標籤: 暫無標籤

活動目錄服務是Windows 2000操作系統平台的中心組件之一。理解活動目錄對於理解Windows 2000的整體價值是非常重要的。這篇關於活動目錄服務所涉及概念和技術的介紹文章描述了活動目錄的用途,提供了對其工作原理的概述,並概括了該服務為不同組織和機構提供的關鍵性商務及技術便利。Windows® 2000支持的一種結構,這種結構可以跟蹤和定位網路上任意一個對象。活動目錄是Windows 2000伺服器中使用的目錄服務,為Windows 2000分散式網路提供基礎。

1 活動目錄 -Active Directory簡介


  活動目錄(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。(Active Directory不能運行在Windows Web Server上,但是可以通過它對運行Windows Web Server的計算機進行管理。)Active Directory存儲了有關網路對象的信息,並且讓管理員和用戶能夠輕鬆地查找和使用這些信息。Active Directory使用了一種結構化的數據存儲方式,並以此作為基礎對目錄信息進行合乎邏輯的分層組織。
  Microsoft Active Directory 服務是Windows 平台的核心組件,它為用戶管理網路環境各個組成要素的標識和關係提供了一種有力的手段。

2 活動目錄 -目錄形式的數據存儲

  人們經常將數據存儲作為目錄的代名詞。目錄包含了有關各種對象 [例如用戶、用戶組、計算機、域、組織單位(OU)以及安全策略] 的信息。這些信息可以被發布出來,以供用戶和管理員的使用。
  目錄存儲在被稱為域控制器的伺服器上,並且可以被網路應用程序或者服務所訪問。一個域可能擁有一台以上的域控制器。每一台域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器複製到域、域樹或者森林中的其它域控制器上。由於目錄可以被複制,而且所有的域控制器都擁有目錄的一個可寫副本,所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。
  目錄數據存儲在域控制器上的Ntds.dit文件中。我們建議將該文件存儲在一個NTFS分區上。有些數據保存在目錄資料庫文件中,而有些數據則保存在一個被複制的文件系統上,例如登錄腳本和組策略。
  有三種類型的目錄數據會在各台域控制器之間進行複製:
  •域數據。域數據包含了與域中的對象有關的信息。一般來說,這些信息可以是諸如電子郵件聯繫人、用戶和計算機帳戶屬性以及已發布資源這樣的目錄信息,管理員和用戶可能都會對這些信息感興趣。
  例如,在向網路中添加了一個用戶帳戶的時候,用戶帳戶對象以及屬性數據便被保存在域數據中。如果您修改了組織的目錄對象,例如創建、刪除對象或者修改了某個對象的屬性,相關的數據都會被保存在域數據中。
  •配置數據。 配置數據描述了目錄的拓撲結構。配置數據包括一個包含了所有域、域樹和森林的列表,並且指出了域控制器和全局編錄所處的位置。
  •架構數據。架構是對目錄中存儲的所有對象和屬性數據的正式定義。Windows Server 2003提供了一個默認架構,該架構定義了眾多的對象類型,例如用戶和計算機帳戶、組、域、組織單位以及安全策略。管理員和程序開發人員可以通過定義新的對象類型和屬性,或者為現有對象添加新的屬性,從而對該架構進行擴展。架構對象受訪問控制列表(ACL)的保護,這確保了只有經過授權的用戶才能夠改變架構。

3 活動目錄 -Active Directory和安全性


  安全性通過登錄身份驗證以及目錄對象的訪問控制集成在Active Directory之中。通過單點網路登錄,管理員可以管理分散在網路各處的目錄數據和組織單位,經過授權的網路用戶可以訪問網路任意位置的資源。基於策略的管理則簡化了網路的管理,即便是那些最複雜的網路也是如此。
  Active Directory通過對象訪問控制列表以及用戶憑據保護其存儲的用戶帳戶和組信息。因為Active Directory不但可以保存用戶憑據,而且可以保存訪問控制信息,所以登錄到網路上的用戶既能夠獲得身份驗證,也可以獲得訪問系統資源所需的許可權。例如,在用戶登錄到網路上的時候,安全系統首先利用存儲在Active Directory中的信息驗證用戶的身份。然後,在用戶試圖訪問網路服務的時候,系統會檢查在服務的自由訪問控制列表(DCAL)中所定義的屬性。
  因為Active Directory允許管理員創建組帳戶,管理員得以更加有效地管理系統的安全性。例如,通過調整文件的屬性,管理員能夠允許某個組中的所有用戶讀取該文件。通過這種辦法,系統將根據用戶的組成員身份控制其對Active Directory中對象的訪問操作。

4 活動目錄 -Active Directory 的架構


  Active Directory的架構(Schema)是一組定義,它對能夠存儲在Active Directory中的各種對象——以及有關這些對象的各種信息——進行了定義。因為這些定義本身也作為對象進行存儲,Active Directory可以像管理目錄中的其它對象一樣對架構對象加以管理。架構中包括了兩種類型的定義:屬性和分類。屬性和分類還可以被稱作架構對象或元數據。
  分類
  分類,又稱對象分類,描述了管理員所能夠創建的目錄對象。每一個分類都是一組對象的集合。在您創建某個對象時,屬性便存儲了用來描述對象的信息。例如,「用戶」分類便由多個屬性組成,其中包括網路地址、主目錄等等。Active Directory中的所有對象都是某個對象分類的一個實例。
  架構的擴展
  
  有經驗的開發人員和網路管理員可以通過為現有分類定義新的屬性或者定義新的分類來動態地擴展架構。
  架構的內容由充當架構操作主控角色的域控制器進行控制。架構的副本被複制到森林中的所有域控制器上。這種共用架構的使用方式確保了森林範圍內的數據完整性和一致性。
  此外,您還可以使用「Active Directory架構」管理單元對架構加以擴展。為了修改架構,您必須滿足以下三個要求:
  • 成為「Schema Administrators」(架構管理員)組的成員
  • 在充當架構操作主控角色的計算機上安裝「Active Directory架構」管理單元
  • 擁有修改主控架構所需的管理員許可權
  在考慮對架構進行修改時,必須注意以下三個要點:
  • 架構擴展是全局性的。 在您對架構進行擴展的時候,您實際上擴展了整個森林的架構,因為對架構的任何修改都會被複制到森林中所有域的所有域控制器上。
  • 與系統有關的架構分類不能被修改。您不能修改Active Directory架構中的默認系統分類;但是,用來修改架構的應用程序可能會添加可選的系統分類,您可以對這些分類進行修改。
  • 對架構的擴展不可撤銷。某些屬性或者分類的屬性可以在創建后修改。在新的分類或者屬性被添加到架構中之後,您可以將它置於非激活狀態,但是不能刪除它。但是,您可以廢除相關定義並且重新使用對象標識符(OID)或者顯示名稱,您可以通過這種方式撤銷一個架構定義。
  有關架構修改的更多信息,請通過http://www.microsoft.com/reskit參閱 Microsoft Windows 資源工具包 。
  Active Directory不支持架構對象的刪除;但是,對象可以被標記為「非激活」,以便實現與刪除同等的諸多益處。
  屬性
  屬性和分類單獨進行定義。每一個屬性僅僅定義一次,但是可以在多個分類中使用。例如,「Description」(描述)屬性可以使用在多個分類中,但是只需在架構中定義一次即可,以保持數據的一致性。
  屬性用來描述對象。每一個屬性都擁有它自己的定義,定義則描述了特定於該屬性的信息類型。架構中的每一個屬性都可以在「Attribute-Schema」分類中指定,該分類決定了每一個屬性定義所必須包含的信息。
  能夠應用到某個特殊對象上的屬性列表由分類(對象是該分類的一個實例)以及對象分類的任何超類所決定。屬性僅僅定義一次,但是可以多次使用。這確保了共享同一個屬性的所有分類能夠保持一致性。
  多值屬性
  屬性可以是單值的也可以是多值的。屬性的架構定義指定了屬性的實例是否必須是多值的。單值屬性的實例可以為空,也可以包含一個單值。多值屬性的實例可以為空,也可以包含一個單值或多值。多值屬性的每一個值都必須是唯一的。
  索引屬性
  索引應用於屬性,而不是分類。對屬性進行索引有助於更快地查詢到擁有該屬性的對象。當您將一個屬性標記為「已索引」之後,該屬性的所有實例都會被添加到該索引,而不是僅僅將作為某個特定分類成員的實例添加到索引。
  添加經過索引的屬性會影響Active Directory的複製時間、可用內存以及資料庫大小。因為資料庫變得更大了,所以需要花費更多的時間進行複製。
  多值屬性也可以被索引。同單值屬性的索引相比,多值屬性的索引進一步增加了Active Directory的大小,並且需要更多的時間來創建對象。在選擇需要進行索引的屬性時,請確信所選擇的共用屬性,而且能夠在開銷和性能之間取得平衡。
  一個經過索引的架構屬性還可以被用來存儲屬性的容器所搜索,從而避免了對整個Active Directory資料庫進行搜索。這樣不僅縮短了搜索所需花費的時間,而且減少了在搜索期間需要使用的資源數量。
  全局編錄的角色
  全局編錄是一台存儲了森林中所有Active Directory對象的一個副本的域控制器。此外,全局編錄還存儲了每個對象最常用的一些可搜索的屬性。全局編錄存儲了它所在域的所有目錄對象的完整副本,以及森林中其它域中所有目錄對象的部分副本,所以您不必諮詢域控制器即可實施有效的搜索操作。
  全局編錄在森林中最初的一台域控制器上自動創建。您可以為任何一台域控制器添加全局編錄功能,或者將全局編錄的默認位置修改到另一台域控制器上。
  全局編錄擔當了以下目錄角色:
  • 查找對象 全局編錄允許用戶搜索森林所有域的目錄信息,而不管數據存儲在何處。森林內部的搜索可以利用最快的速度和最小的網路流量得以執行。
  在您從「開始」菜單搜索人員或印表機,或者在某個查詢的內部選擇了「整個目錄」選項的時候,您就是在對全局編錄進行搜索。在您輸入搜索請求之後,請求便會被路由到默認的全局編錄埠3268,以便發送到一個全局編錄進行解析。
  • 提供了根據用戶主名的身份驗證。在進行身份驗證的域控制器不知道某個賬戶是否合法時,全局編錄便可以對用戶的主名進行解析。例如,如果用戶的賬戶位於example1.microsoft.com域,而用戶決定利用user1@example1.microsoft.com這個用戶主名從位於example2.microsoft.com的一台計算機上進行登錄,那麼example2.microsoft.com的域控制器將無法找到該用戶的賬戶,然後,域控制器將於全局編錄伺服器聯繫,以完成整個登錄過程。
  • 在多域環境下提供通用組的成員身份信息。和存儲在每個域的全局組成員身份不同,通用組成員身份僅僅保存在全局編錄之中。例如,在屬於一個通用組的用戶登錄到一個被設置為Windows 2000本機域功能級別或者更高功能級別的域的時候,全局組將為用戶賬戶提供通用組的成員身份信息。
  如果在用戶登錄到運行在Windows 2000本機或者更高級別中的域的時候,某個全局編錄不可用並且用戶先前曾經登錄到該域,計算機將使用緩存下來的憑據讓用戶登錄。如果用戶以前沒有在該域登錄過,用戶將僅僅能夠登錄到本地計算機。
  說明:即便全局編錄不可用,「Domain Administrators」(域管理員)組的成員也可以登錄到網路中。
  查找目錄信息
  正如前面所介紹的,Active Directory的設計目的在於為來自用戶或應用程序的查詢提供有關目錄對象的信息。管理員和用戶可以使用「開始」菜單中的「搜索」命令輕鬆對目錄進行搜索和查找。客戶端程序也可以使用Active Directory服務介面(ADSI)訪問Active Directory中的信息。
  Active Directory的主要益處就在於它能夠存儲有關網路對象的豐富信息。在Active Directory中發布的有關的用戶、計算機、文件和印表機的信息可以被網路用戶所使用。這種可用性能夠通過查看信息所需的安全許可權加以控制。
  網路上的日常工作涉及用戶彼此之間的通信,以及對已發布資源的連接和訪問。這些工作需要查找名稱和地址,以便發送郵件或者連接到共享資源。在這方面,Active Directory就像是一個在企業中共享的地址簿 。例如,您可以按照姓、名、電子郵件地址、辦公室位置或者其它用戶賬戶屬性查找用戶。如前所述,信息的查找過程由於使用了全局編錄而得到了優化。
  高效的搜索工具
  管理員可以使用「Active Directory用戶和計算機」管理單元中的高級「查找」對話框高效率地執行管理工作,並且輕鬆定製和篩選從目錄取得的數據。此外,管理員還可以向組中快速添加對象,並且通過無需瀏覽的查詢幫助查找可能的成員,從而將對網路的影響降低到最小限度。

5 活動目錄 -Active Directory的複製

 
  複製為目錄信息提供了可用性、容錯能力、負載平衡以及性能優勢。Active Directory 使用多主控複製,您可以在任何一台域控制器上更新目錄,而不是只能在一台特定的主域控制器上進行更新。多主控模式具有更出色的容錯能力,因為使用了多台域控制器,即使在某一台域控制器停止工作的情況下,複製依然能夠繼續。
  域控制器可以存儲和複製:
  • 架構信息。架構信息定義了可以在目錄中創建的對象,以及每隔對象所能夠擁有的屬性。這些信息是森林中所有域的共用信息。架構數據被複制到森林中的所有域控制器上。
  • 配置信息。配置信息描述了您的部署的邏輯結構,其中包括諸如域結構或者複製拓撲這樣的信息。這些信息是森林中所有域的共用信息。配置數據被複制到森林中的所有域控制器上。
  • 域信息。域信息描述了域中所有的對象。數據特定於具體的域,而且不會被分發到其它的任何域中。為了在整個域樹或者森林中查找信息,所有域中的所有對象的屬性的一個子集被保存在全局編錄中。域數據將被複制到域中的所有域控制器上。
  • 應用程序信息。存儲在應用程序目錄分區中的信息旨在滿足用戶對這些信息的複製需要,但是這些信息並不是在任何情況下都需要。應用程序數據可以被明確地重新路由到森林中特定於管理用途的域控制器上,以防止產生不必要的複製流量。或者,您可以進行設置,將這些信息複製到域中的所有域控制器上。
  站點在複製過程中的角色
  站點提高了目錄信息的複製效率。目錄架構和配置信息在整個森林範圍內進行複製,而域數據則在域的所有域控制器之間進行複製,並且會被部分地複製到全局編錄上。通過有策略地減少複製流量,網路的通信壓力也會得到相應的減輕。
  域控制器使用站點和複製變化控制從以下方面對複製實施優化:
  • 通過對所使用的連接不時進行重新評估,Active Directory可以始終使用最有效的網路連接。
  • Active Directory使用多條路由複製發生變化的目錄數據,從而提供了容錯能力。
  • 由於僅僅需要複製發生了變化的信息,複製開銷降到了最小。
  如果某個部署沒有按照站點加以組織,域控制器以及客戶機之間的信息交換將是混亂和無序的。站點可以改善網路的利用效率。
  Active Directory在站點內部複製目錄信息的頻度比在站點間的複製頻度要更高。這樣,擁有最佳連接條件的域控制器——它們很可能需要特殊的目錄信息——可以首先得到複製。其它站點中的域控制器則可以獲得所有發生了變化的目錄信息,但是它們進行複製的頻率要低一些,以便節省網路帶寬。另外,由於數據在站點間進行複製時經過了壓縮處理,所以複製操作所佔用的帶寬進一步得到了降低。為了實現高效複製,只有在添加或修改了目錄信息之後才進行目錄的更新。
  如果目錄更新始終被分發到域中的所有其它域控制器上,它們將佔用大量的網路資源。雖然您可以手動添加或配置連接,或者強迫通過某條特定的連接進行複製,複製仍然可以根據您在「Active Directory Sites and Services」管理工具中提供的信息,通過Active Directory知識一致性檢查程序(Knowledge Consistency Checker,KCC)得到自動優化。KCC負責構建和維護Active Directory的複製拓撲。特別地,KCC可以決定何時進行複製,以及每台伺服器必須同哪些伺服器開展複製。

6 活動目錄 -Active Directory客戶端


  利用Active Directory客戶端,Windows 2000 Professional 或者 Windows XP Professional所擁有的眾多Active Directory特性可以被運行Windows 95、Windows 98以及Windows NT® 4.0操作系統的計算機所使用:
  • 站點感知。您可以登錄到網路中距離客戶端最近的一台域控制器上。
  • Active Directory 服務介面(ADSI)。您可以使用它為Active Directory編寫腳本。ADSI還為Active Directory編程人員提供了一個公共的編程API。
  • 分散式文件系統(DFS)容錯客戶端。您可以訪問Windows 2000 以及運行Windows DFS 容錯和故障轉移文件共享的伺服器,這些文件共享在Active Directory中指定。
  • NTLM Version 2 身份驗證。您可以使用NT LanMan (NTLM) version 2中經過改進的身份驗證特性。有關啟用NTML version 2的更多信息,請參閱Microsoft 知識庫文章Q239869,「如何啟用NTLM 2 身份驗證」 :http://support.microsoft.com/.
  • Active Directory Windows 地址簿(WAB)屬性頁。您可以修改用戶對象頁上的屬性,例如電話號碼和地址。
  • Active Directory的搜索能力。您可以通過「開始」按鈕,查找Windows 2000 Server 或者Windows 域中的印表機和人員。有關在Active Directory中發布印表機的更多信息,請參閱Microsoft 知識庫文章Q234619,「在 Windows 2000 Active Directory中發布印表機」:http://support.microsoft.com.
  Windows 2000 Professional 和 Windows XP Professional 提供了Windows 95、Windows 98和Windows NT 4.0上的Active Directory客戶端所沒有的一些功能,例如:對Kerberos version 5的支持;對組策略或者IntelliMirror® 管理技術的支持;以及服務主名或者相互驗證。通過升級到Windows 2000 Professional或Windows XP Professional,您可以對這些附加特性加以充分利用。更多信息,請參看:
  • 升級到Windows 2000 http://www.microsoft.com/windows2000/professional/howtobuy/upgrading/default.asp.
  • Windows XP Professional 升級中心 http://www.microsoft.com/windowsxp/pro/howtobuy/upgrading/default.asp.
  為了安裝Active Directory客戶端,請參閱Active Directory 客戶端頁面: http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp

7 活動目錄 -Active Directory的新增功能和改進特性

  • 本白皮書的剩餘部分概括了Windows Server 2003產品家族中的Active Directory在以下方面所擁有的一些新增功能和改進特性:
  • 集成和生產力
  • 性能和伸縮性
  • 系統管理和配置管理
  • 組策略特性
  • 安全性增強

8 活動目錄 -Active Directory 的集成和生產力

  作為管理企業標識、對象和關係的主要手段,Active Directory中的介面(包括編程介面和用戶界面)已經得到了改進,以提高管理工作的效率和系統的集成能力。
  讓Active Directory更加易於使用和管理
  Active Directory包含了眾多增強特性,例如對MMC管理單元的改進以及對象選擇工具組件等,它們讓Active Directory變得更加易於使用。MMC插件方便了多個對象的管理。管理員可以:
  • 編輯多個用戶對象。 一次選擇並編輯多個對象屬性。
  • 保存查詢。將針對Active Directory服務的查詢保存下載以便今後使用。結果可以用XML格式導出。
  • 使用經過改進的對象選擇工具組件快速選擇對象。該組件經過重新設計並且得到了加強,能夠改善工作流和提高在大目錄中查找對象的效率,同時還提供了一種更靈活的查詢功能。各種用戶界面均可以使用該組件,並且可以為第三方開發人員所使用。
  更多的集成和生產力特性和改進
  特性 描述
  
  ACL 列表用戶界面的修改 ACL用戶界面已經得到了增強,以改善其易用性以及繼承和特定的對象許可權。
  擴展性增強 那些擁有某個獨立軟體開發商(ISV)或者原始設備製造商(OEM)所開發的能夠利用Active Directory的軟體或設備的管理員擁有了更加出色的管理能力,並且可以添加任何對象分類作為組的成員。
  來自其它LDAP目錄的用戶對象 在LDAP目錄中定義的用戶對象使用了RFC 2798中定義的inetOrgPerson類(例如Novell和Netscape),這些對象可以使用Active Directory用戶界面進行定義。這個與Active Directory用戶對象配合工作的用戶界面可以處理inetOrgPerson對象。現在,任何需要使用inetOrgPerson類的應用程序或者客戶都可以輕鬆實現它們的目的。
  Passport 集成(通過IIS) Passport 身份驗證現在可以通過Internet Information Services (IIS) 6.0進行,而且允許Active Directory用戶對象被映射到他們相應的Passport標識符上(如果存在該標識)。本地安全機構(Local Security Authority,LSA)將為用戶創建一個令牌,然後IIS 6.0將根據HTTP請求對其加以設置。現在,擁有相應Passport 標識的Internet用戶可以使用他們的Passport訪問資源,就如同使用他們的Active Directory憑據一樣。
  利用ADSI使用終端伺服器 特定於終端伺服器用戶的屬性可以通過使用Active Directory服務介面(ADSI)編寫腳本進行設置。除了通過目錄手動設置之外,用戶屬性可以利用腳本加以設定。這樣做的一個好處就是:可以通過ADSI容易地實現屬性的批量修改或編程修改。
  複製和信任監視WMI提供者 Windows管理規範(WMI)類可以監視域控制器之間是否成功地對Active Directory信息進行了複製。因為眾多的Windows 2000組件,例如Active Directory複製,都需要依賴於域間的相互信任,本特性還為監視信任關係是否能夠正常工作提供了一種手段。管理員或者運營隊伍可以通過WMI在發生複製問題時輕鬆獲得報警。
  MSMQ 分發列表 消息隊列(Message Queuing,MSMQ)現在支持向駐留在Active Directory中的分發列表(Distribution Lists)發送消息。MSMQ用戶可以通過Active Directory輕鬆管理分發列表。

9 活動目錄 -Active Directory 性能和伸縮性


  主要的修改體現在Windows Server 2003對Active Directory信息的複製和同步操作的管理方面。此外,還圍繞安裝、遷移和維護添加了新的功能,以便讓Active Directory更加靈活、健壯和高效。
  改善分支辦公室的性能
  分支辦公室部署通常由眾多的遠程辦公室組成,而且每個遠程辦公室均擁有自己的域控制器——但是一般使用慢速連接與公司連接中心或數據中心保持相連。在用戶登錄時,Windows Server 2003不再要求訪問中央的全局編錄伺服器,從而加快了分支辦公室的登錄過程。現在,組織無需在擁有不可靠網路的地方為分支辦公室部署一台全局編錄伺服器。
  與在用戶每次登錄到域控制器時要求聯繫全局編錄不同,當網路可用時,域控制器會將先前從該站點或者從離線全局編錄伺服器登錄的用戶的通用組成員關係緩存下來。然後,在登錄時,用戶無需讓域控制器聯繫全局編錄伺服器,便可登錄到網路上,從而減少了對慢速或者不可靠網路的需求。如果全局編錄發生故障,無法處理用戶的登錄請求,這項改進還可以提供更多的可靠性。
  其它性能特性和改進
  特性 描述
  禁止對站點間的複製流量進行壓縮處理 禁止對不同站點的域控制器之間的複製流量進行壓縮。可以減輕域控制器的CPU負擔,從而在需要時提高性能。
  群集化的虛擬伺服器支持 群集對象現在也可以被定義為計算機對象。具有群集意識和Active Directory意識的應用程序可以將它們自己的配置信息與一個經過良好定義的對象建立關聯。
  併發LDAP綁定 出於對用戶進行身份驗證的目的,您可以對同一個連接上的多個輕量級目錄訪問協議(LDAP)實施綁定。應用程序開發人員可以利用本特性,極大提高LDAP綁定的性能,同時對向Active Directory發出的請求實施身份驗證。
  域控制器超載預防 如果域中已經包含大量域成員,而且這些成員已經升級到Windows 2000和Windows Server 2003,本特性能夠防止在域中引入的第一台Active Directory域控制器出現過載現象。
  Windows NT Server 4.0域可以包含Windows 2000和Windows Server 2003域成員,這些成員既可以是客戶機也可以是伺服器。在主域控制器(PDC)被升級到Windows 2000 Service Pack 2(SP2)或者升級到Windows Server 2003,它可以被配置,以模擬Windows NT 4.0域控制器的行為。Windows 2000和 Windows Server 2003域控制器和Windows NT 4.0域控制器沒有什麼區別。
  為了適應管理員的特殊需要,運行Windows 2000 SP2或Windows Server 2003的域成員可以進行配置,以便通知運行Windows 2000 SP2或Windows Server 2003的域控制器不要為響應Windows NT 4域控制器而模擬其行為。
  全局編錄複製的優化 在進行全局編錄複製的Windows Server 2003域中,您可以調整全局編錄同步的狀態而不是對其進行複位處理,由於僅僅傳輸被添加的屬性即可,由於部分屬性集(Partial Attribute Set,PAS)擴展而導致的工作將被降低到最小。其獲得的整體優勢便是:降低了複製流量並提高了PAS更新的效率。
  組成員關係複製的改進 在森林被提升到Windows Server 2003的森林本機模式( Forest Native Mode)之後,組成員關係改為存儲和 複製單個成員的值,而不是將整個成員關係作為一個單元加以對待。其結果便是:在複製期間更低的網路帶寬和處理器佔用,並且消除了由於同步更新造成更新數據丟失的可能。
  LDAP得到了擴展,以支持動態條目的存活時間(Time to Live,TTL) Active Directory可以存儲動態實體。這些實體指定了一個存活時間(TTL)值。用戶可以修改TTL值,讓實體的存活時間比現在更長一些。LDAP C 語言API已經得到了擴展,以支持這項新的功能。這使得應用程序的開發人員能夠將不需要保持太長時間的信息保存在目錄之中,並且在TTL到期后,讓Active Directory自動刪除這些信息。
  支持64位部署 組策略設置現在可以用來管理64位軟體部署。應用程序部署編輯器(Application Deployment Editor,ADE)中的選項能夠幫助您確定32位的應用程序是否應該部署在64位客戶機上。您可以使用組策略確保只有正確的應用程序部署在64位客戶端上。
[編輯本段]Active Directory 的系統管理和配置管理
  Windows Server 2003 增強了管理員有效配置和管理Active Directory的能力,即便是擁有多個森林、域和站點的超大型企業也可以得到輕鬆的管理。
  利用新的安裝嚮導配置Active Directory
  新的「配置您的伺服器」嚮導簡化了設置Active Directory的過程,並且針對特定的伺服器角色提供了經過預先定義的設置,它的優點之一便是:能夠幫助管理員對伺服器的初始化部署方式實施標準化。
  在伺服器安裝期間,管理員可以獲得幫助,通過幫助用戶安裝他們在Windows安裝過程中選擇需要的可選組件,伺服器的安裝過程變得更加便利。他們可以使用該嚮導執行以下工作:
  • 通過使用基本的默認設置自動配置DHCP、DNS和Active Directory,建立網路中的第一台伺服器。
  • 在用戶安裝文件伺服器、列印伺服器、Web和媒體伺服器、應用伺服器、RAS和路由或者IP地址管理伺服器的時候,為用戶指出完成安裝所需的特性,從而幫助用戶在網路中配置成員伺服器。
  管理員可以使用本特性進行災難恢復,將伺服器配置複製到多台計算機上,完成安裝,配置伺服器角色,或者在網路中建立第一個配置或主伺服器。
  其它管理特性和改進
  特性 描述
  自動創建DNS區域 在運行Windows Server 2003操作系統時,DNS區域和伺服器可以自動創建並配置。您可以在企業中創建它們以託管新的區域。本特定可以極大減少手動配置每台DNS伺服器所需的時間。
  得到改進的站點間複製拓撲生成過程 站點間拓撲生成器(ISTG)已經得到更新,不僅可以利用改進過的演算法,而且能夠支持比在Windows 2000下擁有更多數量站點的森林。因為森林中的所有運行ISTG角色的域控制器都必須在站點間複製拓撲方面取得一致,新的演算法在森林被提升到Windows Server 2003森林本機模式之前不會被激活。新的ISTG演算法跨越森林提供了得到改善的複製性能。
  DNS 配置增強 本特性簡化了dns錯誤配置的調試和報告過程,有助於正確配置Active Directory部署所需要的DNS基礎結構。
  這包括了在一個現有森林中提升某個域控制器的情況,「Active Directory安裝嚮導」會與現有的一台域控制器進行聯繫,以更新目錄並從該域控制器複製必需的目錄部分。如果嚮導由於不正確的DNS配置而無法找到域控制器 ,或者域控制器發生故障無法使用,它將執行調試過程,報告產生故障的原因,並指出解決該故障的方法。
  為了能夠找到網路中的域控制器,所有的域控制器都必須登記它的域控制器定位DNS記錄。「Active Directory安裝嚮導」會驗證DNS基礎結構是否得到了正確的配置,以便新的域控制器能夠進行域控制器定位DNS記錄的動態更新。如果此項檢查發現了不正確的DNS基礎結構配置,它將報告相關問題,並給出解釋,告知修復該問題的方法。
  通過媒介安裝副本 和通過網路複製Active Directory資料庫的完整副本不同,本特性允許管理員通過文件創建初始副本,這些文件是在對現有域控制器或者全局編錄伺服器進行備份的時候所生成的。任何具有Active Directory意識的備份工具所創建的備份文件都可以使用媒介(例如磁帶、CD、VCD或者網路文件複製)傳輸到候選域控制器上。
  遷移工具增強 Active Directory遷移工具(ADMT)在Windows Server 2003中得到了增強,它可以提供:
   口令遷移。ADMT version 2 允許用戶將口令從Windows NT 4.0 遷移到 Windows 2000 或 Windows Server 2003 域中,也可以將口令從Windows 2000 域遷移到Windows Server 2003 域中。
   新的腳本介面。對於大多數常見的遷移工作,例如用戶遷移、組遷移和計算機遷移,我們提供了新的腳本介面。ADMT現在可以通過任何語言驅動,並且支持COM介面,例如Visual Basic® Script、Visual Basic以及Visual C++®開發系統。
   命令行支持。腳本介面已經得到了擴展,以支持命令行。所有可以通過編寫腳本來完成的工作都可以直接通過命令行或者批處理文件完成。
   安全性轉換改進。安全性轉換(例如在ACL內重新調配資源)得到了擴展。現在,源域可以在安全性轉換運行的時候被脫離。ADMT還可以指定一個映射文件,並用該文件作為安全性轉換的輸入。
  ADMT version 2 讓用戶向Active Directory的遷移工作變得簡單了,而且提供了能夠實現自動化遷移的更多選項。
  特性 描述
  應用程序目錄分區 Active Directory服務將允許用戶創建新類型的命名上下文環境,或者分區(又稱作應用程序分區)。該命名上下文環境可以包含除安全主體(用戶、組和計算機)之外的各種類型對象的層次結構,而且能夠被配置為複製森林中的任何域控制器集合,而不一定是相同域中的所有域控制器。
  通過對複製範圍和副本位置加以控制,本特性為用戶提供了在Active Directory中託管動態數據的能力,而且不會對網路性能造成不利影響。
  存儲在應用程序分區中的集成化DNS區域 Active Directory 中的DNS區域可以在應用程序分區中存儲和複製。通過使用應用程序分區存儲DNS數據,減少了存儲在全局編錄中的對象數量。除此之外,當您在應用程序分區中存儲DNS區域的時候,只有在應用程序分區中指定的部分域控制器會被複制。默認情況下,特定於DNS的應用程序分區僅僅包含那些運行DNS伺服器的域控制器。此外,在應用程序分區中存儲DNS區域使得DNS區域可以被複制到位於Active Directory森林其它域中充當DNS伺服器的域控制器上。通過將DNS區域集成到應用程序分區中,我們可以限制需要複製的信息數量,並且降低複製所需的整體帶寬。
  得到改進的DirSync 控制項 本特性改善了Active Directory對一個名為「DirSync」的LDAP控制項的支持,該控制項被用來從目錄中獲得發生了變化的信息。DirSync控制項可以用來進行一些檢查,這些檢查類似於在正常的LDAP搜索上進行的檢查。
  功能級別 和Windows 2000的本機模式類似,本特性提供了一種版本控制機制,Active Directory的核心組件可以利用該機制確定域和森林中的每台域控制器都擁有那些功能特性。此外,本特性還可以用來防止Windows Server 2003以前的域控制器加入到一個全部使用Windows Server 2003的Active Directory特性的森林中。
  取消架構屬性和分類的激活狀態 Active Directory已經得到了增強,以允許用戶停用Active Directory架構中的某些屬性和分類。如果原始定義中存在錯誤,屬性和分類可以被重新定義。
  在將屬性或分類添加到架構中時,如果在設置一個永久性屬性的時候發生了錯誤,停用操作將為用戶提供了一種取代該定義的手段。本操作是可逆的,管理員可以撤銷某個停用操作而不會產生任何不良的副作用。現在,管理員在管理Active Directory的架構方面擁有了更多的靈活性。
  域的重命名 本特性允許用戶修改森林中現有域的DNS和(或)NetBIOS名稱,同時保證經過修改的森林依然保持良好的組織結構。經過重新命名的域由它的域全局唯一ID(GUID)所代表,它的域安全ID(SID)並沒有發生改變。此外,計算機的域成員關係也不會因為其所在域的名稱發生變化而變化。
  本特性沒有包括對森林根域的修改。雖然森林的根域也可以被重命名,但是您不能指定一個其它的域來代替現有的根域而變成一個新的森林根。
  域的重命名會導致服務中斷,因為它要求重新啟動所有的域控制器。域的重命名還需要被重命名域中的所有成員計算機都必須重新啟動兩次。雖然本特性為域的重命名提供了一種受支持的手段,但是它既沒有被視作一種例行的IT操作,也沒有成為例行操作的意圖。
  升級森林和域 Active Directory已經在安全性和應用程序支持方面添加了很多改進。在現有域或森林中運行Windows Server 2003操作系統的第一台域控制器得到升級之前,森林和域必須為這些新的功能特性做好準備。Adprep便是一個新的工具,用來幫助用戶準備森林和域的升級。如果您是從Windows NT 4.0進行升級,或者在運行Windows Server 2003的伺服器上執行Active Directory的全新安裝,那麼您不需要使用Adprep工具。
  複製和信任監視 本功能允許管理員對域控制器之間是否成功地複製了信息加以監視。因為很多Windows組件(例如Active Directory複製)都依賴於域間的相互信任,本特性還為信任關係正確發揮作用提供了一種方法。

10 活動目錄 -Active Directory的組策略特性

  組策略的管理
  Microsoft 組策略管理控制台(GPMC)是針對組策略管理的最新解決方案,它能夠幫助您更具成本效益地管理企業。該控制台由一個新的Microsoft 管理控制台(MMC)管理單元和一組編寫腳本的組策略管理介面組成。在Windows Server 2003發布之前,GPMC將作為一個單獨的組件提供給用戶。
  GPMC的目的
  GPMC的設計目標在於:
  • 通過為組策略的核心要素提供一個單一的管理位置,簡化組策略的管理過程。您可以將GPMC 視作管理組策略的一個「一站式的購物場所」。
  • 滿足客戶就組策略部署提出的主要要求,這主要通過以下手段得以實現:
  • 一個能夠讓組策略變得更易於使用的用戶界面。
  • 組策略對象(GPO)的備份/恢復
  • GPO的導入/導出和複製/粘貼,以及Windows管理規範(WMI)過濾器。
  • 基於組策略實現的、更簡單的安全性管理
  • GPO設置的HTML報告
  • 組策略結果和組策略建模數據(以前被稱作策略結果集)的HTML報告
  • 圍繞該工具內部所暴露的GPO操作編寫腳本——而不是圍繞GPO設置編寫腳本
  在GPMC出現之前,管理員需要使用數個Microsoft工具來管理組策略。GPMC將這些工具所擁有的現有組策略功能以及上面所介紹的新增功能結合到了一個單一、統一的控制台中。
  管理Windows 2000 和 Windows Server 2003 域
  GPMC可以使用Active Directory 服務管理基於Windows 2000 和 Windows Server 2003的域。在這兩種域之中,用來運行工具並且用作管理目的的計算機必須安裝以下操作系統和組件之一:
  • Windows Server 2003
  • Windows XP Professional with Service Pack 1(SP1);SP1后的其它熱修補程序;以及Microsoft .NET Framework。
  其它組策略特性和改進
  特性 描述
  重新定向默認的用戶和計算機容器 Windows Server 2003 提供的工具能夠自動將新的用戶和計算機對象重新定向到應用了組策略的指定組織單位中。
  這種做法可以幫助管理員避免出現新添用戶和計算機對象出現在域的根級別的默認容器中這種情況。類似這樣的容器並不是為保存組策略鏈接而設計的,而且客戶端也不能從這些容器上讀取或應用組策略。本特性可以強迫使用這些容器的許多客戶引入域級別的組策略,而在很多情況下,這種策略是難於使用的。
  實際上,Microsoft建議用戶創建一個富有邏輯層次的組織單位,並且使用它保存新近創建的用戶和計算機對象。管理員可以使用兩個新的資源工具包工具——RedirUsr 和 ReDirComp——為三個遺留的API(NetUserAdd()、NetGroupAdd()、NetJoinDomain() )指定一個備用的默認位置。這允許管理員重新將默認位置定向到更為適合的組織單位,然後直接在這些新的組織單位上應用組策略。
  組策略結果 組策略結果(Group Policy Results)允許管理員確定並分析當前應用在某個特殊目標上的策略集合。通過組策略結果,管理員能夠查看目標計算機上現有的策略設置。組策略結果以前被稱作日誌模式的策略結果集(Resultant Set of Policy)。
  組策略建模 組策略建模(Group Policy Modeling)意在幫助管理員規劃系統的增長和重新組織。它允許管理員挨個查看現有的策略設置、應用程序以及某個假設情境的安全性。在管理員決定必須對現有設置進行修改之後,他們可以進行一系列的測試,以查看在用戶或用戶組被移動到另一個位置、另一個安全組或者另一台計算機后,究竟會發生何種情況。這包括了在所做的修改生效之後,應該應用哪些策略設置或者自動載入哪些策略設置。
  組策略建模為管理員帶來了極大的便利,因為在網路中真正實施修改之前,管理員能夠通過組策略建模對策略進行全面測試。
  新的策略設置
  Windows Server 2003 包括了超過150個的新的策略設置。這些策略設置為用戶定製和控制操作系統針對特定用戶組的行為提供了手段。這些新的策略設置可以影響到諸如錯誤報告、終端伺服器、網路和撥號連接、DNS、網路登錄請求、組策略以及漫遊配置文件這樣的功能。
  Web 視圖管理模板 該特性加強了「組策略管理模板」擴展管理單元,用戶可以通過它查看與不同策略設置有關的詳細信息。在選擇了某個策略設置之後,有關該設置的行為的詳細信息以及該項設置應用在何處的附加信息便顯示在「管理」模板用戶界面的「Web」視圖中。此外,這些信息也可以通過每個設置的「屬性」頁面上的「解釋」選項卡進行查看。
  管理DNS客戶端 管理員可以在Windows Server 2003上使用組策略配置DNS客戶端設置。在調整DNS客戶端設置時——例如啟用和禁用客戶端的DNS記錄的動態註冊,在名稱解析時使用主DNS後綴以及填充DNS後綴列表等,這種做法可以大大簡化域成員的配置過程。
  「我的文檔」 文件夾的重定向 管理員可以使用本特性將用戶從一個主目錄形式的舊有部署過渡到「我的文檔」模式,同時和現有的主目錄環境保持兼容性。
  在登錄時完全安裝指派給用戶的應用程序 應用程序部署編輯器(Application Deployment Editor)包含了一個新的選項,它允許一個指派給用戶的程序在用戶登錄時進行完全的安裝,而不是根據需要進行安裝。這樣,管理員便可以確保相應的應用程序能夠自動安裝在用戶的計算機上。
  Netlogon 本特性能夠在基於Windows Server 2003的計算機上使用組策略配置Netlogon設置。在調整Netlogon設置(例如啟用和禁用特定於域控制器的定位DNS記錄的動態註冊,定期刷新這樣的記錄,啟用和禁用自動站點覆蓋,以及其它許多Netlogon參數)的時候,它能夠簡化配置域成員所需的步驟。
  網路和撥號連接 Windows Server 2003 網路配置用戶界面可以通過組策略被特定的(有限制的)用戶所使用。
  分散式事件策略 WMI 事件基礎結構經過了擴展,可以運行在一個分散式的環境之中。該項增強由數個能夠完成WMI事件的訂閱配置、篩選、關聯、彙集和傳輸的組件組成。ISV 可以利用更多的用戶介面和策略類型定義實現健康狀況監視、事件日誌、通知、自動恢復以及計費等功能。
  禁用憑據管理器 作為Windows Server 2003擁有的一項新功能,憑據管理器(credential Manager)簡化了用戶憑據的管理過程。組策略允許您禁用憑據管理器。
  面向軟體部署的支持URL 本特性能夠為軟體包編輯和添加一個支持URL。在應用程序出現在目標計算機上的「添加/刪除程序」中時,用戶可以通過這個支持URL前往支持頁面。本特性有助於降低支持部門所接聽支持電話的數量。
  WMI 篩選 Windows管理規範(WMI)能夠收集與計算機有關的大量數據,例如硬體和軟體清單、設置、和配置信息等。WMI從註冊表、驅動程序、文件系統、Active Directory、簡單網路管理協議(SNMP)、windows installer服務、結構化查詢語言(SQL)、網路以及Exchange Server處收集這些信息。Windows Server 2003 中的WMI 篩選(WMI Filtering)允許您根據對WMI數據的查詢,動態地確定是否應用某個GPO。這些查詢(又稱作WMI過濾器)決定了哪些用戶和計算機能夠獲得在您用來創建過濾器的GPO中配置的策略設置。本功能讓您能夠根據本地計算機的屬性動態地應用組策略。
  例如,某個GPO可能向特定組織單位中的用戶指派了Office XP。但是,管理員不能肯定是否組織中所有的舊桌面計算機都擁有足夠的硬碟空間來安裝該軟體。在這種情況下,管理員便可以結合使用WMI過濾器和GPO,只向擁有超過400MB以上剩餘硬碟空間的用戶指派Office XP。
  終端伺服器 管理員可以使用組策略管理用戶使用終端伺服器的方式,例如強制進行重定向,口令訪問以及牆紙設置。

11 活動目錄 -Active Directory的安全性增強

 
  在Windows Server 2003產品家族中,Active Directory已經得到了增強,具有了更多的安全特性,從而讓管理員管理多個森林和跨域信任的工作變得更輕鬆。此外,新的憑據管理器為用戶憑據和X.509證書提供了一個安全的存儲場所。
  利用森林信任管理安全性
  森林信任是一種新的Windows信任類型,可以對兩個森林之間的安全關係加以管理。該特性極大地簡化了跨森林的安全管理,並且允許信任森林在它信任的其它森林的安全主體名稱上應用約束,以執行身份驗證。本特性包括:
  森林信任
  • 通過在兩個森林的根域之間建立一條信任鏈接,新的信任類型允許一個森林中的所有域(可傳遞)地信任另一個森林中的所有域。
  • 森林信任在森林級別不能跨越三個或者更多的森林進行傳遞。如果森林A 信任森林B,而且森林B 信任森林C,那麼這並不表明森林A和森林C之間能夠建立任何信任關係。
  • 森林信任可以是單向的,也可以是雙向的。
  信任管理
  • 新的嚮導簡化了所有類型的信任鏈接的創建過程,特別是森林信任。
  • 新的屬性頁允許您管理與森林信任關聯的被信任名稱空間。
  被信任的名稱空間
  • 受信任的名稱空間用來路由針對特定安全主體的身份驗證和授權請求,這些主體的帳戶在被信任森林中進行維護。
  • 一個森林所發布的域、用戶主體名稱(UPN)、服務主體名稱(SPN)以及安全標識符(SID)的名稱空間在森林信任創建之時會被自動收集,並且可以通過「Active Directory域和信任」用戶界面得到刷新。
  • 森林在受到信任后,在「先到先服務」的基礎上,它便對它所發布的名稱空間擁有了權威性,只要它們與現有森林信任關係的被信任名稱空間不發生衝突。
  被信任名稱空間的相互重疊現象會自動得到預防。管理員也可以手動禁用某個被信任的名稱空間。
  其它安全特性和改進
  
  特性 描述
  跨森林身份驗證 當用戶帳戶屬於一個森林,而計算機帳戶屬於另一個森林時,跨森林的身份驗證能夠實現對資源的安全訪問。本特性允許用戶使用Kerberos或NTLM驗證,安全地訪問其它森林中的資源,而不必犧牲由於只需在用戶的主森林中維護一個用戶ID和口令所帶來的單點登錄和其它管理方面的好處。跨森林身份驗證包括:
  名稱解析
  
   當Kerberos和NTLM 不能在本地域控制器上解析一個主體名稱時,它們會調用全局編錄。
   當全局編錄無法解析該名稱時,它將調用一個新的跨森林名稱匹配功能。
   該名稱匹配功能將安全主體名稱與來自所有被信任森林的被信任名稱空間進行比較。如果找到匹配的名稱空間,它便將被信任森林的名稱作為一個路由提示返回。
  請求的路由
   Kerberos和NTLM使用路由提示將身份驗證請求沿著信任路徑從源域發送給可能的目標域。
   對於Kerberos,密鑰頒發中心(Key Distribution Centers,KDC)會生成沿著信任路徑的引用,客戶機以標準的Kerberos方式跟蹤這些引用。
   對於NTLM,域控制器使用pass-through身份驗證,沿著信任路徑穿過安全通道傳遞該請求。
  受支持的身份驗證
   Kerberos 和 NTLM 網路登錄,用來遠程訪問另一個森林中的伺服器。
   Kerberos 和 NTLM 互動式登錄,用來進行用戶主森林之外的物理登錄。
   到另一個森林中的N層應用的Kerberos 委派。
   完全支持用戶主體名稱(UPN)憑據
  跨森林授權 跨森林授權讓管理員能夠輕鬆地從被信任森林中選擇用戶和組,以便將他們包括在本地組或者ACL之中。本特性維護了森林安全邊界的完整性,同時允許在森林之間建立信任關係。在來自被信任森林的用戶試圖訪問受保護的資源時,它能讓信任森林在它將要接受的安全標識符(SID)上施加某些約束和限制。
  組成員關係和ACL管理
   對象選取程序已經得到了增強,以便從被信任森林中選擇用戶或組。
   名稱必須完整輸入。不支持枚舉和通配符搜索。
  名稱-SID 轉換
   對象選取程序和ACL編輯器使用系統API存儲組成員和ACL項目的SID,並且將其轉換回友好名稱以便於顯示。
   名稱-SID轉換API得到了增強,可以使用跨森林的路由提示,並且能夠沿著信任路徑充分利用域控制器之間的 NTLM安全通道,以解析來自被信任森林的安全主體名稱或SID。
  SID過濾
   在授權數據從受信任森林的根域傳遞到信任森林的根域時,SID將受到過濾。信任森林僅僅接受和它信任的域有關並且接受其它森林管理的SID。其它任何SID都回被自動丟棄。
  SID過濾自動應用在Kerberos和NTLM身份驗證以及名稱-SID轉換上。
  交叉證書增強 Windows Server 2003客戶端的交叉證書特性已經得到了加強,它現在擁有了部門級和全局級的交叉證書能力。例如,winlogon現在可以執行對交叉證書的查詢,並且將它們下載到「企業信任/企業存儲」中。隨著鏈條的建立,所有的交叉證書都將被下載。
  IAS 和跨森林身份驗證 如果Active Directory森林處於「跨森林」模式,並且建立了雙向信任,那麼Internet身份驗證服務/遠程身份驗證撥入用戶伺服器(IAS/RADIUS)便可以通過本特性對另一個森林中的用戶進行身份驗證。這使得管理員可以輕鬆地將新的森林與森林中現有的IAS/RADIUS服務集成在一起。
  憑據管理器 憑據管理特性為用戶憑據(包括口令和X.509證書)的存儲提供了一個安全的場所。它還為包括漫遊用戶在內的用戶提供了連續一致的單點登錄體驗。例如,在用戶訪問公司網路內部的某個業務應用的時候,對該應用的首次嘗試需要身份驗證,用戶需要提供一個憑據。在用戶提供了該憑據之後,憑據便與被請求的應用程序建立了關聯。在用戶對該應用的後續訪問中,可以重複使用保存下來的憑據,而不會再次提示用戶提供憑據。

12 活動目錄 -總結


  在Windows 2000的原有基礎之上,Windows Server 2003中的Active Directory將重心放在了管理工作的簡化、通用性以及無可匹敵的可靠性上面。和以往相比,Active Directory已經成為了構建企業網路的堅實基礎,因為它可以:
  • 充分利用現有投資,以及對目錄進行合併管理。
  • 擴展管理控制的範圍,減少冗餘的管理工作。
  • 簡化遠程集成,更有效地使用網路資源。
  • 為基於目錄的應用提供了一個強大、可靠的開發和部署環境。
  • 降低TCO並且改善IT資源的利用效率

上一篇[磁碟管理器]    下一篇 [conime.exe]

相關評論

同義詞:暫無同義詞