CAina. coM 第1)AD和D617 下载 ADSI也是 Windows2000操作系统 Professional或 Server中的一部分,但能够从 Microsoft的Web 站点上下载用于NT40和 Windows9x的ADSl。另外,可能需要 ADSI SDK来开发软件。无论正在 用什么操作系统,都需要下载这个SDK。它包含了各种各样的头文件和文档。尽管编写ASP客户 程序时,它不如用VB或C++编程时那么必需,但它包含了图21-1中使用的 ladsvw. exe实用程序。 下面将使用 adsyw.exe进一步研究AD。 adsvw.exe叫做活动目录浏览器( Active Directory Browser,这名字有些误导作用。这是一个通用的目录浏览器,可以检查任何ADSI兼容的目 录,而不只是AD。活动目录浏览器是一个好工具,因为其本身使用ADSI搜集信息,并显 给我们。因此,我们看到的信息的格式恰恰就是用ADSI编程时所需要的 正如前面提到的, asdsyw exe是 ADSI SDK的一部分,可以从微软的Web站点上下载。如 果没有的话,我们建议下载一个拷贝,你会发现对于研究目录,它是非常有用的 213AD的内部结构 AD包含了一个域控制器管理一个域所需的全部信息。从这个意义上讲,它与NT40服务 器中的域目录( domain directory)是一样的。所不同的是它符合LDAP标准。因为LDAP是工业 标准,所以很容易编写用标准API函数(包括ADSI)来访问AD的客户程序。相比之下,NT4.0 上相应的数据库却是 Microsoft专用的,通过 Windows api函数只能得到少得可怜的信息。实 际上,根本不能把该数据库用作集中管理网络资源的目录,但AD可以。 另外,AD远比原有的NT40域目录强大。它连同 Windows2000一起,支持下列概念:把 域本身排列成域树( domain tree),或允许很多独立的树共享配置数据,形成一个域林( domain forest)。还允许把个人的信息像操作系统使用的资料一样存储进去 就AD中存储的信息而言,实际上有两个部分。缺省情况下,AD包含了管理一个域所需 要的全部信息,如计算机、用户和工作组帐号,以及相应的安全权限。另一方面,AD被设计 成通用的目录,这意味着任何其他系统管理员认为有用的内容都可存入AD。所以像用户帐号 这样的信息也可能出现在薪金明细和公司组织结构下面。AD还有一套非常完善的安全系统, 由管理员分配细致的等级,决定谁具有对各式各样信息的读或写的权力 但是,令我们最感兴趣的还是AD的整体结构,我们将给出一个一般目录的例子 21.3.1目录里的对象和属性 需要理解的第一件事情是:关系型数据库把数据存储在表的行和列里,而在目录里一个 很重要的概念是对象,对象含有需要存放的信息。在图21-1的屏幕截图中,我们就选了一个 用户帐号的对象。AD中的其他对象包括计算机、域和工作组等。稍后,当我们讨论 Winnt ADSI提供者时将要碰到其他目录里的对象,如服务对象和打印队列对象等。 不要把目录中的对象与COM对象(组件)相混淆,目录里的对象与COM毫不相干 它们有属性,但通常不具有方法 实际上目录中通常除了对象没有别的,对象被排成层状。对象可被认为是由许多属性组 成的 注意在这里我们不是在讨论COM自动化属性,仅仅是在讨论一条条的信息。一个属性包 括属性名和属性值。例如,上例中在AD中的用户帐号的属性如表21-1所示。A D S I也是Windows 2000操作系统( P r o f e s s i o n a l或S e r v e r )中的一部分，但能够从M i c r o s o f t的We b 站点上下载用于NT 4.0和Windows 9x的A D S I。另外，可能需要ADSI SDK来开发软件。无论正在 用什么操作系统，都需要下载这个S D K。它包含了各种各样的头文件和文档。尽管编写A S P客户 程序时，它不如用V B或C + +编程时那么必需，但它包含了图2 1 - 1中使用的a d s v w. e x e实用程序。 下面将使用a d s v w. e x e进一步研究A D。a d s v w. e x e也叫做活动目录浏览器 (Active Directory B r o w s e r )，这名字有些误导作用。这是一个通用的目录浏览器，可以检查任何 A D S I兼容的目 录，而不只是 A D。活动目录浏览器是一个好工具，因为其本身使用 A D S I搜集信息，并显示 给我们。因此，我们看到的信息的格式恰恰就是用 A D S I编程时所需要的。 正如前面提到的， a s d s v w. e x e是ADSI SDK的一部分，可以从微软的 We b站点上下载。如 果没有的话，我们建议下载一个拷贝，你会发现对于研究目录，它是非常有用的。 21.3 AD的内部结构 A D包含了一个域控制器管理一个域所需的全部信息。从这个意义上讲，它与 NT 4.0服务 器中的域目录(domain directory)是一样的。所不同的是它符合 L D A P标准。因为L D A P是工业 标准，所以很容易编写用标准 A P I函数(包括A D S I )来访问A D的客户程序。相比之下， NT 4.0 上相应的数据库却是 M i c r o s o f t专用的，通过Windows API函数只能得到少得可怜的信息。实 际上，根本不能把该数据库用作集中管理网络资源的目录，但 A D可以。 另外，A D远比原有的NT 4.0域目录强大。它连同Windows 2000一起，支持下列概念：把 域本身排列成域树 (domain tree)，或允许很多独立的树共享配置数据，形成一个域林 ( d o m a i n f o r e s t )。还允许把个人的信息像操作系统使用的资料一样存储进去。 就A D中存储的信息而言，实际上有两个部分。缺省情况下， A D包含了管理一个域所需 要的全部信息，如计算机、用户和工作组帐号，以及相应的安全权限。另一方面， A D被设计 成通用的目录，这意味着任何其他系统管理员认为有用的内容都可存入 A D。所以像用户帐号 这样的信息也可能出现在薪金明细和公司组织结构下面。 A D还有一套非常完善的安全系统， 由管理员分配细致的等级，决定谁具有对各式各样信息的读或写的权力。 但是，令我们最感兴趣的还是 A D的整体结构，我们将给出一个一般目录的例子。 21.3.1 目录里的对象和属性 需要理解的第一件事情是：关系型数据库把数据存储在表的行和列里，而在目录里一个 很重要的概念是对象，对象含有需要存放的信息。在图 2 1 - 1的屏幕截图中，我们就选了一个 用户帐号的对象。 A D中的其他对象包括计算机、域和工作组等。稍后，当我们讨论 Wi n N T A D S I提供者时将要碰到其他目录里的对象，如服务对象和打印队列对象等。 不要把目录中的对象与 C O M对象(组件)相混淆，目录里的对象与 C O M毫不相干。 它们有属性，但通常不具有方法。 实际上目录中通常除了对象没有别的，对象被排成层状。对象可被认为是由许多属性组 成的。 注意在这里我们不是在讨论 C O M自动化属性，仅仅是在讨论一条条的信息。一个属性包 括属性名和属性值。例如，上例中在 A D中的用户帐号的属性如表2 1 - 1所示。 第2 1章 A D S I和A D介绍计计617 下载