第07章域的組織和管理

1、域的組織和管理概述當(dāng)我們完成了域的建立工作后，馬上面臨的就是如何去管理域。因?yàn)樵赪indows 2000中域作為一個(gè)分布式的大型信息庫(kù)，里面的信息量是可能非常龐大的。在這里，我們把這個(gè)工作分為兩個(gè)部分，也可以認(rèn)為是兩個(gè)階段，就是組織和管理。組織的目的是讓域中的信息變得整齊有序，然后才能順利地完成對(duì)域的管理。在域中，組織的工具是組織單元Organizational Unit，而管理的工具是控制授權(quán)Delegation of Control。域的組織進(jìn)入一個(gè)域，就如同進(jìn)入了一個(gè)檔案庫(kù)。檔案庫(kù)絕對(duì)不會(huì)是亂作一團(tuán)，必然有各種檔案柜，檔案架，檔案夾等，將所有檔案存放得整整齊齊。我們當(dāng)然需要我們的域也是一

2、樣的有條理，否則肯定無(wú)法有良好的管理。域的組織，實(shí)際上就是對(duì)域中的對(duì)象的組織。域中的對(duì)象當(dāng)我們完成了域的建立工作以后，就可以開(kāi)始管理域中的對(duì)象了。我們使用的是Active Directory Users and Computers管理工具。打開(kāi)這個(gè)管理工具，我們看到是一個(gè)象硬盤的資源管理器的一樣的畫面，里面已經(jīng)有了很多東西。這些東西都是存放在域數(shù)據(jù)庫(kù)中的對(duì)象。我們可以在其中點(diǎn)擊鼠標(biāo)右鍵，選擇New，就可以看到我們能夠在域中創(chuàng)建的對(duì)象的種類。這些對(duì)象有：¨ Computer 加入到域中的使用Windows 2000/NT的計(jì)算機(jī)都有相應(yīng)著一個(gè)帳號(hào)，這個(gè)對(duì)象就在AD的數(shù)據(jù)庫(kù)中代表了這些計(jì)

3、算機(jī)¨ Contact 相當(dāng)于一種記錄個(gè)人信息的名片¨ Group 某類用戶的組織¨ Organizational Unit AD中的容器對(duì)象¨ Printer 在AD中發(fā)布的打印機(jī)¨ User 用戶對(duì)象，代表域中的用戶¨ Shared Folder 在AD中發(fā)布的共享文件夾這些都是Active Directory中定義的對(duì)象類型。當(dāng)然AD提供了完善的可擴(kuò)展性，用戶可以建立自己的對(duì)象。其他的一些服務(wù)，如Exchange Server 2000, ISA Server 2000等，都會(huì)在AD中建立自己的對(duì)象。對(duì)象的組織一個(gè)域可以是一個(gè)龐

4、大的數(shù)據(jù)庫(kù)，其中包含了大量各種類型的對(duì)象，包括用戶、組、計(jì)算機(jī)、打印機(jī)等內(nèi)置類型的對(duì)象，也可以包括用戶自己定義的對(duì)象。這么多的對(duì)象聚在一起，如果沒(méi)有一個(gè)合理的存放方式，就好像沒(méi)有文件柜和文件架的檔案庫(kù)，可以想象你根本無(wú)法找到你所需要的檔案。如何存放和組織這數(shù)量龐大的對(duì)象呢？在計(jì)算機(jī)中，有一種存放東西的方法是我們非常熟悉的。在我們的硬盤分區(qū)中，同樣存放了大量的檔案，也就是各種文件。我們用什么來(lái)組織這些文件呢？用的是樹(shù)型結(jié)構(gòu)的文件夾和子文件夾。文件系統(tǒng)結(jié)構(gòu)對(duì)于域中的對(duì)象，采用了同樣的結(jié)構(gòu)來(lái)組織，即樹(shù)型的對(duì)象容器和子容器，相當(dāng)于文件系統(tǒng)中的文件夾和子文件夾。這種結(jié)構(gòu)能夠清楚地分類和存放各種檔案，并且

5、最重要的是，這種方式是我們非常熟悉和能夠有效使用的方式，因?yàn)槲覀兌剂?xí)慣了用這種方式來(lái)組織我們的數(shù)量巨大的文件。這對(duì)于提高工作的效率是非常有好處的。域的組織結(jié)構(gòu)在文件系統(tǒng)中，組織的關(guān)鍵角色是文件夾，在域中，組織的關(guān)鍵角色就是組織單位Organizational Unit, 簡(jiǎn)稱為OU。OU的特性如果我們將整個(gè)Active Directory的數(shù)據(jù)庫(kù)看成是一個(gè)硬盤分區(qū)，那么OU就是這個(gè)分區(qū)上的文件夾。所以O(shè)U和文件夾是非常相似的。OU是Active Directory中的容器(Container)對(duì)象。所謂容器對(duì)象，就是說(shuō)其他的對(duì)象可以放在這個(gè)對(duì)象中。例如在AD中我們建立了一個(gè)用戶（User）對(duì)象

6、，起名叫Mike，這個(gè)對(duì)象就代表了域中的一個(gè)人。作為一個(gè)域中的對(duì)象，他必須被放在某個(gè)地方，這個(gè)地方就是一個(gè)容器。客氣一點(diǎn)講，我們可以說(shuō)這是這個(gè)人住的房間。一旦我們把這個(gè)人安排在了指定的房間，他就不可能出現(xiàn)在其他房間中了。其他的對(duì)象也是一樣的。所以對(duì)域中的任何一個(gè)對(duì)象，都必須位于一個(gè)指定的容器當(dāng)中。如果系統(tǒng)管理員將某個(gè)對(duì)象移動(dòng)到了另一個(gè)容器，則你在原來(lái)的容器中就看不到這個(gè)對(duì)象了。OU和文件夾的對(duì)比為了進(jìn)一步加深對(duì)OU的理解，我們將OU和文件夾做一個(gè)對(duì)比：¨ 他們都是各自系統(tǒng)中（Active Directory和文件系統(tǒng)）的容器，可以在里面放置其它對(duì)象¨ 他們都可以建立樹(shù)形的結(jié)

7、構(gòu)，文件夾中可以包含子文件夾，OU中可以包含子OU¨ 他們都是用來(lái)組織各自系統(tǒng)中的對(duì)象¨ 他們都是用類似的安全屬性對(duì)自己及內(nèi)部對(duì)象的訪問(wèn)進(jìn)行控制內(nèi)置的容器我們?cè)谔岬紸ctive Directory中的容器時(shí)，并沒(méi)有直接稱容器為OU，因?yàn)樵贏D中，除了OU外，還存在著少數(shù)幾個(gè)特殊的容器對(duì)象。它們不是OU，但它們也是容器。這些容器是Active Directory中系統(tǒng)內(nèi)置的容器對(duì)象，各自有特定的用途。內(nèi)置的容器對(duì)象主要有以下幾個(gè)：¨ Builtin 存放了一組內(nèi)置的Local Group對(duì)象，如Administrators Group, Users Group, G

8、uests Group等¨ Computers 存放所有加入到域中的計(jì)算機(jī)的Computer帳戶對(duì)象¨ Users 缺省存放所有用戶對(duì)象的容器，內(nèi)有一些內(nèi)置的用戶對(duì)象和域中的Global Group對(duì)象，如Domain Admins Group, Domain Users Group, Domain Guests Group等除了這幾個(gè)內(nèi)置容器以外，其他的容器就都是OU了。一般情況下OU都是用戶自己建立的，除了有一個(gè)OU。這個(gè)OU的名字是Domain Controllers，其中存放的是域中的所有域控制器DC的計(jì)算機(jī)帳戶對(duì)象。這個(gè)OU是在建立域的時(shí)候由系統(tǒng)自動(dòng)建立的。實(shí)際上

9、在AD中還有一些隱藏的容器，平時(shí)看不見(jiàn)，但是當(dāng)你在View菜單中選擇Advanced Features后，這些容器就會(huì)出現(xiàn)在域中。¨ LostAndFound 某些系統(tǒng)無(wú)法處理的對(duì)象會(huì)移到此容器中¨ System 存放所有系統(tǒng)對(duì)象的容器建立OU OU的建立和配置非常簡(jiǎn)單，操作如下：1. 打開(kāi)Active Directory Users and Computers2. 在域中或任何一個(gè)OU中，點(diǎn)擊鼠標(biāo)右鍵，選擇Organizational Unit3. 輸入OU的名字域的管理我們建立Organizational Unit的第一個(gè)目的，是為了將Active Directory中

10、的對(duì)象組織起來(lái)，就像面對(duì)一個(gè)巨大的檔案庫(kù)，你必須使用各種檔案柜和檔案袋一樣，這樣才能清楚地管理檔案?，F(xiàn)在這第一個(gè)目的已經(jīng)達(dá)到了，但是組織的下一個(gè)目標(biāo)是什么呢？是為了更好的管理。和NTFS文件系統(tǒng)中的文件夾類似，OU也可以配置訪問(wèn)的權(quán)限（Permission）。每個(gè)OU都有自己的訪問(wèn)控制列表（Access Control List, ACL），其中記錄了用戶對(duì)此OU，對(duì)OU中的對(duì)象，以及繼承到下級(jí)OU的各種權(quán)限。管理實(shí)際上就是對(duì)訪問(wèn)權(quán)限的設(shè)置。Delegation of Control在AD中，管理OU的一個(gè)主要目的就是為了分權(quán)。在一個(gè)很大的域中，如果讓administrator一個(gè)人來(lái)做所有的

11、維護(hù)工作是很困難的，工作量大必然會(huì)造成響應(yīng)的延遲，降低工作效率。OU的建立為解決這個(gè)問(wèn)題提供了一個(gè)有效的方法。例如，在公司中有一個(gè)比較大的部門是銷售部門，由于人數(shù)較多，所以日常的管理工作也比較多。這個(gè)部門有自己的IT支持人員。在AD中，為這個(gè)部門建立了一個(gè)OU，名字叫Sales Department?，F(xiàn)在所謂控制授權(quán)（Delegation of Control）的意思就是要將對(duì)于Sales Department OU的管理工作交給這個(gè)部門自己的IT人員，這樣在這個(gè)OU中建立新的用戶，修改和刪除用戶信息，建立和管理其它對(duì)象等工作，包括郵箱的建立，都可以由這個(gè)人完成，不必再要求域的管理員來(lái)響應(yīng)了。

12、Delegation of Control實(shí)質(zhì)上就是OU訪問(wèn)權(quán)限的賦予。例如要授權(quán)某人可以在OU中建立新的用戶，那就是要給于這個(gè)人在OU中新建用戶對(duì)象的權(quán)利；如果要委托某人全權(quán)管理某個(gè)OU，則要給這個(gè)人在OU中更大的權(quán)限直至完全控制。Delegation of Control WizardAD為授權(quán)提供了一個(gè)專門的工具，叫做Delegation of Control Wizard。這個(gè)工具可以用來(lái)幫助域管理員方便快捷地完成常用的授權(quán)工作。在OU上點(diǎn)擊鼠標(biāo)右鍵，選擇Delegate Control，這個(gè)Wizard就開(kāi)始運(yùn)行。首先需要指定要授予管理權(quán)限的對(duì)象，也就是OU的被授權(quán)的管理員。在Wiz

13、ard中，提供了幾類常用的授權(quán)，包括：¨ Create, delete and manage user accounts¨ Reset passwords on user accounts¨ Read all user information¨ Create, delete and manage groups¨ Modify the membership of a group¨ Manage group policy links從名字上來(lái)看，這些授權(quán)的目的是很清楚的，這些授權(quán)基本上能夠滿足一般要求。如果需要賦予一些特殊的權(quán)限，那么就需

14、要選擇Create a custom task delegate。使用這種方式授權(quán)，就需要對(duì)Active Directory的安全管理機(jī)制有更深入的了解。Active Directory安全機(jī)制在Delegation of Control Wizard中修改的結(jié)果，最終體現(xiàn)在OU和OU內(nèi)包含的對(duì)象的安全性控制上，也就是對(duì)象的訪問(wèn)控制列表ACL中。AD中使用的安全控制方式和NTFS文件系統(tǒng)中的安全方式完全相同，只存在著一些細(xì)節(jié)上的差別。訪問(wèn)控制（Access Control）的概念在訪問(wèn)控制中，有一些重要的概念需要了解：¨ Security Principle安全主體 Security

15、 Principle指的是AD中用戶，組，計(jì)算機(jī)和服務(wù)。這幾個(gè)對(duì)象都有帳戶（Account）。我們可以給Security Principle賦予權(quán)限。¨ Security Identifier（SID） SID是每個(gè)安全主體都具有的一個(gè)屬性，用于在安全控制時(shí)標(biāo)識(shí)這個(gè)安全主體。SID是一個(gè)數(shù)字，每個(gè)SID在森林中是唯一的。SID存放在每個(gè)對(duì)象的Object-SID屬性中。在Windows 2000中，所有的對(duì)象都有自己的GUID。由于GUID比SID更能夠保證唯一性，所以AD中用來(lái)標(biāo)識(shí)對(duì)象。之所以在安全控制中沒(méi)有使用GUID而采用了SID，米的是為了保持和Windows NT 4.0的

16、兼容，因?yàn)樵贜T 4中使用的是SID。¨ Security Descriptor 這是位于AD對(duì)象中的用來(lái)完成安全控制的一個(gè)數(shù)據(jù)結(jié)構(gòu)。在Security Descriptor中的信息包括用SID來(lái)指定的本對(duì)象的所有者（Owner），用于控制用戶訪問(wèn)權(quán)限的DACL，和用于系統(tǒng)審核的SACL。Access Control Settings配置窗口在AD的對(duì)象上單擊鼠標(biāo)右鍵，選擇Properties，然后在對(duì)象的屬性窗口的Security頁(yè)中，點(diǎn)擊Advanced按鈕，就可以打開(kāi)Access Control Settings窗口。這個(gè)窗口實(shí)際上就是Security Descriptor的表

17、現(xiàn)，上面的三個(gè)屬性頁(yè)P(yáng)ermissions, Auditing和Owner分別代表了Security Descriptor中的DACL, SACL和Owner。注意：屬性窗口中的Security頁(yè)只在選擇了View菜單的Advanced Features項(xiàng)后才會(huì)出現(xiàn)。訪問(wèn)控制列表在AD中的每個(gè)對(duì)象，包括OU，都有兩個(gè)訪問(wèn)控制列表，分別為DACL（Discretionary Access Control List）和SACL（System Access Control List）。DACL用于指定用戶對(duì)本對(duì)象的各種權(quán)限，分為Allow和Deny兩種情況。在AD對(duì)象的屬性頁(yè)的Security屬性中

18、，點(diǎn)擊Advance按鈕，就可以看到DACL。實(shí)際上這就是Access Control Settings窗口的Permissions頁(yè)。Access Control Settings窗口（DACL）DACL由多行組成，每一行定義了一種訪問(wèn)控制，稱為一個(gè)ACE（Access Control Entry）。每個(gè)ACE包含以下的值：¨ ACE的類型，即Allow或Deny¨ SID，指定此ACE的作用對(duì)象，一般為用戶或組的SID¨ 訪問(wèn)掩碼，指定訪問(wèn)的權(quán)限¨ 繼承標(biāo)志，指定此ACE的繼承方式雙擊Access Control Settings窗口的Permiss

19、ions頁(yè)面中的任何一條ACE，就可以編輯這條ACE的詳細(xì)信息。在此處要注意的是這個(gè)ACE的作用范圍（Apply onto）。作用范圍可以分為兩類，一般作用范圍和對(duì)象作用范圍。不同的作用范圍有不同的可配置權(quán)限。一般作用范圍通常有兩種情況，容器對(duì)象和非容器對(duì)象。相對(duì)于非容器對(duì)象，容器對(duì)象如OU和文件夾有一些容器特有的可分配權(quán)限，如列出容器中的對(duì)象，在容器中建立和刪除對(duì)象等。一般作用范圍常見(jiàn)的包括：¨ This object only¨ This object and all child objects¨ Child objects only對(duì)象作用范圍可以有進(jìn)一步的

20、權(quán)限管理，可以作用到某一類對(duì)象，或?qū)ο蟮哪硞€(gè)屬性或?qū)傩约?。例如?duì)于OU，我們可以將某權(quán)限的范圍限定在OU中的所有用戶（User）對(duì)象。¨ User objects¨ Contact objects¨ Computer objects¨ Computer policy objects¨ Group objects¨ GroupPolicyContainer Objects還有更多的作用范圍都各有自己特定的用途，并且隨著更多的軟件使用AD來(lái)存放信息，它們會(huì)在AD中建立自己的對(duì)象，同時(shí)也會(huì)出現(xiàn)它們特定的作用范圍。權(quán)限的繼承Windows 2

21、000在權(quán)限方面相對(duì)于以前的Windows NT 4.0最大的一個(gè)變化是現(xiàn)在的權(quán)限是可以繼承的了。所謂繼承，就是在父容器中設(shè)置的權(quán)限可以作用到子容器和子容器包含的對(duì)象上。權(quán)限的繼承只出現(xiàn)在容器的權(quán)限設(shè)置上，因?yàn)榉侨萜鲗?duì)象是最末端的對(duì)象，不再包含子對(duì)象，所以也沒(méi)有向下繼承權(quán)限的必要。當(dāng)然它可以從所在容器及上級(jí)容器中繼承設(shè)置的權(quán)限。權(quán)限的可繼承性大大方便了對(duì)系統(tǒng)的管理。前面已經(jīng)說(shuō)到，所謂權(quán)限的管理，實(shí)際上就是由一組針對(duì)用戶或組設(shè)置了不同權(quán)限的ACE組成，這些ACE位于對(duì)象的DACL中并控制著對(duì)此對(duì)象的訪問(wèn)。也就是說(shuō)，每個(gè)對(duì)象只受到對(duì)象自己所帶的Security Descriptor中的DACL中A

22、CE列表的控制。那么繼承是如何實(shí)現(xiàn)的呢？This object and all child objects之類的作用范圍又如何起作用呢？實(shí)際上這都由Apply onto指定的作用范圍決定。每個(gè)ACE在建立（定義）時(shí)，都需要指定一個(gè)作用范圍并作為ACE的組成部分之一。我們來(lái)看看不同作用范圍的不同結(jié)果。Permission Entry窗口（ACE）如果我們?cè)诟咭患?jí)的一個(gè)OU上新建了一個(gè)ACE（通過(guò)OU的屬性窗口->Security屬性頁(yè)的Advanced按鈕->Access Control Settings窗口->Permissions屬性頁(yè)的Add按鈕），選擇的Apply on

23、to是This object only，則系統(tǒng)只在此OU的DACL中增加了一條ACE，此ACE只對(duì)這個(gè)OU起作用。如果我們?cè)谶@個(gè)OU上建立一條新的ACE，這次的Apply onto是This object and all child objects，系統(tǒng)首先也是在此OU的DACL增加了一條ACE，然后由于這條ACE的作用范圍是所有的子對(duì)象，所以在此OU包含的所有對(duì)象（包括所有子OU及其中的對(duì)象）的DACL中，都會(huì)增加一條ACE。所以控制對(duì)象安全的仍然是對(duì)象自己的DACL中的ACE，只不過(guò)這條ACE是從上級(jí)對(duì)象復(fù)制過(guò)來(lái)的。這就是繼承的真相。同樣如果Apply onto是Child objects

24、 only，結(jié)果也是一樣的，只不過(guò)這條ACE雖然位于建立它的OU的DACL中，但是受作用范圍的限制，它不影響此OU，只影響此OU包含的所有對(duì)象。那么作用范圍是User objects呢？結(jié)果是OU及所有子對(duì)象的DACL中都會(huì)增加這一條ACE，但是只有當(dāng)對(duì)象類型是User時(shí)，ACE才起作用。對(duì)于非User對(duì)象，雖然它的DACL中也有這條ACE，但是此ACE被忽略。繼承自上級(jí)對(duì)象的ACE在子對(duì)象中是不能修改的，我們?cè)贏CL中看到的這些ACE是灰色的。要修改這些ACE，必須在建立它們的對(duì)象上修改，然后修改的結(jié)果，也就是新的ACE，會(huì)被復(fù)制到所有子對(duì)象并替換原來(lái)的ACE。刪除操作也是一樣的情況。那么在

25、AD中新建一個(gè)對(duì)象又會(huì)發(fā)生什么情況呢？首先在Schema中存放的對(duì)象定義中，包含了一個(gè)缺省的Security Descriptor，其中有一些預(yù)先定義的好的ACE。建立新的AD對(duì)象時(shí)，首先從建立它的進(jìn)程中獲得DACL，然后再檢查它所在的容器對(duì)象，從容器對(duì)象的DACL中復(fù)制所有可被繼承的ACE，最后再?gòu)腟chema中定義的缺省DACL中復(fù)制ACE。所以一般我們可以看到新建的對(duì)象的DACL都非常龐大。權(quán)限的繼承并非完全一路到底的，有一個(gè)設(shè)置和能否繼承相關(guān)。在OU對(duì)象的屬性窗口的Security屬性頁(yè)中，有一個(gè)Allow inheritable permissions from parent to

26、propagate to this object選項(xiàng)。如果這一選項(xiàng)沒(méi)有選擇（unchecked），則此OU不再繼承來(lái)自上級(jí)的權(quán)限，繼承鏈在此斷開(kāi)。此OU的下級(jí)對(duì)象只繼承來(lái)自此OU的權(quán)限，而不管再上級(jí)的權(quán)限了。這一選項(xiàng)在Access Control Settings窗口的下段也有，它們是同一個(gè)設(shè)置。另外還有一個(gè)設(shè)置和繼承相關(guān)，在編輯OU的每個(gè)ACE的窗口(Permission Entry窗口)下端，有一個(gè)Apply these permissions to objects and/or containers within this container only選項(xiàng)。這一選項(xiàng)是用來(lái)控制ACE的作用

27、范圍的。選擇了這個(gè)選項(xiàng)的ACE只能作用到OU的直接下級(jí)對(duì)象，包括OU和其他對(duì)象，但是不再往更下級(jí)傳遞。這個(gè)ACE復(fù)制到下級(jí)OU后，作用范圍就辦成了This object only。文件系統(tǒng)前面提到的都是在AD中的權(quán)限的設(shè)置和繼承，在此我們順便回憶一下文件系統(tǒng)。文件系統(tǒng)的權(quán)限設(shè)置的工作原理和AD的上的工作原理是完全類似的，區(qū)別在于具體的權(quán)限設(shè)置和作用范圍略有不同。NTFS的文件權(quán)限遠(yuǎn)沒(méi)有AD多，因?yàn)锳D中對(duì)象的管理權(quán)限會(huì)不斷增加，尤其在安裝了其他使用AD的軟件，如Exchange 2000等以后。因?yàn)檫@些軟件將它們自己的對(duì)象也存放到了AD中，AD就一視同仁進(jìn)行管理。文件權(quán)限的作用范圍同樣不太一樣

28、，主要有：¨ This folder only¨ This folder, subfolder and files¨ This folder and subfolders¨ This folder and files¨ Subfolders and files only¨ Subfolders only¨ Files only我們可以對(duì)照前面的內(nèi)容和這些設(shè)置清楚地了解它們的作用方式。OU的規(guī)劃Organizational Unit是我們用來(lái)建立域中的組織結(jié)構(gòu)的工具，OU的建立直接構(gòu)成了域的結(jié)構(gòu)。所以我們必須有建立OU的詳細(xì)規(guī)劃。OU的特點(diǎn)我們先來(lái)回顧一下OU的特點(diǎn)：¨ OU可以嵌套，即OU中可以包含子OU¨ OU可以用于管理授權(quán)和訪問(wèn)控制¨ OU不是安全主體，雖然OU中包含對(duì)象，但是我們不能給OU賦予訪問(wèn)其它對(duì)象的權(quán)限¨ 組策略和OU關(guān)聯(lián)，組策略關(guān)聯(lián)的對(duì)象是Site, Domain和OU，關(guān)于組策略在后續(xù)章節(jié)講解OU的目的不是讓用戶查看對(duì)象。雖然OU象文件夾一樣可以讓用戶清楚地查找對(duì)象