Windows 2000 活動目錄簡介(轉)

Windows 2000 活動目錄簡介(轉)[@more@]

　　目錄服務功能是Windows 2000的最重要的新功能之一，它可將網路中各種物件組織前來進行管理，方便了網路物件的查詢，加強了網路的安全性，並大大有利於使用者對網路的管理。透過活動目錄，使用者可以對使用者和計算機、域和信任關係、以及站點和服務進行管理。本章將著重介紹活動目錄及其應用。

　　活動目錄是一種目錄服務，它儲存有關網路物件的資訊，例如，使用者、組、計算機、共享資源、印表機和聯絡人等，並使管理員和使用者可以方便地查詢和使用網路資訊。活動目錄的應用起源於Windows NT 4.0，在Windows 2000 Server中得到進一步的發展和應用，具有可擴充套件性和可調整性，並將結構化資料儲存作為目錄資訊邏輯和分層組織的基礎。

　　域（domain）仍然是Windows 2000目錄服務的基本管理單位，但增進了許多新的功能。域模式的最大好處就是它的單一網路登入能力，任何使用者只要在域中有一個帳戶，就可以漫遊網路。域目錄樹中的每一個節點都有自己的安全邊界，這種層次結構既保證了安全性，又

　　做到細緻兼備。但是以前的域的信任關係過分強調安全性而可調整性不夠。新一代的動態目錄服務增強了信任關係，擴充套件了域目錄樹的靈活性。它把一個域作為一個完整的目錄，域之間能夠透過一種基於Kerberos認證的可傳遞的信任關係建立起樹狀連線，從而使單一帳戶在

　　該樹狀結構中的任何地方都有效，這樣在網路管理和擴充套件時就比較輕鬆了。同時動態目錄服務把域又詳細劃分成組織單元，組織單元是一個邏輯單位，它是域中一些使用者和組、檔案與印表機等資源物件的集合。組織單元中還可以再劃分下級組織單元，並且下級組織單元能夠

　　繼承父單元的訪問許可權。每一個組織單元可以有自己單獨的管理員並指定其管理許可權，他們管理著不同的任務，從而實現了對資源和使用者的分級管理。動態目錄服務透過這種域內的組織單元樹和域之間的可傳遞信任樹來組織其信認物件，實現顆粒式管理，為動態活動目錄

　　的管理和擴充套件帶來了極大的方便。這樣，在Windows 2000網路中，一個域能夠輕鬆地管理數萬個物件，而一棵域樹則可以是包含上億個物件的龐大的網路。

　　在Windows 2000中，域中所有域控制器之間都是平等的關係，不再區分主域控制器和備份域控制器，這主要是因為Windows 2000採用了動態活動目錄服務，在進行目錄複製時不是沿用一般目錄服務的主從方式，而是採用多主複製方式。Windows 2000在複製目錄庫時對各

　　個物件的修改順序數進行大小比較，判斷它們被修改的先後順序，結果最新修改的物件屬性被保留，舊的屬性就被新的屬性所取代，這就保證每一個域控制器上的目錄服務資料庫都是最新的。透過這種方式，任何一個域控制器上的目錄庫的變更都會自動複製到其他域控制器

　　上的副本中。另外， Windows 2000也不再劃分全域性組和本地組，組內可以包含任何使用者和其他組帳戶，而不管它們在域目錄樹的什麼位置，這樣就有利於使用者對組進行管理。

　　Windows 2000動態目錄服務的另一大特點是把DNS作為其定位服務，增強其與Internet的融合。為了克服DNS管理難度大的缺點， Windows 2000將DNS與其特有的DHCP和WINS緊密配合，同時支援動態DNS，從而使DNS管理變得更加方便。另外， Windows 2000廣泛地支援

　　標準的命名規則，例如， WWW使用的HTTPURL命名規則、Internet電子郵件使用的RFC822命名規則、NetBIOS採用的UNC命名規則以及LDAPURLs和X. 500命名規則等。

　　為了擴充套件的需要， Windows 2000動態目錄服務內建了目錄訪問C語言、動態目錄元件、開放服務資訊處理等API介面，為目錄服務的應用和開發提供了強大的工具。在向上發展的同時，Windows 2000也向下相容，Windows NT和舊的BackOffice系統可以很容易融進Windows 2000動態活動目錄，或者直接升級到Windows 2000系統。