C# 操作Active Directory 第一部分

北大青鸟中关村软件园地址：北京市海淀区上地信息路甲28号科实大厦B座3层（B305）C#操作ActiveDirectory第一部分活动目录将成为企业基础架构的根本，所有的高级服务都会向活动目录整合，以利用其统一的身份验证、安全管理以及资源公用。活动目录的首要任务或者说主要目标是客户端的安全管理，然后是客户端的标准化管理。活动目录、域及组策略活动目录、域和组策略在很多用户那里都有所运用，如果刚开始接触这些内容时难免会觉得很复杂，这主要是因为专业名词太多，同时也许个人心理因素上存在畏难情绪，因此，在和客户交流过程中，有些发蒙，觉得底气不足，无法和客户继续沟通下去，也就无法了解客户企业完整的网络架构，那就无法从客户的实际环境出发，帮助客户提出一个完备的解决方案。因此，今天我在这里对一些专业术语、易混淆的地方以及难点的地方做一简单诠释。活动目录活动目录存储整个网络上资源的信息，便于用户查找、管理和使用这些资源。活动目录是Windows2000网络中的目录服务。它存储关于网络资源的信息，并使用户或应用程序可以访问这些资源。活动目录使物理网络拓扑和协议透明化，这样网络上的用户可以访问任何资源，而不需要知道资源在什么地方，或物理上它是如何连接到网络上的。以前我们访问网络资源，一是通过网上邻居，选择某个工作组，进入你所要访问的计算机，并且还需要目标计算机的用户名和密码才能访问上面的资源。或者通过IPC$，输入目标计算机的IP地址和访问盘符，但是同样需要目标计算机的用户名和密码。而通过活动目录，管理员可以把分布在网络各处各台计算机上的资源，比如打印机、共享文件，分门别类的放在一起。活动目录提供对网络资源集中控制，允许用户只登录一次就可以访问整个活动目录的资源了。用户打开网络邻居，所见到的不再是计算机，而是一个个目录文件夹形式：放着打印机资源的目录文件夹名称叫做打印机，技术部门的所有共享文件放在一个称做技术资料的目录文件夹中。这就是活动目录名字的由来。活动目录的对象代表网络资源，如用户、组、计算机和打印机。而且，网络中所有的服务器、域和站点都作为对象。因为活动目录代表了所有网络资源，只需要一个管理员就可以管理这些资源。名词解释：轻型目录访问协议（LightweightDirectoryAccessProtocol,LDAP）LDAP是用于查询和更新活动目录的目录服务协议。它表明，一个活动目录对象可以由一系列域组件，OU和普通名字来代表，它们组成了活动目录中的命名路径。包括标识名和相对标识名。标识名确定了对象所在的域和可以找到对象的完整路径。比如：yanyi.technology.centerm.com就是一个标识名，在LDAP中表示为CN=yanyi，OU=technology，DC=centerm，DC=com。名字属性描述DC域组件DNS名字的域组件，如comOU组织单元用来包容其他对象的容器CN普通名字除了DC和OU的所有对象，如用户和计算机对象域（Domain）域是活动目录中逻辑结构的核心单元。一个域包含许多台计算机，它们由管理者设定，共用一个目录数据库。一个域有一个唯一的名字，给那些由域管理者集中管理的用户帐号和组帐号提供访问通道。北大青鸟中关村软件园地址：北京市海淀区上地信息路甲28号科实大厦B座3层（B305）安全边界（SecutoryBOUndary）在Windows2000网络中，域起着安全边界的作用。安全边界的作用就是保证域的管理者只能在该域里有必要的管理权限。每个域都有自己的安全策略和与其他域的安全联系方式。复制单元（UnitofReplication）域同时也是一个复制单元。在域中，作为域控制器的计算机包含活动目录的副本。在一个域中，所有域控制器都能够得到活动目录中的变化信息，并把这些变化复制给该域中的其它控制器。（在一个域中，一般都会有两个域控制器，称做DC）。组织单元（OrganizationalUnits.OU）一个组织单元就是一个可以把对象组织到一个域内的容器对象。一个OU可以包含的对象有用户帐号，组，计算机，打印机和其它OU。OU的引入，可以帮助建立基于管理责任的网络管理模型。例如，一个组织可以由一个管理员来负责所有用户的帐户，由另一个管理员负责所有计算机。因此，在这个事例中，可以分别建立一个用户OU和一个计算机OU。另外，我们可以对不同的OU设置不同的组策略进行管理。组策略（GroupPolicy）生产上的损失经常是由于用户错误产生的。通过使用组策略来减少用户环境的复杂性，并减小用户不正确得配置这些环境的可能性，可以提高生产率并减少网络所需的技术支持，从而，降低了物主的总体拥有成本。这也是我们推行Windows终端一直强调的要点，所以，终端和组策略紧密配合，将提高我们工作效率，增强对客户的说服力。因此，掌握组策略，对我们而言是很重要的。组策略可以应用在整个网络中，也可以仅将它应用在某个特定的用户或计算机小组上。组策略的设置类型包括：管理模板。用户可以获得访问的操作系统的组件和应用程序、控制面板的访问权限以及用户离线文件的控制。安全性。即配置本地计算机、域以及网络安全性设置的设置。例如密码策略、IP策略等。软件安装。即软件安装、升级、卸载的集中化管理的设置。命令。即当Windows2000运行特定命令时的指定设置。当计算机开机、关机或者当用户登录或退出登录时可以指定命令。远程安装服务。即当运行远程安装服务（RIS）的远程安装向导时控制用户可能的选项设置。InternetExplorer维护。管理和定制基于Windows2000计算机的InternetExplorer设置。文件夹重定向。即在网络服务器上存储用户个性化文件夹的位置。这些设置在个性化里创建一个和网络共享文件夹的连接，但文件夹在本地显示。用户可以在网络中的任何一台计算机上对该文件夹进行访问。组策略包括计算机的组策略设置和用户的组策略设置。计算机相关的组策略应用在操作系统初始化和周期性更新循环过程中。用户相关的组策略应用在用户登录计算机和周期性更新循环过程中。GPO称做组策略对象。组策略的继承性组策略的继承性包括Windows2000在活动目录中处理GPO的顺序，以及在连接到北大青鸟中关村软件园地址：北京市海淀区上地信息路甲28号科实大厦B座3层（B305）母容器的GPO中的组策略的继承性。组策略的执行GPO的顺序是建立在GPO所连接的活动目录容器的基础上的。GPO首先应用于离用户和计算机最远的站点上，然后应用于域，最后是OU。因此，作为成员的用户和计算机的OU的组策略设置是最后执行的组策略设置。默认GPO是被继承的。继承流程是沿着活动目录从站点到域然后到OU。如果一个域中存在多个组策略，那么就很有可能出现组策略设置间存在冲突问题。大多数场合下，计算机设置高于用户设置。当冲突发生时，确定执行哪个组策略设置的原则：来自母容器的GPO设置和来自子容器的GPO设置冲突。这种情况下，子容器的设置后执行而发挥作用。连接到同一容器上的不同GPO设置发生冲突。这种情况下，在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用。当然，通过改变GPO列表的顺序，可以改变最终发挥作用的GPO设置。组策略回送处理模式（LoopbackProcessingMode）组策略以某种方式应用于用户或计算机，而这种方式取决于用户和计算机对象位于ActiveDirectory中的什么位置。但在某些情况下，用户可能需要仅根据计算机对象的位置来应用策略。要想仅根据用户登录到哪个计算机来应用组策略对象(GPO)，可以使用组策略回送处理模式。该策略将指示系统把该计算机的GPO集合应用于登录到受该策略影响的计算机的所有用户。该策略特别适用于特殊用途的计算机，在这些地方，必须根据使用的计算机来修改用户策略，例如，位于公共场合、实验室和教室中的计算机。当用户在自己的工作站上工作时，可能希望根据用户对象的位置来应用组策略设置。因此，以用户帐户所在的组织单元(OU)为单位来配置策略设置。但是，有可能出现这样的情况：计算机对象驻留在指定的OU中，而且根据计算机对象而不是用户对象来应用策略中的用户设置。根据正常的组策略处理过程的指定，OU中的计算机是在计算机启动期间按顺序来应用GPO的。而OU中的用户则是在登录期间按顺序来应用GPO的，这与他们登录的是哪个计算机无关。某些情况下，该处理顺序可能是不合适的，例如，一些应用程序已被指派或发布给在某些OU中的用户，但当他们登录到在某个特定OU中的计算机时，您并不想让这些应用程序安装在该计算机上。使用组策略回送处理支持功能，可以指定采用其它方式来为这个特定OU中的计算机的任何用户检索出针对他们的GPO列表，这些方式包括：合并模式在该模式中，当用户登录时，将通过使用GetGPOlist函数正常收集用户的GPO列表。然后，再次调用GetGPOlist函数，在这次调用中使用计算机在ActiveDirectory中的位置。然后，计算机的GPO列表被添加到用户GPO的末尾。这将导致计算机的GPO具有比用户的GPO更高的优先权。在该例中，计算机的GPO列表被添加到了用户的列表中。替代模式在该模式中，不收集用户的GPO列表。只使用基于计算机对象的GPO列表。普通目录及其面临的困难谈到计算机目录及其相关技术，总能让我们想到无时不在使用的文件系统目录、灵巧实用的专用工具集目录、海量存储的网络资源目录等等。是的，这是一个异常熟悉的领域：在文件系统目录里，我们存储文件及其大小、创建日期、类型等信息；在诸如记事本类的专用工具集目录里，我们存放日程安排、联系方式、人员地点等信息；在网络资源目录里，我们以分北大青鸟中关村软件园地址：北京市海淀区上地信息路甲28号科实大厦B座3层（B305）层架构存放网络上所有对象的相关资料，这些对象包罗了网络里使用的各种资源：共享目录、共享打印机、应用程序、服务、服务器、用户帐号、组、域…可以这样说，从使用计算机的那一刻起，我们就从未离开过目录！曾经，这样的目录让我们随心所欲地处理我们的资源！然而，正是这样的目录，在Internet下却面临许多麻烦：种类繁多、数量日增的目录让我们很难准确定位想要的资源；系统目录、应用程序特定目录、网络资源目录中到底谁存储了我们需要的信息？如何能用一致的方式登录这些不同的资源？怎样能轻松地维护不同系统上的远程资源？能否通过可视化的程序界面在这些资源间交互？初识ActiveDirectory活动目录要解决这些问题，你可以使用Micrsoft提供的活动目录ActiveDirectory对象，它提供一种构造复杂计算机网络的简单方法，用来存储公共文件夹、对象信息、打印机、服务等数据；ActiveDirectory的适用范围很大，它可以用在小自一台计算机，一个计算机网络，大至数个广域网络(WAN)的结合。它可以包含这个范围中所有的对象：文件、打印机、应用程序、服务器、域，以及用户等等。与普通意义上的目录不同的是，ActiveDirectory活动目录以分层树状结构排列成节点树，每个节点表示网络上的一个资源或服务，并且包含一组可检索和操作的属性。ActiveDirectory是提供复杂网络统一视图的Windows目录服务，它减少了开发人员必须处理的目录和命名空间的数量。DirectoryService目录服务同时，专门针对ActiveDirectory活动目录的DirectoryServices目录服务则让目录中的信息可用，DirectoryService(目录服务)是让用户很容易地在目录内寻找到所需要的对象的一种服务。通过对ActiveDirectory中数据的整理、规划存储，目录服务使得目录中的信息可用，真正让目录活动起来了。理由很明显，Internet网络、WAN局域网络里海量存储的数据往往让你迷失不知所措，再加上这些存放的资料不加以整理，想找到您需要的资料谈何容易！相反地，如果经过适当的规划，事先有系统地去整理这些资料，那就可以在需要时方便快速地寻找到你所要的对象。这样的例子现实生活中也随处可见：查号台算