活 动 目 录

　　Windows 2000 Server操作系统的安装只是整个服务器安装的第一步，要想让它起到服务器的功能，还必须进行相应的设置。首先将其设置为一台域控制器，从而对网络进行管理。

　　活动目录简介

　　目录服务就是将网络系统中的各种网络设备、网络服务、网络账户等资源信息集中起来进行管理，为使用者提供一个统一的清单。Windows 2000通过对目录服务数据库的维护来管理网络上众多的计算机、网络设备、打印设备、共享文件、共享打印、网络账户等基本信息和安全信息，提供对系统资源及服务的跟踪定位，使各种资源和服务对用户透明，用户不必知道资源的具体位置就可以方便地访问它们。

　　活动目录充分体现了Microsoft产品的ICE特性，即集成性(Integration)、深入性(Comprehensive)和易用性(Ease of Use)等优点。活动目录是一个完全可扩展、可伸缩的目录服务，既能满足商业ISP的需要，又能满足企业内部网和外联网的需要。

　　活动目录是从一个数据存储开始的。它采用的是Exchange Server的数据存储方式，称为Extensible Storage Service (ESS)。其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能非常优良。在这个数据存储之上已建立索引，可以方便快速地搜索和定位信息。活动目录的分区是域，一个域可以存储上百万个对象。域之间还有层次关系，可以建立域树和域森林，并可无限地扩展。在数据存储之上建立了一个对象模型，以构成活动目录。这一对象模型对LDAP完全支持，还可以管理和修改Schema。Schema包括了活动目录中的计算机、用户和打印机等所有对象的定义，其本身也是活动目录的内容之一，在整个域森林中是惟一的。通过修改Schema，用户或开发人员可以自己定义特殊的类和属性来创建所需要的对象和对象属性。

　　活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器；而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一种分布式的目录服务，信息可以分散在多台不同的计算机上，以保证快速访问和容错；同时，不管用户从何处访问或信息处在何处，都对用户提供统一的视图。

　　Windows 2000目录服务仍然采用域作为其基本的管理单位，但增进了许多新的功能。域模式的最大好处就是它的单一网络登录能力，任何用户只要在域中有一个账户，就可以漫游网络，但对于以往域的信任关系许多管理员颇有微词，认为它过分强调安全性而可调整性不够。新一代的动态目录服务扩展了域目录树的灵活性，增强了信任关系。它把一个域作为一个完整的目录，域之间能够通过一种基于Kerberos认证的可传递的信任关系建立起树状连接，从而使单一账户在该树状结构中的任何地方都有效，这样在网络管理和扩展时就比较轻松了。同时动态目录服务把域又详细划分成组织单元(Organizational Unit，OU)，组织单元是一个逻辑单位，它是域中一些用户和组、文件与打印机等资源对象。组织单元中还可以再划分下级组织单元。组织单元具有继承性，子单元能够继承父单元的访问许可权。每一个组织单元可以有自己单独的管理员并指定其管理权限，他们管理着不同的任务，从而实现了对资源和用户的分级管理。域目录树中的每一个节点都有自己的安全边界。域的这种层次结构既保证了安全性，又做到细致兼备。动态目录服务通过这种域内的组织单元树和域之间的可传递信任树来组织其信任的对象，实现颗粒式管理，为动态活动目录的管理和扩展带来了极大的方便。这样，在Windows 2000中一个域能够轻松地管理多达数万个对象，而一棵域树则可以是包含上亿个对象的庞大的网络。

　　在Windows 2000中，由于采用了动态活动目录服务，不再区分主域控制器和备份域控制器，域中所有域控制器之间都是平等的关系。不区分主域控制器和备份域控制器并不会增加管理的复杂性，这主要是因为动态活动目录在进行目录复制时不是沿用一般目录服务的主从方式，而是采用多主复制方式，从而摆脱了对时间戳的依赖。Windows 2000在复制目录库时对各个对象的修改顺序数进行大小比较，判断它们被修改的先后顺序，结果最新修改的对象属性被保留。旧的属性就被新的属性所取代，这就保证每一个域控制器上的目录服务数据库都是最新的。通过这种方式，任何一个域控制器上的目录库的变更都会自动复制到其他域控制器上的副本中。复制并没有加重域目录树的网络负担，这是因为动态目录服务的目录库不是一个大块，而是由许多小块组成，并且那些易变的对象不在一般目录库中存放，而是单独存储的，保证了在复制目录库时就只复制本域需要的对象，而且越是紧急的变更系统会越快进行复制。另外，Windows 2000也不再划分全局组和本地组，组内可以包含任何用户和其他组账户，而不管它们在域目录树的什么位置。

　　Windows 2000动态目录服务的另一大特点是其与Internet的融合，为此它把DNS作为其定位服务。本着去粗取精的原则，Windows 2000吸收X.500和DNS的优点，并完美地结合起来。为了克服DNS管理难度大的缺点，Windows 2000将DNS与其特有的DHCP和WINS紧密配合，同时支持将来的动态DNS，从而使DNS管理变得易于操作。另外，Windows 2000广泛地支持标准的命名规则，例如，WWW使用的HTTPURL命名规则、 Internet电子邮件使用的RFC822命名规则、NetBIOS采用的UNC命名规则以及LDAPURLS和X.500命名规则等。

　　为了扩展的需要，Windows 2000动态目录服务内置了轻便目录访问C语言、动态目录组件、开放服务信息处理等API接口，为目录服务的应用和开发提供了强大的工具。在向上发展的同时，Windows 2000也向下兼容，Windows NT和旧的BackOffice系统可以很容易的融进Windows 2000动态活动目录，或者直接升级到Windows 2000系统。

　　活动目录的优点

　　活动目录之所以成为Windows 2000新版本中最重大的改进，是因为活动目录有其他任何网络服务机制都无法比拟的优越性。下面就从管理、信息复制、查询和安全性等8个方面讲述活动目录的优点。

　　1. 基于策略的管理

　　活动目录的目录服务包括数据存储以及逻辑分层结构。逻辑结构为策略应用程序提供上下文分层结构。目录存储指定给特定上下文的策略(称为组策略)。组策略表达一组业务规则，它包含应用于上下文的设置，它可确定对目录对象和域资源的访问、用户可使用哪些域资源(诸如应用程序)，以及这些域资源是如何配置的。例如，组策略可确定用户登录后在计算机上可看到哪些应用程序，当 Microsoft SQL Server 在服务器上启动时，有多少用户可与其连接，以及当文档或服务移至不同部门或组时，用户可访问哪些内容。组策略使得只需管理少数策略，而不是大量用户和计算机。活动目录可以将组策略应用于适当的上下文，而不管它是整个组织还是组织中的某些单位。

　　2. 扩展性

　　● 活动目录是可扩展的，这意味着管理员可以将对象的新类添加到规划中，而且还可以将新属性添加到已有的对象类中。例如，可以将“定期访问权限”属性添加到用户对象类型中，而后将每个用户的定期访问权限制作为用户账户进行存储。

　　● 可以使用活动目录规划插件或通过创建基于 ADSI、LDIFDE 或CSVDE 命令行实用程序的脚本将对象和属性添加到目录中。

　　3. 可调整性

　　● 活动目录可包括一个或多个域，每个域都带有一个或多个域控制器，这使得管理员可调整目录以便满足任何网络的要求。多个域可组合成域目录树或目录森林。

　　● 活动目录将规划和配置信息分配给目录中的所有域控制器。该信息存储在初始域控制器中，而且可复制到目录中任何其他域控制器中。当目录配置成单域时，添加域控制器可在上部管理不涉及其他域的情况下调整目录。

　　● 将目录配置成域目录树或森林，使得管理员可以针对不同上下文策略对目录的名称空间进行分区，并调整目录使其容纳大量资源和对象。

　　4. 信息复制

　　● 活动目录使用多主复制。目录存储在初始域控制器中并可复制到域、域目录树或域森林的每个域中。对目录数据所做的更改将复制到所有域控制器中。每个域控制器存储和保留一个目录的完整副本。

　　● 信息复制提供了有效性、容错和加载平衡等优点。在一个域中分派多个域控制器可提供容错和加载平衡。如果域中的某个域控制器减慢、停止或失败，同一域中的其他域控制器可提供必要的目录访问，其原因是它们包含着相同的目录数据。域中的多个节点可提高目录的性能。在广域网(WAN)中，目录访问可由与每个网络客户机最近的域控制器执行。

　　5. 与 DNS 的集成

　　● 活动目录使用 DNS可以很容易地将可读主机名称，诸如 beijing.kangbo.com 翻译成数字式 TCP/IP 地址。这样就可以在 TCP/IP 网络上直接使用计算机和用户的名称进行网络连接。

　　● DNS域和计算机使用分层结构的“友好”名称。例如，lwh.kangbo.com 既是 DNS 也是Windows 2000域名。域名是以DNS分层命名结构为基础的，这是一个颠倒的目录树结构：首先是单个根域，以下可以是父域和子域(枝和叶)。例如，诸如 wj.lwh.kangbo.com的Windows 2000域名识别名为wj的域，此域是名为lwh域的一个子域，而lwh域自身又是根域kangbo.com的一个子域。

　　● 域中的每台计算机依靠其完整的合格域名识别。例如，位于 wj.lwh.kangbo.com 域中计算机的完整合格域名应是 computername.wj.lwh.kangbo.com。

　　● 与其他目录服务的内部操作。

　　● 由于活动目录是基于工业标准的目录访问协议，它可以和使用诸如 Lightweight Directory Access Protocol (LDAP)和Name Service Provider Interface (NSPI)协议的其他目录服务实现内部操作。

　　● LDAP是用于查询和检索活动目录信息的目录访问协议，由于它是基于工业标准的目录服务协议，使用 LDAP 的程序可以与其他目录服务共享活动目录信息，这些目录服务同样支持LDAP。

　　● NSPI协议用于 Microsoft Exchange Server和客户机，活动目录对其进行支持以便为交换目录提供兼容性。

　　7. 灵活的查询

　　用户和管理员可使用搜索工具快速查找网络上的对象并设置对象属性，例如，名、姓、Email地址、办公室位置或用户账户的其他属性。也可通过使用活动目录生成的全局目录优化查找信息。

　　8. 信息安全性

　　安全性与活动目录完全集成在一起，不仅可以针对目录中的每个对象定义访问控制，还可对其每种属性进行操作。权限指定哪些组用户可以查看或使用对象，以及可针对对象进行何种操作。例如，某个人可能具有更改对象属性的权限，另一个人则可能只具有查看权限，而第3个人则可能根本没有查找对象的权限。可以授予对对象的单个属性进行选择性访问的权限。例如，可以授予所有用户查看网络中用户姓名和电话号码的权限，而与此同时却限制对用户对象所有其他属性的访问。默认情况下，权限是可继承的。指定给某特定对象的权限会自动应用于该对象的所有子对象。

　　活动目录为安全策略提供应用程序的存储和范围。安全策略可以包括账户信息，诸如域的密码限制或对某特定域资源的权利。安全策略通过组策略来执行。管理员可将某些特殊管理权利分派到其他个人或组。这种权限分派允许明确谁具有管理部分网络的权限。可以将特殊部分的管理分派给单个管理员，而不必拥有对大部分网络具有广泛权限的管理员。

　　Windows 2000 Server 支持多种网络安全协议，这些协议提供更强大、更有效的安全性，对Internet 安全协议的支持，以及与早期 Windows 协议的兼容性。Windows 2000 支持的安全协议包括：

　　● Kerberos v5 协议，它是 Windows 2000 中网络验证的默认协议。Kerberos 协议是一个已经成熟的安全标准。它包括客户机和服务器的相互验证以及与非Windows 平台的内部可操作性。

　　● SSL(Secure Sockets Layer，安全套接字层)，Windows 2000 支持基于公用密钥的协议，提供基于Internet的保密性和可靠性。它包括对 SSL 3.0 的支持以及 Internet 浏览器和网络服务器间连接的标准。

　　● DPA(Distributed Password Authentication，分布式密码验证)，它由诸如 Microsoft Network (MSN) 等最大的 Internet 成员组织使用。

　　● Windows NT NTLM，是Windows NT 4.0 和早期版本使用的NTLM 协议，这是为确保与运行Windows NT 和 Windows NT 网络的客户机软件的计算机做到完全可内部操作。