业核心竞争力的关键之一，而做为企业信息化建设的基础，Active Directory在企业网络管理、企业网络安全等企业信息化建设发挥着重要的作用。深入的研究Active Directory，有助于全面的发挥Active Directory的强大作用，从而彰显企业的信息化实力。要想了解Windows 2008操作系统如何实现其功能，及其对完成企业目标能够提供哪些帮助，就必须先了解Active Directory 目录服务。本文从以下三个方面介绍Active Directory： （1） 存储：Active Directory，即Windows® 2008 Server目录服务，可分层存储网络对象的信息，并向管理员、用户和应用程序提供这些信息。本文首先解释目录服务的概念、Active Directory服务与Internet域名系统(DNS)的集成，以及当您将服务器指定为域控制器时，Active Directory是如何实现的。 （2） 结构：使用Active Directory，可以根据结构组织网络及其对象，这些结构包括域、目录树、目录林、信任关系、部门(OU)和站点。本文第二节阐述这些Active Directory组件的结构和功能，以及管理员采用该体系结构对网络实施管理的方式，从而有助于用户实现其商业目标。 （3） 相互通信：Active Directory以标准目录访问协议为基础，因此能够与其他目录服务进行交互操作，并可接受遵守这些协议的第三方应用程序的访问。最后一节阐述 Active Directory与其他各种技术进行通信的方式。 1.绪论1.1 Active Directory 的优点概括 在Windows 2008操作系统中引入Active Directory有以下优点： （1） 与DNS集成。Active Directory使用域名系统(DNS)。DNS是一种 Internet标准服务它将用户能够读取的计算机名称(例如）翻译成计算机能够读取的数字Internet 协议(IP)地址（由英文句号分隔的四组数字）。这样在TCP/IP网络计算机上运行的进程即可相互识别并进行连接。 （2） 灵活的查询。用户和管理员如果要通过对象属性快速查找网络中的对象，可使用"开始"菜单中的"查找"命令、桌面上的"网上邻居"图标或者是Active Directory用户和计算机管理单元。例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。而且,使用全局编录优化了查找信息的操作。 （3） 可扩展性。Active Directory是可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在原有的对象类别中添加新属性。架构包含每个对象类别的定义，以及能够存储于目录中的每个对象类别的属性。例如，您可能会为User对象添加Purchase Authority属性，然后将每个用户的购买权限额保存为用户帐户的一部分。 （4） 基于策略的管理。组策略是在初始化时应用于计算机或用户的配置设置。所有组策略设置都包含在应用于Active Directory站点、域或部门的组策略对象(GPO)中。 GPO设置决定了对目录对象和域资源的访问权限、用户可使用的域资源（如应用程序），以及这些域资源针对其用途的配置方式。 （5） 可伸缩性。Active Directory包括一个或多个域，每个域均有一个或多个域控制器，由此，您能够对目录进行自由扩展，从而满足所有网络的需求。多个域可合并成一个域目录树，多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中，该域既是一个目录树，又是一个目录林。 （6） 信息复制。Active Directory使用多主机复制，使您可以更新任何域控制器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控制器包含同样的目录数据，所以，如果域内的一个域控制器速度变慢、停止或出现故障，同一域内的其他域控制器即可提供必要的目录访问功能。 （7） 信息安全。在Windows 2008操作系统中，用户身份验证和访问控制的管理都与Active Directory完全结合在一起，这是该系统的一项关键性安全功能。Active Directory将身份验证集中进行。不仅可以定义对目录中每个对象的访问控制，还可定义对每个对象的每个属性的访问控制。此外，Active Directory还为安全策略提供了存储区和应用范围。 （8） 互操作性。由于Active Directory以标准目录访问协议（例如轻型目录访问协议 (LDAP)）为基础，因此它能够与其他采用这些协议的目录服务进行交互操作。有些应用程序编程接口(API)-例如Active Directory服务接口（ADSI)-允许开发者访问这些协议。 1.2 Active Directory目录服务的意义 在进入本文主要部分-Active Directory结构与互操作性-之前，此节作为预备内容，从两个区别很大的角度简单介绍Active Directory： （1） 第一个角度是从Active Directory的最抽象意义上介绍，即：Active Directory是一个与Internet域名系统(DNS)集成的名称空间。 （2） 第二个角度是从Active Directory的最普通意义上介绍，即：它是将服务器转换成域控制器的软件。在计算机网络上下文环境中，目录（又称数据存储区）是存储网络对象信息的分层结构。对象包括共享资源，如服务器、共享卷和打印机；网络用户和计算机帐户以；域、应用程序、 服务、安全策略，以及网络上的其他所有内容。以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例：一般情况下，目录会存储用户帐户的用户名、密码、 电子邮件地址、电话号码等信息。 目录服务与目录的不同之处在于：它既是目录信息源，又是使信息对管理员、用户、网络服 务和应用程序有效并可用的服务。理想情况下，目录服务会使物理拓扑和协议（两个服务间传输数据所用的格式）透明化；这样，即使用户不知道资源的物理连接位置和连接方法，也能够访问资源。我们可以继续以用户帐户为例：正是目录服务使同一网络中的其他授权用户能够访问针对用户帐户对象所保存的目录信息（如电子邮件地址）。 目录服务可支持多种不同的功能。有些目录服务与操作系统集成，有些则是一些应用程序，如电子邮件目录。Active Directory等操作系统目录服务可提供对用户、计算机和共享资源 的管理。Microsoft Exchange等处理电子邮件的目录服务使用户能够查找其他用户并发送电子邮件。 Active Directory是一种新型的目录服务，是Windows 2008 Server 操作系统的核心，它只在域控制器中运行。Active Directory不但为数据提供了存储区以及使该数据有效的服务，而且还保护了网络对象，使其免受未经授权的访问，并防止跨网络复制对象，这样，即使一个域控制器出现故障，也不会导致数据丢失。 1.3 Active Directory合并了DNS特点Active Directory和DNS都是名称空间。名称空间是任一有界区域，在其中对给定的名称进行解析。名称解析是把名称转换成该名称代表的某一对象或信息的过程。例如，电话号码簿组成了一个名称空间，其中的电话用户名可解析成电话号码。Windows NTFS文件系统组成了一个名称空间，其中的文件名可解析为文件本身。 1.4 DNS与Internet的概述要理解Windows 2008处理Active Directory和DNS名称空间的方式，需要先了解有关DNS自身及其与Internet和TCP/IP之间关系的一些基本知识。Internet是一种TCP/IP网络。TCP/IP通讯协议连接计算机，并使计算机可通过网络传输数据。Internet或任何其他TCP/IP网络（如许多 Windows网络）上的每台计算机都有一个IP地址。DNS定位TCP/IP主机（计算机）的方法是：将最终用户能理解的计算机名称解析成计算机能读懂的IP地址。可用分布到全球的DNS数据库来管理Internet上的IP地址，也可以在本地实施DNS，用于管理专用TCP/IP网络中的地址。 DNS组织成不同层次的域，使整个Internet成为一个名称空间。DNS 有几个顶级域，可进一步划分为第二级域。Internet域名空间的根由 Internet职权部门（目前是Internet网络信息中心，简称InterNIC）管理，该部门负责代理对DNS名称空间顶级域名的管理职责，并负责注册第二级域名。顶级域名是一些大家熟悉的域类别，如商业组织(.com)、教育组织(.edu)、政府组织(.gov)等等。对于美国以外的国家和地区，则用两个字母的国家/地区代码来表示，如英国用.uk表示。第二级域名代表了以前在机构（和个体）中注册的名称空间，他们曾以这种方式实现了在Internet上的存在。图1显示了公司网络连接到Internet DNS名称空间的方式。 图1 Microsoft如何适应Internet DNS名称空间1.5 DNS与Active Directory名称空间的集成的应用DNS与Active Directory的集成是Windows 2008 Server操作系统的核心功能。DNS域和Active Directory域对不同的名称空间使用相同的域名。因为两个名称空间共享一个相同的域结构，所以必须了解它们不是同一个名称空间。每个名称空间保存了不同的数据，因而管理不同的对象。DNS保存区域以及资源记录；Active Directory保存域和域对象。DNS的域名以DNS分层命名结构为基础，这是一个反向树结构：最上方是一个根域，下面是父域和子域（枝和叶）。例如，有个Windows 2008 域名是：； 这表明域名child是域名parent 的子域，而parent本身也是域的一个子域。DNS域的每台计算机都可依据其完全合格的域名(FQDN)加以唯一识别。位于的计算机FQDN是 。每个Windows 2008域都有一个DNS名称（如OrgN），并且每台基于Windows 2008的计算机都有一个DNS名称（如AcctServer.OrgN）。因而，域和计算机都 用Active Directory对象和DNS节点来表示（DNS分层结构中的一个节点代表一个域或一台计算机）。（1） DNS和Active Directory均用数据库来解析名称DNS是一种名称解析服务。通过将DNS服务器接收的请求视为对DNS 数据库的DNS查询，DNS将域名和计算机名解析成IP地址。具体地说，DNS 客户机把DNS名称查询发送到已配置的DNS服务器。DNS服务器先接收名称查询，然后通过本地保存的文件解析该名称查询，或咨询另一台DNS服务器进行解析。DNS不需要系统启动Active Directory。Active Directory是一种目录服务。通过将域控制器接收的请求视为轻型目录访问协议(LDAP)搜索，或改成对Active Directory数据库的请求，Active Directory将域对象名称解析成对象记录。具体而言，Active Directory客户机使用LDAP向Active Directory服务器发送查询。Active Directory客户机通过查询DNS来定位Active Directory服务器。即，Active Directory将DNS用作定位器服务，把Active Directory域、站点及服务名称解析成IP地址。例如，要登录到Active Directory域，Active Directory客户机会查询已配置的DNS服务器，请求LDAP服务的 IP地 址（LDAP服务在指定域的域控制器中运行）。Active Directory不需要系统启动DNS。实际上，理解Windows 2008环境中DNS与Active Directory名称空间之间的差异，就是理解：代表DNS区域中指定计算机的DNS主机记录，与Active Directory域中代表"同一台计算机"的计算机帐户对象处于不同的名称空间中。总之，Active Directory用以下两种方式与DNS集成：Active Directory域和DNS域有相同的分层结构。尽管因目的不同，DNS和Active Directory域的组织名称空间各自独立，实施方法也有所不同，但它们却有相同的结构。例如，既是一个DNS域又是一个Active Directory域。DNS区域可保存在Active Directory中。如果使用Windows 2008 DNS 服务，主区域就可以保存在Active Directory中，以便复制到其他 Active Directory域控制器，为DNS服务提供增强的安全性。Active Directory客户机使用DNS来定位域控制器。为了定位指定域的域控制器，Active Directory客户机会查询已配置的DNS服务器，以查找指定的资源记录。（2） Active Directory与全局DNS名称空间Active Directory被设计成可处于Internet全局DNS名称空间的范围之内。如果组织使用Windows 2008 Server作为其网络操作系统，当该组织需要存在于Internet上时，Active Directory名称空间会作为一个或多个分层的Windows 2008域，保留在已注册为DNS名称空间的根域名之下。（组织可选择不成为全局Internet DNS名称空间的一部分；但即使它这样做，仍要求DNS服务定位基于Windows-2008的计算机。) 根据DNS 命名规则，以英文句号(.)分隔的DNS名称的每部分都代表DNS分层树结的一个节点，以及Windows 2008域分层树结构的一个可能的Active Directory域名。DNS分层结构的根是一个有空标签(" ")的节点。Active Directory名称空间的根（目录林根）无父根，它提供了指向Active Directory的LDAP进入点。1.6 Active Directory创建域控制器方法 （1） 实施和管理网络是一些实际操作。要理解Active Directory是如何与实际情况相结合的，就必须先了解：在运行Windows 2008 Server操作系统的计算机上安装Active Directory，实际是一种把服务器转换成域控制器的操作。一个域控制器只能完全主持一个域。具体而言，域控制器是一台运行Windows 2008 Server的计算机，它已使用Active Directory安装向导进行了配置；该向导可安装并配置向网络用户和计算机提供Active Directory目录服务的组件。域控制器会存储整个域的目录数据（如系统安全策略和用户身份验证数据），并管理用户和域的交互过程，包括用户登录进程、身份验证以及目录搜索。 使用Active Directory安装向导将服务器提升为域控制器的过程，同样或者是创建一个Windows 2008域，或者在原有域中添加新的域控制器。本节阐述了 Active Directory域控制器的概念，以及它在网络中所扮演的某些重要角色。由于引入了Active Directory，Windows 2008域控制器的功能与"对等"类似。这与Windows NT Server主域控制器(PDC)和备份域控制器 (BDC)扮演的主/从角色有所不同。对等域控制器支持"多主机复制"，可在所有域控制器之间复制Active Directory信息。多主机复制的引入意味着管理员可以更新域中任何Windows 2008域控制器的Active Directory。在 Windows NT Server操作系统中，只有PDC有目录的可读写副本，PDC会把目录信息的只读副本复制到BDC。（关于多主机复制的详细信息，请参阅"多主机复制"一节的内容。）如果准备由原有域升级到Windows 2008操作系统，则可在方便时分阶段完成升级。如果正在为新的安装创建第一个域控制器，则会在加载Active Directory的同时自动形成几个实体。2. 全局编录的特点与意义 Windows 2008操作系统引入了全局编录概念，这是一个保存在一个或多个域控制器中的数据库。全局编录在登录用户和查询中扮演重要角色。默认情况下，全局编录由Windows 2008目录林中的初始域控制器自动创建，并且每个目录林必须有至少一个全局编录。如果使用多个站点，您可能希望在每个站点都将一个域控制器指定为全局编录，因为需要全局编录（决定了帐户的组成员身份）完成登录身份验证进程。 这是指本机模式域。混合模式域不需要查询用于登录的全局编录。 在目录林中安装了其他域控制器后，就可以用Active Directory站点和服务工具将全局编录的默认位置更改为另一个域控制器。您还可根据组织对服务登录请求和搜索查询的要求，选择将任一域控制器配置成主持全局编录。全局编录服务器越多，对用户查询的响应就越快；但启用很多域控制器作为全局编录服务器会增加网络中的复制通信量，因而影响了响应速度。全局编录执行两个关键的Active Directory角色-登录和查询。2.1 登录全局编录 在本机模式域中，全局编录通过为帐户提供通用组成员身份信息 （该帐户将登录请求发送到域控制器），启用Active Directory客户机的网络登录。实际上，不但对Active Directory的用户验证，而且对每个对象的身份验证，甚至包括每台计算机的启动，都必须引用全局编录服务器。在多域安装中，为了完成用户登录过程，必须至少有一台包含全局编录的域控制器正在运行，并且有效。当用户以非默认的用户主要名称(UPN)登录时，全局编录服务器也必须是有效的。(关于登录的详细信息，请参阅"登录名：UPN 与 SAM 帐户名称"一节的内容） 如果在用户启动网络登录进程时，全局编录是无效的，则用户将只能登录到本地计算机，而无法登录到网络中。唯一的例外是，如果用户是域管理员(Domain Admin)组的成员，就能够在全局编录无效的情况下登录到网络中。 2.2 查询全局编录在包含多个域的目录林中，全局编录使客户机能够方便快捷地执行跨所有域的搜索，而不必逐个搜索每个域。全局编录使目录林中的目录结构对查找信息的最终用户透明。绝大多数Active Directory网络通信是与查询有关的：用户、管理员和程序都会请求有关目录对象的信息。查询过程要比目录更新过程的发生频度高得多。如果把不止一个域控制器指定为全局编录服务器，这样虽然会减少对查找目录信息的用户的响应时间，但同时也会导致网络的复制通信量增加；因此，必须平衡好它们之间的关系。 3. 操作主机角色在企业中应用 对有些类型的更改，在对等域控制器之间执行多主机复制是不切实际的；因此，只有一个被称为"操作主机"的域控制器会接受这种更改请求。由于多主机复制在基于Active Directory的网络中占有重要地位，因此理解这些例外情况非常重要。在任一Active Directory目录林中，安装期间至少会将五个不同的操作主机角色分配给初始域控制器。 当您在新目录林中创建第一个域时，全部五个独立的主机操作角色都会自动分配给该域中的第一个域控制器。在只有一个域和一个域控制器的小规模Active Directory目录林中，这个唯一的域控制器仍担当起所有的操作主机角色。在一个较大的网络中，无论它有一个域还是多个域，您都可以重新将这些角色分配给其他的一个或多个域控制器。有些角色必须在每个目录林中出现。有些角色则必须在目录林的每个域中出现。以下跨整个目录林的两种操作主机角色在目录林中必须是唯一的，即整个目录林中一种操作角色只能有一个：架构主机。 拥有架构主机角色的域控制器控制对架构的所有更新和修改。架构定义了可在目录中保存的每个对象（及其属性）。要更新目录林的架构，必须拥有架构主机的访问权。 3.1域命名主机拥有域命名主机角色的域控制器控制目录林中域的添加或删除。以下整个域的三个操作主机角色在每个域内都必须是唯一的：即在目录林的每个域中都只能有一个。 3.2 相对标识符(RID)主机RID主机为域内的每个域控制器分配RID序列。只要域控制器创建了用户、组或计算机对象，该主机就会为对象指定一个唯一的安全ID(SID)。安全ID由域安全ID（对域中创建的所有安全ID都是相同的)和相对ID(在域中创建的每个安全ID都是唯一的)组成。当域控制器用完自己的RID池后，会向RID主机请求另一个RID池。 3.3 主域控制器(PDC)模拟器如果域包含未安装Windows 2008客户机软件的计算机，或者如果包含Windows NT备份域控制器(BDC)，PDC模拟器就会充当Windows NT主域控制器(PDC)。它可以处理客户机的密码更改过程，并将更新情况复制到 BDC。对由域中其他域控制器执行的密码更改过程，PDC模拟器可优先接收到对这些更改情况的复制。如果由于密码错误而导致在另一个域控制器的登录身份验证失败，域控制器会在拒绝登录尝试之前，将验证请求转发给PDC模拟器。 3.4 基础结构主机当一个由其他对象引用的对象移动时，基础结构主机负责更新域间的所有引用。例如，只要组成员重新命名或有所更改，基础结构主机就会更新组与用户间的引用。当您重新命名或移动组中的成员（并且成员与组不在同一域中），暂时看起来组中就像没有包含该成员。组所在域的基础结构主机负责更新组，使组能够了解成员的新名称或新位置。基础结构主机使用多主机复制来对更新情况进行分发。除非域中只有一个域控制器，否则不应把基础结构主机的角色分配给主持全局编录的域控制器。如果这样做，基础结构主机将无法行使其功能。如果域中的所有域控制器都主持全局编录（包括只有一个域控制器的情况），那么所有域控制器都会有当前的最新数据，因而就不需要基础结构主机这一角色了。 4. 企业网络体系结构只要安装了Active Directory域控制器，也就同时创建了初始的 Windows 2008域，或已在原有域中添加了新的域控制器。域控制器和域是如何适应整个网络体系结构的?本节介绍基于Active Directory的网络组件，以及这些组件的组织方式。此外，还阐述了如何将对部门(OU)、域或站点的管理责任委派给适当的个体，以及如何将配置设置分配给相同的三个Active Directory 容器。其中包括以下主题：（1） 对象（包括架构）。 （2） 对象命名规则（包括安全主管名称、SID、与LDAP相关的名称、 对象GUID以及登录名）。 （3） 对象发布。 （4） 域（包括目录树、目录林、信任以及部门）。 （5） 站点（包括复制）。 （6） 如何将委派和组策略应用于OU、域和站点。 4.1 对象 Active Directory对象是组成网络的实体。对象是代表用户、打印机或应用程序等一些具体事物的一组不同的、已命名的属性集。当您创建一个Active Directory对象时，Active Directory会生成一些对象属性的值，其他属性值则由您提供。例如，当您创建用户对象时，Active Directory会指定全球唯一标识符(GUID)，而您则提供其他一些属性（如用户的姓、名、登录标识符等等）的值。 4.2 架构"架构"是对"对象类别"（不同类型的对象）及这些对象类别的"属性"的说明。对于每个对象类别，架构定义了对象类别必须具有的属性，它可能具有的其他属性，以及可以成为其父对象的对象类别。每个Active Directory对象都是一个对象类别的实例。每一属性只定义一次，但可用在多个类别中。例如，属性Description只定义了一次，却已用在许多不同类别中。 架构保存于Active Directory中。架构定义本身也作为对象保存-即Class Schema对象和Attribute Schema对象。这使Active Directory 可以用管理其他目录对象的同种方法来管理类别和属性对象。 创建或修改Active Directory对象的应用程序使用架构来确定以下内容：对象一定或可能有哪些属性；如何依据数据结构和语法限制来描述属性。 对象不是容器对象就是叶对象（又称非容器对象）。容器对象存储其他对象，而叶对象却没有该功能。例如，文件夹是文件的容器对象，而文件则是叶对象。 Active Directory架构中每一类别的对象都有这样一些属性，它们确保：目录数据存储区中的每一对象都具有唯一的标识。 （1） 对于安全主管（用户、计算机或组），与Windows NT 4.0操作系统和早期版本中所用安全标识符(SID)的兼容性。 （2） 与目录对象名称的LDAP标准的兼容性。 4.3 架构属性与查询使用Active Directory架构工具能够将属性标记为有索引。这样做的结果是，将该属性的所有实例都添至索引，而不仅仅是添加特定类别成员的实例。为属性建立索引有助于查询能够更加快速地找到具有该属性的对象。您也可以将一些属性加入全局编录。全局编录包含了目录林中每个对象的一组默认属性，而您可以将自己的选项添加进去。用户和应用程序都使用全局编录在整个目录林中定位对象。 只有具有以下特征的属性才可包含在全局编录中：（1） 全局通用。 属性应是查找处于目录林任意位置的对象（即使仅用于读取访问）时需要的属性。 （2） 相对稳定。属性应是不变或极少改变的。某一全局编录中的属性会复制到目录林中所有其他全局编录中。如果属性经常变化，则会导致复制通信量骤增。 （3） 小型。全局编录中的属性会复制到目录林的每个全局编录中。属性越小，对复制过程的影响程度越低。 5. 架构对象名称以及SAM账户 如上文所述，类别和属性都是架构对象。任何架构对象都可以使用下列名称类型中的一种进行引用： （1） LDAP显示名。对于每一架构对象来说，LDAP显示名是全局唯一的。LDAP显示名由一个或多个词组合而成，第一个词后面的词的词首字母大写。例如，mailAddress和machinePasswordChangeInterval是两个架构属性的LDAP显示名。Active Directory架构和其他Windows 2008管理工具显示对象的 LDAP显示名； 程序员和管理员可使用该名称以编程方式引用对象。关于以编程方式扩展架构的信息请参阅下一小节；关于LDAP的详细信息，请参阅"轻型目录访问协议"一节。 （2） 公用名。架构对象的公用名也是全局唯一的。可在架构中创建新对象类别或新属性时指定公用名；公用名是在架构中代表对象类别的、对象的相对可分辨名称(RDN)。关于RDN的详细信息，请参阅"LDAP DN与RDN名"一节的内容。例如，上段提及的两个属性的公用名是SMTP-Mail-Address和Machine-Password-Change-Interval。 （3） 对象标识符(OID)。架构对象的标识符是由颁发机构（如国际标准化组织(ISO)和美国国家标准学会(ANSI)颁发的数字。例如，SMTP-Mail-Address属性的OID是1.2.840.118556.1.4.786。OID在整个全球网络中确保是唯一的。从颁发机构获得根OID后，即可用它来分配其他 OID。OID是一种分层结构。例如，颁发给Microsoft的根OID是 1.2.840.118556。Microsoft内部管理由这个根产生的进一步的分支。其中一个分支用来为Active Directory架构类别分配OID，另一个用于 Active Director属性。继续以此为例：Active Directory中的OID是 1.2.840.118556.1.5.4，表示Builtin Domain类，能够按下表1所示进行分析。 表1 对象标识符 对角ID号表示1ISO（"根"颁发机构）将1.2颁发给ANSI，然后2ANSI将1.2.840颁发给USA，然后840USA将1.2.840.113556颁发给Microsoft，然后113556Microsoft内部管理1.2.840.113556下的几个对象标识符分支，其中包括1一个名为Active Directory的分支，它又包括5一个名为类的分支，它又包括4一个名为Builtin Domain的分支 关于OID以及OID获取方式的详细信息，请参阅本文档结尾处的"其它信息"。 5.1 扩展架构Windows 2008 Server操作系统提供了一组默认的对象类别和属性，对许多组织来说这些已足够使用。尽管您无法删除架构对象，但可将其标记为不活动。有经验的开发者和网络管理员可以定义新类，或定义原有类的新属性，以此来动态扩展架构。 我们推荐通过Active Directory服务接口(ADSI)以编程方式对 Active Directory架构进行扩展。您也可用LDAP数据交换格式(LDIFDE) 工具。（关于ADSI和LDIFDE的详细信息，请参阅"Active Directory服务接口"和"Active Directory与 LDIFDE"一节的内容。） 如果是为了开发和测试，您也可以使用Active Directory架构工具查看并修改Active Directory架构。 在考虑改变架构时，应切记以下要点：（1） 架构更改是涉及整个目录林的全局过程。 （2） 架构扩展是不可逆的（尽管可修改一些属性）。 （3） Microsoft要求扩展架构的任何人都要遵守LDAP显示名和公用名的命名规则（上7面的小节已讨论过）。如果要获得"Windows认证"徽标，则必须保证这一一致性；详细信息，请参阅Microsoft Developer Network Web站点。 （4） 架构中的所有类别都是由特殊类Top衍生的。除Top外，所有类都是由另一个类衍生的子类。属性inheritance允许您由原有类构建新类。新的子类继承了上一级类（父类）的全部属性。扩展架构是一种高级操作。关于如何以编程方式扩展架构的详细信息，请参阅本文结尾处"其它信息"一节的内容。 5.2 对象命名规则Active Directory支持对象名称的几种不同格式，用以适应名称可能会采用的不同形式；采用何种形式取决于名称的使用环境（有些名称是数字形式）。下面的子节说明Active Directory对象命名规则的这些类型： （1） 安全主管名称。 （2） 安全标识符（又称安全ID或SID）。 （3） 与LDAP相关的名称（包括DN、RDN、URL以及规范名称）。 （4） 对象GUID。 （5） 登录名（包括UPN和SAM帐户名）。 如果单位有几个域，有可能会在不同域中使用相同的用户名或计算机名。由Active Directory生成的安全ID、GUID、LDAP可分辨的名称以及规范名称都可唯一地标识目录中的每个用户或计算机。如果用户或计算机对象被重新命名或移至另一个域，虽则安全ID、LDAP相对可分辨的名称、可分辨名称和规范名称会发生变化，但由Active Directory生成的GUID却并未改变。 5.3 安全主管名称安全主管是由Active Directory管理的Windows 2008对象，拥有自动分配的安全标识符(SID)，用于登录身份验证和访问资源。安全主管可以是用户帐户、计算机帐户或组；因此，安全主管名称是用来唯一标识一个域内的用户、计算机或组的名称。安全主管对象必须由所在域的域控制器进行身份验证，并且可授予或剥夺其对网络资源的访问权。 安全主管名称在跨域时并不要求是唯一的，但是，为了实现后向兼容性，该名称在自己的域内必须是唯一的。可以对安全主管对象进行重命名或删除操作，或将其置于嵌套的域分层结构中。 安全主管对象的名称必须符合以下规则：名称不得与同一域内的任何其他用户、计算机或组名称相同。名称最多可包含 20 个大写或小写字符，但以下字符除外：" / : ; | = , + * ? <> ；用户名、计算机名或组名不可只包含英文句号(.)或空格。 （1） 安全ID(SID)安全标识符(SID)是Windows 2008操作系统安全子系统创建的唯一数字，分配给安全主管对象，即分配给用户、组和计算机帐户。网络上的每个帐户都会在首次创建时获得唯一的一个SID。Windows 2008操作系统的内部进程引用帐户的SID，而不是帐户的用户或组名。 每个Active Directory对象都由访问控制项(ACE)保护，访问控制项能够识别哪些用户或组可以访问该对象。每个ACE都包含有权访问该对象的每个用户或组的SID，并定义了允许进行的访问的级别。例如，一个用户可能对某些文件有只读权限，对另一些文件有读写权限，而对其他的文件则没有访问权限。假设您先创建了一个帐户，而后又将其删除；然后又以相同用户名创建了一个帐户，此时，新帐户没有旧帐户以前所具有的权限或许可，因为新旧帐户的SID号码不同。 （2） 与LDAP相关的名称Active Directory是一种服从轻型目录访问协议(LDAP)的目录服务。在W