添加的内容 删除的内容
无编辑摘要 |
小 (机器人:清理不当的来源、移除无用的模板参数) |
||
(未显示另一用户的1个中间版本) | |||
| 第53行: | 第53行: | ||
=== Global Catalog === |
=== Global Catalog === |
||
在AD的实体结构中,最重要的角色非Global Catalog<ref>{{Cite web |url=http://technet.microsoft.com/en-us/library/cc728188.aspx |title=Global Catalogs |accessdate=2009-01-04 |
在AD的实体结构中,最重要的角色非Global Catalog<ref>{{Cite web |url=http://technet.microsoft.com/en-us/library/cc728188.aspx |title=Global Catalogs |accessdate=2009-01-04 }}</ref>(全域目录,简称GC)莫属,它储存了最完整的Active Directory的结构资料,也是以目录为主(directory-enabled)的应用程式对AD的查詢的主要标的,而通常在不同的地理位置(例如在中国大陆、中国台湾、美国和英国各有分公司,且各有网域)時,GC扮演了重要的快取结构角色,若台湾的员工出差到英国分公司,并试图登入网域時,Windows会先搜尋最近的Global Catalog Server(由DNS设定提供),若找不到時,才会链接到其他地区的GC,但若分公司的网络很慢時,這种跨地理位置的AD资料存取会直接影響到登入的時间,因此謹慎的GC的布署对AD的推行是很重要的。 |
||
=== Operation Masters === |
=== Operation Masters === |
||
[[营运主机]](Operation Masters,又称为Flexible Single Master Operation,即[[FSMO]])<ref>{{Cite web |url=http://technet.microsoft.com/en-us/library/cc779716.aspx |title=Operation Masters |accessdate=2009-01-04 |
[[营运主机]](Operation Masters,又称为Flexible Single Master Operation,即[[FSMO]])<ref>{{Cite web |url=http://technet.microsoft.com/en-us/library/cc779716.aspx |title=Operation Masters |accessdate=2009-01-04 }}</ref>是被设定为担任提供特定角色资訊的网域控制站,在每一个Active Directory网域中,至少会存在三种营运主机的角色。 |
||
* Primary Domain Controller Emulator Master:设定作为這个角色的网域控制站,可以被目前仍存在网域中的Windows NT Backup Domain Controller(备份网域控制站)当做Primary Domain Controller (主要网域控制站)来呼叫使用,同時它也是樹系中提供Windows Time Service時间同步的主机。 |
* Primary Domain Controller Emulator Master:设定作为這个角色的网域控制站,可以被目前仍存在网域中的Windows NT Backup Domain Controller(备份网域控制站)当做Primary Domain Controller (主要网域控制站)来呼叫使用,同時它也是樹系中提供Windows Time Service時间同步的主机。 |
||
| 第182行: | 第182行: | ||
=== 联合服务 === |
=== 联合服务 === |
||
由于AD本身具有可分散式的身份驗證与授权能力,且在2003年時Web正吹起了单一簽入(single-sign on)的架构研究风,微软也开始利用AD来设计一个可支援多个网站(或应用程式)的单一簽入功能,其实作品即为Active Directory Federation Services(AD联合服务,简称ADFS),它顯露了几个主要成员<ref>{{Cite web |url=http://technet.microsoft.com/zh-tw/library/cc772593.aspxActive |title=Directory Federation Services概觀 |accessdate=2009-01-04 |
由于AD本身具有可分散式的身份驗證与授权能力,且在2003年時Web正吹起了单一簽入(single-sign on)的架构研究风,微软也开始利用AD来设计一个可支援多个网站(或应用程式)的单一簽入功能,其实作品即为Active Directory Federation Services(AD联合服务,简称ADFS),它顯露了几个主要成员<ref>{{Cite web |url=http://technet.microsoft.com/zh-tw/library/cc772593.aspxActive |title=Directory Federation Services概觀 |accessdate=2009-01-04 }}</ref>: |
||
* Federation Service:负责在ADFS的SSO架构中处理驗證的伺服器。 |
* Federation Service:负责在ADFS的SSO架构中处理驗證的伺服器。 |
||
| 第192行: | 第192行: | ||
=== 轻量级服务 === |
=== 轻量级服务 === |
||
轻量级服务(Lightweight Directory Service)<ref>{{Cite web |url=http://technet.microsoft.com/zh-tw/library/cc754361.aspxActive |title=Directory轻量型目录服务概觀 |accessdate=2009-01-04 |
轻量级服务(Lightweight Directory Service)<ref>{{Cite web |url=http://technet.microsoft.com/zh-tw/library/cc754361.aspxActive |title=Directory轻量型目录服务概觀 |accessdate=2009-01-04 }}</ref>在Windows Server 2003中被称为Active Directory Application Mode(ADAM),它是一个不需要与AD基礎架构整合就可以独立运作的目录服务,適合用来表现企业的阶層化概念与物件的管理,而且开发人员只要把使用ADSI的經驗搬过来即可使用,不必另外学习ADAM的操作方法,它也可以作为ADFS的外部驗證提供者。轻量级目录可以在同一台电脑中安裝多个执行个体,因此也很適合用ADAM来实作Directory-Enabled的应用程式,尤其是与组织结构相关的(例如人事或人力资源系统),ADAM本身也可以延伸schema,开发人员可以将ADAM视为另一种型式的资料库,也可以由AD中复制资料到ADAM,不过ADAM不会对AD进行站台复制,开发人员需要自行撰寫程式来复制资料。 |
||
轻量级服务在Windows Server 2008中改名为Active Directory Lightweight Directory Service(简称AD LDS),并提升为AD的应用角色之一。 |
轻量级服务在Windows Server 2008中改名为Active Directory Lightweight Directory Service(简称AD LDS),并提升为AD的应用角色之一。 |
||
=== 憑證服务 === |
=== 憑證服务 === |
||
憑證服务(Certificate Service)<ref>{{Cite web |url=http://technet.microsoft.com/zh-tw/library/cc731564.aspxActive |title=Directory憑證服务概觀 |accessdate=2009-01-04 |
憑證服务(Certificate Service)<ref>{{Cite web |url=http://technet.microsoft.com/zh-tw/library/cc731564.aspxActive |title=Directory憑證服务概觀 |accessdate=2009-01-04 }}</ref>是在Windows Server 2008中首次纳入Active Directory体系的服务,它原本是在Windows 2000与Windows Server 2003的憑證伺服器(Certificate Server),用来建立企业中的[[公开金鑰基礎建设]],在Windows Server 2008中,憑證和AD物件有了更强更緊密的整合,所以有了Active Directory Certificate Service(AD CS)的角色,這个角色还可以和权限管理的Right Management Service(RMS)整合在一起,提供对文件或应用程式層次的权利管理。 |
||
=== 权利管理服务 === |
=== 权利管理服务 === |
||
权利管理服务(Right Management Service)<ref>{{Cite web |url=http://technet.microsoft.com/zh-tw/library/cc771627.aspxActive |title=Directory Rights Management Services概觀 |accessdate=2009-01-04 |
权利管理服务(Right Management Service)<ref>{{Cite web |url=http://technet.microsoft.com/zh-tw/library/cc771627.aspxActive |title=Directory Rights Management Services概觀 |accessdate=2009-01-04 }}</ref>也是在Windows Server 2008中首次纳入Active Directory体系的服务,最早的時候,它是在[[Microsoft Office|Microsoft Office 2003]]开始提出的资訊权利管理(Information Right Management)功能,可利用它来控制Office文件散布時的权限,例如列印以及储存檔案等,接著微软发表了Right Management Server以及RMS SDK,供Windows Server 2003平台使用,而在Windows Server 2008中即将它整合到Active Directory中,變成AD服务的一部份。 |
||
== 整合Unix到Active Directory中 == |
== 整合Unix到Active Directory中 == |
||
| 第209行: | 第209行: | ||
一个替代选项是使用其他的目录服务,像是[[Fedora]] Directory Server(之前的Netscape Directory Server)或是[[Sun]]的Java System Directory Server,它可以执行与Active Directory双向同步化,进而在需要使用FDS驗證的Unix与Linux平台与需要使用Windows驗證的Windows用户端之间,提供一个与Active Directory之间'''轉向'''(deflected)的整合。另一个选项是使用[[OpenLDAP]]以及它的透通覆盖(translucent overlay)功能得以延伸项目于使用額外属性储存在本地资料库的任何远端LDAP伺服器上。在本地资料库中指示的用户端将会看到包含在远端和地的属性,当远端资料库仍保持完整不變的情況下。 |
一个替代选项是使用其他的目录服务,像是[[Fedora]] Directory Server(之前的Netscape Directory Server)或是[[Sun]]的Java System Directory Server,它可以执行与Active Directory双向同步化,进而在需要使用FDS驗證的Unix与Linux平台与需要使用Windows驗證的Windows用户端之间,提供一个与Active Directory之间'''轉向'''(deflected)的整合。另一个选项是使用[[OpenLDAP]]以及它的透通覆盖(translucent overlay)功能得以延伸项目于使用額外属性储存在本地资料库的任何远端LDAP伺服器上。在本地资料库中指示的用户端将会看到包含在远端和地的属性,当远端资料库仍保持完整不變的情況下。 |
||
[[Samba|Samba 4]],在2012年12月11日发布的 Samba 4<ref>{{Cite web |url=https://www.samba.org/samba/history/samba-4.0.0.html |title=Samba4.0 Release |accessdate=2017-10-10 |
[[Samba|Samba 4]],在2012年12月11日发布的 Samba 4<ref>{{Cite web |url=https://www.samba.org/samba/history/samba-4.0.0.html |title=Samba4.0 Release |accessdate=2017-10-10 }}</ref>中包含了一个Active Directory相容伺服器。 |
||
== 参考文献 == |
== 参考文献 == |
||