用Win2000 Active Directory保护应用程序之三

部署客户端

　　值得注意的是，客户机不需运行Windows 2000就可从具备AD功能的应用程序获益，这就会增加客户机的实际价值。如果你从Windows 2000 Server或Advanced Server的安装盘的\clients\win9x目录下运行dsclient.exe安装程序，仅仅是一个快速安装和重新启动的过程，这就会使你从Windows 95或Windows 98中使用AD的开放功能的困惑中解脱出来。

　　安装之后，不会从网上邻居或控制面板中的网络属性中看到任何改变，只能从查找打印机对话框和Windows地址簿的用户界面上看到一些细微的变动。对系统来讲最主要的变化发生在后台：NT/LAN Manager（NTLM）安全提供者现在可以支持登录到只允许基于AD访问的域控制器，并可访问基于COM的ADSI。

　　使用该工具，你还可以获得传输层安全（TLS）级别的安全套接字协议层（SSL）的支持。这意味着不基于WinInet的SSL应用程序最终可以工作在除WindowsNT/2000之外的平台上，并且支持Windows 2000的分布式文件系统（DFS）的特性。最近发布的Windows Me缺省安装就支持目录服务，但是它出于用户端的角度并不提供强大的AD集成。事实上，它在这方面的运作上和Windows 95/98是相同的。

　　为了使用AD，你需要访问一个AD域控制器，最好是有一个测试用的域。你可以升级任何至少有一个NTFS分区的Windows 2000 server到域控制器，这可以通过使用system32目录下的dcpromo.exe来完成，但是我不推荐在你自己开发的机器上做这些，因为域控制器的启动要比普通server慢许多。

　　有了足够的理论，来看一眼实际使用AD的代码。你可以基于存储在目录中的信息许可或拒绝对应用程序的访问（参见上图）。这个功能需要你想验证用户的登录名和密码。之所以需要密码，是因为在Win9x上很容易用当前活动用户名作欺骗，因此仅依靠用户名作验证不是个好主意。

　　除了密码为空的情况下，你在AD中查询用户信息时要同时提供用户名和密码，AD来验证这些证书。同时也需要一些额外的代码来判定当前的DNS区域并且把有关数据转换到AD认可的格式。例子代码使用server-less LDAP 绑定，理论上可以连接到最近处的域控制器。

　　如果完成了这些工作，代码执行最后的核对来看看用户是否是指定组的成员。这给管理员决定组织中哪些用户可以访问你的应用程序带来了极大的机动性，这些工作只需用管理员常用的管理工具就可实现。