活动目录的新特性
活动目录的目录服务提供了单一登录的能力,并且为您的整个网络架构提供了一个集中的信息知识库。它大大的简化了用户和计算机的管理,并提供了更好的网络资源访问方式。这篇文章为我们介绍了 Windows Server 2003 活动目录的优势、新的特性与改进。
|
本页内容
 | 优点 |
| Windows Server 2003 R2 中的新增和改进的特性 |
| 新增特性和改进 |
优点
改进的活动目录为中型和大型企业带来关键的战略利益,从而提高了管理员和用户的工作效率。Windows Server 2003 在 Windows 2000 中建立的基础上进一步扩展,提高了活动目录的功能性、可管理性和可靠性。在提高共享和管理企业中不同资源的效率后,企业能进一步降低成本。
| 优点 | 描述 |
更强的灵活性 | 活动目录引入的重要新特性确保了它成为今天的市场中最具灵活性的目录架构之一。由于与目录集成的应用变得更为普遍,因此企业能利用活动目录处理最为复杂的企业网络环境。针对 Internet 数据中心和拥有大量分支机构的企业,由 Windows Server 2003 所提供的改善可以大大简化管理并且提高性能和效率,使它成为一个应用十分广泛的解决方案。 |
降低的总拥有成本 | 加强活动目录以降低企业的总拥有成本 (TCO),并简化企业的内部运作。全部产品都融入了新增和改进的特性,从而增加了功能、简化了管理、并提高了可靠性。 |
Windows Server 2003 R2 中的新增和改进的特性
通过使用 Windows Server 2003 R2,活动目录实现了更加灵活的部署选项,促进了同 Unix 环境协同工作的能力、extranet 应用系统部署、跨域身份联盟、以及分散的应用系统目录部署
| 优点 | 描述 |
活动目录联盟服务 (ADFS) | ADFS 提供了基于 Web 的 extranet 验证/授权、单一签名登陆 (SSO) 和针对 Windows Server 环境的联合的身份服务,从而提高了在涉及 B2C extranet、intracompany (多森林的) 联盟和 B2B internet 联盟的场景中、现有活动目录部署的价值。 |
活动目录应用模式 (ADAM) | ADAM 作为活动目录的独立模式不具备基础架构特性,它为应用系统提供目录服务。ADAM 是作为一个非操作系统服务运行的,且不需要部署在域控制器上。作为一个非操作系统服务意味着 AD/AM 的多个实例可以在一台服务器上同时运行,每个实例都可以独立的配置。注意:AD/AM将作为 Windows Server 2003 的独立部件推出。作为独立的数据存储进行操作或者与活动目录域控制器进行交互操作,ADAM 的灵活性使管理员能够份根据不同程度的本地控制/自治或共享服务来量身订做目录服务架构。 |
UNIX 身份管理 | 通过将 AD 域控制器作为主 NIS 服务器,并同步 Unix 和 Windows 环境中的用户密码,UNIX 集成有助于在操作系统间建立不间断的用户访问和有效的网络资源管理。 |
新增特性和改进
Windows Server 2003 为 活动目录带来了许多改进,使其更加多样化、可靠和经济实惠。值得一提的是,Windows Server 2003 中的活动目录提供:
| • | 更加易于部署和管理。 |
| • | 更强的安全性。 |
| • | 提高的性能和可靠性。 |
更加易于部署和管理。
Windows Server 2003 提高了管理员在具有多个森林、域和站点的大型企业中有效地配置和管理活动目录的能力。同最初将目录服务引入 Windows 2000 Server 使相比,改进的迁移和管理工具、以及重新命名活动目录域的能力使活动目录部署变得更加轻松。改进的工具实现了拖放功能、多对象选择、以及保存和重复使用查询的能力。此外,对组策略的改进使在活动目录环境中管理用户组和计算机组变得更加轻松和有效。
| 优点 | 描述 |
ADMT 版本 2.0 | 通过对活动目录迁移工具(ADMT)的诸多改进,现在能够更加轻松地迁移活动目录。ADMT 2.0 现在允许从 Windows NT® 4.0 域到 Windows 2000 和 Windows Server 2003 域,或从 Windows 2000 域到 Windows Server 2003 域的口令的迁移。 |
重命名域 | 支持对当前森林中域的域名称系统 (DNS) 名称和/或与 NetBIOS 名称的更改,并且保证了森林仍然保持“良好结构”。管理员在部署活动目录结构后,拥有对其进行调整的更大的灵活性。可以对最初的设计方案进行修改,这使得企业在发生合并或重组时更容易改变现有的目录结构。 |
重定义计划 | 活动目录的灵活性得到了增强,可以在活动目录架构中禁用定义的属性和类。这样,在初始的定义中出现了错误时,属性和类可以被重新定义。 |
对组策略所作的改进 | Microsoft 将随 Windows Server 2003 一道推出一个新的组策略的管理解决方案,以便统一管理组策略。Microsoft 组策略管理控制台 (GPMC) 为管理全部关于组策略的任务提供了单一的解决方案。GPMC 使管理员可以在一个森林中的多个站点或域中来管理组策略,所有这些操作都通过一个支持拖曳功能的简化的用户界面 (UI) 进行。重点内容包括一些新的功能,如对于活动目录对象(GPO)的备份、恢复、导入、复制和报告。这些操作是完全脚本化的,从而使管理员可以实现自定义和自动的管理。这些优点使组策略更加易于使用,并帮助您更加经济高效地管理企业。 |
增强的用户界面 | 作为管理企业身份、对象以及关系的主要方法,管理界面的改进使得管理的效率和集成度被大大提升。 Microsoft 管理控制台 (MMC) 插件现包括拖曳功能,多对象选择功能,以及保存和重用查询的功能。管理员现在可以同时编辑多个用户对象,将访问控制列表 (ACL) 中的权限项重置为缺省值,显示某个安全主体的有效权限,并且标明对象权限是否从父对象处继承。 |
更加安全
更多的安全特性实现了更加轻松的多森林和跨域信任关系的管理。跨森林的信任关系是有别于现有 Windows 信任关系的新类型,它可以管理两个森林间的安全关系——大大简化了跨森林的安全管理以及验证。用户可以在不用牺牲单一登录功能的情况下,访问其他森林的资源,并且由于只需在用户所在的森林中维护它的用户 ID 和口令,因此管理也被大大的简化了。这对于一些需要在某些分公司或区域拥有自己森林的场景提供了更好的灵活性,同时也有利于对活动目录的维护。此外,Windows Server 2003 提供了一个新的凭证管理器来放置用户的凭证以及 X.509 证书。软件控制策略使得管理员可以阻止用户在网络中安装不被允许的程序。
| 优点 | 描述 |
跨森林验证 | 当用户账户位于一个森林而计算机账户位于另一个森林时,跨森林验证确保能够安全地访问资源。此特性允许用户在不牺牲单一登录机制的前提下通过使用 Kerberos 或 NTLM 来安全地访问另一个森林中的资源。 |
跨森林授权 | 跨森林授权跨森林授权使管理员可以更加轻松地将所信任的森林中的用户或组添加到本地组或访问控制列表 (ACL) 中。此特性在允许森林间信任的同时维护了森林安全边界的完整性。它使得信任森林在接收到来自于被信任的森林中用户访问其被保护的资源的企图时,通过控制哪些安全标识符 (SID) 可以接受来确保安全。 |
增强的交叉认证 | Windows Server 2003 客户端交叉认证功能通过启用部门级和企业级的交叉认证得到增强。例如,WinLogon 现在能够去查询交叉认证并将它们下载到“企业信任/企业存储”中。作为流程的一环,所有交叉认证都将被下载。 |
IAS 和跨森林验证 | 如果活动目录森林工作在跨森林模式下,并且有着双向信任关系,那么 Internet 验证服务/远程验证拨入用户服务(IAS/RADIUS)可以使用这个特性来验证用户账号。它使得管理员拥有了将森林中现存的 IAS/RADIUS 服务和新的森林集成在一起的能力。 |
凭证管理器 | 凭证管理器为用户凭证提供了一个安全的存储位置,包括口令和 X.509 证书。这将提供给用户一个统一的单点登录方式的体验,包括用户漫游。例如,当一个用户在其企业内部网络访问一个商业流程应用程序时,第一次对应用程序的访问是需要验证的,用户将被提示提供凭证。当用户已经提供了凭证后,它将和被请求的应用程序关联在一起,将来用户再访问这个应用时,已经保存的凭证将被再次使用而不会对用户进行提示。 |
软件限制策略 | 软件限制策略用来规范未知和不被信任的软件的使用。通过使用软件限制策略,您可以通过指定哪些软件可以运行来保护当前的计算机应用环境不被非信任的软件影响。您可以在 GPO 中对于某个软件定义一个缺省的安全级别:未加约束或者是不允许,从而控制它是否允许运行。同时也可以针对某些软件在缺省安全级别中添加额外规则。 |
提高的性能与可靠性
Windows Server 2003 能够更加有效地管理活动目录的复制与同步。无论是在域内还是在域间,管理员都可以更好地控制需要在域控制器间进行同步的信息类型。此外,活动目录提供了许多技术可以智能地选择只将那些发生了更改的信息进行复制,而不是机械地复制整个目录数据库。
| 优点 | 描述 |
在远程办公室更容易登录 | 在没有域控制器的分支机构可以通过缓存的凭证让用户登录而不是联系全局编录服务器,从而提高了系统性能并对不可靠的广域网连接而言更为强壮。在分支机构和全局编录间丢失连接不再会影响分支机构的用户登录。可以为分支机构提供更好的支持并减少了广域网连接上的带宽占用。 |
增强的组成员复制功能 | 某些目录信息不需要在全局范围内来提供。这个特性通过控制复制的范围和副本放置等方式,从而在不影响网络性能的前提下,提供了在活动目录中放置数据的能力。 |
应用程序目录分区 | 某些目录信息不需要在全局范围内来提供。这个特性通过控制复制的范围和副本放置等方式,从而在不影响网络性能的前提下,提供了在活动目录中放置数据的能力。 |
利用媒介安装副本 | 此特性使管理员在备份现有的域控制器或全局编录服务器时能够通过跟踪文件初始来源,而不是复制网络上一个活动目录数据库的完整副本。 |
改进的可靠性 | 活动目录包括了几个新特性来增强可靠性,比如健康监视器,这个功能允许管理员检验域控制器间的复制,全局编录的复制也被改进了,并且与 Windows 2000 相比,一个更新的站间复制拓扑发生器 (ISTG) 可以在拥有大量站点的森林中提供支持,从而增强了扩展性。 |