Windows 2003 Active Diretory全攻略（一）--目录服务

下面来看下AD中对象的属性：对象的主要功能就是记载网络上各种资源的相关信息，各对象还具有多重的属性。比如一个用户对象的属性存储了USERPASSWORD，SAMACCOUNTNAME，OBJECTGUID，LASTLOGON。。。

AD schema （有AD结构的意思），把对象进行归类，便出现了不同类的对象具有不同的属性，即是对象类别定义了对象包含的属性。为什么要这样做呢？原因如下：通过已定义属性对象类别来建立对象，可确保应用这个对象类别所产生的对象皆有相同的属性。比如：先定义好USER类别包含属性为“可读”，然后所有用户对象都是根据类别USER建立，则这些用户对象便有一组想同“可读”属性。SCHEMA本身是由“类别”和“属性”两种对象组成，对象类别与对象属性的定义统称为AD SCHEMA。同一属性可以在许多类别中使用，同一类别也可包含许多不同的属性。就比如青蛙跟鸟这两类。同一属性都具有生命。同一鸟类有些会唱歌有些不会。

组织单位OU（ORGANIZATIONAL UNIT），AD层次式树状结构主要是由域组成的，其实为了方便管理区域划分为更小的组织单位OU。也即是组织单位是一个容器对象。看下图：

其实这样做有三个好处：1、将域内的资源层次化，2、方便设置委派控制，委派控制是指系统管理员可将某组织单位的管理工作委托给指定的用户或组。3方便应用组策略，组策略可以控制计算机与用户的环境，包括安全策略、桌面设置等等，系统管理员可以将组策略应用在个别的组织单位。

注：组策略不是应用于组的。能够应用于站点、域、和组织单位，就是不能应用于组！

AD对象名称：用户是通过AD服务来访问目录中对象所对应的资源，所以要正确指定对象名，才能识别。以下为不同名称格式对应不同的场合。

1、SID（SECURITY ID)安全标识，在03中，有安全性主体，其中包括用户帐户、计算机帐户、与组等三种对象，给每个安全性主体一个独一无二的SID，在每一个对象中的ACL就记载了SID具有何种权限。

注：一般管理工作不会直接使用SID，但注意比如删除某帐户后再重新建立同名帐户时，新建的帐户就不会有原先帐户的权限了。这就是因为有着不同的SID了，权限设置要通过SID来判断身份的。。经常我们会复制系统时无法再加入域，就是复制的同时SID也变成同样了。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!