本文提供了对活动目录的技术简介，活动目录是Microsoft Windows 2000 Server操作系统提供的一种新的目录服务。本文详细阐述了活动目录的重要概念、结构元素和特性。"重要概念"部分描述了在您使用活动目录之前需要理解的术语。接下来的两个部分"结构"及"活动目录特点"更详细地阐述了活动目录能够做什么，它给Windows带来了什么样的新特性以及这些特点的实现。"迁移"部分涵盖了从Windows NT 4.0的域模型和目录结构向Windows 2000的迁移的内容。最后一部分，即"常见问题"，回答了有关活动目录服务和它运行时可能遇到的一系列实际问题。

　　目录服务是一个什么东西？

　　一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中，目录就储存了有关文件的信息。

　　在一个分布式计算系统中或是一个公共计算机网络（如Internet）中，就有许多用户感兴趣的对象，如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象，而管理人员则想管理对这些对象的使用。

　　在此文档中，术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于，它既是目录的信息源，而它的服务又可以使用户得到和利用信息。

　　为什么需要目录服务？

　　目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性，而且可以查询目录来得到符合属性的对象列表，例如："查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。

　　目录服务可以：

　　提高管理者定义的安全性来保证信息不受侵入者的损害。

　　将目录分布在一个网络中的多台计算机上。

　　复制目录使得更多用户获得它并且减少错误。

　　分配一个目录于多个存储介质中使得可以存储规模非常大的对象。

　　目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时，目录服务变得很重要。目录服务是一个大的分布系统的转换中心。

　　什么是活动目录？

　　活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务，还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作，从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性，使得在大规模信息的管理及在其中漫游变得很简单，为管理者和终端用户都节省了时间。

　　重要概念

　　用来描述活动目录的概念和术语中有些是新的，而另外一些则不是。不幸的是，一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前，理解下面这些概念和术语在活动目录背景中如何定义是重要的。

　　范围

　　活动目录的范围是巨大的。它可以包括所有单一的对象（打印机、文件或用户），所有的服务器及在一个单一广域网中的所有域。下面的一些术语不仅可应用于单一网络，因此意识到活动目录是可以伸缩的，从一台单一的计算机，到一个单一的计算机网络以及很多结合在一起的计算机网络是很重要的。

　　名字空间

　　同任何目录服务一样，名字空间活动目录从根本上讲是一个名字空间。名字空间电话目录是一个名字空间。名字空间名字空间是任何有界的域，在其中一个给定的名字是可以解析的。名字解析是一种将一个名字翻译为一些对象表达的对象或信息。名字空间电话目录形成了一个名字空间，其中电话用户可以决定电话号码。Windows名字空间文件系统形成了一个名字空间，其中文件名字可以决定文件本身。

　　活动目录形成了一个名字空间，其中通过目录中对象的名字可以决定对象本身。

　　对象

　　对象是对某具体事物属性的显著性命名，例如用户、打印机、或应用程序。属性包括目录对象用来识别主题的描述性数据。一个用户的属性可能包括用户的确定的名字、姓及电子邮件地址。

图1 一个用户对象和它的属性

　　容器

　　容器同一个对象一样具有属性，而且是活动目录名字空间的一部分。然而，与对象不同，它不代表某具体事物。它是一组对象或其它容器的容器。

　　树

　　在此文档中，树始终用来描述对象及容器的分层结构关系。树的终点通常是对象。树的节点（树的分支点）是容器。树表明了对象是如何连接起来的或由一个对象到其它对象的路径。一个简单的目录是一个容器。一个计算机网络或域也是一个容器。临近的子树是树中任意完整的路径，包括那条路径中的所有容器。

图2 一个文件系统的连续子树

　　名字

　　名字用来识别活动目录中的每一个对象。有两种不同类型的名字。

　　明确名字

　　活动目录中的每一个对象都有一个明确名字（DN）。明确名字识别包括对象的域及通过容器分层结构到达对象的完整路径。一个典型的DN可以是：

　　/O=Internet/DC=COM/DC=Microsoft/

　　CN=Users/CN=James Smith

　　这个DN在Microsoft.com域中识别用户对象"James Smith"。

图3 明确名字的图形表示

　　相对明确名字

　　对象的相对明确名字（RDN）是属于对象本身属性的名字的一部分。在前面的例子中用户对象"James Smith"的RDN是CN=James Smith。父对象的RDN是CN=Users。

　　命名上下文和分区

　　活动目录由一个或多个命名上下文或分区构成。命名环境是目录的任意临近的子树。命名上下文是复制的单位。

　　在活动目录中，一个单独的服务器通常最少包括三个命名上下文：

　　模式

　　配置（复制拓扑和相关的元数据）

　　一个或多个用户命名上下文（在目录中包括实际对象的子树）

　　域

　　域是Windows NT 或Windows 2000计算机网络的独立安全范围。（要了解域的更多信息，请看Windows 文档）。活动目录由一个或多个域构成。一个域可以跨越不止一个物理地点。每一个域都有它自己的安全策略及域其它域见的安全关系。当多个域通过信任关系连接起来，而且拥有共同的模式、配置和全局目录时，您就拥有了一个域树。多个域树可以连接起来形成一个森林。

　　域树

　　域树是由若干具有共同的模式、配置的域构成的，形成了一个临近的名字空间。在树中的域也是通过信任关系连接起来的。活动目录是一个或更多树的集合。

　　树可以通过两种途径表示。一种表示是域之间的关系，另一种表示是域树的名字空间。

　　表示信任关系

　　您可以在个别域及它们如何相互信任的基础上画出一幅域树的图画。

　　Windows 2000域之间信任关系建立在Kerberos安全协议上。Kerberos信任是可传递的和分层次分层结构的--如果域A信任域B信任域C，域A也信任域C。

图4 一个域树以它的信任关系表示

　　表示名字空间

　　您也可以在名字空间的基础上绘制一幅域树的图画。您可以通过跟随域树的名字空间确定一个对象的显著性名称。这种表示对于把对象编为逻辑层次分层结构是很有益的。分层结构临近名字空间的主要优点在于从名字空间的深入查找可以查找整个分层结构。

图5 表示一个域树为名字空间

　　森林

　　森林是一个或多个不形成临近名字空间树的集合。森林中的树具有相同的模式、配置和全局目录。给定森林中的所有树通过及物的分层结构Kerberos信任关系相互信任。与树不同，一个森林不需要明确名字。森林作为相关对象的集合而存在，而且Kerberos信任关系对所有树成员来讲都是已知的。森林中的树为了Kerberos信任的目的形成了分层结构；位于信任树根部的树的名称可以用来确定一个给定的森林。

图6 森林中的多个树

　　站点

　　站点是网络中包括活动目录服务器的地点。站点定义为一个或多个良好连接的TCP/IP子网。"良好连接的"的意思是网络连接高度可靠而且迅速（例如，LAN速度为10，000，000比特每秒或更高）。定义站点为子网的集合使得管理员能够快速、简单的配置活动目录使用权及复制拓扑，从而有利于利用物理网络。当一个用户登录时，活动目录客户端在用户的同一站点查找活动目录服务其。由于从网络上讲在同一站点上的机器是靠近的，因此机器间的通讯是可靠的、迅速的和有效的。在登录时确定当地站点是容易实现的，因为用户的工作站已经知道它在什么TCP/IP子网上，并且直接转换为活动目录站点。

　　结构

　　这一个简短的部分介绍活动目录的一些基本结构元素。

　　数据模型

　　活动目录数据模型来自于X.500数据模型。目录包括以属性描述的表征各类事物的对象。可以存入目录的对象的范围在模式中定义。对于每一个对象种类，模式定义了该种类情况下一定要具有什么属性，可以具有什么附加属性，及什么对象种类可以是现有对象种类的父本。

　　模式

　　活动目录模式作为存储于目录中的对象种类情况的集合而应用。这与很多具有模式的目录不同，在它们的情况下，模式存储为文本文件以在启动时阅读。在目录中存储模式有很多优点。例如，用户应用程序可以阅读模式来确定什么对象和性质是可以得到的。

　　活动目录模式可以动态生计。也就是说，一个应用程序可以扩展模式的新属性和种类，而且可以立刻使用扩展的部分。模式的升级通过建立或改变目录中的模式对象实现。与活动目录中的所有对象相同，模式对象受访问访问控制列表（ACL）所保护，所以只有授权的用户可以改变模式。

　　安全模型

　　目录是Windows 2000 Trusted Computing Base 的一部分而且是Windows 2000安全基本构造的完全参加者。ACLs保护了活动目录中的所有对象。Windows 2000访问验证历程采用ACL来确认任何对活动目录中对象或属性访问的尝试。

　　管理模型

　　授权的用户在活动目录中进行管理。一个经更高权限授权的用户可以对目录中某些确定子树中指定的对象及对象种类进行指定的操作。这叫做委托管理。委托管理可以完全地控制谁能够做什么，而且可以确立授权的委托而不必授予提高的特权。

　　目录系统代理（DSA）是管理目录物理存储的过程。客户采用一种支持的界面连接DSA，进而查找、阅读及写入目录对象和它们的属性。DSA使得客户与物理存储格式的目录数据孤立。

　　这一部分描述了活动目录的一些主要特点及组件。

　　DNS集成

　　活动目录与Domain Name System (DNS)紧密地集成在一起。DNS是分布式名字空间，用于Internet上来根据计算机和服务名称来确定TCP/IP地址。大多数拥有intranet地公司把DNS作为名称解析服务来应用。活动目录把DNS作为站点服务来应用。Windows 2000域名就是DNS的域名。例如："Microsoft.com"是一个有效的DNS域名，也可以是一个Windows 2000的域名。紧密的DNS集成表明活动目录自然地适用于Internet 和 intranet 环境。用户可以快速、简单地找到服务器。公司可以直接将活动目录服务器连接于Internet，从而为安全通讯及与顾客、合作伙伴之间的电子商务提供便利。

　　定位服务

　　活动目录服务器公布它们的地址，这样客户在只知道域名的情况下也可以找到它们。活动目录服务器通过DNS中的Service Resource Records (SRV RR)来公布。SRV RR是DNS的一个记录，用来描述一种服务及提供这种服务的服务器的地址。SRV RR的名称是这种形式：

　　..

　　ldap.tcp.

　　活动目录服务器通过TCP协议提供LDAP服务，这样公布的名称是这种形式：

　　ldap.tcp.

　　这样，为了Microsoft.com的SRV RR是ldap.tcp.microsoft.com。SRV RR中的附加信息指出了服务器的优先权及重要度，使得客户可以选择他们所需要的最好的服务器。

　　在活动目录服务器安装好时，他通过动态DNS（下面解释）公布它自己。由于TCP/IP地址随时间变化而改变，所以服务器周期性地检查它们的注册来保证地址的正确性，并在需要的情况下将它们升级。

　　动态DNS

　　动态DNS是对DNS标准的一个增加。动态DNS定义了一个协议，来满足采用新的或变化了的数值动态升级DNS服务器的需要。在拥有动态DNS之前，管理员需要人工地配置DNS服务器的存储记录。

　　对象命名

　　一个对象只有一个名字，明确名字（DN）1。DN独一无二地确认了对象，而且包括了足够的信息使得用户能够从目录中检索到对象。对象的DN可能非常长，而且难以记住。另外，一个对象的DN可以改变。因为一个对象的DN是由对象的RDN及它的祖先构成的，改变它自己的名称或改变它任意祖先的名称都将改变DN。

　　由于DN过于复杂而无法记忆，而且会发生改变，所以拥有其它的方法检索对象是大有益处的。活动目录支持属性查询，这样即使对象的精确DN未知或改变了，仍然可以找到对象。为了简化对象的查询过程，活动目录概要定义了两种有用的性质2:

　　全局对象唯一标识符（GUID）--一个128位数字，保证唯一性。对象建立的同时就分配了一个GUID。GUID决不会改变，即使对象移动了或改名了。应用程序可以存储对象的GUID，从而不管该对象现在的DN是什么，都可以保证对它的查找。

　　用户主名--Security Principals（用户及团体）都有"友好的"名称，用户主名（UPN）比DN短而且易于记忆。用户主名是由用户的"速记"名和用户对象归属域树的DNS名构成的。例如，microsoft.com树中的用户James Smith可以拥有一个UPN：JamesS@Microsoft.com。

　　名字的唯一性

　　明确名字要保证是唯一的。活动目录在同一个父本下存在两各具有相同RDN的对象。DN是由RDN构成的，因此是唯一的。GUID是通过定义保证唯一性的；采用一定的运算法则来保证产生GUID的唯一性。对任意属性来讲，唯一性并不是强制性的。

　　活动目录的访问

　　访问活动目录要通过线缆协议。线缆协议定义了信息的格式和客户于服务器的相互作用。各种各样的应用程序界面为开发者提供了访问这些协议的道路。

　　协议支持

　　支持的协议包括：

　　LDAP-活动目录核心协议是轻量目录访问协议（LDAP）。LDAP版本2及版本33均支持。

　　MAPI-RP-活动目录支持远程过程调用（RPC），界面支持MAPI界面。

　　X.500-活动目录信息模型来自于X.500信息模型。X.500定义了几种活动目录未采用的协议。这些协议是：

　　DAP - 目录访问协议

　　DSP - 目录系统协议

　　DISP -目录信息荫蔽协议

　　DOP - 目录操作捆绑管理协议

　　活动目录未采用这些协议是因为：

　　对这些协议没有什么兴趣，而且它们很少应用。

　　这些协议依赖于OSI网络。OSI是TCP/IP的替代品，但仍没有广泛地应用。通过TCP/IP网络传递OSI的效率不如直接采用TCP/IP高。

　　LDAP提供了大多数DAP和DSP提供的功能。LDAP还被设计来用于TCP/IP，而不必在TCP/IP头上封装OSI。

　　在1993和1997的DISP和DOP的一致性应用规格中有很多模糊之处，以至于不能够保证共同运行。这样就大大降低了这些协议的价值。

　　应用程序编程接口

　　支持的API包括：

　　ADSI-活动目录服务接口（ADSI）为活动目录4提供了一个简介而有力的对象取向界面。开发人员可以采用不同的编程语言，包括Java, Visual Basic programming system, C, C++和其它一些语言。为了系统管理员使用的方便，ADSI是完全脚本化的。ADSI对用户隐藏了LDAP通讯的细节。

　　LDAP API-在RFC 1823中定义的LDAP C API是对C程序员适用的低级界面。

　　MAPI-为了从前的兼容性活动目录支持MAPI。现在的应用程序应该采用ADSI 或LDAP C API。

　　虚拟容器

　　活动目录通过虚拟容器可以使其它目录变得没有遮蔽。虚拟容器使得任意满足LDAP的目录可以通过活动目录透明地访问。虚拟容器通过存储于活动目录中地认知信息来实现。认知信息包括对外来目录应在活动目录中出现位置的描述，还包括存有外来信息拷贝的服务器的DNS名称，以及在外来的foreign DS中开始搜索的明确名字（DN）。

　　全局目录

　　活动目录可以由很多分区或命名上下文构成。对象的明确名字（DN）含有足够的信息来定位存有对象复制的分区。但在很多时候，用户或应用程序并不知道目标对象的DN或哪一个分区可能包含对象。如果用户或应用程序知道一个或更多的目标对象的属性，全局目录就可以使它们在活动目录的域树中找到目标对象。

　　全局目录包含目录中每一个用户命名上下文的部分复制。它还包括命名上下文的模式及配置。这意味着GC中包括活动目录中每一个对象的复制，但只包括少部分的属性。在GC中包括的属性是那些搜索操作中最为常用的（例如用户的名和姓，登录名，等等），及那些需要定位对象整个复制的。GC使得用户能够快速地找到感兴趣的对象，而不需要知道哪个域中包括它们，也不需要知道在公司中临近的扩展名字空间。活动目录复制系统自动地建立全局目录并产生复制拓扑。复制进全局目录中的性质包括由Microsoft定义的一套基本集合。管理员还可以指定附加的性质来满足他们设置的需要。

　　安全性

　　这只是对活动目录安全性的概述。 要了解关于Windows 2000安全模型的更多信息，请查阅"使用Microsoft Windows 2000分布式安全性的安全网络"白皮书。

　　对象保护

　　活动目录中所有的对象都在访问控制列表(ACL)的保护下。ACL决定了谁可以看这些对象及每一个用户可以对这些对象进行什么操作。对于用户，永远也看不到他未被授权的对象。

　　ACL是一个存储了它保护的对象的访问控制入口（ACE）列表。在Windows 2000中，ACL以二进制数值的形式存储，叫作安全性描述符。每一个ACE包括一个安全性标识符（SID），它标识了ACE适用的委托人（用户或组）及ACE允许或禁止访问的信息类型。

　　目录对象的ACL包括适用于整体对象的ACE及适用于对象单个属性的ACE。这使得管理员不仅能够控制哪一个用户能够看到对象，而且可以控制这些用户可以看到那些属性。例如，所有用户可以保证允许阅读其它用户的电子邮件和电话号属性，但安全性属性可能支队具有特殊安全性的管理员群体开放。个别用户可能允许在他们个人自己的用户对象上写个人的属性例如：电话和通信地址。

　　委托

　　委托是活动目录最重要的安全特性之一。委托使得较高级的管理员对个人或组授予对容器和子树授予特定的管理权。这样就通过取消大部分用户组的权利而消除了对"域管理员"的需求。

　　ACE可以给用户或组授予对容器中对象的特定的管理权。权利是对特定对象种类的特定操作而授予的，它是通过容器的ACL中的ACE给予的。例如，为了允许用户"James Smith"成为"公司会计"组织单位的管理者，您应该向"公司会计"的ACL中加入如下ACE5：

　　"James Smith";Grant ;Create, Modify, Delete;Object-Class User

　　"James Smith";Grant ;Create, Modify, Delete;Object-Class Group

　　"James Smith";Grant ;Write;Object-Class User; Attribute Password

　　现在，James Smith可以在"公司会计"中创建新的用户和组，并且可以设置现存用户的密码。但他不能创建其它的对象种类，而且他不能影响在任意其它容器中的用户（当然，除非ACE授予他对其它容器的访问权）。

　　继承

　　继承使得一个给定的ACE在可以从它应用的容器传播到其所有子孙的容器。继承可以与委托相结合，从而保证对目录中整个子树的某一单一操作的管理权。

　　复制

　　活动目录提供多主版本复制。多主版本复制意味着给定分区的所有拷贝都是可写的。这就使得给定分区的任意拷贝的更新都可以完成。活动目录复制系统将一个给定拷贝的改变传递给所有其它拷贝。复制是自动而且透明的。

　　更新传播

　　一些目录服务采用时间标志来检测和传播改变。在这些系统中，保持所有目录服务器的同步是非常重要的。在网络中保持时间同步是非常困难的。即使在非常好的时间同步网络中，对某一给定目录服务器而言，时间设置也有可能是错误的。这就可能导致更新的遗失。

　　Windows 2000 提供分布式时间同步，但是活动目录复制系统并不依靠时间来保证更新传播。 作为替代，活动目录复制系统采用更新序列数（USN）。USN是一个64位数，由每个活动目录服务器保持。当服务器向活动目录写任意属性时，USN更新并且与所写属性共同存储。这一过程时自动完成的--这就是说，USN的增加与存储和属性写的成功和失败是作为单一单元工作的。

　　每一个活动目录服务器还保持由从复制同伴得到的USN表。从每个同伴得到的最高USN存储于这个表中。当一个给定的同伴通知目录服务器需要复制是，服务器对所有比最近一次收到数值高的USN发出请求。这是一个非常简单的途径而且不依赖于精确的时间标志。由于接收每次更新时表中存储的USN是自动更新的，所以失败后的恢复也是很简单的。要重新启动复制，服务器只需对其同伴表中比最近一次有效登录值高的USN发出请求。由于当改变有效时表是自动更新的，被打断的复制周期通常可以从它打断的位置重新进行，而不失去任何复制的更新。

　　冲突检测--版本号

　　在一个类似于活动目录的多主版本复制系统中，同一个属性更新两个或多个不同的拷贝是可能的，当第二个（或第三个、第四个等等）拷贝的改变在第一个拷贝的改变完全传播之前进行时，复制冲突就发生了。冲突是通过采用属性版本号检测的。与USN是服务器确定值不同，属性版本号时由活动目录对象的属性确定的。在活动目录对象的属性第一次写入时，就进行版本号的初始化。

　　源写入（Originating writes）可以更新版本号。源写入是一个在系统初始化改变时向属性进行的写过程。由复制引起的属性写过程不是源写入而且不更新版本号。例如，当用户更新他或她的密码时，源写过程就发生了，版本号也更新了。在其它服务器上发生的改变密码的复制写过程并不改变版本号。

　　在一个复制过程中，接收到的属性版本号与本地存储的属性版本号相对应，如果二者不同，那么在接收到通过该复制引起的改变时，就检测到了冲突。当这一过程发生时，接收系统会采用具有 较迟时间标志的更新。这是在复制过程中唯一采用时间的情况。

　　当接收到的版本号比本地存储的版本号低时，就意味着这个更新是过时的而且可以放弃了。当接收到的版本号比本地存储的版本号高时，更新就被接受了。

　　传播衰减

　　活动目录复制系统允许在复制拓扑中的循环。这样就允许管理员在服务器中配置具有多路径的复制拓扑，从而提高效果和有效性。活动目录复制系统采用传播衰减来避免改变的无限传播及对已更新拷贝的冗余传送。

　　活动目录复制系统采用最新向量来衰减传播。最新向量是在每个服务器中存储的server-USN对列表。在每个服务器中的最新向量表征了从server-USN对中的服务器得到的定向写过程的最高USN。在给定地址列表中的服务器的最新向量所有该位置的其它服务器。

　　当一个复制周期开始时，请求服务器将它的最新向量发送给传送服务器。传送服务器采用最新向量来过滤发送给请求服务器的改变。如果一个给定定向写过程的高USN大于等于某一特定更新的定向写过程的USN，那么传送服务器就不需要传送改变；请求服务器相对于定向写过程已经是最新的了。

　　树与森林

　　Windows 2000的域树是Windows 2000域的分层结构组织，每一个都由活动目录的一个分区构成。树的形态及树成员之间的关系由域的DNS名决定。在一个树中的域一定要组成一个临近的名字空间，例如a.myco.com是myco.com的子代，b.myco.com是a.myco.com的子代，等等。

　　可传递的双向信任

　　当一个域加入一个Windows 2000域树中时，在加入域与它树中父代之间的可传递双向信任关系就自动建立了。由于信任时可传递的和双向的，所以树成员之间的其它附加信任关系是不需要的。信任分层结构组织作为目录的元数据存储与配置容器中。

　　当一个与加入树时，这些需要的对象都可以在目录中建立。

　　名字空间

　　Windows 2000域树中的域必须构成一个临近的名字空间。缺省值为，每一个域的直接的子代是临近的，而且已经是它们名字空间的一部分。这意味着子代域中的每个对象的显著名以父代域的名字作为前缀。不相连贯的树可以结合成森林。

图7 父代域和子代域构成了临近的名字空间因为子代域名称是父代域名称的附属

　　例如，父域，O=Internet/DC=COM/DC=Microsoft；子域，O=Internet/DC=COM/DC=Microsoft/DC=PBS，构成了临近的命名树，因为根对象在父代域中。

　　O=Internet/DC=COM/DC=Microsoft是子代中根对象（O=Internet/DC=COM/DC=Microsoft/DC=PBS）的直接父代。因为父代和子代构成了一个命名树，所以在父代中进行的深入搜索会自动地搜索子代。

　　什么时候构成域树

　　Windows 2000的域树是企业范围的活动目录。在给定企业中的所有Windows 2000域都应该属于企业域树。需要支持具有不相连贯的DNS名称域的公司，应该建立森林。

　　如何建立域树或森林

　　Windows 2000的域在安装的过程中进入到域树中。在安装新的Windows 2000服务器时（或者在更新Windows NT的早期版本时），管理员可以有如下选择：

　　在一个新森林中创建第一个树

　　在一个现存森林中创建一个新树

　　创建一个现存域的新拷贝

　　安装子域

　　要加入域树，选择Install a Child Domain并且确认新子域的父代域。将来Windows的更新将增两个（或更多）现存树共同加入某单一、较大树中的功能。在现存树中的域可以自由的移动，从而改变树的总体形态。规划良好的树时非常重要的，但是什么时良好的时非常主观的，而且建立在您们组织的特定需要上。象需要的那样，改造树的能力降低了事先了解正确设计的重要性。

　　站点

　　站点是网络中假定机器间的连接都非常良好的区域。Windows 2000定义一个区域为一个或多个IP子网。这建立在具有相同子网地址的计算机都立即在网络同一部分的假设上，典型地，LAN或其它高带宽6环境例如Frame Relay, ATM,或其它的环境。

　　Windows 2000采用站点的信息来定位靠近用户的活动目录服务器。当一个用户工作站连接到网上时，它从DHCP服务器接收一个TCP/IP地址，来确认此工作站附属于哪个子网。具有静态配置IP地址的工作站，也具有静态配置子网信息。在任何一种情况下，Windows 2000的域控制器（DC）定位器都将在已知的关于工作站的子网信息的基础上，尝试在用户的同一子网内定位一个活动目录服务器。

　　站点与复制

　　Windows 2000复制系统为给定站点的活动目录服务器间的复制自动地产生一个环状拓扑。在一个位置，目录复制通过远程控制访问（RPC）完成。在站点之间，复制可以选择性地采用RPC或通讯配置。Windows 2000提供简单地的SMTP通讯作为标准特性。如果Microsoft Exchange可用，那么站点内部的复制可以通过Exchange完成，采用Exchange支持的任意多邮件传输协议（包括SMTP, X.400及其它协议）

　　规划站点

　　最小的站点只包括一个单独的IP子网。Windows 2000假设在同一站点的所有机器分享高带宽网络。确定了这一点，良好的站点设计应该是一个使分配给给定站点的所有子网分享这样一个网络的设计。通过广域网分离出来地网络的区域，多线路或其它较慢地连接应该在隔离的站点中。

　　模式

　　活动目录模式定义了所有对象种类的集合及可以存储于目录中的属性。对于每一个对象种类，通过指定此种类的合法父代，模式定义了它可以创建于目录树中何处。种类的内容使通过种类必须或可以包括属性列表来定义的。

　　何时扩展模式

　　当没有现存的目录种类满足手头需要时，用户和应用程序就需要扩展模式。控制模式是一个简单、直接的过程。

　　加入属性

　　新属性可以在任何时候加入到模式中。一个属性的定义包括名称、唯一对象标识符、定义属性存储数据类型的语法及可选择的范围限制。对于字串，数值限制设定字串长度的最大与最小值。对于整数，数值限制设定整数的最大与最小值。

　　在活动目录中查询的效果直接与可用来优化给定查询的索引的有效性有关。当没有索引可以满足给定查询时，LDAP服务器必须要读遍整个分区来满足查询的要求。当您定义一个属性时，您可以选择为这一属性建立一个索引。也可以通过设置attributeSchema对象的searchFlags属性为1，来为一个给定属性建立索引。您应在如下时候将一个属性编入索引：

　　经常应用于查询的属性。加入索引消耗存储空间，而且会影响插入的运行（因为当插入一个项目时必须要对索引进行维护），因此您不应该把一个不常用的属性加入索引。

　　属性的值必须高度唯一化。布尔值属性应该永远不编入索引中，因为布尔值属性只可能有两个可能的值：是或否。职员号及姓是高度唯一化的，因此很利于编入索引。

　　属性应该对应您感兴趣的对象。将一个属性编入索引使您能够快速地找到含有属性范例的对象。在加入索引之前，应确定您正在加入的属性是您希望查询的对象一定具有或可能具有的。

　　加入新对象

　　新对象种类可以在任何时候加入模式中。一个对象定义包括名称、对象标识符(OID)、可以包括和必须包括属性的列表、可作为此对象父代的种类列表、对象起源的种类及可应用于此对象的任意附加种类列表。

　　如何扩展模式

　　由于模式能够控制什么可以存储于目录中，还描述了已经存储了什么，所以模式的写操作访问的缺省值对管理员是限制性的。Windows 2000提供了Microsoft Management Console (MMC)下的模式管理系统。要扩展模式，具有适当权限的用户可以创建新属性和种类。然后，属性可以加入新的或已存在的种类中。对于每个新属性或种类而言，都需要OID。

　　对象标识符(OIDs)

　　对象标识符是一个明确标识对象种类或目录服务7中属性的数字。OIDS通过解决问题权威发布，并且形成分层结构组织。OID表达为带有小数点的字串（例如，"1.2.3.4"）。企业（及个人）可以从解决问题权威那里得到一个根OID，并采用它分配附加的OID。例如，微软分配的根OID为1.2.840.113556。微软从此根内部管理进一步的分支。其中的一个分支用来给活动目录种类分配OID，另一个给活动目录属性分配OID，等等。

　　世界上的很多国家有确定的国家注册委员会 (NRA)，负责给企业分配OID。在美国，国家注册委员会是美国国家标准协会 (ANSI) 。国家注册委员会分配根OID。企业也可以为OID注册名称。根OID及注册名称都需要付款。可以与您们国家的国家注册委员会联系来获得详细资料8。

　　发布

　　发布是在目录中创建对象的操作，可以直接包括您想要公布的信息，也可以提供您想要公布信息的索引。举个例子，用户对象包括关于用户的有用信息，如他们的电话号、电子邮件地址；而一个卷对象包括共享文件系统卷的索引。

　　何时发布

　　当信息对用户群的大部分有用或可以引起他们的兴趣的时候，当信息需要成为可高度访问的时候，应该将它在活动目录中发布出来。

　　在活动目录中发布的信息有两个主要特征：

　　它是相对静态的而且不经常改变。电话号和相对静态信息的例子，适于发布；用户当前选择的电子邮件信息是高度不稳定信息的例子。

　　它是结构化的而且可以表征一系列离散的属性。用户的商业地址就是一个结构化信息的例子，适于发布；用户的声音的音频剪辑是非结构化信息的例子，更适于文件系统。

　　应用程序的操作信息特别适合在活动目录中发布。它包括一个给定应用程序应用于所有情况下的通用配置信息。例如，一个关系数据库可以在活动目录中作为一个对象为数据库服务器存储缺省的配置。新安装此产品时，可以从对象中收集缺省的配置，简化了安装过程，而且提高了企业中安装的一致性。

　　应用程序也可以在目录中发布它们的连接点。连接点是客户/服务器的结合处。活动目录采用服务管理点对象为集散服务管理定义了结构，而且为RPC，Winsock, 及COM应用程序提供了标准的连接点。未采用RPC或者Winsock界面来发布连接点的应用程序可以在目录中直接地发布服务连接点对象。

　　应用程序的数据在目录中也可以采用应用程序专用对象发布。应用程序专用对象应该满足上面讨论的标准。那就是说，数据应该是引起广泛兴趣的、相对稳定的及结构化的。

　　如何发布

　　发布的手段随应用程序或服务的变化而变化：

　　RPC-RPC应用程序采用API中的RpcNs*家族来在目录中发布连接点，及查询已经发布的服务的连接点。

　　Windows Sockets-Windows Sockets应用程序采用API中的注册与解决方案家族（可在Winsock 2.0中得到）来发布连接点，及查询已经发布的服务的连接点。

　　DCOM-DCOM服务通过活动目录中的DCOM Class Store来发布连接点。

　　组

　　Windows 2000引入了一些新的组特性

　　如果安装了下一个主要版本的Exchange，组可以当作分配列表。

　　组可以包含不安全的成员（当组既用作安全性目的又用作分配列表目的时，这一点很重要）

　　组的安全性用法可以取消（当组只作为分配列表应用时，这一点很重要）

　　组可以嵌套。

　　引入了一种组的新类型，通用组。

　　通用组（Universal Group）是形式最简单的组。通用组可以出现在森林中任意地点的ACL，而且可以包括其它通用组、全球组、及来自森林中任意地点的用户。小型安装可以专门应用通用组而不将它们与全球组及本地组相关。

　　全局组（Global Group）可以出现在森林中任意地点的ACL。全局组可以包括用户和来自其本身域的其它全局组。

　　域本地组只能应用于其本身自身域的ACL中。域本地组可以包括用户、来自森林中任意域的全球组、世界组、及其本身自身域的其它域本地组。

　　这三种组类型提供了丰富而灵活地控制环境的途径，从而减少了由组成员改变引起的与全局目录的复制交换。通用组出现在GC中，但它包括来自森林中域的基本全局组。一旦全局组建立起来了，通用组的成员就不会经常改变了。全局组出现在GC中但不是它们的成员。全局组成员的改变不会复制出它们定义的域。域本地组只在它们定义的域出现，根本不在GC中出现。

　　您可以将Windows NT 3.51 及 4.0系统直接升级为Windows 2000。Windows NT 3.1 及3.5系统在可以升级为Windows 2000之前，必须先升级为Windows NT 3.51 或 4.0。Windows 2000的新安装可以在Windows 2000 Hardware Compatibility List中列出的任意系统中进行。

　　域控制器

　　域控制其保留了目录的一份拷贝。在 Windows NT 3.51 和4.0中，有两种域控制器--主域控制器（PDC）和备份域控制器（BDC）。主域控制器保存了一份读/写拷贝，而备份域控制器保存了一份只读拷贝。

　　在Windows 2000中，所有的域控制器为给定的域都保存了一份可写了目录拷贝。没有主和备份之分；所有域控制器都是相同的。

　　要迁移Windows NT 3.51 或 4.0的域到Windows 2000，您必须首先升级域的主域控制器到Windows 2000。这样，域中的用户和组就自动地由域目录装载于活动目录。作为升级的一部分，您可以指定此域是否为：

　　新森林中一个新树的根

　　已存在森林中一个新树的根

　　域的一个已存在树的子代

　　按这一观点，域是一个混合域。您可以采用Windows 2000管理工具来管理域，还可以在目录中创建组织单元文件夹的组织结构来委托管理权。备份域控制器、成员服务器、及客户没有改变而且不会意识到PDC现在是一个活动目录服务器。

　　要迁移备份域控制器，需要将每一个升级到Windows 2000。升级过程能够识别备份域控制器，自动地将它安装为活动目录的一个复制品，而且将它插入复制拓扑。当所有的域控制器都升级到Windows 2000时，域就不再是混合域，而且支持嵌套的域。

　　成员服务器

　　要迁移成员服务器，要将它们升级到Windows 2000。本地用户和本地组储存域成员服务器的注册表中，并不移入活动目录。升级成员服务器到Windows 2000允许它加入Kerberos防卫，增加了对活动目录探测应用程序的支持，还加入了微软管理控制台、活动目录探测外壳及通用对话框。

　　用户机

　　要迁移到基于Windows NT Workstation的客户机，要升级他们到Windows 2000专业版。您可以迁移基于Windows 95的客户机，通过安装一个服务包来实现这一点。服务包中还包括为使活动目录响应而必需的附加软件组件。升级客户使得他能够加入Kerberos防卫，加入了活动目录探测应用程序，还加入了活动目录探测外壳及通用对话框。

　　用户帐号

　　当低级的PDC（3.51或者4.0）升级到Windows 2000时，用户迁移到了活动目录并且被放置在域根下称为"Users"的容器中。

　　机器帐号

　　当低级的PDC（3.51 或者4.0）升级到Windows 2000时，机器帐号迁移到了活动目录并且被放置在域根下称为Computers的容器中。

　　全局组

　　当低级的PDC (3.51或者4.0)升级到Windows 2000时，组迁移到了活动目录并且被放置在域根下称为Users的容器中。内置组在特定的Built-in组中。

　　常见问题

　　工作站如何找到它的站点？

　　工作站通过将它的子网提交给它连接的第一个活动目录服务器来找到它的站点。工作站通过对其IP地址采用子网掩码的方式来决定子网的。子网掩码和IPO地址是通过DHCP配置或静态配置的。连接的第一个服务器采用提交的子网来为工作站所在的站点确定站点对象。如果当前的服务器不在那个站点，服务器将通知工作站采用更合适的服务器。

　　工作站如何找到目录服务器？

　　工作站通过查询DNS的方式找到目录服务器。给定域的目录服务器在DNS中以如下形式发布SRV 资源记录：LDAP.TCP.

　　这样，登录到Microsoft.com上的工作站可以查询DNS的SRV记录找到LDAP.TCP.Microsoft.com。可以从列表中找出服务器并连接。连接的服务器将用工作站提交的子网信息来象前一个回答中描述的那样确定最好的服务器。

　　我如何登录？

　　用户可以采用各种各样格式的各种各样的名称登录Windows 2000专业版。其中包括Win32的可用来进行必要的名称格式转换的应用程序界面DsCrackNames所支持的名称格式。

　　域名NETBIOS及SAM-Account-Name-This都是Windows NT 4.0风格的登录名称。域名NETBIOS是迁移前域的名称。SAM-Account-Name是迁移前用户的帐户名。

　　用户主名-其格式为@。如果名称不是唯一的，登录尝试将以一种未知的错误而失败。

　　在迁移后域资源中的访问控制列表发生了什么变化？

　　访问控制列表不会被迁移直接影响。如果所有Windows NT 3.51 及 Windows NT 4.0域都迁移到位，那么从ACL方面来看是没有变化的。

　　如果您将服务器从资源域移到了迁移帐号域中的组织单元，并且删除了资源域，那么您需要编辑一存有现在已删除域ACE的ACL。这不是Windows 2000迁移的功能；如果您在任意版本的Windows NT中删除了一个域，那么由此域发布的安全标识符都将无效。

　　为了减少重新整理ACL资源的工作，如果您在Windows NT 3.51 或4.0中有一个资源域，而且您想要在Windows 2000中用OU代替它并删除它，您不应该将组从资源域装入ACL中。

　　注意，这并不影响来自成员服务器的本地组；它只影响那些来自域控制器的本地组。

　　作为Windows 2000的一部分，Microsoft将提供辅助整理ACL资源的工具。

　　如果我删除了一个域，ACLs将发生什么变化？

　　当您在一个域中创建了一个组，将由这个域发布一个安全标识符（SID）。当您将SID加入ACL时，它保证了在他们标志中具有SID的用户的访问权。用户通过在发布SID的域上登录在他们的标志中获得SID。这样就可以网络登录并且透明地进行。

　　当您编辑ACL时，LookupAccountNameAPI要访问SID。如果您删除了发布SID的域，您将在ACL的用户及组列表中看到"Unknown User"。如果您在Windows NT 3.51 和 Windows NT 4.0中删除了域或移去了信任连接，这种情况将发生。

　　本地组将发生什么变化？

　　这个答案有两个部分：

　　部分1：成员服务器上的本地组--成员服务器上的本地组停留在本地；它们只存在于成员服务器的SAM中，并且不迁移到活动目录中。成员服务器中的本地组的一个典型功能时保存来自帐户于的全球组。服务器管理员将本地组加入服务器资源的ACL中，并且将全球组加入本地组。在Windows 2000中，这种情况没有改变。唯一的不同在于全球组变成了通常的组并且在活动目录中发布。

　　部分2：在PDC和BDC上的本地组--备份域控制器有一个只读的SAM。当您在BDC上创建一个本地组时，对PDC而言是远程的而且复制给所有BDC。从语义上讲，这些本地组与成员服务器上的本地组是一致的，但它们存在于PDC上或所有BDC上。当您升级到Windows 2000时，升级过程为它们中的每个在活动目录中创建了本地组域对象。

　　何时查询全局目录？

　　对全局目录的查询是以下面集中方式之一开始的：

　　通过子树或一级LDAP植根于空DN（名字空间的根）的查询--这就产生了全局目录的索引。

　　通过直接参考GC拷贝的GC端口（尽管客户程序不太可能通过这一途径）。

　　通过参考外在的GC ADSI provider (GC://)。

　　我一定要用Microsoft的DNS服务器吗？

　　不是这样。采用Microsoft DNS有明显的优点，但任何RFC-compliant DNS服务器都可以工作。推荐采用动态DNS，因为采用动态DNS时，活动目录服务器可以在DNS中自动低注册必要的记录。静态DNS服务器工作得同样很好，但每个活动目录服务器的DNS注册必须人工完成。

　　采用Microsoft的DNS服务器的优点是什么？

　　Windows 200中包括的DNS服务器是RFC 和 BIND兼容动态DNS的工具。对Windows 2000而言，它是本地工具而不是公共域中BIND工具的端口。Microsoft DNS服务器储存了DNS区域因为在活动目录中它是强有力的。DNS数据在Microsoft DNS服务器中可以通过活动目录而不是通过区域传送复制。Microsoft DNS服务器支持同其它DNS服务器进行相互操作的标准DNS区域。

　　DHCP发生了什么变化？

　　DHCP 服务器没有为Windows 2000大幅度改变。DHCP客户是DNS响应的而且采用了动态DNS服务在DNS中来注册由DHCP直接发布的地址。如果DHCP确认了WINS服务器DHCP客户将继续采用WINS注册。

　　WINS发生了什么变化？

　　WINS没有为Windows 2000改变什么。Windows 2000客户（及更新安装活动目录的Windows 95客户）不再需要采用NETBIOS名字空间。WINS对于低级客户寻找服务器仍然是需要的，反之亦然。当在企业中不再有低级用户时，WINS就可以不再使用了。