ADSI
ADSI
ADSI是一種網路協議。
1)ADSI(Analog Display Services Interface,模擬顯示服務介面)是一種由貝爾克公司開發的電信協議標準,它使得標準的模擬電話能處理數據和語音信息。為Adsi而設計的電話機有一個顯示文本信息的巨型液晶顯示屏幕,並能下載稱為“源程序”的專用程序,這些都增加了話筒的功能。例如,從電話顯示屏的菜單中選擇一項即可激活諸如呼叫轉發,會議呼叫等功能。
一些電信公司還利用Adsi提供一種稱作“高級呼叫等待”的服務。傳統的呼叫等待只是提醒電話用戶有人正在呼叫,而“高級呼叫等待”服務可以顯示正在設法呼叫的人的姓名和號碼,並提供一些選擇功能,你能夠在很多呼叫者間切換,讓新的呼叫者等待或叫他留話。Adsi也允許通過電話網發送諸如新聞、股市指數和比賽結果等經濟、金融和娛樂信息。美國的斯馬特在線服務還提供用於Adsi電話機的定製的經濟和娛樂信息包。
2) ADSI ( Active Directory Services Interface)是Microsoft新推出的一項技術,它統一了許多底層服務的編程介面,程序員可以使用一致的對象技術來訪問這些底層服務。ADSI把這些服務的公共部分提取出來,同時隔離出相異的部分,程序員可以用統一的介面訪問底層服務的公共部分,並延伸到底層服務的專有部分。
為了說明ADSI的介面標準和用法,首先我們解釋幾個重要的概念:
目錄(Directory):目錄類似於一個資料庫,它通常包含一些描述性的、基於屬性的信息。由於目錄中的信息被讀訪問的頻率比寫訪問的頻率要高得多,所以,目錄並不象資料庫那樣必須實現複雜的事務或者回滾機制。在許可的條件下,目錄的更新操作通常是簡單的更改操作。對於大量的信息查找或者信息檢索要求,目錄應該快速給出應答。為了提高性能和可靠性,並降低應答時間,分散式的目錄信息可能需要在廣闊的網路範圍內進行複製操作。因為引入了複製機制,所以在複製點之間,暫時的不一致是難以避免的,只要最終能夠同步即可。
目錄服務
目錄服務(Directory Service):目錄服務所表達的含義與目錄緊密相關,它是指目錄信息源與針對這些信息源的服務結合起來使得這些信息可被用戶使用。
一個典型的目錄服務具有以下幾個特性:
□ 安全特性。管理員可以對目錄強制使用安全特性,以便保護目錄信息不被非法獲取。
□ 分佈特性。一個目錄可以跨越機器邊界,也即目錄信息可以在網路上的不同機器上。
□ 複製特性。目錄信息應盡量讓更廣闊範圍的用戶所利用。
活動目錄(Active Directory):活動目錄是Microsoft在Windows 2000中實現的目錄服務,它不僅實現了作為一般目錄服務的特性,包括安全特性、分佈特性以及複製特性等。它同時也擴充了一些新的特性,以便使得目錄信息更加易於管理和搜索。活動目錄在實現目錄服務的同時,充分考慮了目錄信息的可伸縮性,從包含上百個對象的單伺服器結構到成千上百伺服器的百萬以上的對象信息,它都可以正常工作。
目錄服務是一個抽象的概念,從用戶使用的角度來看,通常最為關心的是目錄的名字空間以及相關的訪問協議。名字空間限定了目錄服務的描述能力,而訪問協議必須要標準化,以便支持分散式特性。訪問協議的標準為LDAP(Light-weight Directory Access Protocol)協議,它是建立在TCP/IP基礎上的目錄服務協議,它的信息模型包括了數據和名字空間。與其它Internet協議不同的是,LDAP還提供了一組API以便簡化LDAP應用的編寫工作。
LDAP也遵守客戶-伺服器模型,包含目錄數據的一個或多個LDAP伺服器建立起一個LDAP目錄樹,LDAP客戶通過網路連接到伺服器,向伺服器發出請求或者執行一些操作。LDAP伺服器響應客戶的請求,或者把客戶的請求指引到其它包含客戶指定信息的另外的LDAP伺服器上。不管客戶連接到哪個LDAP伺服器上,他所看到的目錄樹視圖應該是一樣的。
Microsoft提供了ADSI用於開發客戶方的目錄服務應用系統。ADSI是一組COM介面標準,它通過LDAP協議訪問目錄服務。ADSI實現了目錄服務的客戶模型,利用ADSI,我們可以在Windows平台上開發目錄服務客戶應用。如果不使用ADSI,那麼用到目錄服務的應用必須編寫代碼處理每個它所用到的名字空間結構,當有新的名字空間加入時,必須修改代碼以適應變化,而且,在訪問目錄服務時,可能要調用到底層與網路有關的API函數。
從技術角度來看,ADSI用到了與ADO(Active Data Object,Microsoft推出的一致數據訪問介面)非常類似的技術,它通過一組雙介面(dual interface,既可以通過vtable也可以通過自動化介面IDispatch訪問屬性和方法的自動化對象)提供了目錄服務功能。客戶程序可以根據性能要求或者開發語言的特點選擇不同的編程模型。
由於ADSI使用了COM和自動化對象技術,所以ADSI的編程用法比較簡單,但要真正掌握ADSI,首先必須理解ADSI介面標準中用到的一些基本概念,下面列出如下:
⑴ 名字空間(Namespace)。名字空間是LDAP的基本概念,也是ADSI的基本概念。名字空間是一個有界區域,每一個給定的名字都必須在特定的名字空間中被解析,解析的過程是把名字翻譯成某個對象或者名字所代表的信息。比如,電話簿形成了一個名字空間,每一個電話訂戶的名字被解析成電話號碼;NTFS文件系統也構成了一個名字空間,每個文件名可被解析成文件對象。活動目錄也形成了一個名字空間,目錄中的每個對象可被解析到對象本身。
⑵ 對象(Object)或目錄對象(Directory Object)。對象是指一組屬性的集合,它往往代表了有形的實體,比如用戶、文件等。對象通過屬性描述它的基本特徵,比如,用戶的屬性可能包括姓名、電話號碼、電子郵件地址等。
⑶ 包容器(Container)。包容器是名字空間的一部分,與目錄對象一樣,它也有屬性,但與目錄對象不同的是,它不代表有形的實體,而是其它目錄對象或者包容器的容器。
⑷ 目錄樹(Directory Tree)。在一個名字空間中,由包容器和對象構成了一個完整的樹結構。在ADSI中,樹是基本的結構,從每一個包容器對象作為起點,層層深入,都可以構成一棵子樹。一個簡單的目錄可以構成一棵樹,一個計算機網路或者一個NT域也可以構成一棵樹。
⑸ 標識名(Distinguished Name,簡稱為DN名)。活動目錄中的每一個對象都有一個標識名,標識名包含對象在名字空間中的完整路徑名,從基本的名字空間包容器開始,通過層層包容器對象,一直到達對象節點。不同的名字空間有不同的標識名命名規則,ADSI提供了一個命名框架,通過名字即可識別相應的目錄服務和名字空間。
⑹ 對象標識符(Object Identity)。對象除了其DN名之外,它還有一個128位的全局標識符(GUID)。在ADSI內部,對象是通過標識符來識別的,而不是名字。當對象被創建時,目錄服務代理程序首先為對象分配一個標識符,客戶可以通過對象的“objectGUID”屬性獲得標識符,這是一個只讀屬性,不管對象被移動或者改名,它的標識符都不會被改變。
⑺ 命名環境(Naming Context)。命名環境是指任何一個目錄子樹,在ADSI中,一個伺服器至少包含三個命名環境:表結構(schema)、配置(configuration)和用戶命名環境。
⑻ 域(Domain)。在ADSI中,域是Windows NT網路的安全性邊界。ADSI由一個或多個域組成。在單獨的計算機上,域即指計算機本身。當多個域通過信任關係連接起來之後,所有的域共享公共的表結構、配置、全局目錄(global catalog),從而形成域樹(domain tree),多個域樹連接在一起形成域林(domain forest)。域林中的所有域共享公共的表結構、配置、全局目錄(global catalog)。
⑼ 站點(site)。站點是指一個或多個通過TCP/IP連接起來的子網。通常,站點內部的子網通過可靠的網路連接起來。
從編程技術來看,ADSI只是一些COM介面和COM組件的標準,但ADSI表達信息的方式是革命性的。名字空間的概念體現了ADSI表達信息的廣泛性;域和站點的概念體現了ADSI的空間廣闊性,從單機到區域網,再到廣域網,都可以納入ADSI的表達範圍;命名環境的概念體現了ADSI對信息的自組織、自描述特性。對象、包容器、目錄樹的概念體現了ADSI表達信息的基本結構方式。對象標識名和標識符兩種機制結合起來,使得目錄對象既有直接面對最終用戶的名字特性,又有內部唯一標識的可編程特性。
在ADSI出現之前,實際上,我們已經有了很多可按目錄方式管理的應用系統,比如文件系統、用戶管理、電子郵件應用等等。ADSI抽取了這些應用對象的共性,通過一組標準化的介面實現目錄對象的管理。雖然,我們還不能看到Windows 2000中ADSI的最終形式,但是在Windows NT 4.0版本基礎上的一些應用系統,已經實現了ADSI標準,最為典型的是Microsoft Exchange Server,它充分體現了ADSI的基本概念。