Windows 2000 Active Directory程序设计[按需印刷]

.2.1.4 名字空间 14
2.1.5 树与森林 14
2.1.6 部门单元 16
2.1.7 安全 16
2.1.8 目录分区与命名环境 17
2.1.9 全局目录 18
2.1.10 多主机操作 18
2.1.11 复制 19
2.2 active directory组件 23
2.2.1 目录系统代理 24
2.2.2 安全账户管理器 24
2.2.3 数据库层 25
2.2.4 可扩展存储引擎 25
2.3 使用active directory服务示例 25
2.3.1 网络服务 26
2.3.2 动态dns服务 26
2.3.3 intellimirror服务 26
2.4 active directory工具 28
2.4.1 管理工具 28
2.4.2 active directory模式 29
2.4.3 adsi编辑器 30
2.4.4 ldp 30
2.4.5 ntdsutil 31
2.4.6 adsi观察器 32
2.5 小结 32
第3章 active directory编程接口 33
3.1 简单例子 33
3.2 active directory接口 34
3.2.1 轻量目录访问协议 34
3.2.2 active directory服务接口 38
3.3 adsi与active directory之间的关系 41
3.4 选择最好的接口 41
3.4.1 编程语言产生不同 41
3.4.2 平台考虑事项 41
3.4.3 性能 42
3.4.4 文档与资源 42
3.4.5 本书使用内容 42
3.5 com启蒙 43
3.5.1 com是什么 43
3.5.2 com接口 44
3.5.3 方法与属性 45
3.5.4 automation 45
3.5.5 com示例 46
3.5.6 访问对象 46
3.6 adsi与com 49
3.6.1 adsi对象是什么 50
3.6.2 adsi接口 50
3.7 小结 52
第二部分 使用active directory编程
第4章 连接到active directory 53
4.1 逐步深入 53
4.2 绑定 54
4.2.1 获取adsi对象 54
4.2.2 adspath 55
4.2.3 特征名与相对特征名 56
4.2.4 命名属性 57
4.2.5 对象与容器 58
4.2.6 将其捆绑到一起 58
4.2.7 得到对象 58
4.3 绑定操作 62
4.3.1 无服务器绑定 62
4.3.2 rootdse 63
4.3.3 全局目录 65
4.3.4 guid绑定 68
4.3.5 验证 72
4.3.6 绑定时性能考虑因素 75
4.4 小结 76
第5章 查找active directory 77
5.1 搜索技术 77
5.2 使用ado与vbscript的查找示例 78
5.2.1 电话示例 79
5.2.2 收集输入 82
5.2.3 查询语句 84
5.2.4 使用ado 91
5.3 使用idirectorysearch 96
5.4 查询选项 99
5.4.1 引用 99
5.4.2 异步查找 101
5.4.3 验证与安全 101
5.4.4 查找限制 102
5.4.5 性能 103
5.5 小结 103
第6章 读写目录数据 104
6.1 目录属性 104
6.1.1 命名约定 104
6.1.2 术语 105
6.1.3 属性与特性比较 105
6.2 读属性 106
6.2.1 get方法 108
6.2.2 adsi中的错误处理 109
6.2.3 再谈属性与特性 111
6.3 读取多值属性 113
6.4 命名特性与get方法比较 117
6.5 特性缓存 118
6.5.1 getinfo方法 119
6.5.2 getinfoex方法 119
6.6 写属性 120
6.6.1 adsi特性 120
6.6.2 put方法 123
6.6.3 setinfo方法 124
6.7 写多值属性 125
6.8 容器 128
6.8.1 列举容器 129
6.8.2 添加对象 132
6.8.3 删除对象 133
6.8.4 使用iadsdeleteops简易删除 133
6.8.5 创建与删除对象示例 134
6.9 小结 135
第7章 高级特性与值 136
7.1 回顾特性 136
7.2 特性缓存接口 138
7.2.1 iadspropertylist 140
7.2.2 propertyentry与propertyvalue
对象 140
7.2.3 值数据类型 142
7.3 大型特性缓存接口示例 144
7.4 idirectoryobject 151
7.4.1 在c与c++中使用idirectory
object 152
7.4.2 getobjectinformation 155
7.4.3 getobjectattributes 156
7.4.4 使用setobjectattributes写入
属性 159
7.5 小结 160
第8章 active directory用户界面 161
8.1 概述 161
8.2 常规对话框 161
8.2.1 容器浏览器对话框 162
8.2.2 域浏览器对话框 169
8.2.3 对象拾取器对话框 170
8.3 display specifiers 177
8.3.1 display specifiers背景 179
8.3.2 国际支持 180
8.3.3 idsdisplayspecifier 181
8.3.4 显示分类示例 182
8.4 小结 185
第三部分 特 殊 主 题
第9章 active directory 模式 187
9.1 理解模式 187
9.1.1 对象类 187
9.1.2 对象属性 187
9.1.3 语法 188
9.1.4 对象标识符 188
9.1.5 模式结构 189
9.1.6 抽象schema 192
9.1.7 浏览schema的工具 193
9.2 操作类 197
9.2.1 类继承 198
9.2.2 安全 199
9.2.3 类目录 201
9.2.4 对象类与对象类别 202
9.2.5 对象命名 204
9.2.6 iadsclass 206
9.3 使用属性 210
9.3.1 属性类型 211
9.3.2 iadsproperty 212
9.3.3 属性语法 214
9.3.4 iadssyntax 217
9.4 模式扩展 218
9.4.1 扩展模式步骤 218
9.4.2 何时扩展模式 218
9.4.3 确定扩展方法 219
9.4.4 启用模式改变 220
9.4.5 得到对象标识符 228
9.4.6 创建模式对象 229
9.4.7 更新模式高速缓存 235
9.4.8 extendschema示例 237
9.5 小结 240
第10章 使用windows脚本管理active
directory 241
10.1 windows脚本 241
10.1.1 windows脚本主机 241
10.1.2 windows脚本文件 242
10.1.3 windows脚本对象模型 242
10.1.4 类型库 243
10.1.5 创建并编辑脚本 245
10.2 管理用户 245
10.2.1 iadsuser接口 246
10.2.2 创建用户 247
10.2.3 口令 252
10.3 管理组 254
10.3.1 组类型 255
10.3.2 adsi组接口 256
10.3.3 创建组 256
10.3.4 列举组 258
10.3.5 修改组成员 259
10.4 管理计算机 263
10.5 管理服务 265
10.5.1 管理打印队列 265
10.5.2 卷 269
10.6 小结 272
第11章 web及其他 273
11.1 active directory与asp 273
11.1.1 验证 277
11.1.2 基本验证 280
11.1.3 com+组件 280
11.2 windows平台考虑因素 281
11.2.1 使用winnt提供者与active
directory 282
11.2.2 adsi版本 283
11.2.3 确定adsi版本 283
11.3 whistler 285
11.3.1 动态对象 286
11.3.2 对象分区 287
11.3.3 inetorgperson 287
11.3.4 虚拟列表视图查找 289
11.3.5 用户界面改进 294
11.4 小结 295
附 录
附录a active directory资源 297

.　　?本书的电子版本。
　　?Windows 95、Windows 98和Windows NT 4.0 的Active Directory客户。
　　?来自Microsoft平台软件开发工具箱中需要用于编译一些代码示例的文件。
　　?ADSI 2.5软件开发工具箱。
　　?目录服务文档，其中包括Active Directory、ADSI和ADSI Exchange编程信息，以及有关Active Directory模式的完整电子参考。
　　?与Windows证书程序有关的文件。
　　系统要求
　　要编译本书示例，系统需要以下条件：
　　?Windows 2000、Windows NT 4.0或Windows 98（推荐使用带有服务包1的Windows 2000操作系统）。
　　?Microsoft Visual C++ 6.0（推荐使用服务包3或更新版本）。
　　?Microsoft Visual Basic 6.0。
　　?Microsoft平台软件开发工具箱（所需的平台软件开发工具箱文件包括在随书CD上）。
　　要运行代码示例，需要下列配置之一：
　　?安装Active Directory的Windows 2000服务器或Windows 2000高级服务器（推荐使用Windows 2000服务包1）。
　　?运行Windows 98、Windows NT 4.0或加入Windows 2000域的Windows 2000的网络客户计算机。如果客户计算机运行Windows 98或Windows NT 4.0，必须安装Active Directory客户。在随书光盘中可以得到Active Directory客户。
　　注意 一些代码示例要求在Windows 2000上运行，还有一些代码示例要求执行者具有管理员权限。
　　创建测试网络与开发环境
　　在本书写作期间，我花费了大量时间一次又一次地创建开发环境，用来编写示例程序。下面几节提供一些指导，以帮助你创建自己的测试与开发网络。我所讲述的方法仅仅是许许多多建立Windows 2000域方法中的一种。如果你并不熟悉Windows 2000网络概念和技术，例如域、DNS、TCP/IP、DHCP以及其他的众多术语，在使用本书例子之前，我建议你提前阅读一些背景知识。Microsoft域名系统（Domain Name System，DNS）作为一个重要的网络组件，使用Active Directory管理网络地址和计算机名称。通过亲身去做，你将发现即使是DNS或Active Directory配置中极其微小的问题，也会导致后续的故障。严密规划和仔细配置至关重要。
　　建立服务器
　　首先，你需要一个可操作的Windows 2000域。Windows 2000域不同于早期的Windows NT域。如果你的部门正在运行Windows 2000，而且你具有查看和操作部门的Active Directory的安全权限，你就万事俱备了，但是我并不赞成将部门的Active Directory用作自己的开发环境，尤其当你打算修改模式时，更不应该这样做。这种类型的操作一般总是要仔细规划，并首先在一个测试实验室环境中试用。
　　如果你创建了自己的Windows 2000域，或在现有Windows 2000域中建立了一个子域，你将需要一台服务器类别的计算机，具有快速的处理器（500MHZ或更高）以及至少128兆内存。这应该当作是最小配置，因为服务器的交互操作将需要更多的内存。如果有一个以上的开发者打算访问域的目录，你需要考虑添加额外的服务器，并将诸如DNS和DHCP之类的服务分布到其他计算机上。如果你计划使用Microsoft Exchange 2000服务器处理电子邮件和合作应用，更要按照上述要求做。应该在你所使用的每台服务器上安装Windows 2000服务器。如果支持4个以上处理器或集群技术，并且希望拥有故障自动切换的能力，也可以使用Windows 2000高级服务器。
　　要启动创建一个域的过程，你可以运行Configure Your Server（配置你的服务器），方法如下：点击Start（开始）按钮、指向Programs（程序）、指向Administrative Tools（管理工具），然后点击Configure Your Server（配置你的服务器）。作为一种选择，也可以从Run（运行）对话框运行DCPromo程序。如何配置你的服务器取决于许多因素，例如互联网连接、互联网域名注册以及个人喜好。更多信息，请阅读《Microsoft Windows 2000 Server Resource Kit》（Microsoft出版社2000年出版发行），或参考《Windows 2000 Planning and Deployment Guide》，可以在http://www .microsoft.com/windows2000/library/planning/default.asp网址找到本书。
　　注意 我推荐使用DCPromo.exe创建Active Directory域，而不要使用Configure Your Server（配置你的服务器）工具。人们在DCPromo向导提供的提示下似乎很少被搞糊涂。
　　很多人开始使用Active Directory时，在最初的设置过程中会遇到困难。正如我所提到的，Active Directory对于网络的DNS配置以及网络硬件和协议非常敏感。我极力推荐认真阅读本书前面所列出的书。
　　Microsoft产品支持提供了许多在升级Windows NT或创建新的Active Directory时，人们所遇到问题的有关信息。可以在http://support.microsoft.com/support/win2000/dns.asp上找到这些信息。
　　注意 Microsoft提供了一个更新的域控制器诊断（Domain Controller Diagnostic，DCDiag）工具，具有诊断域控制器故障的新特性。可以从http://www.microsoft.com/ technet/win2000/win2ksrv/dnsreq.asp下载这个工具。
　　开发工作站
　　至于开发工作站，虽然你可以使用运行Active Directory的同一台计算机，但我建议使用Windows 2000专业版。正如我在前面所提到的，可以使用带有Active Directory客户的Windows NT 4.0或Windows98，但这两者我都不建议使用。当安装Windows 2000专业版时，要确保加入你计划使用的域。如果在你的开发计算机上已经运行着Windows 2000，使用System Propertier（系统特性）下的Network Identification（网络标识）标签页将工作站加入到计划使用的域中。
　　本书的代码示例使用Visual C++ 6.0和安装了服务包4的Visual Basic 6.0编写。Visual C++开发者应该注意ADSI所需要的文件并不包括在Visual C++中。你可以在平台软件开发工具箱中找到它们。你所需要的平台软件开发工具箱组件是“Build Environment\Network and Directory Services\ Active Directory Services Interface”和“Build Environment\Win32 API\Win32 API”。可以从http://msdn.microsoft.com/downloads下载这些平台软件开发工具箱组件。需要用于编译本书所提供的代码示例的平台软件开发工具箱文件包括在随书光盘上。一定要配置Visual C++，让它访问这些头文件和库文件，它们应该被放在目录列表的顶部。下图显示了Options（选项）对话框的Directories（目录）标签页，在目录列表的顶部具有所需的平台软件开发工具箱头文件。
　　Visual Basic用户需要在他们的Visual Basic项目文件中引用Active DS Type Library（活动目录服务类型库），如下所示：
　　如果你打算只是用脚本例子，就不需要Visual C++和Visual Basic了。在使用脚本时，Microsof Script Debugger（脚本调试器）非常有用。它包括在Windows 2000中，也可以从Microsoft的Web站点http://msdn.microsoft.com/sctipting/下载。其它的开发环境，例如Borland公司的Delphi，也可以使用Active Directory，这完全取决于自己，我只使用了前面所提到的软件写作本书。
　　要远程管理Active Directory，应该在Windows 2000开发计算机上安装管理包（Administration Pack），可以在Windows 2000服务器或Windows 2000高级服务器CD上的I386文件夹中找到Adminpak.msi文件，通过运行该文件就可以安装管理包程序。Microsoft安装器包会加载用于管理Active Directory所必需的管理控件。当一个域被创建时，同样的工具会自动安装到服务器上。其它可用的工具可以在Windows 2000 CD（所有版本）中找到。Windows 2000支持工具含有许多很好的网络诊断工具，其中包括LDAP浏览器和强大的ADSI编辑工具。我将在第2章结束部分详细说明这些工具的使用方法。要安装支持工具，请运行Windows 2000 CD Support、Tools文件夹下的Setup.exe文件。
　　测试工作站
　　尽管并不是必须的，但我仍然建议使用第三个工作站作为你的测试环境。这台计算机应该被配置为大部分网络用户所具有的相似模式，它应该只含有你的部门所应用的软件。有那么多的程序在开发工作站上运行得很好，却在最终用户计算机上导致崩溃或运行得一塌糊涂，这是多么令人吃惊啊。这通常是DLL冲突或假设一个特定配置存在而导致的结果。
　　如果你的程序需要运行在Windows 98、Windows NT上，或在两者上都要运行，你应该安装合适的Active Directory客户（在随书光盘上可以得到）。还有，要在测试工作站上做几个磁盘分区，安装不同操作系统。不要将操作系统混装在同一个分区中，这样会不可避免地引发冲突。每个操作系统分区应该是干净的，就像用户得到一台新的计算机时一样。还有，考虑具有多个Windows 2000分区—一个使用FAT文件系统格式化，另外一个使用NTFS文件系统格式化。使用多种分区能够暴露与文件和文件夹安全许可有关的错误。
　　良好的公民权力与义务
　　通过为应用开发者创建一系列的指导原则，Microsoft多年以来一直致力于使用它的产品提高终端用户的经验。作为一种吸引软件提供商使用这些原则的手段，Microsoft创建了Windows程序认证。与这些方针一致并且通过一个无关性测试的应用可以将Windows标志作为它们产品行销和包装的一部分。
　　作为一名开发者，你应该尽可能地遵循这些原则。它们考虑了用户的广泛需求（就像你正在为其编写应用的用户），并帮助用户采用边缘尖端技术。另外，客户—尤其是大宗交易的大型组织，对认证产品给予更为认真的考虑。这会给你的产品带来十分必要的优势，让它比竞争对手的产品更容易成功。
　　启用Active Directory产品的开发者要特别注意到包含在《Application Specification for Microsoft Windows 2000 Server》中的要求。这个说明包含与Active Directory集成的服务器应用要求的有关信息，例如如何正确地使用Active Directory，以及在扩展Active Directory时，如何坚持可扩展性准则。
　　要了解特定要求和证书信息的更多相关内容，请参阅随书光盘上的Certification（证书）文件夹。在光盘上还包括测试工具和一个帮助文档模式扩展的程序。要了解最新的Windows认证程序信息，请访问网址http://msdn.microsoft.com/certification/。
　　现在，让我们继续学习Active Directory吧！
　　本书英文原书书名：Microsoft Windows 2000 Active Directory Programming
　　英文原书号：ISBN 0-7356-1037-1