电子政务是一项功能模块相对复

经过长时间测试，青岛市采用了微软的活动目录（Active Directory）来实现电子政务系统的目录服务。基于Windows 2003 Server集成的活动目录使网络管理员可以花少一点的时间完成更多、更安全的管理任务。活动目录是认证的控制中心，而且它支持多种安全协议。无论用户是从何处登录都受到统一的安全限制。并且活动目录是分布式的、可分区的及可复制的，提高了互操作性。

总体构架和拓扑模式

活动目录由一个或多个域构成，一个域可以跨越不止一个物理地点。每一个域都有它自己的安全策略及与其它域之间的安全关系，每个域可以对应多个域控制器。

结合青岛市电子政务用户群及组织关系，充分考虑域构架中应注意的简单原则、地域原则，以及域控制器之间复制数据通信量，系统采用了单域模式。即以整个青岛市电子政务系统应用范围作为一个域，在其下创建市一级直属单位的组织单元（Organizational Unit）。例如，市委办公厅、市府办公厅、市直机关、市直单位等，在组织单元下创建具体的人员（user），从而形成“域—组织单元—用户”的三级模式的目录管理系统。并为12个区市创建与此同一级的组织单元，委派各区市管理员在此组织单元之下创建自己的所属用户。

整个构架以中心节点为核心，搭建一台域控制器，同时向下辐射，在每一个县市区中搭建物理的备份域控制器，利用其数据复制机制和时间戳技术来保证各域控制器之间数据的一致性和时效性，并且根据地域就近原则划分不同的站点，控制各县市区用户访问离自己最近的域控制器，从而达到负载均衡，提高了访问效率。其拓扑结构如图。

组织单元和人员的管理

电子政务不仅仅在一个部门应用，而是在全市范围内的大型应用，涉及几万个公务员，几百个部门。既要对人员进行统一规划，又要实现分级管理，因而需要有一个能够实现分布式人员管理的

目录数据库中的结构化数据应包含有组织人员的信息存储、网络设备信息存储、应用人员权限控制信息存储以及人员安全和应用安全信息存储。为此，可以设计规划了各种对象的数据属性见：   　　　　　　　　　　　　　　

对于组织单元的创建从管理上来说有以下用途：

（1）可以将各个组织单元的管理权限委派给各自的管理员，即由各单位管理员负责自己所在组织单元的人员变更情况。这种委派很具有灵活性，可以通过部门、每个属性访问控制和访问控制继承的组合来实现。例如，可以授权市委办公厅的网络管理员管理其市委办公厅这个组织单元下的人员添加、删除、修改操作，而不能添加群组，也不能操作政府办公厅的组织单元。这种委派特定权限可以使具有最高权限的用户数量减少的最低，并且将权限受到限制的管理员所发生的事故或错误所产生的影响只限于他们负责的范围内。

（2）建立不同的组织单元，可以通过设置组织单元的安全策略中不允许别人访问，从而达到建立自己的私有对象的目的。例如，通过隐藏市级领导这个组织单元，达到不允许各部门工作人员看到市级领导的名单的目的。

（3）创建不同的组织单元，可以由各自的管理员对自己所属的对象设立独特的组策略。组策略是一组计算机应用规则，它可以描述计算机的界面、安装程序、升级策略等等。在实际应用中，各管理员可以通过组策略实现自己所管理对象软件的自动安装。

（4）建立不同的组织单元，还可以有效地降低组织单元变更所引起的工作量。创建新的 OU、在域中移动 OU 子目录树、在同一域的 OU 之间移动对象和删除 OU 将变得非常简单。并且可以自动的更改由于变动而产生的父容器的继承关系。

应用程序与目录服务的交互

为了执行所需的任务，应用程序必须根据其用户的需要来执行操作并访问系统资源，同时还要防止这些操作和资源被未获授权的用户访问。活动目录提供了标准LDAP访问。通过ADSI(Active Directory Service Interfaces，活动目录服务接口)开发人员可以访问目录中的各种对象，提取存储在目录中对象的权限信息。

通过针对目录开发的授权管理，不仅能够对每个应用模块进行所在位置、存取控制的定义和调整，对系统人员的权限、读取内容、角色进行定义和调整，而且能够随时设置人员所对应的应用系统、对不同系统的读取权限以及对应数据库，切实方便了用户的管理，使系统的维护量降为最低，同时管理员可以为特定的用户赋予特殊的权限，以满足那些处于目录树各个层次中的个别用户对系统资源的特殊需要。提取用户属性如下：

//指定目录对象

DirectoryEntry myDE = new

DirectoryEntry(“LDAP://OU=OAgroup,OU=developers,DC=qd,DC=gov,DC=cn”)；

//取对象中的子对象

DirectoryEntries childDE = myDE.Children；

//输出所有子对象的姓名和LDAP地址

foreach(DirectoryEntry myChildDE in childDE)

{System.Diagnostics.Debug.WriteLine(myChildDE.Name)；

System.Diagnostics.Debug.WriteLine(myChildDE.Path)；}

实现效果

通过目录服务可以实现对用户、应用和网络设施进行统一的权限分配和关系管理，是应用支撑平台的基础设施、管理工具和安全载体，为政府网上门户，单点登录，决策支持等政务应用提供了很好的支撑。

链接1：

活动目录服务的概念和构架

目录服务：一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中，目录就储存了有关文件的信息。在一个分布式计算系统中或是一个公共计算机网络（如Internet）中，就有许多用户感兴趣的对象，如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象，而管理人员则想管理对这些对象的使用。目录服务与目录的不同在于，它既是目录的信息源，而它的服务又可以使用户得到和利用信息。

域：活动目录由一个或多个域构成。一个域可以跨越不止一个物理地点。每一个域都有它自己的安全策略及域其它域见的安全关系。当多个域通过信任关系连接起来，而且拥有共同的模式、配置和全局目录时，您就拥有了一个域树。多个域树可以连接起来形成一个森林。

域树：域树是由若干具有共同的模式、配置的域构成的，形成了一个临近的名字空间。在树中的域也是通过信任关系连接起来的。活动目录是一个或更多树的集合。树可以通过两种途径表示。一种表示是域之间的关系，另一种表示是域树的名字空间。

表示信任关系 ：可以在个别域及它们如何相互信任的基础上画出一幅域树的图画。Windows 2000域之间信任关系建立在Kerberos安全协议上。Kerberos信任是可传递的和分层次分层结构的--如果域A信任域B信任域C，域A也信任域C。

链接2：目录服务的应用要求

目录服务主要为电子政务平台提供统一的网络应用管理、人员管理服务，其特性决定能够满足以下应用要求：

1.系统管理的安全性和一致性

随着网络的发展，对于操作系统而言，处理分布式资源成为必不可少的一种功能。在多服务器环境中，网络管理员需要实现用户注册，修改，删除一次性完成，并且保证系统中用户身份唯一，能够实现单点登陆。因为它和操作系统的关系如此密切，因而有必要确保它的安全和一致性。

2.用户权限控制

实现用户、应用服务、网络服务器之间的信息存储、权限控制和权限委托。

3.目录数据与应用系统交互

通过应用授权管理程序在权限规则下能完成对目录服务对象属性的查询，修改；也可以通过目录数据共享来维护应用系统数据。

张绍缔 青岛市委市政府计算机中心软件管理处工作。主要从事青岛市电子政务软件平台规划、设计、建设等工作。组织开发了青岛市电子政务基础软件平台、多媒体协同平台、目录资源体系等工作。