目录服务详细资料大全

目录服务对于网路的作用就像白页对电话系统的作用一样。目录服务将有关现实世界中的事物（如人、计算机、印表机等等）的信息存储为具有描述性属性的对象。人们可以使用该服务按名称查找对象或者像使用黄页一样，可使用它们查找服务。

基本介绍 中文名 ：目录服务 外文名 ：directory services 作用 ：使用它们查找服务 针对对象 ：人、计算机、印表机 目录服务介绍,作用,目录相关 *** 作,管理概述,工具,目录伺服器,协定,元目录,虚拟,可用服务, 目录服务介绍 网路上，特别是网际网路中有各型各类的主机。有各种各样的资源, 这些东西杂散在网路中,，需要有一定的机制来访问这些资源,，得到相关的服务， 于是就有了目录服务。 早期的目录服务主要是提供档案检索,，NOVELL就是广为使用的目录伺服器系统；随着网际网路的发展,，网站的定位又成了难题， 于是有了DNS服务,它也是典型的目录服务,即帮你做域名与IP位址之间的转换。NETMEETING也是目录伺服器的服务内容之一,，对NetMetting来说，其目录伺服器主要是帮助定位用户状态信息的。 在WINDOWS体系中，AD(活动目录)功能强大，是符合工业标准的目录伺服器。在UNIX或LINUX中，也有相应的目录伺服器。 总结一下，目录伺服器的主要功能是提供资源与地址的对应关系，比如你想找一台网上的共享印表机或主机时，你只需要知道名字就可以了，而不必去关心它真正的物理位置。而目录伺服器帮助维护这样的资源-地址映射。 作用 目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网路服务、基于网路的套用管理等！活动目录服务是将网路中的各种资源组合起来，进行集中管理，以方便网路资源的搜寻，使企业可以轻松地管理复杂的网路环境。 目录相关 *** 作 目录的格式 目录是读者的地图。它提供了文档内容的概览，可以帮助读者迅速找到特定的章节。 目录可以是章节标题的简单列表，也可以包括多个标题或大纲级别。 要列印的说明书可能需要在目录中包括多个级别的标题和副标题及其相应的页码。另一方面，将在萤幕上显示的检查报告 可能只需 连结到目录的主要章节即可。两种方式无论哪一种，都很容易做到。 创建目录步骤 在 Word 中创建目录有两个步骤： 在您的文档中 标记 要包含在目录中的文本。标记文本是标识要包含在目录中的特定文本块（比如章标题或节标题）的一种方法。 将标记文本汇集在一处。 您可以一边编写文本一边进行标记。如果您正在编写的句子是一个新的章标题，请立即对其进行标记。这样您不就必浏览整个文档来标记您要包括在目录中的文本条目（尽管浏览全文也可以）。 更新目录 构建目录后，您就要对它进行维护。如果您在文档中包括了更多的标题，或只添加了更多内容，您就需要让目录包括新标题并显示正确的页码。 您可以通过选择目录，然后按 F9 或在 “大纲” 工具列上单击 “更新目录” 按钮来更新目录。 更新目录时，系统会询问您是更新整个目录（包括所有文本条目）还是只更新页码。如果 您只添加了正文文本而没有添加新标题，请只选择页码选项 — 在长文档中这会更快并会为您节省时间。但是如果您已经 在目录中添加了新标题或更改了包括在目录的任何文本的话，请选择 “更新整个目录” 选项。 避免编辑目录本身中的条目 — 如果您更新目录，您就会丢失那些更改。若要更改目录中显示的文本，请确保在文档正文内编辑此文本 — 而不要在目录内编辑，然后按 F9 整理这些更改。 标记了文本后，可以将其汇集在目录中。这是 Word 为您完成这项工作的地方。 首先将插入点放在要显示目录的位置，通常是在文档的开头。然后，在 “插入” 选单中，指向 “引用” ，然后单击 “题注” ，再单击 “目录” 选项卡。 如果您要使用 默认选项，请单击 “确定” 以便创建目录。 有很多个选项。 本课程的其余部分将探讨这些选项中的某些选项。 目录的修改 现在您已经知道如何创建目录， 如何通过设定整个目录的格式，使目录条目更清晰明了、更富有吸引力，从而让整个目录显得更生动。 Word 中有几种内置的目录 格式 。并且还有其他格式可供您使用，例如在目录条目和相应页码之间使用点线，在萤幕文档的目录中使用超连结等。 可以更改的目录元素：字型详细信息，比如字号、类型和颜色，页码的位置。制表符前导符的类型，级别数。此处有三种级别：“行星”位于第一级；“水星” “金星”和“地球”位于第二级；“月球”位于第三级。 您要更改目录的外观时，最好更改整个目录 — 不要更改每个单独的行。但在开始前，最好了解事实真相以及您能进行哪些更改。 字型：通过向整个目录套用 格式 ，您可以更改目录中文本的字号、类型、颜色，等等。页码：您可以选择是否包括页码，如果包括页码，选择让页码在文本条目旁边还是右对齐。制表符前导符：如果您的页码右对齐， 您可以选择是否使用制表符前导符（点线、虚线、直线）。级别：在一个复杂的文档中，目录可能需要不止标准的三个级别。 您最多可以有九个级别。 使用内置的目录格式可以一次性更改所有这些属性中的许多属性。该格式会影响整个目录。您需要避免“手动”设定目录格式，因为在对目录进行更新时，那样做会使您套用的直接格式丢失。 如果您混淆了所有这些“格式”， 请记住有两种类型的格式需要考虑。首先，文档中您标记要包括在目录中的文本可以设定包格式（例如，用标题样式设定格式）。还有目录本身也可以设定格式。 标记目录条目多种方法 有三种方法可以标记目录的文本：标题样式、自定义样式和文档大纲级别。 标记目录文字的方法有很多种。正如您在前面练习所看到的那样，在文档中使用内置的标题样式是一种快捷而轻松的目录构建方法。当然您也可以创建自己的定制样式。此外，如果您偏爱大纲样式，您也可以创建文档大纲，并使用不同的大纲级别作为目录的条目。 有时，您可能不想让目录中同一级别的条目在正文中使用相同的格式。 例如，希望每个条目在文档主体中的颜色各不相同，而在目录中却非如此。 要继续自学本课内容，请单击 “下一页” 。 管理概述 目录服务是扩展计算机系统中最重要的组件之一。虽然用户和管理通常不知道他们感兴趣对象的确切名称，但他们可能知道该对象的一个或几个属性，可以查询目录以获得一个匹配这些属性的对象列表。 目录服务可以： · 按照管理员的定义强制实施安全性以保持信息的安全，以防入侵者的攻击。 · 在一个网路的多台计算机间分配目录，提供更高的性能。 · 复制目录，以使更多的用户可以使用目录，同时有效地防止失败的发生。 · 将目录划分为多个数据源（存储区），以便存储大量对象。 工具 随着网路中对象数量的增长，目录服务也变得越来越重要。目录服务就像中心点，而一个大的分散式目录围绕该中心运作。 过去，目录服务主要用于命名和定位网路资源。现在，这些功能得到了扩展，目录服务也变成 Inter/Intra 基础结构内的一个重要组件，提供类似参考目录、白页和黄页、电子邮件目录之类的服务。 目录服务还启用了在不同电子邮件系统之间传递和集成电子邮件的功能。目录服务在应用程式集成所扮演的角色越来越重要，它就好像是一个涵盖了所有应用程式、访问和安全信息的中央存储库。 目录服务 如今推出的许多应用程式中都启用了新型目录，它们将目录作为网路基础结构的一个重要组成部分。目录被看作是一个具有特殊用途的自定义资料库，只要安全地连线到这个资料库，用户和应用程式便可以轻松地查找、读取、添加、删除和修改信息。然后，此信息便可以自动分布到网路中的其他目录伺服器。 这些启用了目录的应用程式依靠成熟的目录服务来执行其他三种关键角色：身份验证和授权、命名和定位，以及网路资源的支配和管理。 目录伺服器 目录服务是用于在全球范围内查找用户和商业伙伴的强大的搜寻工具。通讯簿支持 LDAP （轻量级目录访问协定）访问目录服务，而且其内置功能可以访问最流行的几种目录服务。您也可以从 Inter 服务提供商那里添加附加的目录服务。 同 Inter搜寻工具一样，目录服务使用不同的方式收集数据，因此，当尝试在线上查找个人或公司时，您可以尝试用多种服务，方便快捷。 添加目录服务 您需要伺服器的名称以便将某个目录服务添加到通讯簿。可以从目录服务提供者处获取此信息。 在通讯簿或 Outlook Express 中，单击工具选单，然后单击帐号。 在 Outlook Express 中，选择目录服务选项卡，单击添加，单击目录服务，然后按照 Inter目录伺服器名 (Inter Directory Server Name) 向导中的指示行事。 在通讯簿中，单击添加，然后按照 Inter目录伺服器名向导中的指示行事 设定目录伺服器以检查电子邮件地址 记不住某人完整的电子邮件地址，可以输入一部分名称，然后使用工具选单上的检查姓名命令来搜寻匹配项。 Outlook Express 首先搜寻通讯簿，如果未找到匹配项，再搜寻您已经设定的目录服务以检查电子邮件地址。 在通讯簿或 Outlook Express 中，单击工具选单，然后单击帐号。 如果在 Outlook Express 中，请单击目录服务选项卡。 选择一个目录服务，然后单击属性。 在常规选项卡上，选择传送邮件时根据此伺服器检查名称复选框。 目录伺服器简介 网路管理员使用目录管理用户帐户及网路资源。从管理员的角度来看，目录服务类似于网路上的所有设备的清单。通过使用图形界面或搜寻任意设备的名称或某些属性(如“彩色印表机”)可查找其位置。一旦找到设备的位置，管理员就可对设备进行控制(如禁用或防止某些用户访问该设备)。 目录服务 目录是一个为查询、浏览和搜寻而最佳化的专业分散式资料库，它成树状结构组织数据，就好象Linux/Unix系统中的档案目录一样。目录资料库和关系资料库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，不适于存储修改频繁的数据。所以目录天生是用来查询的，就好象它的名字一样。目录服务是由目录资料库和一套访问协定组成的系统。DNS(域名系统)是目录服务的一种形式。该系统保存有关域名的信息。类似以下的信息适合储存在目录中： 企业员工和企业客户之类人员信息； 公用证书和安全密钥； 邮件地址、网址、IP等电脑信息； 电脑配置信息。 协定 X500倒置层次树如图D-24所示。目录由称为容器或叶对象的项构成。容器位于树的分枝上并保存其他容器和(或)叶对象。叶对象表示现实世界的对象，如人、计算机、印表机及存储卷。每个对象都有一个CN(公共名称)和属性(稍后讨论)。DN(辨别名称)是定义组成从树顶端到对象的路径的所有容器的名称。在图D-24中，Joe的DN是在资料库(逻辑目录树)中每个项都有一个对象类。在图D-24中US和UK属于对象类“国家”，而Microsoft和BigCorp属于对象类“组织”。Joe属于对象类“个人”。 =Joe，ou=Eng，o=Bigcorp，c=US 每个对象类具有一各特定的属性(也称为“特性”或“元素”)集合。属性是资料库中可保存某值的基本栏位。“组织”项将会有描述公司的属性，而“个人”项将会有定义人的属性。最常见的属性是“公共名称”、“地址”、“邮件”、“部门”、“电话:“传真”等等。 对象子类的概念是很重要的。如果创建一个对象并赋予其某些属性，然后创建该对象下的子类，则子类将自动“继承”父对象的属性。如果更改父对象，则其子类也将继承这些更改。例如对象“印表机”将具有所有印表机的基本属性。在该对象下是印表机的子类，如彩色印表机、整理印表机等。这种设计为企业管理带来了很大益处，尤其是当机构增长或变化时。 由于X500较复杂，且需严格遵照OSI七层协定模型。造成套用开较困难。所以开发了LDAP(简便目录访问协定)，以便在INTERNET上使用。LDAP是访问目录的通用协定。它是客户机/伺服器协定，其中客户机 *** 作可添加和删除，或修改项，或只查询有关某项的资料库。客户机还可通过指定它们正查找的对象的属性来搜寻资料库。可将查询限定在树的某个特定分枝的范围。例如，在图D-24中，可搜寻资料库中的BigCorp项下的对象。 目录服务 LDAP最大的优势是可以在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端程式访问LDAP目录。而且也很容易定制应用程式为它加上LDAP的支持。 元目录 元目录通过充当对于其他目录服务的单个访问点为目录服务添加了可互用性。它是一种中间件形式。元目录为不同的目录服务提供了一种交换数据的方式。可将元目录视为一种将目录连线到其中以交换信息的中央集线器。 元目录可以集成多种目录服务，有时还可以集成其他存储系统，如将资料库集成到统一的命名空间中。元目录提供了一个集成化的一致视图，将先前相互隔离的信息集成到一个视图中。另外，元目录还可以控制数据的更新方式。例如，对于员工姓名更改，如果此更改由HR资料库引起，则元目录会视这些更改有效；如果这些更改由其他任何资料库或目录引起，则元目录将撤消这些更改。Microsoft Metadirectory Service和Sun One Meta Directory为元目录产品的不同例子。 Burton Group所编写的“元目录FAQ”中是这样描述:在1996年，Burton Group正式定义了“元目录”概念，它描述了联合、集中注册、属性流和其他目录服务的功能规范。该术语源自资料库领域中的元数据。元数据以目录卡描述图书馆中的书籍的相同形式描述资料库中的数据。Burton Group社撰了术语“元目录”以描述当时出现的集成并转换多个目录服务中的信息的一个产品类别。根据FAQ，“元目录服务合并了多个目录中信息的子集，其中包括有关人、团体、职能、组织单位、位置和其他资源的信息。这种合并创建了组织中不同目录的联合或统一的视图。元目录使得通过LDAP和基于Web的访问协定可访问联合视图”。 考虑单个用户在网上具有多个身份(如他(或她)的注册名和电子邮件名)是理解元目录的联合作用的最好方式。元目录也可帮助解决组织内或商业伙伴之间建立的目录中的命名方案中的差异问题。所有这些都通过跟踪更改并确保相应更新这些更改信息的系统动态完成。元目录有以下两种类型: 联合元目录在该方案中，将创建一个指向所有其他目录的单独目录。管理员使用元目录，而无需使用每个单独引用的目录。Isocor使用该方法。 目录服务 虚拟 在该方案中，不创建额外的目录。相反，管理应用程式允许管理员直接使用各个目录，方法是通过索引映射模式提供目录的单个视图。Entevo使用该方法。元目录解决了与应使用哪一种目录服务或(如果多个目录存在)哪一个应是顶级目录相关的政策问题。Microsoft最初将其Active Directory设计为全控目录 *** 作，但却发现这样需要支持不同种类的目录环境。于是Microsoft由于Zoomit的Via元目录产品而收购了该公司并重新将其加工以创建“Microsoft元目录服务”。 目录服务 Novell现在使用DirXML从遗留目录中获取目录信息。DirXML依靠LDAP与其他目录进行连线，而XML作为信息交换的标准格式。 最终，互用 将毫无疑问地集成到目录服务中。 可用服务 最重要的目录服务将在下面进行描述。Microsoft Active Directory Novell NDS是两种主要的目录服务。Active Directory只使用Windows 2000运行，而NDS已被移植到各种平台中。它们之间一个显著的区别是在使用NDS的情况下，所有的访问控制都由目录管理:但在使用Windows 2000的情况下，一些访问控制在Active Directory中，而其他访问控制在伺服器中。NDS遵循比较传统的X500模型，而Active Directory仍具有Microsoft域模型(一种专有方案)的元素。 DCE目录服务 用于维护关于各种分布资源(如用户，机器，基于DCE RPC的分布应用程式等等)的信息，包括资源的名字及位置。The Open Group的DCE(分散式计算环境)包括自己的综合其他DCE组件的目录服务。 IBM Neork Directory(网路目录) IBM进入目录服务市场靠的是其DB2资料库。该资料库设计用于电子商务和企业对企业交易。IBM声称该服务比Novell的NDS及Microsoft的Active Directory更安全、更具有可伸性。 Netscape Directory Server (目录伺服器) NetscaPe的Directory Server旨在成为添加、修改、和删除用户信息的中心地点。它可组织并分配遍及企业内部网上的一系列伺服器上的信息。这些服务可与Netscape's SuiteSpot集成以提供结构化信息及整套应用程式的组合信息。Directory Server提供高级LDAP支持及编写目录运行的应用程式的工具。它还包括对连续 *** 作的改进及LDAP伺服器之间的异类复制。 Novell目录服务 NDS(Novell目录服务)是NetWare4X中的一种特性，其提供与X5OO规范相似的分散式目录服务。Novell已经将NDS用在Windows NT和UNIX压平台上。NDS的专用电子商务版本也是可用的。 Microsoft Active Directory Active Directory结合了网际网路的DNS定位服务及X500命名功能。LDAP是该服务的核心访问协定。LDAP使Microsoft's Active Directory能够通过作业系统边界运行并集成多个命名空间，因此使管理员能够管理其他供应商的目录服务。有关更多信息，请参阅“Microsoft Active Directory”。 目录互用性论坛组建的目的是推进基于LDAP标准的开放式目录。该论坛由开放式目录供应商组成，这些供应商计画制定标准主体以加速基于目录的应用程式的发展和实施。

LDAP的英文全称是Lightweight Directory Access Protocol，简称为LDAP。LDAP是轻量目录访问协议，它是基于X500标准的，但是简单多了并且可以根据需要定制。与X500不同，LDAP支持TCP/IP，这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。现在LDAP技术不仅发展得很快而且也是激动人心的。在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从 LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。通过把 LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤。

简单的说来，LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。

LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址被使用，不过根据组织者的需要，它可以做得更加强大。

LDAP其实是一个电话簿，类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录，也类似于你在花园中所看到的树木。

不少LDAP开发人员喜欢把LDAP与关系数据库相比，认为是另一种的存贮方式，然后在读性能上进行比较。实际上，这种对比的基础是错误的。LDAP和关系数据库是两种不同层次的概念，后者是存贮方式（同一层次如网格数据库，

对象数据库），前者是存贮模式和访问协议。LDAP是一个比关系数据库抽象层次更高的存贮概念，与关系数据库的查询语言SQL属同一级别。LDAP最基本

的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得到查询结果，不过在其它方面，例如更新，就慢得多。

特殊的数据库

从另一个意义上 LDAP是实现了指定的数据结构的存贮，它是一种特殊的数据库。但是LDAP和一般的数据库不同，明确这一点是很重要的。 LDAP对查询进行了优化，与写性能相比LDAP的读性能要优秀很多。

就象Sybase、Oracle、Informix或Microsoft的数据库管理系统（DBMS）是用于处理查询和更新关系型数据库那样，LDAP服务器也是用来处理查询和更新LDAP目录的。换句话来说LDAP目录也是一种类型的数据库，但不是关系型数据库。要特别注意的是，LDAP通常作为一个 hierarchical数据库使用，而不是一个关系数据库。因此，它的结构用树来表示比用表格好。正因为这样，就不能用SQL语句了。

21世纪的LDAP技术发展很快。 几乎所有计算机平台上的所有的应用程序都可以从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

服务器

LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据，例如：可以把数据“推”到远程的办公室，以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配置。如果要在DBMS中使用相同的复制功能，数据库厂商就会要你支付额外的费用，而且也很难管理。

1 LDAP入门

11 定义

LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写，LDAP标准实际上是在X500标准基础上产生的一个简化版本。

12 目录结构

LDAP也可以说成是一种数据库，也有client端和server端。server端是用来存放数据，client端用于 *** 作增删改查等 *** 作，通常说的LDAP是指运行这个数据库的服务器。只不过，LDAP数据库结构为树结构，数据存储在叶子节点上。

因此，在LDAP中，位置可以描述如下

因此，苹果redApple的位置为

dn标识一条记录，描述了数据的详细路径。因此，LDAP树形数据库如下

因此，LDAP树形结构在存储大量数据时，查询效率更高，实现迅速查找，可以应用于域验证等。

13 命名格式

LDAP协议中采用的命名格式常用的有如下两种：LDAP URL 和X500。

任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP协议访问活动目录，LDAP名不像普通的Internet URL名字那么直观，但是LDAP名往往隐藏在应用系统的内部，最终用户很少直接使用LDAP 名。LDAP 名使用X500 命名规 范，也称为属性化命名法，包括活动目录服务所在的服务器以及对象的属性信息。

2 AD入门

21 AD定义

AD是Active Directory的缩写，AD是LDAP的一个应用实例，而不应该是LDAP本身。比如：windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题，只是AD顺便还提供了用户接口，也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库，微软自己在库中建立了几个表，每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的，而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口，用户可以利用这些接口写程序 *** 作LDAP，使得ActiveDirectory也成了一个LDAP服务器。

22 作用

221 用户服务

管理用户的域账号、用户信息、企业通信录（与电子邮箱系统集成）、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机，服务器等。

222 计算机管理

管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。

223 资源管理

管理打印机、文件共享服务、网络资源等实施组策略。

224 应用系统的支持

对于电子邮件（Exchange）、在线及时通讯（Lync）、企业信息管理（SharePoint）、微软CRM&ERP等业务系统提供数据认证（身份认证、数据集成、组织规则等）。这里不单是微软产品的集成，其它的业务系统根据公用接口的方式一样可以嵌入进来。

225 客户端桌面管理

系统管理员可以集中的配置各种桌面配置策略，如：用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。

23 AD域结构常用对象

231 域(Domain)

域是AD的根，是AD的管理单位。域中包含着大量的域对象，如：组织单位(Organizational Unit)，组(Group)，用户(User)，计算机(Computer)，联系人(Contact),打印机，安全策略等。

可简单理解为：公司总部。

232 组织单位(Organization Unit)

组织单位简称为OU是一个容器对象，可以把域中的对象组织成逻辑组，帮助网络管理员简化管理组。组织单位可以包含下列类型的对象：用户，计算机，工作组，打印机，安全策略，其他组织单位等。可以在组织单位基础上部署组策略，统一管理组织单位中的域对象。

可以简单理解为：分公司。

233 群组(Group)

群组是一批具有相同管理任务的用户账户，计算机账户或者其他域对象的一个集合。例如公司的开发组，产品组，运维组等等。可以简单理解为分公司的某事业部。

群组类型分为两类:

234 用户(User)

AD中域用户是最小的管理单位，域用户最容易管理又最难管理，如果赋予域用户的权限过大，将带来安全隐患，如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。

域用户的类型，域中常见用户类型分为：

一个大致的AD如下所示：

总之：Active Directory =LDAP服务器 LDAP应用（Windows域控）。ActiveDirectory先实现一个LDAP服务器，然后自己先用这个LDAP服务器实现了自己的一个具体应用（域控）。

3 使用LDAP *** 作AD域

特别注意：Java *** 作查询域用户信息获取到的数据和域管理员在电脑上 *** 作查询的数据可能会存在差异（同一个意思的表示字段，两者可能不同）。

连接ad域有两个地址：ldap://XXXXXcom:389 和 ldap://XXXXXcom:636（SSL）。

端口389用于一般的连接，例如登录，查询等非密码 *** 作，端口636安全性较高，用户密码相关 *** 作，例如修改密码等。

域控可能有多台服务器，之间数据同步不及时，可能会导致已经修改的数据被覆盖掉，这个要么域控缩短同步的时间差，要么同时修改每一台服务器的数据。

31 389登录

32 636登录验证（需要导入证书）

33 查询域用户信息

34 重置用户密码

35 域账号解锁

总结

你有个概念搞错了，ldap本身的认证和你系统的认证不同的，就比如你的应用系统的账号放在mysql上，但是mysql的自己的账号是你的应用的账号吗？

所以你要有ldap的链接账号才可以看到用户的属性

NamingEnumeration results = ctxsearch(searchBase, searchFilter, searchCriteria);

if (results != null) {

while (resultshasMore()) {

SearchResult sr = (SearchResult) resultsnext();

Attributes attrs = srgetAttributes();

if (attrssize() != 0) {

Attribute attr=attrsget("userPassword")

byte[] bytes=(byte[])attrget(0);

String passwordValue=new String(bytes);

}

}

}

那个passwordValue就是最终的值，大体就是这么个方法，上面只是片段，一般取出来的password值都被SHA算法散列过，看不到明文的

以上就是关于目录服务详细资料大全全部的内容，包括:目录服务详细资料大全、小白科普：LDAP有什么用、ldap是什么等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！