1、【精編推薦】Windows活動目錄詳解綜合知識Windows 2000活動目錄詳解Windows 2000活動t|錄詳解之基礎篇我們知道WIN2K系統最大的突破性和成功之一就在于它全新引入的“活動 U錄（Active Directory）服務X使得WIN2K系統與Internet上的各項服務和協 議更加聯系緊密，因為它對U錄的命名方式成功地與,，域名“的命名方式一致，然后通過DNS進行解 析，使得與在Internet上通過WINS解析取得一致的效果。活動U錄也說明了 Microsoft在網絡結構方面的策略轉移，雖然在以前NT時代也有部分產品（如EXCHANGE SERVER> ns等）提

2、供過類似于活動U錄的服務，然而活動U錄作為一個全新的綜合服務 方式是在WIN2K的誕生后隨之而來的。活動U錄的身影似乎在整個WIN2K系統中無處不在。然而要真正 了解“活動U錄"的方方面面乂談何容易，下面就想通過一些通俗的講解花兒個篇 章對活動U錄的各主要方面作一詳盡的分析，希望對那些對WIN2K的活動U錄還存有畏懼心理的 新手一個全面認識的機會。一. 活動U錄的山來談到活動U錄最使人容易想起的就是DOS下的“U錄”、“路徑”和 Windows9X/ME下“文件夾"，那個時候的“U錄"或“文件夾F又代表一個文件存在 磁盤上的位置和層次關系，一個文件生成之后相對來說

3、這個文件的所在U錄也就固定了（當然可以刪 除、轉移等，現在不考慮這些人也就是說它的屬性也就相對固定了，是靜態的。 這個U錄所能代表的僅是這個U錄下所有文件的存放位置和所有文件總的大小，并不能得出其它 有關信息，這樣就影響到了整體使用U錄的效率廠也就是影響了系統的整體效率, 使系統的整個管理云得復雜。因為沒有相互關聯，所以在不同應用程序中同一對象要進行多次配 置，管理起來相當繁鎖，影響了系統資源的使用效率。為了改變這種效率低下的 關系和加強與Internet上有關協議的關聯，Microsoft公司決定在WIN2K中全面改革，也就是 引入活動U錄的概念。理解活動U錄的關鍵就在于“活動”兩個字，千萬

4、不要將“活 動"兩個字去掉而僅僅從“LI錄"兩個字去理解，那你我理來理去一定還是不能脫離原來在DOS 下U錄或Windows9x下的文件夾，正因為這個U錄是活動的，所以它是動態的， 它是一種包含服務功能的U錄，它可以做到“山此及彼，啲聯想、映射，如找到了一個用戶名，就可聯 想到它的賬號、出生信息、E-maiK電話等所有基本信息，雖然組成這些信息的 文件可能不在一塊。同時不同應用程序之間還可以對這些信息進行共學，減少了系統開發資源的 浪費，提高了系統資源的利用效率。活動U錄包括兩個方面：tl錄和與tl錄相關的服務。U錄是存儲各種對象的 一個物理上的容器，從靜態的角度來理解這活

5、動U錄與我們以前所結識的“口錄"和“文件夾”沒有本質區別，僅僅是一個對象，是一實體；而U錄服務是使U錄中所有信息和資 源發揮作用的服務，活動目錄是一個分布式的目錄服務，信息可以分散在多臺不 同的計算機上，保證用戶能夠快速訪問，因為多臺機上有相同的信息，所以在信息容氏方面具有很 強的控制能力，正因如此，不管用戶從何處訪問或信息處在何處，都對用戶提供 統一的視圖。二. 相關名詞術語雖然活動U錄中用到的許多技術在其他軟件產品中也已經出現過，但作為全 面的整體網絡方案還是首次亮相，其中有許多名詞或術語或許是聞所未聞的，所 以有必要詳細了解一下活動U錄的有關名詞或術語。1、名字空間：從本質上講

6、，活動U錄就是一個名字空間，我們可以把名字 空間理解為任何給定名字的解析邊界，這個邊界就是指這個名字所能提供或關 聯、映射的所有信息范通俗地說蠹戈們在服務器上通過查找一個對象可以查到的所有關聯信息 總和，如一個用戶，如果我們在服務器已給這個用戶定義了講如：用戶名、用戶 密碼.工作單位、聯系電話、家庭住址等，那上面所說的總和廣義上理解就是“用戶"這個名字的名 字空間，因為我們只輸入一個用戶名即可找到上面我所列的一切信息。名字解析 是把一個名字翻譯成該名字所代表的對象或者信息的處理過程。舉例來說，在一個電話U錄形成 一個名字空間中，我們可以從每一個電話戶頭的名字可以被解析到相應的電話號

7、碼，而不是象現在一樣名字是名字，號碼歸號碼，根本不能橫向聯系。Windows操作系統的文件 系統也形成了一個名字空間，每一個文件名都可以被解析到文件本身（包含它應 有的所有信息九2、對象：對象是活動U錄中的信息實體，也即我們通常所見的“屬性，3但 它是一組屬性的集合，往往代表了有形的實體，比如用戶賬戶、文件名等。對 象通過屬性描述它的基本特征，比如，一個用戶賬號的屬性中可能包括用戶姓名、電話號碼、電 子郵件地址和家庭住址等。3、容器：容器是活動U錄名字空間的一部分，與U錄對象一樣，它也有屬 性，但與U錄對象不同的是，它不代表有形的實體，而是代表存放對象的空間， 因為它僅代表存放一個對象的空間，

8、所以它比名字空間小。比如一個用戶，它是一個對象，但這個 對象的容器就僅限于從這個對象本身所能提供的信息空間，如它僅能提供用戶 名、用戶密碼。其它的如：工常單位、聯系電話、家庭住址等就不屬于這個對象的容器范W了。4、U錄樹：在任何一個名字空間中，U錄樹是指山容器和對象構成的層次 結構。樹的葉子、節點往往是對象，樹的非葉子節點是容器。U錄樹表達了對象 的連接方式，也顯示了從一個對象到另一個對象的路徑。在活動U錄中，日錄樹是基本的結構，從 每一個容器作為起點，層層深入，都可以構成一棵子樹。一個簡單的U錄可以 構成一棵樹，一個計算機網絡或者一個域也可以構成一棵樹。這也很容易理解，我們最初學電腦時 不就

9、是在全面理解DOS下的路徑概念基礎之上開始的嗎，其實這“口錄樹"也就 是一種“路徑關系如果你理解了 DOS下的“路徑,，相信理解這“口錄樹,，是沒什么問題的！5、域：域是WIN2K網絡系統的安全性邊界。我們知道一個計算機網最基 本的單元就是“域這一點不是WIN2K所獨有的，但活動U錄可以貫穿一個或 多個域。在獨立的計算機上，域即指訃算機本身，一個域可以分布在多個物理位置上，同時一個物理位 置乂可以劃分不同網段為不同的域，每個域都有自己的安全策略以及它與其他域 的信任關系。當多個域通過信任關系連接起來之后，活動U錄可以被多個信任域域共享6、組織單元：包禽在域中特別有用的U錄對象類型就是

10、組織單元。組織單 元是可將用戶、組、計算機和其他單元放入活動日錄的容器中，組織單元不能包 括來自其他域的對象。組織單元是可以指派組策略設置或委派管理權限的最小作用單位。使用組織 單元，您可在組織單元中代表邏輯層次結構的域中創建容器，這樣您就可以根據 您的組織模型管理帳戶、資源的配置和使用，可使用組織單元創建可縮放到任意規模的管理模型。 可授予用戶對域中所有組織單元或對單個組織單元的管理權限，組織單元的管理 員不需要具有域中任何其他組織單元的管理權，組織單元有點象我們在NT時代的工作組，我們從 管理權限上來講可以這么理解。7、域樹：域樹山多個域組成，這些域共學同一表結構和配置，形成一個連 續的名

11、字空間。樹中的域通過信任關系連接起來，活動U錄包含一個或多個域樹。 域樹中的域層次越深級別越低，一個“*”代表一個層次，如域child.M就比 M這個域級別低，因為它有兩個層次關系，而M只有一 個層次。而域Grandchild.Child.Microsoftxom 雙比 Child.M 級別低，道理一樣。域樹中的域是通過雙向可傳遞信任關系連接在一起。山于這些信任關系是雙 向的而且是可傳遞的，因此在域樹或樹林中新創建的域可以立即與域樹或樹林中 每個其他的域建立信任關系。這些信任關系允許單一登錄過程，在域樹或樹林中的所有域上對用戶 進行身份驗證，但這不一定意味著經過身份驗證的用戶在域樹的所有域中都

12、擁有 相同的權利和權限。因為域是安全界限，所以必須在每個域的基礎上為用戶指派相應的權利和權限。8、域林：域林是指山一個或多個沒有形成連續名字空間的域樹組成，它與 上面所講的域樹最明顯的區別就在于這些域樹之間沒有形成連續的名字空間，而 域樹則是山一些具有連續名字空間的域組成。但域林中的所有域樹仍共學同一個表結構、配置和全 局U錄。域林中的所有域樹通過Kerberos信任關系建立起來，所以每個域樹都 知道Kerberos信任關系，不同域樹可以交義引用其他域樹中的對象。域林都有根域，域林的根域是 域林中創建的第一個域，域林中所有域樹的根域與域林的根域建立可傳遞的信任 關系O1、站點：站點是指包括活動

13、U錄域服務器的一個網絡位置，通常是一個或 多個通過TCP/IP連接起來的子網。站點內部的子網通過可靠、快速的網絡連接 起來。站點的劃分使得管理員可以很方便地配置活動U錄的復雜結構，更好地利用物理網絡特性，使 網絡通信處于最優狀態。當用戶登錄到網絡時，活動U錄客戶機在同一個站點內 找到活動U錄域服務器，山于同一個站點內的網絡通信是可鼎、快速和高效的，所以對于用戶來說, 他可以在最快的時間內登錄到網絡系統中。因為站點是以子網為邊界的，所以活 動U錄在登錄時很容易找到用戶所在的站點，進而找到活動U錄域服務器完成登錄工作。10、域控制器：域控制器是使用活動U錄安裝向導配置的WIN2K Server的

14、計算機。活動U錄安裝向導安裝和配置為網絡用戶和計算機提供活動U錄服務的 組件供用戶選擇使用。域控制器存儲著U錄數據并管理用戶域的交互關系，其中包括用戶登錄過程、 身份驗證和U錄搜索，一個域可有一個或多個域控制器。為了獲得高可用性和容 錯能力，使用單個局域網（LAN）的小單位可能只需要一個具有兩個域控制器的域。具有多個網 絡位置的大公司在每個位置都需要一個或多個域控制器以提供高可用性和容錯 能力。WIN2K Server域控制器擴展了 WINNT Server 4.0的域控制器所提供的能 力和特性，WIN2K Server多宿主復制使每個域控制器上的U錄數據同步，以確 保隨著時間的推移這些信息仍

15、能保持一致，也就是說是動態的，這就是活動日錄的作用。多宿主復制 是WINNT Server 4.0中使用的主域控制器和備份域控制器模型的發展，在 WINNT Server 4.0 中只有一個服務器，即主域控制器，擁有該U錄的可讀寫副本。三、安裝活動U錄的意義我們說WIN2K的成功和創造性之一就是成功的全面引入了活動U錄服務， 那么到底安裝活動U錄有什么意義呢？這是我們所有初學WIN2K的人首要要問 的一個問題。因為活動U錄并不是WIN2K系統必需安裝的一種服務，要全面理解它乂杲非常的不容易， 那么安裝活動U錄的童義在哪里呢？它主要體現在以下兒個方面：1、信息的安全性大大增強安裝活動U錄后信息的

16、安全性完全與活動U錄集成，用戶授權管理和U錄進 入控制已經整合在活動U錄當中了（包括用戶的訪問和登錄權限等），而它們都 是WIN2K操作系統的關鍵安全措施。活動日錄集中控制用戶授權，U錄進入控制不只能在每一個U 錄中的對象上定義，而且還能在每一個對象的每個屬性上定義，這一點是以前任 何系統所不能達到的，包括WINNT4.0O除此之外，活動U錄還可以提供存儲和應用程序作用域的 安全策略，提供安全策略的存儲和應用范用。安全策略可包含帳戶信息，如域范B內的密碼限制或對特定域資源的訪問權等。所以從一定程序上可以這么說WIN2K的安全性就是 活動U錄所體現的安全性，山此可見對于網管來說如何配置好活動U錄

17、中對象及 屬性的安全性是一個網管配置好WIN2K系統的關鍵。2、引入基于策略的管理，使系統的管理更加明朗活動U錄服務包括U錄對象數據存儲和邏輯分層結構(指上面所講的U錄、 U錄樹、域、域樹、域林等所組成的層次結構)，作為U錄，它存儲著分配給特 定環境的策略，稱為組策略對象。作為邏輯結構，它為策略應用程丿芋提供分層的環境。組策略對象 表示了一套商務規則，它包括與要應用的環境有關的設置，組策略是用戶或計算 機初始化時用到的配置設置。所有的組策略設置都包含在應用到活動U錄，域，或組織單元的組策 略對象(GPOs)中。GPOs設置決定U錄對象和域資源的進入權限，什么樣的域 資源可以被用戶使用,以及這些

18、域資源怎樣使用等。例如，組策略對象可以決定當用戶登錄時用戶在 他們的計算機上看到什么應用程序，當它在服務器上啟動時有多少用戶可連接至 Serverr以及當用戶轉移到不同的部門或組時他們可訪問什么文件或服務。組策略對象使您可以 管理少量的策略而不是大量的用戶和計算機。通過活動目錄，您可將組策略設置 應用于適當的環境中，不管它是您的整個單位還是您單位中的特定部門。3、具有很強的可擴展性WIN2K的活動U錄具有很強的可擴展性，管理員可以在計劃中增加新的對 象類，或者給現有的對象類增加新的屬性。計劃包括可以存儲在U錄中的每一個 對象類的定義和對象類的屬性。例如，在電子商務上你可以給每一個用戶對象增加一

19、個購物授權屬性, 然后存儲每一個用戶購買權限作為用戶帳號的一部分。4、具有很強的可伸縮性活動U錄可包含在一個或多個域，每個域具有一個或多個域控制器，以便您 可以調整U錄的規模以滿足任何網絡的需要。多個域可組成為域樹，多個域樹乂 可組成為樹林，活動U錄也就隨著域的伸縮而伸縮，較好地適應了單位網絡的變化。U錄將其架構 和配置信息分發給U錄中所有的域控制器，該信息存儲在域的第一個域控制器 中，并且復制到域中任何其他域控制器。當該U錄配置為單個域時，添加域控制器將改變U錄的規模, 而不影響其他域的管理開銷。將域添加到U錄使您可以針對不同策略環境劃分U 錄，并調整U錄的規模以容納大量的資源和對象。5、智

20、能的信息復制能力信息復制為U錄提供了信息可用性、容錯、負載平衡和性能優勢，活動U錄 使用多主機復制，允許您在任何域控制器上而不是單個主域控制器上同步更新U 錄。多主機模式具有更大容錯的優點，因為使用多域控制器，即使任何單獨的域控制器停止工作， 也可繼續復制。山于進行了多主機復制，它們將更新目錄的單個副本，在域控制 器上創建或修改U錄信息后，新創建或更改的信息將發送到域中的所有其他域控制器，所以其U錄 信息是最新的。域控制器需要最新的U錄信息，但是要做到奇效率，必須把自身 的更新限制在只有新建或更改U錄信息的時候，以免在網絡高峰期進行同步而影響網絡速度。在域 控制器之間不加選擇地交換U錄信息能夠

21、迅速搞垮任何網絡。通過活動U錄就能 達到只復制更改的U錄信息，而不至于大量增加域控制器的負荷。6、與DNS集成緊密活動U錄使用域名系統（DNS）來為服務器U錄命名，DNS是將更容易理解 的主機名（如Mike.M）轉換為數字IP地址的Internet標準服務, 利于在TCP/IP網絡中計算機之間的相互識別和通訊。DNS的域名基于DNS分層命名結構，這 是一種倒置的樹狀結構，單個根域，在它下面可以是父域和子域（分支和葉子）。 關于這一點我會在后面以專門的篇章加以詳細講述，在此就僅作簡單介紹。7、與其他U錄服務具有互操性山于活動U錄是基于標準的U錄訪問協議，許多應用程序界面（API）都允 許開發者進

22、入這些協議，例如活動U錄服務界面（ADSI）、輕型U錄訪問協議 （LDAP）第三版和名稱服務提供程序接口（NSPI）,因此它可與使用這些協議的其他目錄服務相互操 作。LDAP是用于在活動U錄中査詢和檢索信息的U錄訪問協議。因為它是一種 工業標準服務協議，所以可使用LDAP開發程序，與同時支持LDAP的其他U錄服務共學活動U 錄信息。活動U錄支持Microsoft Exchange 4.0和5.x客戶程丿了:所用的NSPI協 議，以提供與Exchange U錄的兼容性。8、具有靈活的查詢任何用戶可使用“開始"菜單、“網上鄰居，或“活動U錄用戶和計算機h的“搜 索”命令，通過對象屬性快速

23、査找網絡上的對象。如您可通過名字、姓氏、電子 郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶，反之亦然。Windows 2000活動日錄詳解之結構篇在上一篇對活動日錄有個基本了解之后下面我就來接觸一下活動日錄實質 上的一面活動U錄的結構。上篇我們講到活動目錄是包括兩方面：U錄和U 錄相關的服務。U錄是存儲各種對象的一個物理上的容器，與我們平常所說的日錄沒什么區別，U錄 管理的基本對象是用戶、計算機、文件以及打印機等資源。而U錄服務是使U錄 中所有信息和倂源發揮作總服塚，如用戶和資源管理、基于目錄的網絡服務、基于網絡的應用管 理，它才是WIN2K活動目錄的關鍵和精髓所在。目錄服務是WIN2K網

24、絡操作 系統的核心支柱，也是中心管理機構，所以tl錄服務的引入對整個操作系統帶來了革命性的變化，不僅系 統平臺上的各基礎模塊，比如網絡安全機制、用戶管理模塊等發生了變化，而且 上層應用的運作方式以及開發模式也有了相應的變化。這樣來理解“活動U錄”是不是覺得更加容 易？同時活動U錄是一個分布式的U錄服務，因為信息可以分散在多臺不同的計 算機上，保證各訃算機用戶快速訪問和容錯；同時不管用戶從何處訪問或信息處 在何處，對用戶都提供統一的視圖，使用戶覺得更加容易理解和掌握WIN2K系統的使用。活動U 錄集成了 WIN2K服務器的關鍵服務，如域名服務（DNS）,消息隊列服務（MSMQ）,事務服務（MTS

25、）等。在應用方面活動U錄集成了關鍵應用，如電子郵件、網絡管理、ERP等。要理解 活動U錄，我們必須從它的邏輯結構和物理結構入手。一.活動U錄的邏輯結構“邏輯"兩個字相信大家平時見的比較多，如我們常說的“邏輯思維、邏輯分 析,，等，也許大家一講到“邏輯"兩個字就覺得十分抽象，難以理解。其實我們在 這里所講的“邏輯結構S我覺得還是很好理解的，“邏輯，一般與“物理"是對等的，我們知道“物 理上的"是指實實在在的，那么“邏輯上的,就是指非物理上的，非實體的東西, 它是一種抽象的東西，比如講一種“關系=一個“空間、范等。在第一篇我們講過 活動U錄的邏輯結構非常靈活

26、，有U錄樹、域、域樹、域林等，這些名字都不是 實實在在的一種實體，只是代表了一種關系，一種范圉，如U錄樹就是山同一名字空間上的U 錄組成，而域乂是山不同的U錄樹組成，同理域樹是山不同的域組成，域林是山 多個域樹組成。它們是一種完全的樹狀、層次結構視圖，這種關系我們可以看成是一種動態關系。 邏輯結構還與前面討論過的名字空間有直接關系，邏輯結構為用戶和管理員在一 定的名字空間中查找、定位對象提供了極大方便。活動U錄中的邏輯單元主要包括：1、域、域樹、域林域既是WIN2K網絡系統的邏輯組織單元，是對象（如計算機、用戶等）的 容器，這些對象有相同的安全需求、復制過程和管理9這一點對于網管人員應是 相當

27、容易理解的。在WIN2K中域中所有的域控制器都是平等的（這一點與WINNT4.0不一樣，沒有 主.副之分），域是安全邊界，域管理員只能管理域的內部，除非其他的域顯式 地賦予他管理權限，他才能夠訪問或管理其他的域。每個域都有自己的安全策略，以及它與其他域的安 全信任關系。在這里就涉及到了不同域之間的信任關系及傳遞關系，下面就具體 講一下WIN2K中的域信任關系©"域與域之間具有一定的信任關系，域信任關系使得一個域中的用戶可曲另一 域中的域控制器進行驗證，才能使一個域中的用戶訪問51個域中的資源。所有 域信任關系中只有兩種域：宿任關系域和被信任關系域。信任關系就是域A信任域B,

28、則域B中 的用戶可以通過域A中的域控制器進行身份驗證后訪問域A中的資源，則域A 與域B之間的關系就是信任關系。被信任關系就是被一個域信任的關系，在上面的例子中域B就是被域A信 任，域B與域A的關系就是被宿任關系。信任與被信任關系可以是單向的，也 可以是雙向的，即域A與域B之間可以單方面的信任關系，也可以是雙方面的信任關系。而在域中傳遞信任關系不受關系中兩個域的約束，是經父域向上傳遞給域U 錄樹中的下一個域，也就是說如果域A信任域B,則域A也就信任域B下面的 子域域B1、域E2 遞信任關系總是雙向的：關系中的兩個域互相信任（是指父域與子域之間）。默 認情況下，域U錄樹或U錄林（U錄林可以看做是同

29、一域中的多個U錄樹組成） 中的所有WiIN2K宿任關系都是傳遞的。通過大大減少需管理的委托關系數量，這將在很大程度上 簡化域的管理。WIN2K中的域傳遞宿任關系一般是系統自動的，但對于相同域U錄樹或林 中的WiIN2K域，也可以顯式（手工）地創建傳遞信任關系。這對于形成交義鏈 接信任關系是非常磴要的。不傳遞信任關系受關系中兩個域的約束9并且不經父域向上傳遞到域U錄樹 中的下一個域。必須顯式地創建不傳遞信任關系。默認情況下，不傳遞信任關系 是單向的，盡管也可以通過創建兩個單向信任關系創建一個雙向關系。所有不屬于相同域U錄樹或 林中WiIN2K域間建立的委托關系都是不傳遞的。所有WiIN2K域和W

30、INNT域 之間的委托關系都是不傳遞的，這一點對于一個企業同時使用WIN2K和WINNT域控制器時應特別注意, 當從WindowsNT升級到WiIN2K時，所有已現有的WindowsNT信任關系都將 保持不變。在混合模式的網絡中，所有WindowsNT信任關系都是不傳遞的。WiIN2K域和WINNT域U錄林 中的WIN2K域和另一 tl錄林中的WIIN2K域WIN2K域和MITKerberosV5領域 單向單向信任關系是單獨的委托關系。雙向信任關系包括一對單向委托關系，所有傳遞信任關系都是雙向的。為使不 傳遞信任關系成為雙向，必須在所涉及的域間創建兩個單向信任關系。2、組織單元（OU）組織單元

31、（OU）是一個容器對象，它也是活動U錄的邏輯結構的一部分， 我們可以把域中的對象組織成邏輯組，它可以幫助我們簡化管理工作。OU可以 包含各種對彖，比如用戶賬戶、用戶組、計算機、打印機等，其至可以包括其他的OU,所以我們可以 利用OU把域中的對象形成一個完全邏輯上的層次結構。對于企 業來講，可以 按部門把所有的用戶和設備組成一個OU層次結構，也可以按地理位置形成層次結構，還可以按功能和 權限分成多個OU層次結構。很明顯，通過組織單元的包容，組織單元具有很清 楚的層次結構，這種包容結構可以使管理者把組織單元切入到域中以反應出企業的組織結構并且可以 委派任務與授權。建立包容結構的組織模型能夠幫助我們

32、解決許多問題，同時仍然可以使用大型的域、域樹中每個對象都可以顯示在全局目錄，從而用戶就可以利用一個服務功能輕 易地找到某個對象而不管它在域樹結構中的位置。山于OU層次結構局限于域的內部，所以一個域中的OU層次結構與另一個 域中的0U層次結構沒有任何關系。因為活動U錄中的域可以比NT4的域容納 更多對象，所以一個企業有可能只用一個域來構造企業網絡，這時候我們就可以使用OU來對對象進行分 組，形成多種管理層次結構，從而極大地簡化網絡管理工作。組織中的不同部門 可以成為不同的域，或者一個組織單元，從而采用層次化的命名方法來反映組織結構和進行管理授 權。順著組織結構進行顆粒化的管理授權可以解決很多管理

33、上的頭疼問題，在加 強中央管理的同時,乂不失機動靈活性。WINNT4.0中的很多域都可以成為OU,建立起更大的域和更簡化的域關系, 借助全局U錄(GlobalCatalog),用戶和管理員仍然能夠迅速地找到對象和管理對 象。WIN2K可以在 現存的WINNT4.0的環境中丄作，保護現有的投資。二.活動U錄的物理結構進制活動U錄中，物理結構與邏輯結構有很大的不同，它們是彼此獨立的 兩個概念。邏輯結構側重于網絡資源的管理，而物理結構則側重于網絡的配置和 優化。活動U錄的物理結構主要著眼于活動U錄信息的復制和用戶登錄網絡時的性能優化。物理結 構的兩個重要概念是站點和 域控制器。1、站點站點111-個

34、或多個IP子網組成，這些子網通過高速網絡設備連接在一起。 站點往往山企業的物理位置分布悄況決定，可以依據站點結構配置活動U錄的訪 問和復制拓撲關系,這樣能使得網絡更有效地連接，并且可使復制策略更合理，用戶登錄更快速， 活動U錄中的站點與域是兩個完全獨立的概念，一個站點中可以有多個域，多個 站點也可以位于同_域中。活動U錄站點和服務可以通過使用站點提高大多數配置U錄服務的效率。可 以通過使用活動U錄站點和服務向活動U錄發布站點的方法提供有關網絡物理 結構的信息，活動U錄使用該信息確定如何復制U錄信息和處理服務的請求。計算機站點是根據其在 子網或一組已連接好子網中的位置指定的，子網提供一種表示網絡

35、分組的簡單方 法，這與我們常見的郵政編碼將地址分組類似。將子網格式化成可方便發送有關網絡與U錄連接物 理信息的形式，將計算機置于一個或多個連接好的子網中充分體現了站點所有計 算機必須連接a好這一標準，原因是同一子網中il算機的連接請況通常優于網絡中任意選取的計算 機。使用站點的童義主要在于：(I) .提高了驗證過程的效率當客戶使用域帳戶登錄時，登錄機制首先搜索與客戶處于同一站點內的域控 制器，使用客戶站點內的域控制器首先可以使網絡傳輸本地化，加快了身份驗證 的速度，提高了驗證過程的效率。(2) 、平衡了復制頻率活動U錄信息可在站點內部或站點與站點之間進行信息復制，但山于網絡的 原因，活動目錄在

36、站點內部復制信息的頻率高于站點間的復制頻率。這樣做可以 平衡對最新U錄信息需求和可用網絡帶寬帶來的限制。您可通過站點鏈接來定制活動U錄如何復制 信息以指定站點的連接方法，活動U錄使用有關站點如何連接的信息生成連接對 象以便提供有效的復制和容錯。(3) 、可提供有關站點鏈接信息活動U錄可使用站點鏈接信息費用，鏈接使用次數，鏈接何時可用以及鏈接 使用頻度等信息確定應使用哪個站點來復制信息，以及何時使用該站點。定制復 制計劃使復制在特定時間(諸如網絡傳輸空閑時)進行會使復制更為有效。通常，所有域控制器都 可用于站點間信息的交換，但也可以通過指定橋頭堡服務器優先發送和接收站間 復制信息的方法進一步控制

37、復制行為。當擁有希望用于站間復制的特定服務器時，宇愿建立一個橋 頭堡服務器而不使用其他可用服務器。或在配置使用代理服務器時建立一個橋頭 堡服務器，用于通過防火墻發送和接收信息。2、域控制器域控制器是指運行WIN2KServer版本的服務器，它保存了活動U錄信息的 副本。域控制器管理日錄信息的變化，并把這些變化復制到同一個域中的其他域 控制器上，使各域控制器上的U錄信息處于同步。域控制器也負責用戶的登錄過程以及其他與域有關 的操作，比如身份鑒定、目錄信息査找等一個域可以有多個域控制器。規模較小 的域可以只需要兩個域控制器，一個實際使用，另一個用于 容錯性檢查。規模較大的域可以使用 多個域控制器。

38、WIN2K的域結構與WINNT的域結構不同的是，活動U錄中的域控制器沒 有主次之分，活動目錄采用了多主機復制方案，每一個域控制器都有一個可寫入 的U錄副本，這為U錄信息容錯帶來了無盡的好處。盡管在某一個時刻，不同的域控制器中的日錄信息 可能有所不同，但一旦 活動U錄中的所有域控制器執行同步操作之后，最新的 變化信息就會一致。盡管活動U錄支持多主機復制方案，然而山于復制引起的通信流量以及網絡 潛在的沖突，變化的傳播并不一定能夠順利進行。因此有必要在域控制器中指 定全局U錄服務器以及操 作主機全局U錄是一個信息倉庫，包含活動U錄中所有對象的一部 分屬性，往往是在査詢過程中訪問最為頻繁的屬性。利用這

39、些信息，可以定位 到任何一個對象實際所在的位置，而全局目錄服務器是一個域控制器，它保存了全局目錄的一份副 本，并執行對全局日錄的査詢操作。全局U錄服務器可以提高活動U錄中大范 w內對象檢索的性能,比如在域林中査詢所有的打印機操 作。如果沒有一個全局tl錄服務器，那么 這樣的查詢操作必須要調動域林中每一個域的查詢過程。如果域中只有一個域 控制器，那么它就是全局U錄服務器如果有多個域控制器，那么管理員必須把一個域控制器配置為 全局U錄控制器。Windows 2000活動日錄詳解之安裝配置篇理解了活動U錄的原理之后，現在我們就可以進行活動U錄的安裝與配置 了，活動U錄的安裝配置過程并不是很復雜，因為

40、WIN2K中提供了安裝向導，只需按照提示一步步按系統要求設定即可。但安裝前的準備工作顯 得比較復雜，只有充分理解了活動U錄的前提下才能正確地安裝配置活動U錄。下面我就詳細地介紹一下活動U錄的安裝與配置及其準備了。 一、活動U錄的安裝前的準備在前面我們知道“活動U錄"是整個WIN2K系統中的一個關鍵服務，它不是 孤立的，它與許多協議和服務有著非常緊密和關系，還涉及到整個WIN2K系統的系統結構和安全。安裝“活動U錄,還是安裝一般Windows組 件那么簡單，在安裝前要進行一系列的策劃和準備。否則輕則根本無法享受到活動U錄所帶來的優越性，重則不能正確安裝“活動U錄，這項服 務。K首先在

41、安裝活動U錄之前，必須保證已經有一臺機器安裝了 WIN2K Server或者Advanced Server»且至少有一個NTFS分區，而且已經為TCP/IP配置了 DNS協議，并且DNS服務支持SRV記錄和動態更新協議。2、其次是要規劃好整個系統的域結構，活動U錄它可包含一個或多個域， 如果整個系統的U錄結構規劃得不好，層次不清就不能很好地發揮活動U錄的優越性。在這里選擇根域（就是一個系統的基本域）是一個關鍵, 根域名字的選擇可以有以下兒種方案：1）可以使用一個己經注冊的DNS域名作為活動日的根域名，這樣的好處 在于企業的公共網絡和私有網絡使用同樣的DNS名字。2）我們還可使用一個已

42、經注冊的DNS域名的子域名作為活動U錄的根域 名。3）為活動U錄選擇一個與已經注冊的DNS域名完全不同的域名。這樣可 以使企業網絡在內部和互聯網上呈現出兩種完全不同的命名結構4）把企業網絡的公共部分用一個已經注冊的DNS域名進行命名，而私有網 絡用另一個內部域名，從名字空間上把兩部分分開，這樣做就使 得每一部分要訪問另部時必須使用對方的名字空間來標識對象。3、再一個就是要進行域和帳戶命名策劃，因為使用活動tl錄的意義之一就 在于使內、外部網絡使用統一的U錄服務，采用統一的命名方案，以方便網絡管理和商務往來。活動U錄域名通常是該域的完整DNS名稱， 但是為確保向下兼容，每個域最好還有一個WIN2

43、K以前版本的名稱，以便在運行WIN2K以前版本的操作系統的i|算機上使用。用戶帳戶在活動U 錄中，每個用戶帳戶都有一個用戶登錄名、一個WIN2K以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個用戶主要名稱后綴。在創建用戶 帳戶時，管理員輸入其登錄名并選擇用戶主要名稱，活動U錄建議WIN2K以前版本的用戶登錄名使用此用戶登錄名的前20個字節。活動 U錄命名策略是企業規劃網絡系統的第一個步驟，命名策略直接影響到網絡的基本結構，至影響網絡的性能和可擴展性。活動目錄為現代企 業提供了很好的參考模型，既考慮到了企業的多層次結構，也考慮到了企業的分布式特性，其至為直接接入Internet提供完全一致的命名模型。 所謂用戶主要名稱是指山用戶賬戶名稱和表示用戶賬戶所在的域的域名組 成。這是登錄到WIN2K域的標準用法。標準格式為：user （象個人的電子郵件地址）。但不要在用戶登錄名或用戶主要名 稱中加入號。活動U錄 在創建用戶主要名稱時自動添加此符號。包含多個號的用戶主要名稱是無效的。在活動U錄中，默認的用戶主要名稱后綴是域樹中根域的DNS名。如果用 戶的單位使用山部門和區域組成的多層域樹，則對于底層用戶的域名可能很長。對于該域中的用戶，默認的用戶主要名稱可能是 。該域中用戶默認的登錄名可能是user。這要一來用