活動(dòng)目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)?；顒?dòng)目錄服務(wù)是Windows 2000操作系統(tǒng)平臺(tái)的中心組件之一。理解活動(dòng)目錄對(duì)于理解Windows 2000的整體價(jià)值是非常重要的。

Active Directory簡(jiǎn)介

活動(dòng)目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)。（Active Directory不能運(yùn)行在Windows Web Server上，但是可以通過它對(duì)運(yùn)行Windows Web Server的計(jì)算機(jī)進(jìn)行管理。）Active Directory存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織。

Microsoft Active Directory 服務(wù)是Windows 平臺(tái)的核心組件，它為用戶管理網(wǎng)絡(luò)環(huán)境各個(gè)組成要素的標(biāo)識(shí)和關(guān)系提供了一種有力的手段。

目錄形式的數(shù)據(jù)存儲(chǔ)

人們經(jīng)常將數(shù)據(jù)存儲(chǔ)作為目錄的代名詞。目錄包含了有關(guān)各種對(duì)象 [例如用戶、用戶組、計(jì)算機(jī)、域、組織單位（OU）以及安全策略] 的信息。這些信息可以被發(fā)布出來，以供用戶和管理員的使用。

目錄存儲(chǔ)在被稱為域控制器的服務(wù)器上，并且可以被網(wǎng)絡(luò)應(yīng)用程序或者服務(wù)所訪問。一個(gè)域可能擁有一臺(tái)以上的域控制器。每一臺(tái)域控制器都擁有它所在域的目錄的一個(gè)可寫副本。對(duì)目錄的任何修改都可以從源域控制器復(fù)制到域、域樹或者森林中的其它域控制器上。由于目錄可以被復(fù)制，而且所有的域控制器都擁有目錄的一個(gè)可寫副本，所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。

目錄數(shù)據(jù)存儲(chǔ)在域控制器上的Ntds.dit文件中。我們建議將該文件存儲(chǔ)在一個(gè)NTFS分區(qū)上。有些數(shù)據(jù)保存在目錄數(shù)據(jù)庫文件中，而有些數(shù)據(jù)則保存在一個(gè)被復(fù)制的文件系統(tǒng)上，例如登錄腳本和組策略。

有三種類型的目錄數(shù)據(jù)會(huì)在各臺(tái)域控制器之間進(jìn)行復(fù)制：

•域數(shù)據(jù)。域數(shù)據(jù)包含了與域中的對(duì)象有關(guān)的信息。一般來說，這些信息可以是諸如電子郵件聯(lián)系人、用戶和計(jì)算機(jī)帳戶屬性以及已發(fā)布資源這樣的目錄信息，管理員和用戶可能都會(huì)對(duì)這些信息感興趣。

例如，在向網(wǎng)絡(luò)中添加了一個(gè)用戶帳戶的時(shí)候，用戶帳戶對(duì)象以及屬性數(shù)據(jù)便被保存在域數(shù)據(jù)中。如果您修改了組織的目錄對(duì)象，例如創(chuàng)建、刪除對(duì)象或者修改了某個(gè)對(duì)象的屬性，相關(guān)的數(shù)據(jù)都會(huì)被保存在域數(shù)據(jù)中。

•配置數(shù)據(jù)。 配置數(shù)據(jù)描述了目錄的拓?fù)浣Y(jié)構(gòu)。配置數(shù)據(jù)包括一個(gè)包含了所有域、域樹和森林的列表，并且指出了域控制器和全局編錄所處的位置。

•架構(gòu)數(shù)據(jù)。架構(gòu)是對(duì)目錄中存儲(chǔ)的所有對(duì)象和屬性數(shù)據(jù)的正式定義。Windows Server 2003提供了一個(gè)默認(rèn)架構(gòu)，該架構(gòu)定義了眾多的對(duì)象類型，例如用戶和計(jì)算機(jī)帳戶、組、域、組織單位以及安全策略。管理員和程序開發(fā)人員可以通過定義新的對(duì)象類型和屬性，或者為現(xiàn)有對(duì)象添加新的屬性，從而對(duì)該架構(gòu)進(jìn)行擴(kuò)展。架構(gòu)對(duì)象受訪問控制列表（ACL）的保護(hù)，這確保了只有經(jīng)過授權(quán)的用戶才能夠改變架構(gòu)。

活動(dòng)目錄功能

活動(dòng)目錄(Active Directory)主要提供以下功能：

1. 基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括DNS、WINS、DHCP、證書服務(wù)等。
2. 服務(wù)器及客戶端計(jì)算機(jī)管理：管理服務(wù)器及客戶端計(jì)算機(jī)賬戶，所有服務(wù)器及客戶端計(jì)算機(jī)加入域管理并實(shí)施組策略。
3. 用戶服務(wù)：管理用戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認(rèn)證、用戶授權(quán)管理等，按省實(shí)施組管理策略。
4. 資源管理：管理打印機(jī)、文件共享服務(wù)等網(wǎng)絡(luò)資源。
5. 桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。
6. 應(yīng)用系統(tǒng)支撐：支持財(cái)務(wù)、人事、電子郵件、企業(yè)信息門戶、辦公自動(dòng)化、補(bǔ)丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。

Active Directory和安全性

安全性通過登錄身份驗(yàn)證以及目錄對(duì)象的訪問控制集成在Active Directory之中。通過單點(diǎn)網(wǎng)絡(luò)登錄，管理員可以管理分散在網(wǎng)絡(luò)各處的目錄數(shù)據(jù)和組織單位，經(jīng)過授權(quán)的網(wǎng)絡(luò)用戶可以訪問網(wǎng)絡(luò)任意位置的資源?；诓呗缘墓芾韯t簡(jiǎn)化了網(wǎng)絡(luò)的管理，即便是那些最復(fù)雜的網(wǎng)絡(luò)也是如此。

Active Directory通過對(duì)象訪問控制列表以及用戶憑據(jù)保護(hù)其存儲(chǔ)的用戶帳戶和組信息。因?yàn)锳ctive Directory不但可以保存用戶憑據(jù)，而且可以保存訪問控制信息，所以登錄到網(wǎng)絡(luò)上的用戶既能夠獲得身份驗(yàn)證，也可以獲得訪問系統(tǒng)資源所需的權(quán)限。例如，在用戶登錄到網(wǎng)絡(luò)上的時(shí)候，安全系統(tǒng)首先利用存儲(chǔ)在Active Directory中的信息驗(yàn)證用戶的身份。然后，在用戶試圖訪問網(wǎng)絡(luò)服務(wù)的時(shí)候，系統(tǒng)會(huì)檢查在服務(wù)的自由訪問控制列表（DCAL）中所定義的屬性。

因?yàn)锳ctive Directory允許管理員創(chuàng)建組帳戶，管理員得以更加有效地管理系統(tǒng)的安全性。例如，通過調(diào)整文件的屬性，管理員能夠允許某個(gè)組中的所有用戶讀取該文件。通過這種辦法，系統(tǒng)將根據(jù)用戶的組成員身份控制其對(duì)Active Directory中對(duì)象的訪問操作。

Active Directory 的架構(gòu)

簡(jiǎn)述

Active Directory的架構(gòu)（Schema）是一組定義，它對(duì)能夠存儲(chǔ)在Active Directory中的各種對(duì)象——以及有關(guān)這些對(duì)象的各種信息——進(jìn)行了定義。因?yàn)檫@些定義本身也作為對(duì)象進(jìn)行存儲(chǔ)，Active Directory可以像管理目錄中的其它對(duì)象一樣對(duì)架構(gòu)對(duì)象加以管理。架構(gòu)中包括了兩種類型的定義：屬性和分類。屬性和分類還可以被稱作架構(gòu)對(duì)象或元數(shù)據(jù)。

分類

分類，又稱對(duì)象分類，描述了管理員所能夠創(chuàng)建的目錄對(duì)象。每一個(gè)分類都是一組對(duì)象的集合。在您創(chuàng)建某個(gè)對(duì)象時(shí)，屬性便存儲(chǔ)了用來描述對(duì)象的信息。例如，“用戶”分類便由多個(gè)屬性組成，其中包括網(wǎng)絡(luò)地址、主目錄等等。Active Directory中的所有對(duì)象都是某個(gè)對(duì)象分類的一個(gè)實(shí)例。

架構(gòu)的擴(kuò)展

有經(jīng)驗(yàn)的開發(fā)人員和網(wǎng)絡(luò)管理員可以通過為現(xiàn)有分類定義新的屬性或者定義新的分類來動(dòng)態(tài)地?cái)U(kuò)展架構(gòu)。

架構(gòu)的內(nèi)容由充當(dāng)架構(gòu)操作主控角色的域控制器進(jìn)行控制。架構(gòu)的副本被復(fù)制到森林中的所有域控制器上。這種共用架構(gòu)的使用方式確保了森林范圍內(nèi)的數(shù)據(jù)完整性和一致性。

此外，您還可以使用“Active Directory架構(gòu)”管理單元對(duì)架構(gòu)加以擴(kuò)展。為了修改架構(gòu)，您必須滿足以下三個(gè)要求：

• 成為“Schema Administrators”（架構(gòu)管理員）組的成員

• 在充當(dāng)架構(gòu)操作主控角色的計(jì)算機(jī)上安裝“Active Directory架構(gòu)”管理單元

• 擁有修改主控架構(gòu)所需的管理員權(quán)限

在考慮對(duì)架構(gòu)進(jìn)行修改時(shí)，必須注意以下三個(gè)要點(diǎn)：

• 架構(gòu)擴(kuò)展是全局性的。 在您對(duì)架構(gòu)進(jìn)行擴(kuò)展的時(shí)候，您實(shí)際上擴(kuò)展了整個(gè)森林的架構(gòu)，因?yàn)閷?duì)架構(gòu)的任何修改都會(huì)被復(fù)制到森林中所有域的所有域控制器上。

• 與系統(tǒng)有關(guān)的架構(gòu)分類不能被修改。您不能修改Active Directory架構(gòu)中的默認(rèn)系統(tǒng)分類；但是，用來修改架構(gòu)的應(yīng)用程序可能會(huì)添加可選的系統(tǒng)分類，您可以對(duì)這些分類進(jìn)行修改。

• 對(duì)架構(gòu)的擴(kuò)展不可撤銷。某些屬性或者分類的屬性可以在創(chuàng)建后修改。在新的分類或者屬性被添加到架構(gòu)中之后，您可以將它置于非激活狀態(tài)，但是不能刪除它。但是，您可以廢除相關(guān)定義并且重新使用對(duì)象標(biāo)識(shí)符（OID）或者顯示名稱，您可以通過這種方式撤銷一個(gè)架構(gòu)定義。

有關(guān)架構(gòu)修改的更多信息，請(qǐng)通過參閱 Microsoft Windows 資源工具包 。

Active Directory不支持架構(gòu)對(duì)象的刪除；但是，對(duì)象可以被標(biāo)記為“非激活”，以便實(shí)現(xiàn)與刪除同等的諸多益處。

屬性

屬性和分類單獨(dú)進(jìn)行定義。每一個(gè)屬性僅僅定義一次，但是可以在多個(gè)分類中使用。例如，“Description”（描述）屬性可以使用在多個(gè)分類中，但是只需在架構(gòu)中定義一次即可，以保持?jǐn)?shù)據(jù)的一致性。

屬性用來描述對(duì)象。每一個(gè)屬性都擁有它自己的定義，定義則描述了特定于該屬性的信息類型。架構(gòu)中的每一個(gè)屬性都可以在“Attribute-Schema”分類中指定，該分類決定了每一個(gè)屬性定義所必須包含的信息。

能夠應(yīng)用到某個(gè)特殊對(duì)象上的屬性列表由分類（對(duì)象是該分類的一個(gè)實(shí)例）以及對(duì)象分類的任何超類所決定。屬性僅僅定義一次，但是可以多次使用。這確保了共享同一個(gè)屬性的所有分類能夠保持一致性。

多值屬性

屬性可以是單值的也可以是多值的。屬性的架構(gòu)定義指定了屬性的實(shí)例是否必須是多值的。單值屬性的實(shí)例可以為空，也可以包含一個(gè)單值。多值屬性的實(shí)例可以為空，也可以包含一個(gè)單值或多值。多值屬性的每一個(gè)值都必須是唯一的。

索引屬性

索引應(yīng)用于屬性，而不是分類。對(duì)屬性進(jìn)行索引有助于更快地查詢到擁有該屬性的對(duì)象。當(dāng)您將一個(gè)屬性標(biāo)記為“已索引”之后，該屬性的所有實(shí)例都會(huì)被添加到該索引，而不是僅僅將作為某個(gè)特定分類成員的實(shí)例添加到索引。

添加經(jīng)過索引的屬性會(huì)影響Active Directory的復(fù)制時(shí)間、可用內(nèi)存以及數(shù)據(jù)庫大小。因?yàn)閿?shù)據(jù)庫變得更大了，所以需要花費(fèi)更多的時(shí)間進(jìn)行復(fù)制。

多值屬性也可以被索引。同單值屬性的索引相比，多值屬性的索引進(jìn)一步增加了Active Directory的大小，并且需要更多的時(shí)間來創(chuàng)建對(duì)象。在選擇需要進(jìn)行索引的屬性時(shí)，請(qǐng)確信所選擇的共用屬性，而且能夠在開銷和性能之間取得平衡。

一個(gè)經(jīng)過索引的架構(gòu)屬性還可以被用來存儲(chǔ)屬性的容器所搜索，從而避免了對(duì)整個(gè)Active Directory數(shù)據(jù)庫進(jìn)行搜索。這樣不僅縮短了搜索所需花費(fèi)的時(shí)間，而且減少了在搜索期間需要使用的資源數(shù)量。

全局編錄的角色

全局編錄是一臺(tái)存儲(chǔ)了森林中所有Active Directory對(duì)象的一個(gè)副本的域控制器。此外，全局編錄還存儲(chǔ)了每個(gè)對(duì)象最常用的一些可搜索的屬性。全局編錄存儲(chǔ)了它所在域的所有目錄對(duì)象的完整副本，以及森林中其它域中所有目錄對(duì)象的部分副本，所以您不必咨詢域控制器即可實(shí)施有效的搜索操作。

全局編錄在森林中最初的一臺(tái)域控制器上自動(dòng)創(chuàng)建。您可以為任何一臺(tái)域控制器添加全局編錄功能，或者將全局編錄的默認(rèn)位置修改到另一臺(tái)域控制器上。

全局編錄擔(dān)當(dāng)了以下目錄角色

• 查找對(duì)象 全局編錄允許用戶搜索森林所有域的目錄信息，而不管數(shù)據(jù)存儲(chǔ)在何處。森林內(nèi)部的搜索可以利用最快的速度和最小的網(wǎng)絡(luò)流量得以執(zhí)行。

在您從“開始”菜單搜索人員或打印機(jī)，或者在某個(gè)查詢的內(nèi)部選擇了“整個(gè)目錄”選項(xiàng)的時(shí)候，您就是在對(duì)全局編錄進(jìn)行搜索。在您輸入搜索請(qǐng)求之后，請(qǐng)求便會(huì)被路由到默認(rèn)的全局編錄端口3268，以便發(fā)送到一個(gè)全局編錄進(jìn)行解析。

• 提供了根據(jù)用戶主名的身份驗(yàn)證。在進(jìn)行身份驗(yàn)證的域控制器不知道某個(gè)賬戶是否合法時(shí)，全局編錄便可以對(duì)用戶的主名進(jìn)行解析。例如，如果用戶的賬戶位于example1.域，而用戶決定利用這個(gè)用戶主名從位于example2的一臺(tái)計(jì)算機(jī)上進(jìn)行登錄，那么example2.的域控制器將無法找到該用戶的賬戶，然后，域控制器將于全局編錄服務(wù)器聯(lián)系，以完成整個(gè)登錄過程。

• 在多域環(huán)境下提供通用組的成員身份信息。和存儲(chǔ)在每個(gè)域的全局組成員身份不同，通用組成員身份僅僅保存在全局編錄之中。例如，在屬于一個(gè)通用組的用戶登錄到一個(gè)被設(shè)置為Windows 2000本機(jī)域功能級(jí)別或者更高功能級(jí)別的域的時(shí)候，全局組將為用戶賬戶提供通用組的成員身份信息。

如果在用戶登錄到運(yùn)行在Windows 2000本機(jī)或者更高級(jí)別中的域的時(shí)候，某個(gè)全局編錄不可用并且用戶先前曾經(jīng)登錄到該域，計(jì)算機(jī)將使用緩存下來的憑據(jù)讓用戶登錄。如果用戶以前沒有在該域登錄過，用戶將僅僅能夠登錄到本地計(jì)算機(jī)。

說明：即便全局編錄不可用，“Domain Administrators”（域管理員）組的成員也可以登錄到網(wǎng)絡(luò)中。

查找目錄信息

正如前面所介紹的，Active Directory的設(shè)計(jì)目的在于為來自用戶或應(yīng)用程序的查詢提供有關(guān)目錄對(duì)象的信息。管理員和用戶可以使用“開始”菜單中的“搜索”命令輕松對(duì)目錄進(jìn)行搜索和查找。客戶端程序也可以使用Active Directory服務(wù)接口（ADSI）訪問Active Directory中的信息。

Active Directory的主要益處就在于它能夠存儲(chǔ)有關(guān)網(wǎng)絡(luò)對(duì)象的豐富信息。在Active Directory中發(fā)布的有關(guān)的用戶、計(jì)算機(jī)、文件和打印機(jī)的信息可以被網(wǎng)絡(luò)用戶所使用。這種可用性能夠通過查看信息所需的安全權(quán)限加以控制。

網(wǎng)絡(luò)上的日常工作涉及用戶彼此之間的通信，以及對(duì)已發(fā)布資源的連接和訪問。這些工作需要查找名稱和地址，以便發(fā)送郵件或者連接到共享資源。在這方面，Active Directory就像是一個(gè)在企業(yè)中共享的地址簿 。例如，您可以按照姓、名、電子郵件地址、辦公室位置或者其它用戶賬戶屬性查找用戶。如前所述，信息的查找過程由于使用了全局編錄而得到了優(yōu)化。

高效的搜索工具

管理員可以使用“Active Directory用戶和計(jì)算機(jī)”管理單元中的高級(jí)“查找”對(duì)話框高效率地執(zhí)行管理工作，并且輕松定制和篩選從目錄取得的數(shù)據(jù)。此外，管理員還可以向組中快速添加對(duì)象，并且通過無需瀏覽的查詢幫助查找可能的成員，從而將對(duì)網(wǎng)絡(luò)的影響降低到最小限度。

Active Directory的復(fù)制

復(fù)制為目錄信息提供了可用性、容錯(cuò)能力、負(fù)載平衡以及性能優(yōu)勢(shì)。Active Directory 使用多主控復(fù)制，您可以在任何一臺(tái)域控制器上更新目錄，而不是只能在一臺(tái)特定的主域控制器上進(jìn)行更新。多主控模式具有更出色的容錯(cuò)能力，因?yàn)槭褂昧硕嗯_(tái)域控制器，即使在某一臺(tái)域控制器停止工作的情況下，復(fù)制依然能夠繼續(xù)。

域控制器可以存儲(chǔ)和復(fù)制：

• 架構(gòu)信息。架構(gòu)信息定義了可以在目錄中創(chuàng)建的對(duì)象，以及每隔對(duì)象所能夠擁有的屬性。這些信息是森林中所有域的共用信息。架構(gòu)數(shù)據(jù)被復(fù)制到森林中的所有域控制器上。

• 配置信息。配置信息描述了您的部署的邏輯結(jié)構(gòu)，其中包括諸如域結(jié)構(gòu)或者復(fù)制拓?fù)溥@樣的信息。這些信息是森林中所有域的共用信息。配置數(shù)據(jù)被復(fù)制到森林中的所有域控制器上。

• 域信息。域信息描述了域中所有的對(duì)象。數(shù)據(jù)特定于具體的域，而且不會(huì)被分發(fā)到其它的任何域中。為了在整個(gè)域樹或者森林中查找信息，所有域中的所有對(duì)象的屬性的一個(gè)子集被保存在全局編錄中。域數(shù)據(jù)將被復(fù)制到域中的所有域控制器上。

• 應(yīng)用程序信息。存儲(chǔ)在應(yīng)用程序目錄分區(qū)中的信息旨在滿足用戶對(duì)這些信息的復(fù)制需要，但是這些信息并不是在任何情況下都需要。應(yīng)用程序數(shù)據(jù)可以被明確地重新路由到森林中特定于管理用途的域控制器上，以防止產(chǎn)生不必要的復(fù)制流量?；蛘?，您可以進(jìn)行設(shè)置，將這些信息復(fù)制到域中的所有域控制器上。

站點(diǎn)在復(fù)制過程中的角色

站點(diǎn)提高了目錄信息的復(fù)制效率。目錄架構(gòu)和配置信息在整個(gè)森林范圍內(nèi)進(jìn)行復(fù)制，而域數(shù)據(jù)則在域的所有域控制器之間進(jìn)行復(fù)制，并且會(huì)被部分地復(fù)制到全局編錄上。通過有策略地減少復(fù)制流量，網(wǎng)絡(luò)的通信壓力也會(huì)得到相應(yīng)的減輕。

域控制器使用站點(diǎn)和復(fù)制變化控制從以下方面對(duì)復(fù)制實(shí)施優(yōu)化：

• 通過對(duì)所使用的連接不時(shí)進(jìn)行重新評(píng)估，Active Directory可以始終使用最有效的網(wǎng)絡(luò)連接。

• Active Directory使用多條路由復(fù)制發(fā)生變化的目錄數(shù)據(jù)，從而提供了容錯(cuò)能力。

• 由于僅僅需要復(fù)制發(fā)生了變化的信息，復(fù)制開銷降到了最小。

如果某個(gè)部署沒有按照站點(diǎn)加以組織，域控制器以及客戶機(jī)之間的信息交換將是混亂和無序的。站點(diǎn)可以改善網(wǎng)絡(luò)的利用效率。

Active Directory在站點(diǎn)內(nèi)部復(fù)制目錄信息的頻度比在站點(diǎn)間的復(fù)制頻度要更高。這樣，擁有***連接條件的域控制器——它們很可能需要特殊的目錄信息——可以首先得到復(fù)制。其它站點(diǎn)中的域控制器則可以獲得所有發(fā)生了變化的目錄信息，但是它們進(jìn)行復(fù)制的頻率要低一些，以便節(jié)省網(wǎng)絡(luò)帶寬。另外，由于數(shù)據(jù)在站點(diǎn)間進(jìn)行復(fù)制時(shí)經(jīng)過了壓縮處理，所以復(fù)制操作所占用的帶寬進(jìn)一步得到了降低。為了實(shí)現(xiàn)高效復(fù)制，只有在添加或修改了目錄信息之后才進(jìn)行目錄的更新。

如果目錄更新始終被分發(fā)到域中的所有其它域控制器上，它們將占用大量的網(wǎng)絡(luò)資源。雖然您可以手動(dòng)添加或配置連接，或者強(qiáng)迫通過某條特定的連接進(jìn)行復(fù)制，復(fù)制仍然可以根據(jù)您在“Active Directory Sites and Services”管理工具中提供的信息，通過Active Directory知識(shí)一致性檢查程序（Knowledge Consistency Checker，KCC）得到自動(dòng)優(yōu)化。KCC負(fù)責(zé)構(gòu)建和維護(hù)Active Directory的復(fù)制拓?fù)?。特別地，KCC可以決定何時(shí)進(jìn)行復(fù)制，以及每臺(tái)服務(wù)器必須同哪些服務(wù)器開展復(fù)制。