應用技術
Active Directory的介紹
Active Directory® 服務提供了單一登入的能力和一個所有基礎設施相關資訊的集中儲存機制,大幅度的簡化了使用者和電腦的管理,同時提供優越的網路資源存取能力。本篇文章提供了有關在 Microsoft® Windows Server™ 2003 中的 Active Directory 相關優點、新功能和改進部份的概觀說明。
優勢 在 Active Directory 中的改進措施提供了中大型企業關鍵性的策略優勢, 可以提供管理者和使用者更高的生產力。 Microsoft® Windows Server™ 2003 以 Windows 2000 的基礎為出發點,大幅改進了 Active Directory 的多樣性、管理能力和可靠性。各個組織可以一方面降低成本,同時又增加處理的效率,共享企業內不同的資源。
| 優勢 | 說明 |
| 絕佳的彈性 | Active Directory 推出了重要的新功能,確保它是當今業界最具彈性的目錄結構之一。能和目錄服務整合的應用程式在企業內變得更為普遍時,組織本身可以善用 Active Directory 的能力,來管理最複雜的企業網路環境。從網際網路資料中心到大型的分散式多點辦公室的企業,Microsoft® Windows Server™ 2003 提供的改進之處,能夠增加管理能力、執行效能及效率,成為一個多樣化的解決方案。 |
| 降低總體擁有成本 | Active Directory 針對企業內部運作上總體擁有成本 (TCO) 的需求做了加強。新的功能和改善方案中提供了不同等級產品擴充多樣性的能力,也簡化了管理工作,並增加可靠性。 |
新功能和改進之處 Microsoft® Windows Server™ 2003 針對 Active Directory 提出了多項改進,使得它更具多樣性、可靠性和經濟效益。更明確的說,Microsoft® Windows Server™ 2003 中的 Active Directory 提供了:
- 更簡易的部署及管理能力。
- 絕佳的安全性。
- 改善的效能和可靠性。
更簡易的部署及管理能力 Microsoft® Windows Server™ 2003 增強了管理上的能力,讓管理員能更有效率的安排及管理 Active Directory,即使是擁有多個樹系、網域和站台的大型企業也一樣。改進的移植和管理工具,搭配上能更改 Active Directory 網域名稱的能力,讓部署 Active Directory 比過去在 Windows 2000 Server 中所提供的目錄服務更加容易使用。而較佳的工具也提供了拖放作業的能力、多物件的選擇,以及儲存並重複運用查詢。此外,在群組原則中的改進,也讓在 Active Directory 中管理使用者群組和電腦群組的作業更簡單、更有效率。
| 優點 | 說明 |
| ADMT 2.0 | 現在透過新版的 Active Directory 遷移工具 (ADMT) 諸多改進的功能,轉移到 Active Directory 變得更為容易。ADMT 2.0 現在可以將 Microsoft Windows NT® 4.0 中的密碼遷移到 Windows 2000 和 Microsoft® Windows Server™ 2003,或是從 Windows 2000 遷移到 Microsoft® Windows Server™ 2003 的網域中。 |
| 改變網域名稱 | 這個功能可以支援我們對樹系中既有網域的 DNS 或 NetBIOS 名稱進行變動,而保持樹系的良好格式。管理員有很大的彈性在部署 Active Directory 結構後再進行變動。現在設計的決定可以逆換,使得一個組織在碰到購併或是重大改組時仍能妥善反應。 |
| 重新定義結構 | 經過增強後的 Active Directory 彈性能讓 Active Directory 結構描述中定義的屬性和類別停用。當原始的定義有錯誤時,相關的屬性和類別都可以重新定義。 |
| AD/AM | 在應用程式模式 (AM) 下的 Active Directory 是 Active Directory 提供來解決和具目錄服務功能的應用程式有關特定部署情況的新能力。AD/AM 是以非作業系統服務的方式執行,也不需要部署在網域控制器上。以非作業系統服務的方式執行,意味著在單一伺服器上可以執行多份 AD/AM 的執行個體,每一個執行個體都可以獨立進行配置。注意:AD/AM 會以獨立於 Microsoft® Windows Server™ 2003 之外的個別元件推出。 |
| 群組原則的改進 | 在 Microsoft® Windows Server™ 2003 中,Microsoft 提供了一個新的群組原則的管理解決方案,來統合群組原則的管理工作。Microsoft 群組原則管理主控台 (Group Policy Management Console,GPMC) 提供了一個單一的解決方案來管理所有和群組原則有關的工作。GPMC 讓管理人員能夠透過單一的使用者介面,配合拖放的操作方式,來管理特定樹系中多個網域和站台的群組原則。其中的特性包括了對群組原則物件 (GPO) 進行備份、回復、匯入、複製和產生報表等功能。這些作業都可以透過指令碼來控制,讓管理人員能自訂並自動化管理作業。這些優點結合在一起,能讓群組原則更易於使用,並協助您以更經濟的方式管理您的企業。 |
| 增強的使用者介面 | Microsoft Management Console (MMC) 是管理企業實體、物件和關係的主要方法,它提供了改善的介面來增加行政的效率和整合的能力。而這些嵌入單位,現在包含拖放作業、多物件選擇,以及儲存及重複使用查詢的能力。系統管理員現在可以同時編修多個使用者物件,將存取控制清單 (ACL) 的權限重設成為預設值,在安全性主體上顯示有效的權限,並指明繼承權限的父層結構所在。 |
絕佳的安全性 額外的安全性,讓我們能更輕易的管理多個樹系和跨網域的信賴。跨樹系的信賴提供了一個新型的 Windows 信賴關係,來管理兩個樹系之間的安全性關係,即大幅的簡化跨樹系安全性管理和驗證的作業。使用者可以很安全的存取其他樹系的資源,不需要犧牲在使用者的主樹系中維護單一使用者代號和密碼所具備單一登入及管理上的優點。這為在帳戶管理上需要在分部或不同地區維護個別樹系需求者,提供了較大的彈性,同時也維持了 Active Directory 的優點。此外,一個新的識別身份管理程式,也提供了使用者識別資料及 X.509 憑證的安全儲存區域。軟體限制原則讓管理人員能夠防止不需要的程式被安裝在網路上的電腦中。
| 優點 | 說明 |
| 跨樹系驗證 | 跨樹系驗證可以在使用者的帳戶位於某個樹系、而電腦位在另一個樹系的情況下,進行資源的安全存取。這個功能允許使用者透過 Kerberos 或 NTLM,安全的取用其他樹系中的資源,而不會犧牲在使用者的主樹系中維護單一使用者代號和密碼所具備單一登入及管理上的優點。 |
| 跨樹系授權 | 跨樹系授權讓管理人員可以輕易的從被信賴的樹系中選擇使用者或群組,納入到本機群組或 ACL 中。這個功能維護了樹系安全性界限的一致性,同時又允許在樹系之間彼此信賴。它可以讓提出信賴的樹系,針對被信賴樹系中的特定安全識別代碼 (SID) 安排限制,保障特定的資源。 |
| 加強跨憑證功能 | Microsoft® Windows Server™ 2003 用戶端跨憑證的功能,藉由提供部門等級和全域等級的跨憑證的能力來加以增強。例如,WinLogon 現在可以對跨憑證進行查詢,並且下載到「企業信賴/企業儲存區」中。當關係鏈一建立,所有跨區憑證都會被下載。 |
| IAS 和跨樹系驗證 | 如果 Active Directory 樹系是處於跨樹系模式及雙向信賴,網際網路驗證服務/遠端驗證撥號使用者服務 (IAS/RADIUS) 都可以透過這個功能對另一個樹系的使用者帳戶進行驗證。這讓系統管理員能夠將新的樹系輕易地整合到其樹系中既有的 IAS/RADIUS 服務。 |
| 認證管理員 | 認證管理員 (Credential Manager) 使用者認證提供了一個安全的儲存區域,這些認證包括密碼和 X.509 憑證。這將為使用者提供一個一致的單一登入經驗,包括漫遊使用者在內。舉例來說,使用者在未使用公司網路的情況下存取實務應用程式時,首先必須進行驗證,且使用者得提供認證。在使用者提供這份認證之後,認證會與要求存取的應用程式產生關連。未來存取該應用程式時,儲存的認證將會重複使用,不需提示使用者提供認證。 |
| 軟體限制原則 | 軟體限制原則可以解決處理未知或不信賴軟體的需求。有了軟體限制原則,藉由辨識與指定哪些軟體允許執行,您可以保護您的運算環境不受未被信賴的軟體取用。您可以對某個群組原則物件,定義一個未被限制或是不被允許的項目的預設等級,讓該軟體預設為可以或是不可以執行。您可以對特定的軟體建立規則,使這個預設安全性等級產生例外。 |
改善的執行效能和可靠性 Microsoft® Windows Server™ 2003 能更有效的管理 Active Directory 資訊的散佈及複製。系統管理員可以更有效地控制在網域控制器之間 (不論是同網域或是跨網域) 要被複製和同步處理的資訊類型。此外,Active Directory 也提供了更多功能,只選擇有改變的資訊進行複製,而不需要更新整個目錄的內容。
| 優點 | 說明 |
| 遠端辦公室更容易登入 | 擁有網域控制器的地區辦公室,可以透過快取中的認證為使用者提供登入的能力,而不需要先聯繫通用類別目錄,同時可以增加系統在廣域網路上的執行效能和穩固性。而在地區辦公室和通用類別目錄之間一旦失去聯繫,不再會影響地區辦公室的使用者登入。地區辦公室可以更有效地獲得支援,並減少廣域網路上消耗的頻寬。 |
| 加強群組成員關係的複製 | 當群組成員加入、更改或是刪除時,只有變動的部份會被複製,因此可以降低網路頻寬和處理器使用量的負擔。這點大幅消減了在同時更新時遺失更新的可能性。 |
| 應用程式目錄切割 | 有些目錄資訊並不需用於全域環境。這個功能提供了在 Active Directory 中處理資料的能力,並且藉由控制複製範圍和安排複製資訊的區域,避免影響到網路效能。 |
| 從媒體安裝複製的資訊 | 這個功能不會在網路上複製整份 Active Directory 資料庫,而是讓管理者能在備份自既有網域控制器或通用類別目錄伺服器的複製資料時,建立複製資訊。 |
| 可靠度的改進 | Active Directory 提供了一些新功能來增加可靠度,像是狀態監視 (Health Monitoring),它允許管理者驗證不同網域控制器之間的複製資料,改進通用類別目錄的複製作業,並且更新網站間拓樸產生器 (Inter-Site Topology Generator,ISTG),以支援網站數量比 Windows 2000 更多的樹系。 |
