Active Directory 结构

 Active Directory 结构

操作系统

白皮书

摘要

要发挥 Microsoft® Windows® 2000 Server 操作系统的最大作用，必须首先了解 Active Directory™ 目录服务。Active Directory 是 Windows 2000 操作系统的新内容，它在实施组织的网络、进而实现组织的商业目标中占有重要地位。本文向网络管理员介绍 Active Directory，解释其结构，阐述其如何与应用程序及其他目录服务进行交互操作。

本文以 Windows 2000 Beta 3 发行时有效的信息为基础。在 Windows 2000 Server 的最终版本发行之前，本文提供的信息可能会随时更改。

简介

要想了解 Windows 2000 操作系统如何实现其功能，及其对完成企业目标能够提供哪些帮助，就必须先了解 Active Directory™ 目录服务。本文从以下三个方面介绍 Active Directory：

• 存储。 Active Directory，即 Windows® 2000 Server 目录服务，可分层存储网络对象的信息，并向管理员、用户和应用程序提供这些信息。本文首先解释目录服务的概念、Active Directory 服务与 Internet 域名系统 (DNS) 的集成，以及当您将服务器指定为域控制器 ¹ 时，Active Directory 是如何实现的。
• 结构。使用 Active Directory，可以根据结构组织网络及其对象，这些结构包括域、目录树、目录林、信任关系、部门 (OU) 和站点。本文第二节阐述这些 Active Directory 组件的结构和功能，以及管理员采用该体系结构对网络实施管理的方式，从而有助于用户实现其商业目标。
• 相互通信。Active Directory 以标准目录访问协议为基础，因此能够与其他目录服务进行交互操作，并可接受遵守这些协议的第三方应用程序的访问。最后一节阐述 Active Directory 与其他各种技术进行通信的方式。

Active Directory 的优点

在 Windows 2000 操作系统中引入 Active Directory 有以下优点：

• 与 DNS 集成。 Active Directory 使用域名系统 (DNS)。DNS 是一种 Internet 标准服务，它将用户能够读取的计算机名称（例如 mycomputer.microsoft.com）翻译成计算机能够读取的数字 Internet 协议 (IP) 地址（由英文句号分隔的四组数字）。这样，在 TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。
• 灵活的查询。 用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是 Active Directory 用户和计算机管理单元。例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。而且,使用全局编录优化了查找信息的操作。
• 可扩展性。 Active Directory 是可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在原有的对象类别中添加新属性。架构包含每个对象类别的定义，以及能够存储于目录中的每个对象类别的属性。例如，您可能会为 User 对象添加 Purchase Authority 属性，然后将每个用户的购买权限额保存为用户帐户的一部分。
• 基于策略的管理。 组策略是在初始化时应用于计算机或用户的配置设置。所有组策略设置都包含在应用于 Active Directory 站点、域或部门的组策略对象 (GPO) 中。GPO 设置决定了对目录对象和域资源的访问权限、用户可使用的域资源（如应用程序），以及这些域资源针对其用途的配置方式。
• 可伸缩性。 Active Directory 包括一个或多个域，每个域均有一个或多个域控制器，由此，您能够对目录进行自由扩展，从而满足所有网络的需求。多个域可合并成一个域目录树，多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中，该域既是一个目录树，又是一个目录林。
• 信息复制。 Active Directory 使用多主机复制，使您可以更新任何域控制器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控制器包含同样的目录数据，所以，如果域内的一个域控制器速度变慢、停止或出现故障，同一域内的其他域控制器即可提供必要的目录访问功能。
• 信息安全。在 Windows 2000 操作系统中，用户身份验证和访问控制的管理都与 Active Directory 完全结合在一起，这是该系统的一项关键性安全功能。Active Directory 将身份验证集中进行。不仅可以定义对目录中每个对象的访问控制，还可定义对每个对象的每个属性的访问控制。此外，Active Directory 还为安全策略提供了存储区和应用范围。（关于 Active Directory 登录身份验证和访问控制的详细信息，请参阅本文结尾外的“其它信息”。）
• 互操作性。由于 Active Directory 以标准目录访问协议（例如轻型目录访问协议 (LDAP)）为基础，因此它能够与其他采用这些协议的目录服务进行交互操作。有些应用程序编程接口 (API)--例如 Active Directory 服务接口 (ADSI)--允许开发者访问这些协议。

在本文结尾，“附录 A：工具”提供了一些软件工具的简要概述，您可以使用这些工具执行与 Active Directory 有关的任务。

Active Directory 目录服务

在进入本文主要部分--Active Directory 结构与互操作性--之前，此节作为预备内容，从两个区别很大的角度简单介绍 Active Directory：

• 第一个角度是从 Active Directory 的最抽象意义上介绍，即：Active Directory 是一个与 Internet 域名系统 (DNS) 集成的名称空间。
• 第二个角度是从 Active Directory 的最普通意义上介绍，即：它是将服务器转换成域控制器的软件。

在计算机网络上下文环境中，目录（又称数据存储区）是存储网络对象信息的分层结构。对象包括共享资源，如服务器、共享卷和打印机；网络用户和计算机帐户以；域、应用程序、服务、安全策略，以及网络上的其他所有内容。以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例：一般情况下，目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。

目录服务与目录的不同之处在于：它既是目录信息源，又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。理想情况下，目录服务会使物理拓扑和协议（两个服务间传输数据所用的格式）透明化；这样，即使用户不知道资源的物理连接位置和连接方法，也能够访问资源。我们可以继续以用户帐户为例：正是目录服务使同一网络中的其他授权用户能够访问针对用户帐户对象所保存的目录信息（如电子邮件地址）。

目录服务可支持多种不同的功能。有些目录服务与操作系统集成，有些则是一些应用程序，如电子邮件目录。Active Directory 等操作系统目录服务可提供对用户、计算机和共享资源的管理。Microsoft Exchange 等处理电子邮件的目录服务使用户能够查找其他用户并发送电子邮件。

Active Directory 是一种新型的目录服务，是 Windows 2000 Server 操作系统的核心，它只在域控制器中运行。Active Directory 不但为数据提供了存储区以及使该数据有效的服务，而且还保护了网络对象，使其免受未经授权的访问，并防止跨网络复制对象，这样，即使一个域控制器出现故障，也不会导致数据丢失。

Active Directory 合并了 DNS

Active Directory 和 DNS 都是名称空间。名称空间是任一有界区域，在其中对给定的名称进行解析。名称解析是把名称转换成该名称代表的某一对象或信息的过程。例如，电话号码簿组成了一个名称空间，其中的电话用户名可解析成电话号码。Windows NTFS 文件系统组成了一个名称空间，其中的文件名可解析为文件本身。

DNS 与 Internet

要理解 Windows 2000 处理 Active Directory 和 DNS 名称空间的方式，需要先了解有关 DNS 自身及其与 Internet 和 TCP/IP 之间关系的一些基本知识。Internet 是一种 TCP/IP 网络。TCP/IP 通讯协议连接计算机，并使计算机可通过网络传输数据。Internet 或任何其他 TCP/IP 网络（如许多 Windows 网络）上的每台计算机都有一个 IP 地址。DNS 定位 TCP/IP 主机（计算机）的方法是：将最终用户能理解的计算机名称解析成计算机能读懂的 IP 地址。可用分布到全球的 DNS 数据库来管理 Internet 上的 IP 地址，也可以在本地实施 DNS，用于管理专用 TCP/IP 网络中的地址。

DNS 组织成不同层次的域，使整个 Internet 成为一个名称空间。DNS 有几个顶级域，可进一步划分为第二级域。Internet 域名空间的根由 Internet 职权部门（目前是 Internet 网络信息中心，简称 InterNIC）管理，该部门负责代理对 DNS 名称空间顶级域名的管理职责，并负责注册第二级域名。顶级域名是一些大家熟悉的域类别，如商业组织 (.com)、教育组织 (.edu)、政府组织 (.gov) 等等。对于美国以外的国家和地区，则用两个字母的国家/地区代码来表示，如英国用 .uk 表示。第二级域名代表了以前在机构（和个体）中注册的名称空间，他们曾以这种方式实现了在 Internet 上的存在。图 1 显示了公司网络连接到 Internet DNS 名称空间的方式。

图 1. Microsoft 如何适应 Internet DNS 名称空间。

DNS 与 Active Directory 名称空间的集成

DNS 与 Active Directory 的集成是 Windows 2000 Server 操作系统的核心功能。DNS 域和 Active Directory 域对不同的名称空间使用相同的域名。因为两个名称空间共享一个相同的域结构，所以必须了解它们不是同一个名称空间。每个名称空间保存了不同的数据，因而管理不同的对象。DNS 保存区域² 以及资源记录；Active Directory 保存域和域对象。

DNS 的域名以 DNS 分层命名结构为基础，这是一个反向树结构：最上方是一个根域，下面是父域和子域（枝和叶）。例如，有个 Windows 2000 域名是：child.parent.microsoft.com；这表明域名 child 是域名 parent 的子域，而 parent 本身也是域 microsoft.com 的一个子域。

DNS 域的每台计算机都可依据其完全合格的域名 (FQDN) 加以唯一识别。位于域 child.parent.microsoft.com 的计算机的 FQDN 是 computername.child.parent.microsoft.com。

每个 Windows 2000 域都有一个 DNS 名称（如 OrgName.com），并且每台基于 Windows 2000 的计算机都有一个 DNS 名称（如 AcctServer.OrgName.com）。因而，域和计算机都用 Active Directory 对象和 DNS 节点来表示（DNS 分层结构中的一个节点代表一个域或一台计算机）。

DNS 和 Active Directory 均用数据库来解析名称：

• DNS 是一种名称解析服务。 通过将 DNS 服务器接收的请求视为对 DNS 数据库的 DNS 查询，DNS 将域名和计算机名解析成 IP 地址。具体地说，DNS 客户机把 DNS 名称查询发送到已配置的 DNS 服务器。DNS 服务器先接收名称查询，然后通过本地保存的文件解析该名称查询，或咨询另一台 DNS 服务器进行解析。DNS 不需要系统启动 Active Directory。
• Active Directory 是一种目录服务。通过将域控制器接收的请求视为轻型目录访问协议 (LDAP)³ 搜索，或改成对 Active Directory 数据库的请求，Active Directory 将域对象名称解析成对象记录。具体而言，Active Directory 客户机使用 LDAP 向 Active Directory 服务器发送查询。Active Directory 客户机通过查询 DNS 来定位 Active Directory 服务器。即，Active Directory 将 DNS 用作定位器服务，把 Active Directory 域、站点及服务名称解析成 IP 地址。例如，要登录到 Active Directory 域，Active Directory 客户机会查询已配置的 DNS 服务器，请求 LDAP 服务的 IP 地址（LDAP 服务在指定域的域控制器中运行）。Active Directory 不需要系统启动 DNS。

实际上，理解 Windows 2000 环境中 DNS 与 Active Directory 名称空间之间的差异，就是理解：代表 DNS 区域中指定计算机的 DNS 主机记录，与 Active Directory 域中代表“同一台计算机”的计算机帐户对象处于不同的名称空间中。

总之，Active Directory 用以下两种方式与 DNS 集成：

• Active Directory 域和 DNS 域有相同的分层结构。尽管因目的不同，DNS 和 Active Directory 域的组织名称空间各自独立，实施方法也有所不同，但它们却有相同的结构。例如，microsoft.com 既是一个 DNS 域又是一个 Active Directory 域。
• DNS 区域可保存在 Active Directory 中。 如果使用 Windows 2000 DNS 服务，主区域就可以保存在 Active Directory 中，以便复制到其他 Active Directory 域控制器，为 DNS 服务提供增强的安全性。
• Active Directory 客户机使用 DNS 来定位域控制器。 为了定位指定域的域控制器，Active Directory 客户机会查询已配置的 DNS 服务器，以查找指定的资源记录。

Active Directory 与全局 DNS 名称空间

Active Directory 被设计成可处于 Internet 全局 DNS 名称空间的范围之内。如果组织使用 Windows 2000 Server 作为其网络操作系统，当该组织需要存在于 Internet 上时，Active Directory 名称空间会作为一个或多个分层的 Windows 2000 域，保留在已注册为 DNS 名称空间的根域名之下。（组织可选择不成为全局 Internet DNS 名称空间的一部分；但即使它这样做，仍要求 DNS 服务定位基于 Windows-2000 的计算机。)

根据 DNS 命名规则，以英文句号 (.) 分隔的 DNS 名称的每部分都代表 DNS 分层树结构的一个节点，以及 Windows 2000 域分层树结构的一个可能的 Active Directory 域名。如图 2 所示，DNS 分层结构的根是一个有空标签 (" ") 的节点。Active Directory 名称空间的根（目录林根）无父根，它提供了指向 Active Directory 的 LDAP 进入点。

图 2. 比较 DNS 与 Active Directory 名称空间的根

SRV 资源记录与动态更新

DNS 独立于 Active Directory，而 Active Directory 却专门设计成与 DNS 协同工作。为了保证 Active Directory 正常运行，DNS 服务器必须支持服务位置 (SRV) 资源记录⁴。SRV 资源记录把服务名称映射成提供该服务的服务器名称。Active Directory 客户机和域控制器使用 SRV 资源记录确定域控制器的 IP 地址。

备注 关于规划 DNS 服务器的部署过程以便支持 Active Directory 域的详细信息，以及其他部署问题，请参阅本文“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning Guide。

除了要求 Windows 2000 网络的 DNS 服务器支持 SRV 资源记录外，Microsoft 还建议 DNS 服务器为 DNS 动态更新⁵ 提供支持。DNS 动态更新定义了一种协议，以便使用新值或变更值动态更新 DNS 服务器。如果没有 DNS 动态更新协议，管理员必须手动配置由域控制器创建、DNS 服务器保存的记录。

新的 Windows 2000 DNS 服务既支持 SRV 资源记录，又支持动态更新。如果选用不是基于 Windows 2000 的 DNS 服务器，则必须保证该服务器支持 SRV 资源记录，否则应将其升级为支持这些记录的版本。有些旧的 DNS 服务器虽支持 SRV 资源记录，但不支持动态更新，因此，当您将 Windows 2000 Server 提升为域控制器时，必须手动更新这些服务器的资源记录。该过程可使用 Netlogon.dns 文件（位于 %systemroot%/System32/config 文件夹）完成，该文件由 Active Directory 安装向导创建。

Active Directory 创建域控制器

实施和管理网络是一些实际操作。要理解 Active Directory 是如何与实际情况相结合的，就必须先了解：在运行 Windows 2000 Server 操作系统的计算机上安装 Active Directory，实际是一种把服务器转换成域控制器的操作。一个域控制器只能完全主持一个域。

具体而言，域控制器是一台运行 Windows 2000 Server 的计算机，它已使用 Active Directory 安装向导进行了配置；该向导可安装并配置向网络用户和计算机提供 Active Directory 目录服务的组件。域控制器会存储整个域的目录数据（如系统安全策略和用户身份验证数据），并管理用户和域的交互过程，包括用户登录进程、身份验证以及目录搜索。

使用 Active Directory 安装向导将服务器提升为域控制器的过程，同样或者是创建一个 Windows 2000 域，或者在原有域中添加新的域控制器。

本节阐述了 Active Directory 域控制器的概念，以及它在网络中所扮演的某些重要角色。

由于引入了 Active Directory，Windows 2000 域控制器的功能与“对等”类似。这与 Windows NT Server 主域控制器 (PDC) 和备份域控制器 (BDC) 扮演的主/从角色有所不同。对等域控制器支持“多主机复制”，可在所有域控制器之间复制 Active Directory 信息。多主机复制的引入意味着管理员可以更新域中任何 Windows 2000 域控制器的 Active Directory。在 Windows NT Server 操作系统中，只有 PDC 有目录的可读写副本，PDC 会把目录信息的只读副本复制到 BDC。（关于多主机复制的详细信息，请参阅“多主机复制”一节的内容。）

如果准备由原有域升级到 Windows 2000 操作系统，则可在方便时分阶段完成升级。如果正在为新的安装创建第一个域控制器，则会在加载 Active Directory 的同时自动形成几个实体。接下来的两小节解释了在新的网络中安装 Active Directory 域控制器的以下几个方面：

• 第一个域控制器是一个全局编录服务器。
• 第一个域控制器扮演操作主机角色。

全局编录

Windows 2000 操作系统引入了全局编录概念，这是一个保存在一个或多个域控制器中的数据库。全局编录在登录用户和查询中扮演重要角色。

默认情况下，全局编录由 Windows 2000 目录林中的初始域控制器自动创建，并且每个目录林必须有至少一个全局编录。如果使用多个站点，您可能希望在每个站点都将一个域控制器指定为全局编录，因为需要全局编录（决定了帐户的组成员身份）完成登录身份验证进程。这是指本机模式域。混合模式域不需要查询用于登录的全局编录。

在目录林中安装了其他域控制器后，就可以用 Active Directory 站点和服务工具将全局编录的默认位置更改为另一个域控制器。您还可根据组织对服务登录请求和搜索查询的要求，选择将任一域控制器配置成主持全局编录。全局编录服务器越多，对用户查询的响应就越快；但启用很多域控制器作为全局编录服务器会增加网络中的复制通信量，因而影响了响应速度。

全局编录执行两个关键的 Active Directory 角色--登录和查询：

• 登录。 在本机模式域中，全局编录通过为帐户提供通用组成员身份信息⁶（该帐户将登录请求发送到域控制器），启用 Active Directory 客户机的网络登录。实际上，不但对 Active Directory 的用户验证，而且对每个对象的身份验证，甚至包括每台计算机的启动，都必须引用全局编录服务器。在多域安装中，为了完成用户登录过程，必须至少有一台包含全局编录的域控制器正在运行，并且有效。当用户以非默认的用户主要名称 (UPN) 登录时，全局编录服务器也必须是有效的。(关于登录的详细信息，请参阅“登录名：UPN 与 SAM 帐户名称”一节的内容)。

  如果在用户启动网络登录进程时，全局编录是无效的，则用户将只能登录到本地计算机，而无法登录到网络中。唯一的例外是，如果用户是域管理员 (Domain Admin) 组的成员，就能够在全局编录无效的情况下登录到网络中。

• 查询。 在包含多个域的目录林中，全局编录使客户机能够方便快捷地执行跨所有域的搜索，而不必逐个搜索每个域。全局编录使目录林中的目录结构对查找信息的最终用户透明。绝大多数 Active Directory 网络通信是与查询有关的： 用户、管理员和程序都会请求有关目录对象的信息。查询过程要比目录更新过程的发生频度高得多。如果把不止一个域控制器指定为全局编录服务器，这样虽然会减少对查找目录信息的用户的响应时间，但同时也会导致网络的复制通信量增加；因此，必须平衡好它们之间的关系。

操作主机角色

对有些类型的更改，在对等域控制器之间执行多主机复制是不切实际的；因此，只有一个被称为“操作主机”的域控制器会接受这种更改请求。由于多主机复制在基于 Active Directory 的网络中占有重要地位，因此理解这些例外情况非常重要。在任一 Active Directory 目录林中，安装期间至少会将五个不同的操作主机角色分配给初始域控制器。

当您在新目录林中创建第一个域时，全部五个独立的主机操作角色都会自动分配给该域中的第一个域控制器。在只有一个域和一个域控制器的小规模 Active Directory 目录林中，这个唯一的域控制器仍担当起所有的操作主机角色。在一个较大的网络中，无论它有一个域还是多个域，您都可以重新将这些角色分配给其他的一个或多个域控制器。有些角色必须在每个目录林中出现。有些角色则必须在目录林的每个域中出现。

以下跨整个目录林的两种操作主机角色在目录林中必须是唯一的，即整个目录林中一种操作角色只能有一个：

• 架构主机。 拥有架构主机角色的域控制器控制对架构的所有更新和修改。架构定义了可在目录中保存的每个对象（及其属性）。要更新目录林的架构，必须拥有架构主机的访问权。
• 域命名主机。 拥有域命名主机角色的域控制器控制目录林中域的添加或删除。

以下整个域的三个操作主机角色在每个域内都必须是唯一的： 即在目录林的每个域中都只能有一个：

• 相对标识符 (RID) 主机。 RID 主机为域内的每个域控制器分配 RID 序列。只要域控制器创建了用户、组或计算机对象，该主机就会为对象指定一个唯一的安全 ID (SID)。安全 ID 由域安全 ID（对域中创建的所有安全 ID 都是相同的)和相对 ID (在域中创建的每个安全 ID 都是唯一的)组成。当域控制器用完自己的 RID 池后，会向 RID 主机请求另一个 RID 池。
• 主域控制器 (PDC) 模拟器。如果域包含未安装 Windows 2000 客户机软件的计算机，或者如果包含 Windows NT 备份域控制器 (BDC)，PDC 模拟器就会充当 Windows NT 主域控制器 (PDC)。它可以处理客户机的密码更改过程，并将更新情况复制到 BDC。对由域中其他域控制器执行的密码更改过程，PDC 模拟器可优先接收到对这些更改情况的复制。如果由于密码错误而导致在另一个域控制器的登录身份验证失败，域控制器会在拒绝登录尝试之前，将验证请求转发给 PDC 模拟器。
• 基础结构主机。当一个由其他对象引用的对象移动时，基础结构主机负责更新域间的所有引用。例如，只要组成员重新命名或有所更改，基础结构主机就会更新组与用户间的引用。当您重新命名或移动组中的成员（并且成员与组不在同一域中），暂时看起来组中就像没有包含该成员。组所在域的基础结构主机负责更新组，使组能够了解成员的新名称或新位置。

  基础结构主机使用多主机复制来对更新情况进行分发。除非域中只有一个域控制器，否则不应把基础结构主机的角色分配给主持全局编录的域控制器。如果这样做，基础结构主机将无法行使其功能。如果域中的所有域控制器都主持全局编录（包括只有一个域控制器的情况），那么所有域控制器都会有当前的最新数据，因而就不需要基础结构主机这一角色了。

体系结构

只要安装了 Active Directory 域控制器，也就同时创建了初始的 Windows 2000 域，或已在原有域中添加了新的域控制器。域控制器和域是如何适应整个网络体系结构的?

本节介绍基于 Active Directory 的网络组件，以及这些组件的组织方式。此外，还阐述了如何将对部门 (OU)、域或站点的管理责任委派给适当的个体，以及如何将配置设置分配给相同的三个 Active Directory 容器。其中包括以下主题：

• 对象（包括架构）。
• 对象命名规则（包括安全主管名称、SID、与 LDAP 相关的名称、对象 GUID 以及登录名）。
• 对象发布。
• 域（包括目录树、目录林、信任以及部门）。
• 站点（包括复制）。
• 如何将委派和组策略应用于 OU、域和站点。

对象

Active Directory 对象是组成网络的实体。对象是代表用户、打印机或应用程序等一些具体事物的一组不同的、已命名的属性集。当您创建一个 Active Directory 对象时，Active Directory 会生成一些对象属性的值，其他属性值则由您提供。例如，当您创建用户对象时，Active Directory 会指定全球唯一标识符 (GUID)，而您则提供其他一些属性（如用户的姓、名、登录标识符等等）的值。

架构

“架构”是对“对象类别”（不同类型的对象）及这些对象类别的“属性”的说明。对于每个对象类别，架构定义了对象类别必须具有的属性，它可能具有的其他属性，以及可以成为其父对象的对象类别。每个 Active Directory 对象都是一个对象类别的实例。每一属性只定义一次，但可用在多个类别中。例如，属性 Description 只定义了一次，却已用在许多不同类别中。

架构保存于 Active Directory 中。架构定义本身也作为对象保存--即 Class Schema 对象和 Attribute Schema 对象。这使 Active Directory 可以用管理其他目录对象的同种方法来管理类别和属性对象。

创建或修改 Active Directory 对象的应用程序使用架构来确定以下内容：对象一定或可能有哪些属性；如何依据数据结构和语法限制来描述属性。

对象不是容器对象就是叶对象（又称非容器对象）。容器对象存储其他对象，而叶对象却没有该功能。例如，文件夹是文件的容器对象，而文件则是叶对象。

Active Directory 架构中每一类别的对象都有这样一些属性，它们确保：

• 目录数据存储区中的每一对象都具有唯一的标识。
• 对于安全主管（用户、计算机或组），与 Windows NT 4.0 操作系统和早期版本中所用安全标识符 (SID) 的兼容性。
• 与目录对象名称的 LDAP 标准的兼容性。

架构属性与查询

使用 Active Directory 架构工具能够将属性标记为有索引。这样做的结果是，将该属性的所有实例都添至索引，而不仅仅是添加特定类别成员的实例。为属性建立索引有助于查询能够更加快速地找到具有该属性的对象。

您也可以将一些属性加入全局编录。全局编录包含了目录林中每个对象的一组默认属性，而您可以将自己的选项添加进去。用户和应用程序都使用全局编录在整个目录林中定位对象。只有具有以下特征的属性才可包含在全局编录中：

• 全局通用。 属性应是查找处于目录林任意位置的对象（即使仅用于读取访问）时需要的属性。
• 相对稳定。属性应是不变或极少改变的。某一全局编录中的属性会复制到目录林中所有其他全局编录中。如果属性经常变化，则会导致复制通信量骤增。
• 小型。全局编录中的属性会复制到目录林的每个全局编录中。属性越小，对复制过程的影响程度越低。

架构对象名称

如上文所述，类别和属性都是架构对象。任何架构对象都可以使用下列名称类型中的一种进行引用：

• LDAP 显示名。 对于每一架构对象来说，LDAP 显示名是全局唯一的。LDAP 显示名由一个或多个词组合而成，第一个词后面的词的词首字母大写。例如，mailAddress 和 machinePasswordChangeInterval 是两个架构属性的 LDAP 显示名。Active Directory 架构和其他 Windows 2000 管理工具显示对象的 LDAP 显示名；程序员和管理员可使用该名称以编程方式引用对象。关于以编程方式扩展架构的信息请参阅下一小节；关于 LDAP 的详细信息，请参阅“轻型目录访问协议”一节。
• 公用名。架构对象的公用名也是全局唯一的。可在架构中创建新对象类别或新属性时指定公用名；公用名是在架构中代表对象类别的、对象的相对可分辨名称 (RDN)。关于 RDN 的详细信息，请参阅“LDAP DN 与 RDN 名”一节的内容。例如，上段提及的两个属性的公用名是 SMTP-Mail-Address 和 Machine-Password-Change-Interval。
• 对象标识符 (OID)。 架构对象的标识符是由颁发机构（如国际标准化组织 (ISO) 和美国国家标准学会 (ANSI)）颁发的数字。例如，SMTP-Mail-Address 属性的 OID 是 1.2.840.113556.1.4.786。OID 在整个全球网络中确保是唯一的。从颁发机构获得根 OID 后，即可用它来分配其他 OID。OID 是一种分层结构。例如，颁发给 Microsoft 的根 OID 是 1.2.840.113556。Microsoft 内部管理由这个根产生的进一步的分支。其中一个分支用来为 Active Directory 架构类别分配 OID，另一个用于 Active Directory 属性。继续以此为例：Active Directory 中的 OID 是 1.2.840.113556.1.5.4，表示 Builtin Domain 类，能够按下表 1 所示进行分析。

表 1. 对象标识符 对象 ID 号
表示
1

 

ISO（“根”颁发机构）将 1.2 颁发给 ANSI，然后

 

2

 

ANSI 将 1.2.840 颁发给 USA，然后

 

840

 

USA 将 1.2.840.113556 颁发给 Microsoft，然后

 

113556

 

Microsoft 内部管理 1.2.840.113556 下的几个对象标识符分支，其中包括

 

1

 

一个名为 Active Directory 的分支，它又包括

 

5

 

一个名为类的分支，它又包括

 

4

 

一个名为 Builtin Domain 的分支

 

关于 OID 以及 OID 获取方式的详细信息，请参阅本文档结尾处的“其它信息”。

扩展架构

Windows 2000 Server 操作系统提供了一组默认的对象类别和属性，对许多组织来说这些已足够使用。尽管您无法删除架构对象，但可将其标记为不活动。

有经验的开发者和网络管理员可以定义新类，或定义原有类的新属性，以此来动态扩展架构。我们推荐通过 Active Directory 服务接口 (ADSI) 以编程方式对 Active Directory 架构进行扩展。您也可用 LDAP 数据交换格式 (LDIFDE) 工具。（关于 ADSI 和 LDIFDE 的详细信息，请参阅“Active Directory 服务接口”和“Active Directory 与 LDIFDE”一节的内容。）

如果是为了开发和测试，您也可以使用 Active Directory 架构工具查看并修改 Active Directory 架构。

在考虑改变架构时，应切记以下要点：

• 架构更改是涉及整个目录林的全局过程。
• 架构扩展是不可逆的（尽管可修改一些属性）。
• Microsoft 要求扩展架构的任何人都要遵守 LDAP 显示名和公用名的命名规则（上面的小节已讨论过）。如果要获得“Windows 认证”徽标⁷，则必须保证这一一致性；详细信息，请参阅 Microsoft Developer Network Web 站点。
• 架构中的所有类别都是由特殊类 Top 衍生的。除 Top 外，所有类都是由另一个类衍生的子类。属性 inheritance 允许您由原有类构建新类。新的子类继承了上一级类（父类）的全部属性。

扩展架构是一种高级操作。关于如何以编程方式扩展架构的详细信息，请参阅本文结尾处“其它信息”一节的内容。

对象命名规则

Active Directory 支持对象名称的几种不同格式，用以适应名称可能会采用的不同形式；采用何种形式取决于名称的使用环境（有些名称是数字形式）。下面的子节说明 Active Directory 对象命名规则的这些类型：

• 安全主管名称。
• 安全标识符（又称 安全 ID 或 SID）。
• 与 LDAP 相关的名称（包括 DN、RDN、URL 以及规范名称）。
• 对象 GUID。
• 登录名（包括 UPN 和 SAM 帐户名）。

如果单位有几个域，有可能会在不同域中使用相同的用户名或计算机名。由 Active Directory 生成的安全 ID、GUID、LDAP 可分辨的名称以及规范名称都可唯一地标识目录中的每个用户或计算机。如果用户或计算机对象被重新命名或移至另一个域，虽则安全 ID、LDAP 相对可分辨的名称、可分辨名称和规范名称会发生变化，但由 Active Directory 生成的 GUID 却并未改变。

安全主管名称。

安全主管是由 Active Directory 管理的 Windows 2000 对象，拥有自动分配的安全标识符 (SID)，用于登录身份验证和访问资源。安全主管可以是用户帐户、计算机帐户或组；因此，安全主管名称是用来唯一标识一个域内的用户、计算机或组的名称。安全主管对象必须由所在域的域控制器进行身份验证，并且可授予或剥夺其对网络资源的访问权。

安全主管名称在跨域时并不要求是唯一的，但是，为了实现后向兼容性，该名称在自己的域内必须是唯一的。可以对安全主管对象进行重命名或删除操作，或将其置于嵌套的域分层结构中。

安全主管对象的名称必须符合以下规则：

• 名称不得与同一域内的任何其他用户、计算机或组名称相同。名称最多可包含 20 个大写或小写字符，但以下字符除外： " / / [ ] : ; | = , + * ? <>
• 用户名、计算机名或组名不可只包含英文句号 (.) 或空格。

安全 ID (SID)

安全标识符 (SID) 是 Windows 2000 操作系统安全子系统创建的唯一数字，分配给安全主管对象，即分配给用户、组和计算机帐户。网络上的每个帐户都会在首次创建时获得唯一的一个 SID。Windows 2000 操作系统的内部进程引用帐户的 SID，而不是帐户的用户或组名。

每个 Active Directory 对象都由访问控制项 (ACE) 保护，访问控制项能够识别哪些用户或组可以访问该对象。每个 ACE 都包含有权访问该对象的每个用户或组的 SID，并定义了允许进行的访问的级别。例如，一个用户可能对某些文件有只读权限，对另一些文件有读写权限，而对其他的文件则没有访问权限。

假设您先创建了一个帐户，而后又将其删除；然后又以相同用户名创建了一个帐户，此时，新帐户没有旧帐户以前所具有的权限或许可，因为新旧帐户的 SID 号码不同。

与 LDAP 相关的名称-{}-

Active Directory 是一种服从轻型目录访问协议 (LDAP) 的目录服务。在 Windows 2000 操作系统中，所有对 Active Directory 对象的访问都通过 LDAP 进行。LDAP 定义了在目录中查询和修改信息时将执行的操作以及安全访问目录中信息的方式。因此可以说，您正是使用 LDAP 查找或列举目录对象，并查询或管理 Active Directory。（关于 LDAP 的详细信息，请参阅“轻型目录访问协议”一节。）

虽然可按照 LDAP 可分辨名称（本身是对象的一个属性）进行查询，但因为这些名称很难记忆，所以 LDAP 还支持按照其他属性进行查询（例如，按照颜色查找彩色打印机）。这样，即使您不知道可分辨名称，也仍然可以查找对象。

以下三个小节说明 Active Directory 支持的对象命名格式，这些格式都以 LDAP 可分辨名称为基础：

• LDAP DN 和 RDN 名称。
• LDAP URL。
• 基于 LDAP 的规范名称。

LDAP DN 与 RDN 名称。

LDAP 为对象⁸ 提供了“可分辨名称”(DN) 和“相对可分辨名称”(RDN)。Active Directory 执行这些 LDAP 命名规则时会有所变化，如表 2 所示。

表 2. LDAP 命名规则及其 Active Directory 对应规则 LDAP DN & RDN
命名规则
相应的 Active Directory 命名规则
命名规则
cn=公用名

 

cn=公用名

 

ou=部门

 

ou=部门

 

o=单位

 

dc=域组件

 

c=国家

 

（不支持）

 

备注 cn=、ou= 等均是“属性类型”。用于描述对象的 RDN 的属性类型称之为“命名属性”。如右上角所示，Active Directory 命名属性用于以下 Active Directory 对象类：

• cn 用于 user 对象类
• ou 用于 organizational unit (OU) 对象类
• dc 用于 domainDns 对象类

每个 Active Directory 对象均有一个 LDAP DN。可根据分层“路径”定位 Active Directory 域内的对象，分层路径包括 Active Directory 域名标签和容器对象每个级别的标签。由 DN 定义到对象的完整路径。对象自身的名称由 RDN 定义。RDN 是对象 DN 的一部分（DN 是对象自身的一个属性）。

通过使用到对象的完整路径(包括对象名称和到域根目录的所有父对象)，DN 可唯一识别域分层结构中的对象。每个 RDN 都保存于 Active Directory 数据库中，并包含到其父层的引用。在一次 LDAP 操作中，通过跟踪各级引用，最后达到根目录，从而建立了整个 DN 结构。在一个完整的 LDAP DN 中，待识别对象的 RDN 在左侧出现的是叶名称；在结束的右侧出现的是根目录名称，如下例所示：

cn=JDoe,ou=Widgets,ou=Manufacturing,dc=USRegion,dcOrgName.dc=com

JDoe 用户对象的 RDN 是 cn=Jdoe；Widget（Jdoe 的父对象）的 RDN 是 ou=Widgets，依此类推。

Active Directory 工具不显示命名属性的 LDAP 缩写（dc=、ou=、或 cn=）。在此显示这些缩写仅用于说明 LDAP 是怎样识别 DN 的各部分的。大多数 Active Directory 工具以规范格式（稍后介绍）显示对象名。Windows 2000 操作系统通过 DN 使 LDAP 客户机能够检索目录中的对象信息，但非 Windows 2000 的用户界面需要输入 DN。只有编写遵守 LDAP 的程序或脚本时，才需要明确区分 DN、RDN 和命名属性的用法。

LDAP URL 名称

Active Directory 支持使用 LDAP 协议，由任一启用了 LDAP 的客户机进行访问。RFC 1959 中说明了 LDAP 统一资源定位符 (URL) 的格式；URL 使 Internet 客户机可以直接访问 LDAP 协议。LDAP URL 也用于脚本。LDAP URL 以前缀“LDAP”开头，接着命名提供 Active Directory 服务的服务器，然后是对象的属性名称（可分辨的名称）。例如：

LDAP://server1.USRegion.OrgName.com/cn=JDoe,ou=Widgets,ou=Manufacturing,dc=USRegion,dcOrgName,dc=com

基于 LDAP 的 Active Directory 规范名称

默认情况下，Active Directory 管理工具以“规范名称”的格式显示对象名称，此格式从根依次向下列出 RDN，并且不带 RFC 1779 命名属性描述符（dc=、ou= 或 cn=）。规范名称用 DNS 域名格式，即，名称的各段域标签是用英文句号分隔的，如 USRegion.OrgName.com；表 3 将 LDAP DN 与同名的规范名称格式进行了比较。

表 3. LDAP DN 格式与规范名称格式的比较 同一名称的两种格式
LDAP DN 名称：

 

cn=JDoe,ou=Widgets,ou=Manufacturing,dc=USRegion,dcOrgName.dc=com

 

规范名称：

 

USRegion.OrgName.com/Manufacturing/Widgets/JDoe

 

对象 GUID

除了 LDAP DN，Active Directory 中的每个对象都有一个全局唯一标识符 (GUID)；这是一个在对象创建时由目录系统代理分配的 128 位数字。GUID 不能被更改或删除，它保存在属性 objectGUID 中，该属性是每个对象的必有属性。与 DN 或 RDN 的可更改性有所不同，GUID 永不改变。

要在外部存储区（例如 Microsoft SQL Server™ 数据库）保存对 Active Directory 对象的引用，就应该使用 objectGUID 值。

登录名： UPN 和 SAM 帐户名

正如前文所述，安全主管是在登录身份验证和资源访问授权两方面均应用基于 Windows 的安全措施的对象。用户即是一种类型的安全主管。在 Windows 2000 操作系统中，用户安全主管需要唯一的登录名，以获取对域及其资源的访问权。以下两小节说明了两种类型的登录名--UPN 和 SAM 帐户名。

用户主管名称

在 Active Directory 中，每个用户帐户都有一个“用户主管名 (UPN)”，格式为：<user>@<DNS-domain-name>。 UPN 是由管理员指定的友好名，它比系统使用的 LDAP 可分辨名称要短，因此更易于记忆。UPN 独立于用户对象的 DN，所以移动或重新命名用户对象时不会影响用户登录名。使用 UPN 登录时，用户就不必再由登录对话框的列表中选择域了。

UPN 的三部分是：UPN 前缀（用户登录名），@ 字符以及 UPN 后缀（通常是一个域名）。用户帐户的默认 UPN 后缀是 Active Directory 域的 DNS 名，该域是用户帐户所处的位置⁹。例如，用户 John Doe 在 OrgName.com 域（如果 OrgName.com 是目录树中唯一的域）中有一个用户帐户，其 UPN 为 JDoe@OrgName.com；UPN 是安全主管对象的属性 (userPrincipalName)。如果用户对象的 userPrincipalName 属性没有值，则用户对象会有一个默认 UPN：userName@DnsDomainName。

如果所在单位有多个域，形成了按部门和区域组织的大型域树，则默认的 UPN 名称可能会变得过于繁杂。例如，用户的默认 UPN 可能是 sales.westcoast.microsoft.com。在该域中的用户登录名是 user@sales.westcoast.microsoft.com。如果不想把默认的 DNS 域名作为 UPN 后缀，则可为所有用户统一提供一个 UPN 后缀，以简化管理和用户登录进程。（UPN 后缀只用于 Windows 2000 域，并且不必是有效的 DNS 域名。）您也可选用自己的电子邮件域名作为 UPN 后缀：userName@companyName.com。此处给出了用户 UPN 名称示例：user@microsoft.com。

如果是基于 UPN 的登录，可能会需要全局编录，这要取决于用户登录以及用户计算机的域成员资格。如果用户以非默认的 UPN 登录，并且用户的计算机帐户与其用户帐户处于不同域中，则会需要全局编录。即，如果未接受默认的 DNS 域名作为 UPN 后缀（正如刚才的示例：user@sales.westcoast.microsoft.com），而是给所有用户提供了一个统一的 UPN 后缀（结果用户会使用简单的 UPN 后缀，如 user@ microsoft.com），则需要全局编录来登录。

使用 Active Directory 域和信任工具来管理域的 UPN 后缀。在创建用户时分配 UPN。如果已为域创建其他后缀，创建用户或组帐户时就可以从有效的后缀列表中进行选择。列表中的后缀按如下顺序显示：

• 可选的后缀（如果有，最后创建的会显示在最前面）。
• 根域。
• 当前域。

SAM 帐户名

考虑到与 Windows NT 3.x和 Windows NT 4.0 域的兼容性，需要引入安全帐户管理器 (SAM) 帐户名。Windows 2000 用户界面将 SAM 帐户名称之为“用户登录名（Windows 2000 以前版本）”。

SAM 帐户名有时也称为无层次名，因为与 DNS 名不同，SAM 帐户名不使用分层命名方式。由于 SAM 名是无层次的，因此每个名称在域中都必须是唯一的。

对象发布

“发布”是在目录中创建特定对象的过程，这种对象或者包含您希望使之生效的信息，或者对此类信息提供一个引用。例如，用户对象包括关于用户的有用信息，比如他们的电话号码和电子邮件地址，而卷对象包括对共享文件系统卷的一个引用。

以下是两个实例：在 Active Directory 中发布文件和打印对象：

• 共享发布。 可用 Active Directory 用户和组管理单元，将共享文件夹发布为 Active Directory 中的一个卷对象（又称共享文件夹对象）；这样，用户就可以方便快捷地在 Active Directory 中查询该共享文件夹了。
• 打印机发布。 在 Windows 2000 域中，管理、定位及连接打印机最简单的方式就是通过 Active Directory。默认情况下¹⁰，当您用“添加打印机”向导添加了一台打印机，并选择共享这台打印机时，Windows 2000 Server 会将其作为 Active Directory 中的对象在域中发布。在 Active Directory 中发布（列出）打印机使用户能够找到最方便的打印机。现在用户可按照类型（如 PostScript、颜色、纸张大小是否适合法律文件等等）和位置等打印机属性进行搜索，轻而易举地查询 Active Directory 中的任何一台打印机。打印机从服务器中删除后，服务器将取消对该打印机的发布。

  也可在 Active Directory 中发布非 Windows 2000 平台的打印机（即打印机位于非 Windows 2000 平台的打印服务器上）。要达到此目的，可用 Active Directory 用户和计算机工具输入打印机的通用命名规则 (UNC) 路径。或者，用 System32 文件夹提供的 Pubprn.vbs 脚本。Group Policy Downlevel Printer Pruning 决定了打印机无法使用时，修剪服务（自动删除打印机）将如何处理非 Windows 2000 平台的打印服务器上的打印机。

发布时间

如果信息对用户群的很大一部分有用或者能够引起他们的兴趣，并且对这些信息的访问程序要求很高，就应该在 Active Directory 中发布这些信息。

Active Directory 中发布的信息有两个主要特征：

• 相对静止。 只发布更改不频繁的信息。电话号码和电子邮件地址就是适于发布的、相对静止信息的例子。用户目前选用的电子邮件信件是变动程度很高的信息的例子。
• 结构化。所发布的信息应是结构化的，并可以表示为一组离散的属性。用户的商务地址是适于发布的、结构化信息的一个例子。用户嗓音的音频剪辑是更适合归于文件系统的、非结构化信息的一个例子。

应用程序使用的运作信息非常适合于在 Active Directory 中进行发布。这些信息包括应用于特定应用程序所有实例的全局配置信息。例如，关系数据库产品可以将数据库服务器的默认配置作为一个对象存储在 Active Directory 中。此后，该产品的新安装即可从对象中收集默认配置，从而简化了安装过程并提高了企业中所安装产品的一致性。

应用程序还可以在 Active Directory 中发布其连接点。客户/服务器结构中会使用这些连接点。Active Directory 使用 Service Administration Point 对象为集成的服务管理定义了体系结构，并为基于远程过程调用 (RPC)、Winsock 和组件对象模型 (COM) 的应用程序提供了标准连接点。有些应用程序不使用 RPC 或 Winsock 接口发布其连接点，它们可以在 Active Directory 中显式发布 Service Connection Point。

还可用应用程序特有的对象在目录中发布应用程序数据。应用程序特有的数据应该满足上面讨论的条件。即数据应该是能够引起大家的兴趣、相对稳定和结构化的。

发布方法

发布信息的方式根据应用程序和服务的不同而变化：

• 远程过程调用 (RPC)。RPC 应用程序应用 API 的 RpcNs* 族在目录中发布它们的连接点，并查询已发布其连接点的服务的连接点。
• Windows 套接字。Windows 套接字应用程序使用 Winsock 2.0 中有效的 API 注册和解析族发布它们的连接点，并查询已经发布其连接点的服务的连接点。
• 分布式组件对象模型 (DCOM)。 DCOM 服务使用驻留于 Active Directory 的 DCOM 类存储 (DCOM Class Store) 来发布它们的连接点。DCOM 是 Microsoft 组件对象模型 (COM) 的规范，用于定义组件在基于 Windows 的网络中的通信方式。使用 DCOM 配置工具集成跨多台计算机的客户/服务器应用程序。DCOM 也可以用于集成可靠的 Web 浏览器应用程序。

域：目录树、目录林、信任和部门

Active Directory 由一个或多个域组成。在网络中创建初始域控制器的同时也就创建了域--您不可能创建没有一个域控制器的域。目录中的每个域都按 DNS 域名标识。使用 Active Directory 域和信任工具管理域。

使用域完成以下网络管理目标：

• 界定安全区域。Windows 2000 域可定义安全界限。安全策略和设置（如管理权和访问控制列表）不会从一个域跨至另一个域。Active Directory 可能包括一个或多个域，每个域都有其自己的安全策略。
• 复制信息。域是 Windows 2000 目录分区（又称命名环境)。这些目录分区就是复制的单元。每个域只存储位于该域中的对象的相关信息。域的所有域控制器均可接收对对象的更改情况，并可将这些更改复制到该域的其他所有域控制器中。
• 应用组策略。 域为策略定义了一个可能的范围（组策略设置也可应用于各部门或站点）。针对域应用组策略对象 (GPO) 会建立配置和使用域资源所需的方法。例如，您可以使用组策略控制桌面设置，如桌面锁闭和应用程序部署。这些策略只应用于该域，而不会跨域使用。
• 设计网络结构。既然一个 Active Directory 域就可跨多个站点，且能够包含数百万个对象¹¹，大多数公司不需要再单独创建域来反映公司的分支机构和部门。完全没必要为处理其他对象而创建更多的域。但是，有些单位的确需要不止一个域才能满足要求；例如，那些独立的或完全自治的业务部门可能不希望让部门外的任何人对其对象拥有权限。这样的单位可以创建更多的域，并将这些域组织成一个 Active Directory 目录林。此外，如果网络的两部分由一个链路分开，且链接速度之慢使您根本没法指望通过该链路来完成复制通信，这时也可将网络分成独立的域。（对于那些复制过程的发生频率较低、因此仍能处理这些复制通信量的低速链路，可以将多个站点配置成一个域。）
• 委派管理权限。在运行 Windows 2000 的网络中，可将单个部门和独立域的管理权限彻底委派给别人，这样即可减少需要具有较高管理权限的管理员的数量。因为域是一个安全界限，所以默认情况下，对域的管理权限受域的限制。例如，虽然管理员在一个域中有权设置安全策略，但并未自动授予他在目录的任何其他域中设置安全策略的权限。

要理解域，则要理解目录树、目录林、信任以及部门，还要理解每个结构与域的关系如何。每个域组件均在以下各小节中加以说明：

• 目录树
• 目录林
• 信任关系
• 部门

Windows 2000 操作系统还引入了站点的相关概念，这样可提供灵活的管理，但站点结构与域结构是分开的，因此在以后的章节中再介绍站点。本文对基于 Windows 2000 的域和站点的基本知识加以说明。关于如何规划它们的结构以及如何部署的详细信息，请参阅本文结尾处“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning Guide。

当您阅读以下阐述各种可能的域结构的小节时，请切记，在许多单位中，是由一个域组成结构，而域同时是只包含一个目录树的一个目录林，这种结构不仅是可能的，而且也许还是组织网络的最理想方式。应始终由最简单的结构开始；只有确实需要添加复杂结构时，才可这样做。

目录树

在 Windows 2000 操作系统中，“目录树”是具有连续名称的一个或多个域的集合。如果存在多个域，则可将这多个域合并为分层的树结构。在目录林中有不止一个树的原因可能是，单位的某一分支机构有自己的注册 DNS 名称，并运行自己的 DNS 服务器。

所创建的第一个域是第一个树的根域。同一域树中的其他域是子域。同一域树中，与一个域紧密相连的上面的域是该域的父域。

有同一根域的所有域组成了一个“连续名称空间”。在连续名称空间中（即在一个树中）的域有连续的 DNS 域名，这些名称以下列方式形成：子域的域名显示在左边，与其右侧的父域名用英文句号分隔开。当有两个以上的域时，每个域的父域都在其域名的右侧，如图 3 所示。基于 Windows 2000 的域形成了一棵树，这些域通过双向、可传递的信任关系链接。信任关系将在后文说明。

图 3. 域树中的父域和子域。双向箭头表示双向可传递的信任关系

域树中域之间的父-子关系只是命名关系，和信任关系。父域中的管理员不会自动成为子域的管理员，父域中的策略设置也不会自动应用于子域。

目录林

Active Directory 目录林是一个“分布式数据库”，它是由跨多台计算机的许多局部数据库组成的数据库。对数据库进行的分布过程通过将数据定位到最常用的地方，来提高网络效率。目录林的数据库分区按域来定义，即一个目录林由一个或多个域组成。

除域数据库外，目录林的所有域控制器还保管目录林配置和架构容器的一个副本。域数据库是目录林数据库的一部分。每个域数据库都包含目录对象，如安全主管对象（用户、计算机和组），您可授予或剥夺这些对象对网络资源的访问权。

一个目录林比较容易进行创建和维护，且在通常情况下完全能够满足组织的需要。既然只有一个目录林，用户就不必过多注意目录结构，因为所有用户都通过全局编录来查看一个目录。在该目录林中添加新域时，无需进行额外的信任配置，因为目录林中的所有域都是用双向可传递的信任关系来连接的。在有多个域的目录林中，配置更改只需应用一次，即可影响所有域。

只有当您确实需要时才创建其他目录林，因为您所创建的每个目录林都会导致额外的管理开销¹²。但如果网络管理分布在多个自治部门之间，而这些部门对于架构和配置容器的公共管理又无法达成一致意见，则可能需要创建一个以上的目录林。单独创建目录林的另一个原因是，必须确保指定的用户无权获得对特定资源的访问权（在一个目录林中，每个用户都可包含在目录林中任一台计算机的任何组中，或出现在任意访问控制列表，即 DACL¹³）中。在单独的目录林中，可以定义明确的信任关系，授予一个目录林中的用户访问其他目录林中特定资源的权限。（关于两个目录林的实例，请参见“实例：两个目录林和一个 Extranet 的混合环境”中的图 7。）

一个目录林中的多个域树不会形成连续名称空间；也就是说，它们有非连续的 DNS 域名。尽管目录林中的目录树不共享同一名称空间，但目录林只有一个根域，称为“目录林根域”。按照定义，目录林根域为目录林中创建的第一个域。企业管理员组和架构管理员组--这两个针对整个目录林预定义的组驻留在该域中。

例如，如图 4 所示，虽然三个域目录树（HQ-Root.com、EuropeRoot.com 和 AsiaRoot.com）的每个目录树都有一个用于会计部门的子域，名为“Acct”，但这些子域的 DNS 名却分别是 Acct.HQ-Root.com、Acct.EuropeRoot.com、和 Acct.AsiaRoot.com。没有共享名称空间。

图 4. 一个含有三个域目录树的目录林。这三个根域互不连续，但 EuropeRoot.com 和 AsiaRoot.com 都是 HQ-Root.com 的子域。

目录林中每个域目录树的根域都会与目录林根域建立一种可传递的信任关系（将在下节详细说明）。在图 4 中，HQ-Root.com 是目录林根域。其他域目录树（EuropeRoot.com 和 AsiaRoot.com）的根域均与 HQ-Root.com 有可传递的信任关系。这就在目录林的所有域树之间建立了信任关系。

所有 Windows 2000 域（位于一个目录林的所有域目录树中）都具有以下特征：

• 在每个目录树的域之间都有可传递的信任关系。
• 在目录林的域目录树之间有可传递的信任关系。
• 共享公共的配置信息。
• 共享公共架构。
• 共享公共全局编录。

要点 虽然在目录林中添加新域很容易，但是，不可在目录林之间移动原有的 Windows 2000 Active Directory 域。只有在域没有子域时才能将其从目录林中删除。建立目录树根域之后，不能在目录林中添加一个更高级名称的域。不能创建现有域的父域，只能创建子域。

通过实施域目录树和目录林两种方式，您既可使用连续的命名规则，也可使用不连续的命名规则。这一灵活性大有裨益；例如，当公司的每个独立分支机构都想保留自己的 DNS 名称（如 Microsoft.com 和 MSNBC.com）时，这种灵活性就很有用。

信任关系

“信任关系”是建立在两个域之间的关系，它使一个域中的域控制器能够识别另一个域内的用户。信任允许用户访问另一个域中的资源；还允许管理员管理用户在其他域中的权限。对于运行 Windows 2000 的计算机，域之间的帐户身份验证由双向的、可传递的信任关系启动。

基于 Windows 2000 的目录林中的所有域信任关系都是双向可传递的，以如下方式定义：

• 双向。 创建新的子域时，子域会自动信任父域，反之亦然。实际上，就是说身份验证请求可在两个域之间进行两个方向的传递。
• 可传递。 可传递的信任关系超出了最初信任关系中的两个域。以下是可传递信任的工作原理：如果 域 A和 域 B（父域和子域）互相信任，而 域 B和域 C （也是父域和子域）也互相信任，则 域 A和域 C 也是互相信任的（隐式），尽管它们之间没有直接的信任关系。在目录林一层，目录林根域和添至该目录林的每个域树的根域之间都会自动建立信任关系，因此在 Active Directory 目录林的所有域之间都存在完全的信任关系。实际上，因为信任关系是可传递的，所以一次登录过程会让系统在目录林中的所有域中验证某一用户（或计算机）。这一次登录过程就可能会允许帐户访问目录林中任一域的资源。

但请注意，信任所启动的这一登录过程不一定意味着已验证用户在目录林的所有域中都有权利和权限。

除了在 Windows 2000 操作系统中自动生成目录林内的双向可传递信任关系外，您还可明确创建以下两种类型的信任关系：

• 快捷方式信任。其他域的域控制器授予一个帐户对其资源的访问权限之前，Windows 2000 会计算源域（帐户所在位置）和目标域（所需资源的位置）的域控制器之间的“信任路径”。 信任路径是 Windows 2000 安全系统为了在任意两个域之间传递身份验证请求，而在中间经过的一系列域信任关系。在一个复杂目录林中计算和传递域目录树之间的信任路径会花费很多时间。如果要提高性能，可以明确地（手动）在同一目录林中不毗邻的 Windows 2000 域之间创建快捷方式信任。快捷方式信任是一种单向传递的信任，它可使您缩短路径，如图 5 所示。合并两个单向信任可以创建一个双向信任关系。虽然无法撤消在 Windows 2000 目录林的所有域之间自动建立的默认双向传递的信任关系，但可以删除显式创建的快捷方式信任。

  图 5 域 B和域 D ，以及域 D 和 2 之间的快捷方式信任

• 外部信任。 外部信任可创建与另一个 Windows 2000 目录林的域的信任关系，或与非 Windows 2000 域（Windows NT 域或 Kerberos 5领域¹⁴)之间的信任关系。外部信任启动对外部域的用户身份验证。所有外部信任都是单向不可传递信任，如图 6 所示。同样，您可合并两个单向信任，以创建一个双向信任关系。

  图 6 外部单向不可传递信任

在 Windows NT 4.0（及早期版本）的操作系统中，信任关系都是单向的，并且严格限制在建立信任的两个域之间（不可传递）。将基于 Windows NT 的域升级为基于 Windows 2000 的域时，该域和其他 Windows NT 域之间原有的单向信任关系仍会保留。如果要安装新的 Windows 2000 域，并要建立与 Windows NT 域的信任关系，就必须创建与这些域的 Windows 2000 外部信任关系。要明确建立一种信任关系，可用 Active Directory 域和信任工具。

示例：两个目录林和一个 Extranet 的混合环境

图 7 说明了含有两个 Windows 2000 目录林和一个 Windows NT 4.0 域的混合环境。在此图中，实现了四个独立的名称空间：A.com、D.com、G.com、和 F。

图 7. 有两个目录林和一个 extranet 的网络

图 7 说明了以下情况：

• A.com 和 D.com 是 目录林 1 中独立目录树的根（A.com 是目录林根域）。它们之间的双向、可传递的树-根信任关系（由 Windows 2000 自动生成）提供了 目录林 1 两个目录树中所有域之间的完全信任。
• E.D.com 会频繁使用 C.A.com 中的资源。要缩短这两个域之间的信任路径，C.A.com 应直接信任 E.D.com。这种单向、可传递的快捷方式信任缩短了验证 E.D.com 用户的信任路径（减少了跃点），使其能够更有效地使用 C.A.com 中的资源。
• G.com 是组成 目录林 2 的单个目录树的根。在 G.com 和 H.G.com 之间自动生成的双向可传递信任使这两个域中的用户、计算机和组都有权互访资源。
• 目录林 2 中的域 G.com 实现了与 目录林 1 中的域 D.com 之间的显式外部单向信任关系，因此域 D.com 的用户被授予了访问域 G.com 资源的权限。因为信任是不可传递的，所以 目录林 1 的其他域都未获得访问域 G.com 资源的权限，而且 D.com 的用户、组及计算机都未获得访问 H.G.com 资源的权限。
• 域 F 是一个 Windows NT 4.0 域，它为 E.D.com 的用户提供支持服务。这种单向不可传递信任不会扩展到 目录林 1 中的任何其他域；在这种情况下，Windows NT 4.0 域是 extranet。（extranet 也是一种 intranet，经过授权的外围人员可对其实现一部分访问过程。intranet 驻留于防火墙后，是不可访问的；但 extranet 却能为本单位以外的人员提供受限制的访问。)

部门

部门（又称 OU）是 Windows 2000 操作系统的新内容，它是一种类型的目录对象，可在其中放置用户、组、计算机、打印机、共享文件夹以及一个域内的其他部门。部门（在 Active Directory 用户和计算机界面中用文件夹表示）允许按逻辑关系组织并存储域中的对象。如果有多个域，则每个域均可实现各自独立的部门层次。

如图 8 所示，部门中也可包含其他部门。

图 8. 一个域内部的部门层次

部门主要用来委派对用户、组及资源集合的管理权限。例如，您可能会创建一个部门，其中包含整个公司的所有用户帐户。创建了委派管理功能的部门之后，即可对部门应用组策略设置，来定义用户和计算机的桌面配置。因为部门是用来委派管理功能的，所以，您创建的结构可能会反映管理模型，而不是反映业务组织。

尽管用户在查找资源时，可能会浏览域的部门结构，但通过查询全局编录来查找资源才是更有效的方法。因而，创建的部门结构不必考虑吸引最终用户。当然，也可创建一个能够反映业务组织的部门结构，但这样做不但比较困难，还会增加管理费用。创建部门结构不是为了反映资源位置或单位各部门的组织情况，在设计部门时要考虑到管理委派过程和组策略设置。

关于使用部门建立委派和组策略的详细信息，请参阅“在 OU、域和站点中使用委派和组策略”。关于在规划 Windows 2000 的实施方式时，应如何设计部门结构的详细信息，请参见本文结尾处“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning Guide。

站点：服务客户机和复制数据

可以将基于 Windows 2000 的“站点”看作是：用局域网 (LAN) 技术连接的一个或多个 IP 子网上的一组计算机，或由高速主干网连接的一组 LAN。一个站点内的计算机需要良好的连接，这通常也是子网上计算机的一个特征。相反，独立的站点之间可用速度比 LAN 慢的链接相连。可用 Active Directory 站点和服务工具，配置站点内（在一个 LAN 中或一组连接较好的 LAN 中）的连接以及站点之间的连接（在一个 WAN 内）。

在 Windows 2000 操作系统中，站点提供以下服务：

• 客户机可以向同一站点的域控制器（如果有一个域控制器）请求服务。
• Active Directory 会尽量将站内复制的复制延迟降至最小。
• Active Directory 会尽量将站间复制的带宽消耗降至最小。
• 站点允许您安排站间复制的进程

用户和服务应该能够随时通过目录林的任何计算机访问目录信息。为此，必须把目录数据的添加、修改和删除等操作由起始域控制器中继（复制）到目录林的其他域控制器中。但是，必须保持广泛分发目录信息的需求与优化网络性能的需求之间的平衡。Active Directory 站点有助于保持这种平衡。

了解站点独立于域这一概念，是很重要的。站点映射网络的物理结构，而域（如果使用不止一个域）一般映射单位的逻辑结构。逻辑结构和物理结构彼此独立，并因此产生以下结果：

• 站点和域名称空间之间没有必然的联系。
• 网络的物理结构和域结构之间也没有必然的关联。但是，在很多单位中，创建的域反映了物理网络结构。这是因为，域是分区，而分区可影响复制--通过将目录林分成多个更小的域，可减少复制通信量。
• Active Directory 允许在一个站点出现多个域，以及一个域出现在多个站点中。

Active Directory 如何使用站点信息

可先用 Active Directory 站点和服务指定站点信息；然后，Active Directory 就可用此信息来确定如何以最佳方式使用可用的网络资源。使用站点可提高以下类型操作的效率：

• 处理客户机请求。 当客户机向域控制器请求服务时，它会直接把请求发送给同一站点的域控制器（如有一个可用的域控制器）。选择与发出请求的客户机连接良好的域控制器，将会提高处理此类请求的效率。例如，当客户机使用域帐户登录时，登录机制会首先查找与客户机在同一站点的域控制器。因为先使用了客户机所在站点的域控制器，使网络通信能在本地进行，从而提高了身份验证过程的效率。
• 复制目录数据。 站点可启用站点内和站点间的目录数据复制。Active Directory 在站点内复制信息要比站点间复制频繁得多，这意味着，连接最好的域控制器（可能是最需要特定目录信息的域控制器）会最先收到复制。其他站点的域控制器接收目录更改的所有信息（但不频繁），这样就减少了网络带宽消耗。在域控制器之间复制 Active Directory 数据，提供了数据的可用性、容错能力、负载平衡，并提高了性能。（有关 Windows 2000 操作系统如何实现复制的详细信息，请参阅本节“站点”末尾的“多主机复制”部分。）

域控制器、全局编录和复制数据

保存于每个域控制器（无论是否为全局编录服务器）的 Active Directory 中的信息分为以下三个类别：域、架构和配置数据。每个类别都放在一个独立的目录分区中，又称“命名上下文”。这些目录分区是复制单元。每个 Active Directory 服务器所包含的这三个目录分区定义如下：

• 域数据目录分区。域数据目录分区包含该域目录中的所有对象。每个域的域数据均复制到该域的各个域控制器中，而不复制到域外的控制器。
• 架构数据目录分区。架构数据目录分区包含在 Active Directory 中创建的所有对象类型（及其属性）。这些数据在域目录树或目录林中的所有域中是公用的。架构数据将复制到目录林中的所有域控制器。
• 配置数据目录分区。配置数据目录分区包含了复制拓扑结构和相关的元数据。支持 Active Directory 的应用程序将信息保存于配置目录分区中。这些数据在域目录树或目录林中的所有域中是公用的。配置数据将会复制到目录林中的所有域控制器。

如果域控制器是一个全局编录服务器，它还保存第四种类别的信息。

• 所有域的域数据目录分区的部分副本。 除了为其主域存储和复制了目录中的全部一整套对象外，全局编录服务器还为目录林中的其他域存储和复制了域目录分区的部分副本。按照其定义，此部分副本包含目录林所有域的全部对象的一个属性子集。（部分副本是只读的，而完整副本是可读/写的。）

  如果一个域包含全局编录，其他域控制器就会将该域的所有对象（及对象属性的子集）复制到全局编录，然后在全局编录之间进行部分副本复制。如果域没有全局编录，就用普通域控制器作为部分副本的源。

  默认情况下，存储在全局编录中的部分属性集包括搜索操作中最常使用的那些属性，这是因为全局编录的主要功能之一就是支持客户机查询目录。由于用全局编录执行部分域复制，而不是完全域复制，从而减少了 WAN 通信量。

站点内的复制

如果网络是由一个局域网 (LAN) 或由通过主干网连接的一组 LAN 组成，整个网络就可以成为单个站点。最先安装的域控制器会自动创建第一个站点，称为“默认初始站点名称”。安装完第一个域控制器后，其他所有域控制器就会被自动添至与初始控制器相同的站点上。（之后，如果想移动，也可以将它们移到其他站点）。唯一例外的是：安装一个域控制器时，如果其 IP 地址落在先前指定的另一个站点的子网上，该域控制器就会加到该站点上。

站点内目录信息的复制是频繁的、自动进行的。调整站点内复制会使复制延迟降至最小，即，会使数据尽可能保持最新状态。站点内的目录更新不进行压缩。解压缩交换虽然需要的域控制器处理能力较小，但耗用更多的网络资源。

图 9 描述了站点内的复制。三个域控制器（其中一个是全局编录）复制了目录林的架构数据和配置数据，以及所有目录对象（包括每个对象的一整套属性）。

图 9. 只有一个域的站点内复制

用于域控制器间复制目录信息的连接所形成的配置称为“复制拓扑”，它由 Active Directory 中的知识一致性检查器 (KCC) 服务自动生成。Active Directory 站点拓扑是物理网络的逻辑表示，它是以每个目录林为基准定义的。Active Directory 试着建立了一种拓扑结构，允许每个域控制器至少有两个连接。这样，即使一个域控制器无法使用，目录信息还可以通过另一个连接到达所有联机域控制器。

Active Directory 会自动评估和调整复制拓扑，以适应不断变化的网络状况。例如，当一个域控制器添至站点时，复制拓扑会调整为能够有效合并新的添加项。

Active Directory 客户和服务器使用目录林的站点拓扑，有效地路由查询和复制通信。

如果是从一个域的初始域控制器扩展到多个域的多个域控制器（仍在一个站点内），则复制的目录信息会发生变化，会包括不同域全局编录之间的部分副本复制。图 10 显示了两个域，每个域都包含三个域控制器。每个站点的一个域控制器还用作全局编录服务器。 在每个域内，域控制器复制了目录林的架构数据和配置数据，以及所有目录对象（包括每个对象的一整套属性），如图 9 所示。此外，每个全局编录还把所在域的目录对象（及这些对象属性的一个子集）复制到其他全局编录。

Figure 10. 包括两个域和两个全局编录的站点内复制

站点间的复制

可创建多个站点，以优化 WAN 链接上的服务器到服务器、客户机到服务器的通信。在 Windows 2000 操作系统中，站点间的复制可自动将站点间的带宽消耗降至最小。

建立多个站点时，推荐的做法有：

• 地理。 将每个需要快速访问最新目录信息的地域建为一个单独的站点。这样，通过把需要直接访问最新 Active Directory 信息的区域建成单独的站点，为用户提供了所需的资源。
• 域控制器和全局编录。 每个站点要至少有一个域控制器，且每个站点中至少有一个域控制器是全局编录。站点如果没有自己的域控制器，也没有全局编录，则只能依靠其他站点获取目录信息，这样效率会很低。

站点是如何连接的

站点间的连接用“站点链接”表示。站点链接是两个或多个站点之间的低带宽或不可靠的网络连接。连接两个快速网络的 WAN 就是站点链接的一个例子。通常，对于任意两个网络，当其通过速度低于 LAN 的链接连接时，就认为这两个网络是通过站点链接连接的。另外，接近容量极限的快速链接带宽效率低，也视为站点链接。当有多个站点时，由站点链接连接的站点就变成复制拓扑的一部分。

在基于 Windows 2000 的网络中不能自动生成站点链接，必须用 Active Directory 站点和服务创建。通过创建站点链接，并配置其复制可用性、相对成本和复制频率，您可以为 Active Directory 提供一些信息，这些信息是关于需要创建哪些“连接对象”来复制目录数据的。Active Directory 用站点链接作为指示器，指示应该在什么位置创建“连接对象”，以及“连接对象”会在什么位置用实际的网络连接来交换目录信息。

站点链接有一个相关的日程安排，指出在一天的什么时间链接可用于传送复制通信。

默认情况下，站点链接是可传递的，这意味着，一个站点中的域控制器可以与任何其他站点的域控制器进行复制连接。也就是说，如果站点 A 与站点 B 相连，站点 B 与站点 C 相连，那么站点 A 的域控制器可以与站点 C 的域控制器进行通讯。创建站点时，您可能想创建其他链接，用于启用站点间的特定连接，并自定义连接这些站点的现有站点链接，此时，可传递性就会发挥作用。

图 11 显示了由一个站点链接连接的两个站点。在图中的六个域控制器中，两个是桥头服务器（桥头服务器是由系统自动指派的）。

图 11. 由一个站点链接连接的两个站点。每个站点的首选桥头服务器优先用于站点间信息交换。

桥头服务器是复制使用的首选服务器，但也可以配置站点中的其他域控制器来复制站点间的目录更改。

将更新由一个站点复制到另一个站点的桥头服务器后，就可以通过站点内复制，把更新复制到站点内的其他域控制器了。尽管只有一个域控制器收到了初始站点间的目录更新，但所有域控制器均会处理客户机请求。

复制协议

可用以下网络协议，交换目录信息：

• IP 复制。 IP 复制用远程过程调用 (RPC)，在站点内及通过站点链接（站点间）进行复制。默认情况下，站点间的 IP 复制遵循复制日程按排。IP 复制不需要证书颁发机构 (CA)。
• SMTP 复制。 如果有一站点没有到网络其他部分的物理连接，但可通过简单邮件传输协议 (SMTP) 来访问，则该站点仅有基于邮件的连接。SMTP 复制仅用于站点间复制。不能在同一域的域控制器之间用 SMTP 复制执行复制，SMTP 仅支持域间复制（即，SMTP 仅用于站点间、域间复制）。SMTP 复制仅用于架构、配置和全局编录的部分副本复制。SMTP 复制遵守自动生成的复制日程安排。

  如果要在站点链接上使用 SMTP，则必须安装和配备一个企业证书颁发机构 (CA)。域控制器先从 CA 获取证书，然后用该证书来签名和加密含目录复制信息的邮件消息，从而保证了目录更新的可靠性。SMTP 复制使用 56 位加密。

多主机复制

Active Directory 域控制器支持多主机复制，这样即可同步处理每个域控制器上的数据，并能够始终保证数据的一致性。多主机复制在对等域控制器之间复制 Active Directory 信息，其中的每个域控制器均有此目录的可读写副本。这一点与 Windows NT Server 操作系统不同，后者只有 PDC 有目录的可读写副本（BDC 仅从 PDC 收到只读副本）。只要经过配置，复制即可自动执行并且是透明的。

更新传播和更新顺序编号

有的目录服务用时间戳来检测和传播更改。在这些系统中，使所有目录服务器的时钟保持同步至关重要。但在网络中很难保持时间同步。即使网络时间同步非常好，某个目录服务器的时间还是有可能设置错误。这就会造成更新丢失。

与之相反，Active Directory 复制系统并不依赖时间进行更新传播。而是用更新顺序编号(USN)。USN 是一个 64 位数，每个 Active Directory 域控制器通过跟踪更新来维护 USN。当服务器对 Active Directory 对象的任何属性进行写操作(包括起始写操作或重复的写操作)时，USN 就会增大，并与更新的属性以及域控制器特有的属性保存在一起。此操作自动执行，也就是说，无论成败，USN 的增加和存储与写入属性值的过程都是作为一个单元来执行的。

每个基于 Active Directory 的服务器也会维护从其他复制伙伴收到的一张 USN 表。从每个伙伴收到的最大 USN 就保存在这张表中。 当某个给定的伙伴通知目录服务器需要进行复制时，该服务器会申请比最后收到值大的 USN 的所有更改。这种简单方法不依赖时间戳的准确性。

因为保存在表中的 USN 会随着接收的每个更新而自动更新，所以失败后恢复也很容易。要重新开始复制，服务器只须向它的伙伴申请所有 USN 值比表中最后一个有效项大的更改即可。因为表会随着所应用的更改自动更新，所以被中断的复制周期总是从停止的地方重新开始，而不会导致更新丢失或重复。

冲突检测和属性版本号

在多主机复制系统（如 Active Directory）中，同一个属性可能以两个或多个不同副本进行更新。如果第一个副本的更改尚未完全传播，而第二（或第三，或第四等）副本中的属性就发生了变化，则会引发冲突。可用属性版本号来检测冲突。与 USN 不同（它是服务器特有的值），属性版本号只用于 Active Directory 对象的属性。当属性第一次写入 Active Directory 对象时，属性版本号初始化。

起始写操作提高了属性版本号。起始写操作是指系统启用更改时，写入属性的操作。由复制产生的属性写操作不是起始写操作，因而不会提高属性版本号。例如，当用户更新其密码时，一个起始写操作就产生了，密码属性版本号也随之提高。而在其他服务器上，针对密码更改的复制写操作却不会提高属性版本号。

复制收到一个更改时，如果其中的属性版本号与本地存储的版本号相同，但接收值却与存储值不同，就会检测到一个冲突。出现这种情况时，接收系统将应用时间戳较晚的更新。这是时间戳用在复制中的唯一情形。

如果收到的属性版本号低于本地存储的版本号，则更新被视为陈旧的，并弃之不用。如果收到的属性版本号高于本地存储的版本号，则会接受此更新。

传播衰减

Active Directory 复制系统允许复制拓扑中出现重复路径。这样，管理员就能够在服务器间配置有多个路径的复制拓扑，用于提高性能和可用性。Active Directory 复制系统可执行传播衰减，以防止更改无穷尽地传播下去，并可以避免向已是最新的副本传送冗余更改。

Active Directory 复制系统使用最新矢量，来衰减传播。最新矢量是每个服务器保存的服务器–USN 对列表。每个服务器的最新矢量表示起始写操作的最高 USN（起始写操作通过服务器–USN 对中的服务器接收）。给定站点上服务器的最新矢量列出了该站点上的所有其他服务器¹⁵。

当复制周期开始时，请求服务器会把最新矢量发送到发送服务器。发送服务器用最新矢量来筛选发送给请求服务器的更改。如果给定的起始写操作的 USN 大于或等于某个特定更新起始写操作的 USN，那么发送服务器就无须发送此更改；因为对于起始写入操作来说，请求服务器已经是最新的了。

使用 OU、域和站点的委派和组策略

可以向以下 Active Directory 容器委派管理权限，并建立与组策略的关联：

• 部门
• 域
• 站点

部门是能够向其委派权限和应用组策略的最小 Windows 2000 容器¹⁶。委派和组策略都是 Windows 2000 操作系统的安全功能。本文简要讨论了受结构环境限制的这两种功能，表明 Active Directory 结构决定了该如何使用容器委派和组策略。

通过指派部门、域或站点的管理权限，可以委派对用户和资源的管理。把组策略对象 (GPO) 分配给三种类型容器之一，就可以设置该容器中用户和计算机的桌面配置和安全策略了。下面两个部分详细地讨论了这些问题。

容器委派

在 Windows 2000 操作系统中，“委派”允许更高级别的管理授权机构把对部门、域或站点的特定管理权限授予组（或个人）。这大大减少了对大部分用户拥有绝对权限的管理员的需求数量。使用容器的委派控制功能，可以指定谁有权访问和修改该对象及其子对象。委派是 Active Directory 最重要的安全功能之一。

域和 OU 委派

在 Windows NT 4.0 操作系统中，管理员有时通过创建多个域来委派管理权限，这样就会有几组不同的域管理员。在 Windows 2000 操作系统中，部门比域更容易创建、删除、移动和修改，因而也就更适于委派角色。

要委派管理权限（不是委派站点权限，以后再讨论），可以修改容器的任意访问控制列表 (DACL)¹⁷，将对域或部门的特定权限授予一个组。默认情况下，域管理员 (Domain Admin) 安全组的成员对整个域拥有权限，但您可以将组成员身份限定在数量有限的极可靠管理员之内。要创建权限范围更窄的管理员，可以通过在每个域内创建部门树，并给部门子树的分支委派权限，把权限委派到单位最低层。

域管理员对域中每个对象拥有完全控制权。但是，他们对其他域中的对象没有管理权限¹⁸。

通过使用“Active Directory 用户和计算机”管理单元中可用的“委派控制”向导，可以委派域或部门的管理权限。用右键单击该域或部门，选择“委派控制”，添加要委派控制的组（或用户）；然后委派所列的日常任务，或者创建要委派的自定义任务。可以委派的日常任务在下表中列出。 可以委派的日常任务
可以委派的部门日常任务
· 将计算机加入域
· 管理组策略链接

 

· 创建、删除和管理用户帐户
· 重设用户帐户的密码
· 读取所有用户信息
· 创建、删除和管理组
· 修改一个组的成员
· 管理打印机
· 创建和删除打印机
· 管理组策略链接

 

可以把部门、组和权限结合起来，定义特定组的最恰当管理范围：整个域、部门的一个子目录树或一个部门。例如，您可能想创建部门，使您能够授予对一个部（如财务部门）全部分支的所有用户和计算机帐户的控制权。或者，您可能只想授予部门内某些资源（如计算机帐户）的管理控制权。第三个例子是授予对财务部门的管理控制权，但不授予对计帐部门内任何部门的管理控制权。

因为部门用于管理委派，但自身并不是安全主管，所以由用户对象的父部门说明该用户对象的管理者。但并未说明这个特定用户可以访问哪些资源。

站点委派

可用 Active Directory 站点和服务委派对站点、服务器容器、站点间传输（IP 或 SMTP）或子网的控制权。这些实体之一的委派控制使受委派的管理员能够管理这些实体，但并未给予管理员管理该实体内用户或计算机的能力。

例如，当委派对一个站点的控制权时，既可以委派对所有对象的控制权，也可以委派对该站点上的一个或多个对象的控制权。可以委派控制权的对象包括：用户对象、计算机对象、组对象、打印机对象、部门对象、共享文件夹对象、站点对象、站点链接对象、站点链接桥对象等。然后，就会提示您选择要委派权限的范围（常规、属性特有的或仅仅是特定子对象的创建/删除）。如果指定的是常规范围，就会提示您授予以下一个或多个权限：完全控制、读取、写入、创建所有子对象、删除所有子对象、读取所有属性或写入所有属性。

组策略

在 Windows NT 4.0 中，可用“系统策略编辑器”来定义存储在 Windows NT 注册表数据库中的用户、组和计算机配置。在 Windows 2000 操作系统中，组策略定义了用户环境中管理员可管理的各种组件。这些组件包括基于注册表的策略设置、安全选项、软件部署选项、脚本（用于计算机启动和关机以及用户登录和注销）和特殊文件夹的重定向¹⁹。

系统将组策略配置应用于计算机（启动时）或用户（登录时）。 将组策略设置应用于站点、域和部门中的用户或计算机，是通过把 GPO 链接到包含这些用户或计算机的 Active Directory 容器来实现的。

默认情况下，组策略影响链接容器中的所有用户和计算机。可以使用安全组中的成员身份，来筛选哪些 GPO 影响部门、域或站点中的用户和计算机。这样，就可以更精确地应用策略，即，使用安全组允许您把策略应用到容器中的特定对象组。要通过这种方法筛选组策略，可用 GPO“属性”页上的“安全”选项卡，控制谁能够读取 GPO。那些没有把“应用组策略”( Apply Group Policy)和“读取”(Read)设置成“允许”(Allow)作为安全组成员的用户，将不能应用 GPO。但是，由于默认情况下，普通用户拥有这些权限，所以只要您没有明确更改这些权限，组策略就会影响链接容器中的所有用户和计算机。

安全组在 Active Directory 中的位置与组策略无关。对于应用 GPO 的某个特定容器而言，GPO 设置决定了：

• 用户可使用的域资源（如应用程序）。
• 这些域资源是如何配置使用的。

例如，GPO 可以决定：用户登录时，其计算机上有哪些可使用的应用程序；当 Microsoft SQL Server 在一个服务器上启动时，有多少个用户可以与之相连接；或者当用户移到其他部门或组时，可以访问哪些服务。组策略使您只需管理少量的 GPO，而无须管理大量的用户和计算机。

与安全组不同，站点、域和部门不授予成员身份，而是包含和组织目录对象。可用安全组授予用户许可和权限，然后用三种类型的 Active Directory 容器，来包含用户和计算机并分配组策略设置。

因为是用安全组来授予资源访问权限，所以您会发现，使用安全组来代表企业的组织结构比使用域或部门来反映企业结构更有效。

默认情况下，域范围内的策略设置或包含其他部门的部门所应用的策略设置可由子容器继承，除非管理员明确指定此继承不能应用于一个或多个子容器。

组策略的委派控制

网络管理员（Enterprise Administrators 或 Domain Administrators 组的成员）可用 GPO“属性”页上的“安全”选项卡，来决定其他哪些管理员组可以修改 GPO 中的策略设置。为此，网络管理员应先定义管理员（例如，销售管理员）组，然后给这些组分配对选定 GPO 的读/写访问权。拥有对 GPO 的完全控制权并不能使管理员将该 GPO 链接到一个站点、域或部门上。但网络管理员可用“委派控制”向导授予管理员此权限。

在 Windows 2000 操作系统中，可以独立地委派以下三种组策略任务：

• 管理站点、域或部门的组策略链接
• 创建组策略对象。
• 编辑组策略对象。

和大多数其他 Windows 2000 管理工具一样，组策略在 MMC 控制台上执行。因此，创建、配置和使用 MMC 控制台的权限就暗含策略的内容。可以通过

<Group Policy object name>/User Configuration/Administrative
Templates/Windows Components/Microsoft Management Console/

及其子文件夹中的组策略来控制这些权限。

表 4 列出了一个组策略对象的安全权限设置。

表 4. GPO 的安全权限设置 组（或用户）
安全权限
Authenticated User

 

含“应用组策略 ACE”的读取权限

 

Domain Administrators
Enterprise Administrators
Creator Owner Local System

 

无“应用组策略 ACE”的完全控制

 

备注： 默认情况下，administrators 也是 authenticated users，这意味着，他们有应用组策略属性集。

关于组策略的详细信息，请参阅本文末尾的“其它信息”一节。

互操作性

很多公司需要各种不同的技术协同工作。Active Directory 支持很多标准，保证了 Windows 2000 环境与其他 Microsoft 产品、其他供应商的各种产品的互操作性。

本节介绍 Active Directory 支持的以下互操作性类型：

• LDAP 协议。
• 应用程序编程接口。
• 将 Active Directory 与其他目录服务进行同步处理。
• 虚拟和外来容器在互操作性中的作用。
• Kerberos 在互操作性中的作用。
• 与 Windows NT 操作系统的向后兼容性。

轻型目录访问协议

轻型目录访问协议 (LDAP) 是目录访问的工业标准。Internet 工程任务组 (IETF) 正在试图使 LDAP 成为 Internet 标准。

Active Directory 和 LDAP

LDAP 是主要的目录访问协议，用于添加、修改和删除保存在 Active Directory 中的信息，以及在 Active Directory 中查询和检索数据。Windows 2000 操作系统支持 LDAP 版本 2 和版本 3²⁰。LDAP 定义了目录客户机如何访问目录服务器，及如何执行目录操作和共享目录数据。即，Active Directory 客户机必须用 LDAP 获取 Active Directory 中的信息或维护 Active Directory 中的信息。

Active Directory用 LDAP 来实现与其他 LDAP 兼容的客户机应用程序的互操作性。如果有相应的权限，您可用任何与 LDAP 兼容的客户机应用程序，浏览、查询、添加、修改或删除 Active Directory 中的信息。

应用程序编程接口

可用以下应用程序编程接口 (API)，访问 Active Directory 中的信息：

• Active Directory 服务接口 (ADSI)。
• LDAP C API。

这些 API 在下面两部分中阐述。

Active Directory 服务接口

通过把保存于目录的对象作为组件对象模型 (COM) 对象，Active Directory 服务接口 (ADSI) 启用对 Active Directory 的访问。可以使用一个或多个 COM 接口上的可用方法，来操纵目录对象。ADSI 具有基于提供程序的结构，该结构允许 COM 访问提供程序所在的不同类型目录。

目前，Microsoft 为 Novell NetWare 目录服务 (NDS) 和 NetWare 3、Windows NT、LDAP 和 Internet 信息服务 (IIS) 配置数据库提供了 ADSI 提供程序。（IIS 配置数据库存放 IIS 配置设置。）LDAP 提供程序可与任何 LDAP 目录（包括 Active Directory、Microsoft Exchange 5.5 或 Netscape）一起使用。

可通过很多工具使用 ADSI（从 Microsoft Office 应用程序到 C/C++）。ADSI 支持可扩展性，这样，就可以向一个 ADSI 对象添加功能，来支持新的属性和方法。例如，可以把一个方法添至用户对象，当调用该方法时，就会为用户创建一个 Exchange 邮箱。ADSI 编程模型非常简单。它缩减了数据管理费用，这是非 COM 接口（如 LDAP C API）的特点。因为 ADSI 是完全可编写的，所以易于开发出丰富的 Web 应用程序。ADSI 支持 ActiveX® 数据对象 (ADO)、对象链接和嵌入数据库 (OLE DB) 进行查询。

通过创建基于 ADSI 的脚本（及基于 LDIFDE 的脚本，在本文后面讨论），开发人员和管理员可以将对象和属性添至 Active Directory。

LDAP C API

LDAP C API（在 Internet 标准 RFC 1823 中定义）是 LDAP 协议的一组低级 C 语言 API。Microsoft 在所有 Windows 平台上支持 LDAP C API。

开发人员可以选用 LDAP C API 或 ADSI 来编写支持 Active Directory 的应用程序。LDAP C API 最常见的用法是：使支持目录的应用程序更易于移植到 Windows 平台。另一方面，ADSI 是一个更强大的语言，更适于开发人员在 Windows 平台编写支持目录的代码。

将 Active Directory 与其他目录服务进行同步处理

Microsoft 提供了目录同步服务，您可以将 Active Directory 信息与 Microsoft Exchange 5.5、Novell NDS 和 NetWare、Lotus Notes 和 GroupWise 进行同步处理。另外，使用命令行工具，您可以从其他目录服务导入或向其他目录服务导出目录信息。

Active Directory 与 Microsoft Exchange

Windows 2000 操作系统包含一个称为“Active Directory 连接器”的服务，它提供与 Microsoft Exchange 5.5 的双向同步功能。Active Directory 连接器使两个目录中的数据保持同步的过程中，它会提供丰富的对象和属性映射。关于 Active Directory 连接器的详细信息，请参阅本文末尾的“其它信息”。

Active Directory 与 Novell NDS 和 NetWare

作为 Netware 5.0 服务的一部分，Microsoft 准备加载一个目录同步服务，该服务能执行 Novell NDS 和 NetWare 的双向同步。

Active Directory 与 Lotus Notes

作为 Platinum （下一版 Microsoft Exchange 的代码名称）的一部分，Microsoft 准备加载一个目录同步服务，该服务可实现与 Lotus Notes 的双向同步服务，以便将电子邮件与其他公共属性进行同步处理。

Active Directory 与 GroupWise

作为 Platinum （下一版 Microsoft Exchange 的代码名称）的一部分，Microsoft 准备加载一个目录同步服务，该服务可实现与 GroupWise 的双向同步服务，以便将电子邮件与其他公共属性进行同步处理。

Active Directory 与 LDIFDE

Windows 2000 操作系统提供命令行工具的 LDAP 数据交换格式 (LDIFDE)，支持目录信息的导入和导出。LDAP 数据交换格式 (LDIF) 是一个作为工业标准的 Internet Draft，用于定义交换目录信息所用的文件格式。这个基于 Windows 2000、使用 LDIF 支持目录导入/导出的工具称为 LDIFDE。LDIFDE 允许以 LDIF 格式导出 Active Directory 信息，这样，它随后可被导入到其他目录。也可用 LDIFDE 从其他目录导入目录信息。

可用 LDIFDE 执行批处理操作，如添加、删除、重命名或修改。也可以向 Active Directory 提供从其他来源（如其他目录服务）获取的信息。另外，因为 Active Directory 中的架构保存于自身目录，所以可用 LDIFDE 备份或扩展此架构。关于 LDIFDE 参数列表及其功能，请参阅“Windows 2000 帮助”。关于如何使用 LDIFDE 进行 Active Directory 批处理操作的详细信息，请参阅本文末尾的“其它信息”一节。

内部和外部引用

管理员可以创建一个交叉引用对象 (cross-ref)，它指向目录林外目录的一个服务器。当用户搜索包含此交叉引用对象的子目录树时，Active Directory 会把对该服务器的引用作为结果集的一部分返回，然后，LDAP 客户机追踪此引用，以获取用户所请求的数据。

Active Directory 容器对象引用目录林外的一个目录，就是这种引用。内部引用与外部引用的差别在于：内部引用引用了一个外部目录，该目录在 Active Directory 名称空间是作为原有 Active Directory 对象的子对象显示的；而外部引用引用的是外部目录，该目录不会作为子对象出现在 Active Directory 名称空间中。

对于内部和外部引用，Active Directory 包含了保存外部目录副本的服务器的 DNS 名称，以及外部目录根（外部目录的搜索操作由此开始）的可分辨名称。

Kerberos 在互操作性中的作用

Windows 2000 操作系统支持用于交叉平台互操作性的多个配置：

• 客户机。 Windows 2000 域控制器可对运行 RFC-1510 Kerberos 实现的客户机系统提供身份验证，包括运行非 Windows 2000 操作系统的客户机。基于 Windows 2000 的用户和计算机帐户可用作基于 Unix 服务的 Kerberos 主管。
• Unix 客户机和服务。 在 Windows 2000 域内，UNIX 客户机和服务器可拥有 Active Directory 帐户，因而可以从域控制器获得身份验证。在这种情况下，Kerberos 主管映射到 Windows 2000 用户或计算机帐户。
• 应用程序和操作系统。Win32® 和基于常规安全服务应用程序接口 (GSS API) 的其他非 Windows 2000 的客户机应用程序可获取 Windows 2000 域内服务的会话票据。

在已使用 Kerberos 领域的环境中，Windows 2000 操作系统支持与 Kerberos 服务的互操作性：

• Kerberos 领域。 通过单一登录到领域内的 RFC-1510 Kerberos 服务器和本地 Windows 2000 Professional 帐户，基于 Windows 2000 Professional 的系统可以提供到该服务器的身份验证。
• 与 Kerberos 领域的信任关系。 可以建立域和 Kerberos 领域间的信任关系。这意味着，在 Kerberos 领域的一个客户机可以验证 Active Directory 域对该域网络资源的访问。

与 Windows NT 操作系统的向后兼容性

互操作性的一个特殊类型是：维护与当前操作系统早期版本的向后兼容性。默认情况下，Windows 2000 操作系统以混合模式网络配置进行安装。混合模式域是一组运行 Windows NT 和 Windows 2000 域控制器的联网计算机。因为 Active Directory 支持混合模式，所以您可以根据单位需要，随时升级域和计算机。

Active Directory 支持 Windows NT 操作系统使用的 Windows NT LAN 管理器 (NTLM) 身份验证协议，这意味着，已验证的 Windows NT 用户和计算机可以登录和访问 Windows 2000 域中的资源。对于没有运行 Active Directory 客户机软件的 Windows NT 客户机和 Windows 95 或 98 客户机，Windows 2000 域相当于 Windows NT 服务 4.0 域。

总结

在 Windows 2000 服务器操作系统的许多改进中，引入 Active Directory 目录服务最引人注目。Active Directory 有助于集中和简化网络管理功能，因而增强了支持企业目标的能力。

Active Directory 存储了有关网络对象的信息，供管理员、用户和应用程序使用。它是一个与 Internet 域名系统 (DNS) 集成的名称空间，同时它又是一个将服务器定义为域控制器的软件。

可用域、目录树、目录林、信任关系、部门和站点来定义 Active Directory 网络及其对象的结构。可以把对部门(OU)、域或站点的管理职责委派给相应的个人或组，还可以给这三种 Active Directory 容器分配配置设置。这种结构使管理员能够管理网络，这样，用户就可以把注意力集中在实现商业目标上。

目前，公司使用不同技术协同工作的现象已非常普遍，而绝非个别的现象。Active Directory 建立在标准的目录访问协议的基础上，使用这些访问协议以及一些 API，Active Directory 实现了与其他目录服务以及各种第三方应用程序的互操作性。另外，Active Directory 可以使数据与 Microsoft Exchange 保持同步，并提供命令行工具，用于从其他目录服务导入数据和向其他目录服务导出数据。

其它信息

关于 Windows 2000 操作系统的最新信息，请查阅 Microsoft TechNet 或访问以下站点： Microsoft Windows 2000 Server Web 站点 (http://www.microsoft.com/windows/server)、 MSN 上的 Windows NT Server Forum ™以及 Microsoft Network 在线服务 (GO WORD:MSNTS)。

另外，可以查找以下链接，来获取详细信息：

• Windows 2000 产品帮助(http://windows.microsoft.com/windows2000/en/server/help/)， —关于如何获取架构对象 ID (OID)。
• Windows 2000 平台软件开发工具包(http://msdn.microsoft.com/developer/sdk/Platform.asp) —关于如何使用 ADSI 从程序扩展架构。

“Windows 2000 组策略入门” (http://www.microsoft.com/windows/server/Technical/management/GroupPolicyIntro.asp) 白皮书-详细介绍了 Windows 2000 组策略。

• 有关 Active Directory 连接器的 Windows 2000 产品帮助 (http://www.microsoft.com/windows2000/en/server/help/)- Active Directory 连接器使 Active Directory 和 Microsoft Exchange 之间数据保持同步。
• “Active Directory 的批量导入和导出” (http://www.microsoft.com/Windows/server/Deploy/directory/Blkimpt.asp) Beta 3 Technical Walkthrough—如何使用 LDIFDE 进行 Active Directory 的批处理操作。
• Internet 工程任务组 (IETF) Web 站点 (http://www.ietf.org/)—关于 IETF RFC 和 Internet Draft。

《Microsoft Windows 2000 Server 部署规划指南》一书讨论了如何规划 Windows 2000 域和站点的结构，以及如何进行部署，此书 2000 年初在书店发售。它还作为支持工具的一部分，放在 Windows 2000 Server 和 Windows 2000 Advanced Server CD 中。

附录 A：工具

此附录提供了一些软件工具的简短概述，您可用这些工具执行与 Active Directory 有关的任务。

Microsoft 管理控制台

在 Windows 2000 Server 操作系统中，Microsoft 管理控制台 (MMC) 提供了一致的接口，使管理员可以查看网络功能和使用管理工具。无论负责单个工作站还是整个计算机网络，管理员均使用同一控制台。MMC 提供称为“管理单元”的程序，每个管理单元处理特定的网络管理任务。有四个管理单元是 Active Directory 工具。

Active Directory 管理单元

Windows 2000 Server 操作系统中包含的 Active Directory 管理工具简化了目录服务管理。可以使用标准工具或 MMC，创建用于单项管理任务的自定义工具。可以把多个工具合并到一个控制台上。也可以将自定义工具指派给具有特殊管理职责的某个管理员。

在所有 Windows 2000 域控制器的“Windows 2000 Server 管理工具”菜单中，均有以下 Active Directory 管理单元：

• Active Directory 用户和计算机
• Active Directory 域和信任关系
• Active Directory 站点和服务

第四个 Active Directory 管理单元是：

• Active Directory 架构

建议用程序扩展 Active Directory 架构，即使用 Active Directory 服务接口 (ADSI) 或 LDAP 数据交换格式 (LDIFDE) 工具。但是，如果是为了开发和测试，则也可用 Active Directory 架构管理单元来查看和修改 Active Directory 架构。

“Active Directory 架构”在“Windows 2000 Server 管理工具”菜单上是不可用的。必须用 Windows 2000 Server CD 安装 Windows 2000 管理工具，并将它添加到 MMC 控制台。

与 Active Directory 任务有关的第五个管理单元是：

• 组策略管理单元

设置组策略是与用户、计算机和组的 Active Directory 管理有关的任务。组策略对象 (GPO) 包含了应用于站点、域和部门中的用户和计算机的策略设置及控制设置。要创建和编辑 GPO，可使用组策略管理单元；可通过Active Directory 用户和计算机或通过 Active Directory 站点和服务来访问它（根据要执行任务的具体情况而定）。

要通过一个不是域控制器的计算机（如运行 Windows 2000 Professional），远程使用 Active Directory 管理工具，就必须安装 Windows 2000 管理工具。

完成日常任务的新方法

表 5 列出了使用 Active Directory 管理单元和相关管理工具，来完成的日常任务。对于 Windows NT Server 操作系统的用户，此表也显示了在使用 Windows NT Server 4.0 提供的管理工具时，这些任务是如何完成的。

表 5. 使用 Active Directory 和组策略工具完成的任务 如果想：
在 Windows NT 4.0 中，使用：
在 Windows 2000 中，使用：
安装域控制器

 

Windows 安装

 

Active Directory 安装向导（从“配置服务器”访问）。

 

管理用户帐户

 

用户管理器

 

Active Directory 用户和计算机

 

管理组

 

用户管理器

 

Active Directory 用户和计算机

 

管理计算机帐户

 

服务器管理器

 

Active Directory 用户和计算机

 

将一个计算机添至域中

 

服务器管理器

 

Active Directory 用户和计算机

 

创建或管理信任关系

 

用户管理器

 

Active Directory 域和信任关系

 

管理帐户策略

 

用户管理器

 

Active Directory 用户和计算机

 

管理用户权限

 

用户管理器

 

Active Directory 用户和计算机：
编辑域或部门的组策略对象，该域和部门包含要应用用户权限的计算机。

 

管理审核策略

 

用户管理器

 

Active Directory 用户和计算机：
编辑指派给“域控制器”部门的组策略对象。

 

设置站点内用户和计算机的策略

 

系统策略编辑器

 

组策略，通过 Active Directory 站点和服务进行访问

 

设置域内用户和计算机的策略

 

系统策略编辑器

 

组策略，通过 Active Directory 用户和计算机访问

 

设置部门内用户和计算机的策略

 

不适用

 

组策略，通过 Active Directory 用户和计算机访问

 

使用安全组筛选策略的作用范围

 

不适用

 

编辑“组策略对象”属性表安全选项卡上“应用组策略”的权限项。

 

Active Directory 命令行工具

高级管理员和网络支持专家也可用各种命令行工具，来配置、管理 Active Directory 及解答 Active Directory 疑难问题。这些工具称为“支持工具”，在 Windows 2000 Server CD 的 /SUPPORT/RESKIT 文件夹中提供了此类工具。如表 6 所示。

表 6.与 Active Directory 有关的命令行工具 工具
说明
MoveTree

 

将对象从一个域移到另一个域。

 

SIDWalker

 

对于已移动、孤立或删除的帐户，设置其原来拥有的对象上的访问控制列表。

 

LDP

 

允许对 Active Directory 执行 LDAP 操作。此工具有图形用户界面。

 

DNSCMD

 

检查 DNS 资源记录的动态注册（包括安全 DNS 更新）以及资源记录的注册取消。

 

DSACLS

 

查看或修改目录对象的访问控制列表。

 

NETDOM

 

批量管理信任关系、将计算机加入到域中、验证信任关系和安全信道。

 

NETDIAG

 

检查端对端网络和分布式服务功能。

 

NLTest

 

检查运行的定位器和安全信道。

 

REPAdmin

 

检查复制伙伴之间的复制一致性；监视复制状态；显示复制元数据库；强制复制事件和知识一致性检查器 (KCC)的重新计算。

 

REPLMon

 

显示复制拓扑结构；监视复制状态（包括组策略）；强制复制事件和知识一致性检查器的重新计算。此工具有图形用户界面。

 

DSAStat

 

比较域控制器上的目录信息并检测差异。

 

ADSIEdit

 

是一个 Microsoft 管理控制台 (MMC) 管理单元，用于查看目录中的所有对象（包括架构和配置信息）、修改对象和设置对象的访问控制列表。

 

SDCheck

 

检查目录中特定对象的访问控制列表传播和复制。使用此工具，管理员可以决定访问控制列表是否已正确继承，以及访问控制列表更改是否从一个域控制器复制到另一个域。

 

ACLDiag

 

决定是授予还是拒绝用户对目录对象的访问权。也用于将访问控制列表复位到默认状态。

 

DFSCheck

 

是一个命令行工具，用于管理分布式文件系统 (Dfs) 的各个方面、检查 Dfs 服务器的配置并发性以及显示 Dfs 拓扑。

 

Windows 2000 命令参考页

您可以在 Windows 2000 帮助中找到 Windows 2000 命令的完整列表，以及每个命令使用方法的信息。只要在“索引”选项卡或“搜索”选项卡上，键入“command reference”即可。

Active Directory 服务接口

可用 Active Directory 服务接口 (ADSI)，创建各种不同用途的脚本。Windows 2000 Server CD 包含一些 ADSI 脚本示例。有关 ADSI 的详细信息，请参阅“Active Directory 服务接口”和“其它信息”一节。

© 1999 Microsoft Corporation.版权所有。

本文档包含的信息代表在发行之日，Microsoft Corporation 对所讨论问题的当前看法。因为 Microsoft 必须顺应不断变化的市场条件，故该文档不应被理解为 Microsoft 一方的承诺，Microsoft 不保证所给出的信息在发布之日以后的准确性。

该白皮书仅供参考。在本文档中，MICROSOFT 不作任何明示的或默示的保证。

Microsoft、Active Directory、ActiveX、BackOffice、MSN、Windows 和 Windows NT 是 Microsoft Corporation 在美国和/或其他国家或地区的注册商标或商标。

此处提到的其他产品和公司名称可能是其各自所有者的商标。

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA

0x99

 

1 在 Windows 2000 Server 域中，域控制器是运行 Windows 2000 Server 操作系统的计算机，用来管理用户对网络的访问（包括登录、身份验证）以及对目录和共享资源的访问。

2 DNS 区域是 DNS 名称空间的一个连续分区，它包含此区域 DNS 域的资源记录。

3 LDAP 是用来访问目录服务的一个协议，请参阅“与 LDAP 有关的名称”及“轻型目录访问协议”一节。

4 在“用于指定服务位置的 DNS RR (DNS SRV)”中阐述（位于 Internet 工程任务组 (IETF) 名为 draft-ietf-dnsind-rfc2052bis-02.txt 的 Internet Draft 中）。（Internet-Draft 是 Internet 工程任务组 (IETF)、领域及其工作组的工作文档。）

5 在 RFC 2136 中讲述，即“A 类地址空间组件在 Internet 中的使用”的“观察组件的使用”。

6 Windows 2000 组与 Windows NT 中组的定义有些不同。Windows 2000 包括两种“组类型”：1.安全组，用于管理用户和计算机对共享资源的访问及筛选组策略设置；2. 分发组，用于创建电子邮件分发列表。Windows 2000 也包括三种“组范围”：1. 本地域范围组，用于定义和管理对单个域内资源的访问；2.全局范围组，用于管理需要日常维护的目录对象，如用户和计算机帐户，可用全局范围分组域内的帐户；3.通用范围组，用于合并不同域的组；您可以将用户帐户添至带有全局范围组中，然后将这些组放到带有通用范围的组内。（有关 Windows 2000 组的详细信息，包括新的通用组类型，请参阅本文末尾的“详细信息”一节。）

7 要达到“Windows 认证”徽标的要求，应用程序必须通过 VeriTest 的“Windows 2000 应用程序规范”测试。假设至少包括一个 Windows 2000 操作系统，就可以选择任意平台的组合。只要应用程序通过一致性测试并且与 Microsoft 达成徽标许可证协议，就可以带有“Microsoft Windows 认证”徽标。您收到的徽标表明了产品认证的 Windows 版本。参见

8 Active Directory 支持 LDAP v2 和 LDAP v3，它们能识别 RFC 1779 和 RFC 2247 命名规则。

9 如果未添加 UPN，用户可以通过明确提供他们的用户名和根域的 DNS 名称来登录。

10 对于发布打印机，控制打印机默认值的组策略是：“在 Active Directory 中自动发布新的打印机”和“允许发布打印机”（后者控制该机器上的打印机是否可以发布）。

11 将它与 Windows NT Server 早期版本进行比较，后者的 SAM 数据库每个域最多大约有 40,000 对象。

12 关于额外费用的讲述，请参阅本文末尾的“其它信息”一节的“Microsoft Windows 2000 Server 布署规划指南”，它讨论如何规划 Windows 2000 域和站点的结构和布署。

13 DACL 允许或拒绝一个对象对特定用户或组的权限。

14 关于与 Kerberos 领域的互操作性问题，请参阅“Kerberos 在互操作性中的作用”一节。

15 最新矢量不是某个站点专用的。最新矢量为每个服务器均保存一个项，在该项上目录分区（命名上下文）是可写的。

16 除了委派“容器”权限外，也可以将权限（如读/写）授予下面的对象属性级别。

17 对象的 DACL 的访问控制项 (ACE) 决定了谁能访问该对象，以及拥有哪种访问权限。当在目录中创建一个对象时，默认的 DACL（在架构中定义）将应用于该对象。

18 默认情况下，Enterprise Admins 组被授权完全控制“目录林”中所有对象。

19 使用“文件夹重定向”扩展，可将用户配置文件中的以下任何特殊文件夹重定向到另一个位置（如网络共享）：应用程序数据、桌面、My Documents（和/或 My Pictures）、开始菜单。

20 LDAP 版本 2 在 RFC 1777 中阐述；LDAP 版本 3 在 RFC 2251 中阐述。