pzg's blog

活动目录术语表

A

——————————————————————————–

访问控制(access control)–登录计算机或网络权限的管理。

ACE–参见”访问控制条目”。

访问控制条目(access control entry,简称ACE) –每一个ACE包括一个安全标识符(SID),这个标识符标识这个ACE的应用对象(用户或小组)以及允许或者拒绝访问的ACE信息的类型。

访问控制表(access control list,简称ACL) –用来定义用户/工作组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录服务中,一个ACL是一个存储访问权限与被保护对象相互之间关系的列表。在 Windows NT®操作系统中,一个ACL作为一个二进制值保存,称之为安全描述符。

ACL–参见”访问控制列表”。

活动目录– Windows® 2000支持的一种结构,这种结构可以跟踪和定位网络上任意一个对象。活动目录是Windows 2000服务器中使用的目录服务,为Windows 2000分布式网络提供基础。

活动目录服务接口(Active Directory Service Interface,简称ADSI)–基于组件对象模型(COM)的客户端软件 。 ADSI定义了一个目录服务模型和一组COM接口,通过这些接口可以使 Windows NT 和Windows 95客户端应用程序访问一些网络目录服务,包括活动目录服务。ADSI允许应用程序与活动目录进行通信。

ADSI提供目录服务客户端通过使用一组接口与任何提供ADSI实现的名字空间进行交流的方法。ADSI客户端通过使用ADSI替代与网络相关的应用程序编程接口(API)调用,从而获得访问名字空间服务的更简单的方法。ADSI 遵守并且支持标准的COM特征。ADSI也定义了可以从自动兼容软件,例如Java、Visual Basic、Visual Basic Scripting Edition(VBScript),来访问的接口和对象,这同样可以应用到非自动兼容语言,例如C和C++,通过这个特性可以增强性能。此外,ADSI提供它自己的OLE数据库提供者,并且可以完全支持任何客户端已经使用的OLE数据库,包括那些使用ActiveX® 技术的。

ADSI–参见活动目录服务接口”。

属性(attribute)–对象的单一属性。对象通过它们的属性值进行描述。例如,可以用属性这样来定义一辆车:制造商、模型、颜色等等。属性这个术语和特性这个词可以相互使用,它们使完全一样的。属性也是用来描述对象的数据项,这些对象通过模式中定义的类来表现的。在模式中,属性和类使分开定义的;这样使得一个属性可以在多个类中使用。参见”对象”。

授权(authentication)–确定用户的身份,即确定究竟是谁登录到计算机系统中的,或确定事物的完整性。

 

B

——————————————————————————–

备份域控制器(backup domain controller,简称BDC) –在 Windows NT Server 4.0或早期的域中,运行Windows NT Server的计算机接受包括域中所有帐户和安全策略信息的目录的拷贝。这份拷贝信息周期性并且自动的与主域控制器中的主备份进行同步。备份域控制器也可以确认用户并且配置成为象PDC类似的功能。一个域上可以有多个备用域控制器。

在 Windows 2000域中,备份域控制器是不需要;所有域控制器是对等的,都可以维护目录。当Windows NT 4.0和 Windows NT 3.51备份域控制器运行在混合模式下时,可以与Windows 2000域进行交流。参见”域控制器和主域控制器”。

 

C

——————————————————————————–

容器(container)–一种特殊的活动目录对象类型。容器与其他的活动目录对象一样具有属性,并且它是活动目录名字空间中的一部分。但是,与其他对象不同的是,它没有具体的表现形式。容器中可以包括一组对象和其他容器。参见”对象”。

 

D

——————————————————————————–

数据库层(database layer)–一种活动目录的体系结构层次,通过将应用程序编程接口提供给目录系统代理(Directory System Agent,简称DSA)层防止对扩展存储引擎(Extensible Storage Engine,简称ESE)直接的访问,它可以将活动目录服务的上层与低层的数据库系统隔离开来。

委托(delegation)–允许更高层的管理机构将对容器和子树特定的管理权利授予给个人和组织。这样可以更加有利于域名管理员进行管理。访问控制条目(Access control entry,简称ACE)可以将容器中对象的管理权利授予给用户或小组。通过容器的访问控制列表(Access Control List,简称ACL)可以在特定的对象类上给予特定的操作。

例如,为了允许用户”James Smith”成为”公司帐户”的管理员,您将在ACL中增加如下的ACE:

“James Smith”; Grant; Create, Modify, Delete; Object-Class User
“James Smith”; Grant; Create, Modify, Delete; Object-Class Group
“James Smith”; Grant; Write; Object-Class User; Attribute Password
现在James Smith可以在公司帐户中创建新的用户和小组,同时还可以已有用户设置密码,但是他不能创建任何对象类,也不能操作其他容器(除非他被授予了对其他容器管理的权利)中的用户。

目录(directory)–一种存储网络信息的层次结构。

目录服务(directory service)–例如活动目录,提供存储目录数据并且使它可以被网络用户和管理员访问的方法。例如,活动目录存储有关用户帐号的信息,例如姓名、密码、电话号码等等,同时还可以使同一网络中的其他授权用户访问这些信息。参见”活动目录,目录分区”。

目录激活网络(directory-enabled networking,简称DEN)–从存储有关用户、应用程序和网络资源的中心管理网络元素,例如路由器、应用程序和用户。

目录分区(directoy partition)–目录的相邻子树,它形成目录的一个复制单元。一个指定的复制经常使一些目录分区的拷贝。活动目录由一个或多个目录分区组成。

在活动目录中,一个服务器经常有至少三个目录分区。

模式 配置(拓扑结构和相关元数据的拷贝) 一个或多个每域目录分区(子树包括目录中的实际对象) 有关模式和配置被拷贝到指定森林中的每一个域控制器中。而域目录分区只拷贝到相应的域控制器中。

可分辨的名称(distinguished name)–确定包含对象的域以及通过这个对象可以到达的完整路径。活动目录中每一个对象有唯一的可分辨的名称(DN),一个典型的可分辨的名称(DN)可以是: CN=JamesSmith,CN=Users,DC=Microsoft,DC=Com. 这个名字确定了Microsoft.com域中的 “James Smith” 的用户对象。

DNS –参见”域名系统(Domain Name System)”。

域(domain)–基于Windows NT的计算机网络的安全边界。活动目录由一个或多个域组成。在一个独立的工作站上,域就是计算机自身。域可以跨越多个物理区域。每一个域都有自己的安全策略和与其他域的安全关系。当多个域通过信任关系连接起来,并且共享一个模式、配置和全局目录的时候,它们组成一个域树。多个域树可以组成一个森林。参见”域控制器,局部域小组”。

域控制器(domain controller)–一个基于Windows NT的服务器拥有一个活动目录分区。参见”域”。

局部域小组(domain local group)–可以包含森林、通用小组和本域中的其他局部小组中的用户和全局小组。一个局部域小组只能在本域的ACL中使用。参见”域、森林”。

域名系统(Domain Name System,简称DNS)–一种层次分布式数据库,用来进行域名/地址转换。域名系统是Internet上使用的名字空间,用来将计算机和服务名称转换成为TCP/IP地址。活动目录在它的定位服务中使用DNS,以便客户端可以通过DNS查询找到域控制器。

 

E

——————————————————————————–

可扩充存储引擎(Extensible Storage Engine,简称ESE)–活动目录数据库引擎。ESE(Esent.dll)是Jet数据库的改进版本,在Microsoft Exchange 服务器 4.x和5.5版本中使用。它实现一种事务处理数据库系统,也就是说它使用日志文件来确保提交的事务是安全的。

 

F

——————————————————————————–

森林(forest)–相互信任的一个或多个活动目录树形成的小组。森林中的所有树共享一个模式、配置和全局目录。当一个森林包括多个树的时候,所有的树不是形成连续的名字空间。给定森林中的所有树通过信任关系的双向传递相互彼此信任。与树不同的是,森林不需要一个可分辨的名称(DN)。森林作为一组交叉引用的对象和成员树之间的信任关系而存在。森林中的树形成一层次信任关系。参见”树,全局目录”。

 

G

——————————————————————————–

全局目录(global catalog,简称GC)–全局目录包括目录中每一个Windows 2000域的复制。全局目录允许用户和应用程序在活动目录域树中寻找给定一个或多个属性的目标对象。它还包括目录分区的模式和配置。这就是说全局目录拥有活动目录中每一个对象的复制,但是只包括每一个对象的一部分属性。活动目录中的属性都是一些在查询中经常使用的(例如用户的姓、名、登录名称等等)和那些在定位对象的完全复制时需要使用的。GC允许用户在不知道对象属于哪个域以及不需要连续扩展名字空间时对它们进行查找。全局目录通过活动目录复制系统自动创建。

GC –参见”全局目录”。

全局目录服务器–是一个Windows 2000域控制器,它包括一份森林全局目录的拷贝。参见”全局目录”。

全局小组(global group)–可以出现在任何森林中的ACL中,并且可以包括来自本域中的用户和其他全局小组。

小组–参见”全局小组,局部域小组,通用小组和组策略”。

组策略(Group Policy)–指将策略应用到活动目录容器中的计算机组和/或用户。所包括的策略类型不仅是出现在Windows NT服务器4.0中的基于注册的策略,还可以是目录服务所允许的用来存储策略数据的多种类型,例如:文件配置、应用程序配置、登录和注销脚本、启动和关机脚本、域安全、Internet协议安全(Internet Protocol security,简称IPSec)等等。策略的集合称为组策略对象(Group Policy object,简称GPO)。

组策略对象(Group Policy object,简称GPO)–策略的虚拟集合。它有一个唯一的名称,例如一个全局唯一标识符(globally unique identifier,简称GUID)。GPO在两个位置存储组策略设置:组策略容器(Group Policy container,简称GPC)(首选的)和组策略模板(Group Policy templet,简称GPT)。GPC是一个活动目录对象,存储版本信息、状态信息和其他策略信息(例如应用程序对象)。GPT用于基于文件的数据并且存储软件策略、脚本和配置信息。GPT位于域控制器的系统卷文件夹上。

一个GPO可以于一个或多个活动目录容器相关,例如站点、域或组织单元。多个容器可以与相同的GPO相关联同时一个容器可以与一个或多个GPO相互关联。

此外,缺省的,每一个计算机接受一个只包含指定安全策略的局部组策略对象(local Group Policy object,简称LGPO)。管理员也可以在单个计算机上设置和应用不同的局部组策略。这对于那些不是域的成员或那些管理员希望删除从域中继承组策略的计算机的情况是有力的。参见”组策略”。

GPO–参见”组策略对象”。

 

H

——————————————————————————–

层次式名字空间(hierarchical namespace)–一个名字空间,例如DNS名字空间和活动目录名字空间,它们都是层次式结构,并且提供划分名字空间的规则。参见”名字空间”。

 

K

——————————————————————————–

Kerberos–一种用来授权用户的安全系统。对于服务或数据库,Kerberos不提供授权;它在登录时授权用户身份,这在整个会话中都是要使用的。Kerberos协议是Windows 2000操作系统中的主要授权机制。

知识一致性校验(Knowledge Consistency Checker,简称KCC)–运行在域中所有域控制器上的内置服务,并且自动的建立站点中机器之间的相互联系。这些称为Windows 2000目录服务连接对象。管理员可以建立另外的连接对象或删除连接对象。但是,当站点中的复制出现问题或错误的时候,KCC将会起作用并且建立新的连接来恢复活动目录拷贝。

 

L

——————————————————————————–

轻型目录访问协议(Lightweight Directory Access Protocol ,简称LDAP)–用来访问目录服务的一种协议。目前的 Web 浏览器和电子邮件程序中都实现了LDAP,这样就可以查询一个LDAP目录。LDAP是目录访问协议(Directory Access Procotol ,简称DAP)的一个简化版本,可以用来访问X.500目录。编写LDAP查询代码比DAP简单,但是LDAP的功能不是十分完善。例如,如果没有找到地址,DAP可以在其他的服务器上进行初始化寻找,但是LDAP就不具备这个功能。LDAP是活动目录的主要的访问协议。

 

M

——————————————————————————–

混合模式(mixed mode)–允许运行Windows 2000和Windows NT的域控制器同时存在域一个域中。在混合模式下,以前版本的Windows NT中的域特性仍然有效,但是却有一些Windows 2000的特性是无效的。Windows 2000服务器域的缺省安装是混合模式。在混合模式下,域中可能有现成Windows NT 4.0域控制器。混合模式下不支持嵌套小组。与原始模式相比较。

多主复制(multi_master replication)–是活动目录的一个特征,它可以支持和维护在域中的多个服务器上目录的多分拷贝。由于给定目录分区的所有拷贝都是可写的,因此可以对其中任何一份拷贝进行更新。活动目录复制系统将一个副本中的变化传播到所有的副本中去 。复制是自动和透明的。

活动目录多主复制可以将任何域控制器创建的任何对象(例如用户、小组、计算机、域、组织单元、安全策略等等)传播到其他相关的域控制器。如果域中的一个域控制器比较慢或出现错误,那么本域中其他的域控制器可以提供必要的目录访问,因为它们包含相同的目录数据。参见”复制”。

 

N

——————————————————————————–

原始模式(native mode)–当域中所有的域控制器都运行Windows 2000服务器。这个模式允许机构充分利用新的活动目录特性,例如通用小组、嵌套小组成员和域间小组成员。与”混合模式”进行比较。

名字空间(namespace)–根据一定的命名规则定义的一个名字或一组名字,它们可以在一定的范围内被解析。活动目录主要是一个名字空间,同样也是一个目录服务。一个电话目录也是一个名字空间。Internent使用一种层次式的名字空间,它将名字划分称为一些目录–顶级域,例如.com, .edu, 和 .gov,它们都是在最顶层。

名字解析(name resolution)–将名字转换成为它所代表的对象或信息的过程。一个电话本组成一个名字空间,在这个空间中可以将电话用户解析到相应的电话号码。Windows NTFS文件系统组成一个名字空间,可以将文件名解析到文件本身。同样的,活动目录也组成一个名字空间,可以将目录中对象的名字解析到对象本身。

 

O

——————————————————————————–

对象(object)–由一组属性组成的集合,它代表的是具体的事物,例如用户、打印机或一个应用程序。属性就是用来描述目录对象可以标识的数据。一个用户的属性可能是用户姓、教名和电子邮件地址。

对象标识符(object identifier)–在目录服务中用来确定对象类或属性的一个数。对象标识符由发布机构发布,形成一个层次关系。对象标识符是一串用点分开的十进制数(例如”1.2.3.4″)。企业(和个人)可以从发布机构得到一个根对象标识符,并且使用它分配其他的对象标识符。例如,Microsoft得到的根标识符是”1.2.840.113556″。 Microsoft进一步管理从这个根发展的分支。这些分支中的一个是用来给活动目录类分配一个对象标识符,另一个用来给活动目录属性分配标识符,等等。

世界上许多国家有确定的国家注册机构(national registration authority,简称NRA),它们负责给企业发布对象标识符。在美国,NRA是美国国家标准局(American National Standards Institute,简称ANSI)。企业也可以为对象标识符注册名称。根对象标识符和注册名字都是计费的。详细信息,可以联系本国NRA。国际标准化组织(International Standards Organization)承认NRA并且在ISO站点维护相应的联系列表。参见”对象,属性”。

组织单元(organizational unit,简称OU)–一个容器对象,它是活动目录可管理的划分。OU可以包含用户、小组、资源和其他OU。组织单元可以管理权限委托给目录中的子树。

OU –参见”组织单元”。

 

P

——————————————————————————–

父子信任关系(parent-child trust relationship)–一种双向、可传递的信任关系,当向一个活动目录树添加域时建立。活动目录安装过程自动为正在创建的域(新的子域)和它的父域之间创建信任关系。

划分(partition)–存储中复制的一个完整单元。参见”目录分区”。

PDC–参见”主域控制器”。

PKI –参见”公开密钥基础”。

策略(policy)–管理主题和对象相互作用的规则集合。例如,当Internet协议(Internt Protocol,简称IP)安全代理(主题)启动一台计算机(对象)时,策略需要确定计算机应该如何参与安全IP连接。

策略引擎(policy engine)–在决策点执行的软件,它执行策略选择、估算条件以及确定应该执行什么行为。策略引擎的概念十分罗嗦;它的功能性经常通过分布式系统的多个部分进行传播。例如,Windows 2000提供一个策略基础结构,包括策略存储(组策略对象)、作为用户登录(WinLogon)的一部分而运行的策略引擎、激活策略选择进程的一个API(GetGPOList)。一些应用程序和服务使用WinLogon集成将它们的策略应用到用户,其他的使用GetGPOList来实现它们的策略决定和执行点。

主域控制器(primary domain controller,简称PDC)–Windows NT Server 4.0或早期的域中,PDC是运行Windows NT Server 的计算机,这个计算机授权域登录并且维护域的目录数据库。PDC跟踪域中所有计算机帐户所做的改变。它是唯一可以直接接受变化的计算机。一个域只有一个主域控制器。Windows 2000中,每一个域中的一个域控制器标记为PDC,它可以向下兼容客户机和服务器。参见”域控制器,备用域控制器”。

配置文件(profile)–信息的集合,这些信息是通过策略条件的估算结果选择出来的,应用于主题和对象之间交互作用的。配置文件的内容与正在讨论的主题和对象相关的。配置文件可以通过减少策略总数进一步简化管理。例如,给定服务器应用程序可能有很多配置参数。这个应用程序的策略可以引用它的简表;这比使用多个策略来完成相同的任务简单一些。参见”策略,对象”。

公用密钥体系(public key infrastructure ,简称PKI)– 在一个机构、工业领域或国家内建立交换信息的安全方法的策略。PKI也是一组服务和管理工具的集合,可以使用这些工具创建、配置和管理基于公共密钥的应用程序。它包括加密方法、数字证书的使用、认证(certificate authority,简称CA)和管理进程的系统。

 

R

——————————————————————————–

相对唯一的名字(relative distinguished name,简称RDN)–对象名字的一部分,是它自身的一个属性。为对象提供RDN的属性指命名属性。参见”可分辨的名称(DN)”。

复制(replication)–在数据库管理系统中,通过例行公事的将整个数据库或数据库的子集拷贝到网络中的其他 服务器上而使分布式数据库同步的功能。有几种拷贝的方法,包括主站点复制、共享或传输所有权的复制、对称复制(也称为随时更新或对等复制)和失败恢复复制。参见不同复制方法的完整定义”百科全书”。

活动目录提供多主复制,它是对称复制的一种形式。(参见”多主复制”)

 

S

——————————————————————————–

模式(schema)–整个数据库的定义;可以存储在数据库中的全局对象定义在模式中。对于每一个对象类而言,模式定义了类实例必须具有的属性、可能有的附加属性和当前对象的父亲是基于什么类的。参见”对象,属性”。

模式主控(schema master)–用来控制森林中模式的所有更新的域控制器。任何时候,森林中只能有一个模式主控。参见”域控制器,森林,模式”。

SID–安全标识符。参见”访问控制条目”。

单主操作(single-master operation)–活动目录操作是单主操作,也就是在同一个时间,在网络中不允许在不同地方发生。这些操作的例子包括:

分配相对标识符(Relative identifier,简称RID) 修改模式 挑选主域控制器 改变特定基础结构 站点(site)–网络中拥有活动目录服务器的位置。站点是一个或多个完好连接的TCP/IP子网。完好连接是指网络连接高度可靠、速度快。(LAN的速度,10Mbps或更高的)。

在活动目录复制服务中站点起着非常重要的作用,它可以区分使用局域网连接(站点内复制)和慢速广域网(WAN)连接(站点间)的复制。管理员使用活动目录站点和服务管理器插件来管理站点内复制和站点间复制的复制拓扑关系图。

存储(store)–每个活动目录复制的物理存储。当一个对象存储在活动目录中时,系统将选择存储的一份复制,并且将对象写入在那里。复制系统将在所有其它的副本中复制对象。存储使用扩展存储引擎实现的。参见”扩展存储引擎”。

 

T

——————————————————————————–

可传递信任关系(transitive trust)–Windows 2000域树或森林中的域、森林中的树、森林之间固有的存在信任关系。当一个域加入到一个已有的森林或域树时,自动的建立可传递关系。可传递信任一般时双向的关系。在域树中的父子域、森林中域树的根域这一系列信任关系允许森林中的所有域相互之间彼此信任,这样的目的是授权。例如,如果域A信任域B,域B信任域C,那么域A可以信任域C。参见”树,森林”。

树(tree)–通过可传递、双向信任关系连接在一起的Windows NT域的集合,它们共享相同的模式、配置和全局目录。域必须组成层次式的名字空间,例如,a.com是树根,b.a.com是a.com的孩子,c.b.a.com是b.a.com的孩子等等。参见”模式,森林”。

 

U

——————————————————————————–

通用小组(universal group)–组的最简单的形式。通用组可以出现在森林ACL的任何地方。小型安装可以专有的使用通用小组而不要去关心全局和局部小组。

 

W

——————————————————————————–

完好连接(well-connected)–使网络和活动目录更好的服务于用户的 充分的连接。这个术语的精确含义由具体的需求而定。

 

X

——————————————————————————–

X.500 –一组标准的集合,它定义了分布式目录服务,是国际标准委员会(International Standards Organization,简称 ISO)开发的

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注