用Win2000 Active Directory保护应用程序(目录)

Visual Basic程序员一直在使用的传统Windows NT域安全模型受到了限制，主要因为NT的编程接口难以理解和实现。Windows 2000 活动目录AD改善了这些问题，它提供了明确的定义模型和易用的COM编程接口。如果你一直希望在应用程序中加入网络安全特性的话，现在正是时候。在这篇文档中，我会演示如何通过使用AD让应用程序对用户来讲更加安全可用。

一、环境准备

为完成演示，需要下面的环境支持：

• Visual Basic 5.0 or 6.0

• Windows 2000域控制器

• Windows 2000 / 9x客户端

二、避免使用AD带来的不快

　　虽然，你可以在AD中存储具体应用程序的数据，但不要期待由此获得许多的好处。例如，许多开发者希望有通用的自动化的管理，但不可能得到。你可以从“Active Directory用户和计算机”管理器的“高级功能”（在“查看”菜单中）的设置中理解到这一点。

三、部署客户端

　　安装之后，不会从网上邻居或控制面板中的网络属性中看到任何改变，只能从查找打印机对话框和Windows地址簿的用户界面上看到一些细微的变动。对系统来讲最主要的变化发生在后台：NT/LAN Manager（NTLM）安全提供者现在可以支持登录到只允许基于AD访问的域控制器，并可访问基于COM的ADSI。

四、基本认证之外的话题

　　如果认证过程中某一个步骤失败，需要在代码中作相应的处理使用户知道这些。你的第一个主意可能是“弹出一个拒绝访问的对话框，在点确认的同时退出应用程序”，但是很遗憾此路不通。这对程序来讲可能解决了问题，但根本不会对用户有任何帮助。