Windows 2000活动目录简介

　　Windows 2000 Server操作系统的安装只是整个服务器安装的第一步，要想让它起到服务器的功能，还必须进行相应的设置。首先将其设置为一台域控制器，从而对网络进行 管理。

　　目录服务就是将网络系统中的各种网络设备、网络服务、网络账户等资源信息集中起来进行管理，为使用者提供一个统一的清单。Windows 2000通过对目录服务数据库的维护来管理网络上众多的计算机、网络设备、打印设备、共享文件、共享打印、网络账户等基本信息和安全信息，提供对系统资源及服务的跟踪定位，使各种资源和服务对用户透明，用户不必知道资源的具体位置就可以方便地访问它们。

　　活动目录充分体现了Microsoft产品的ICE特性，即集成性(Integration)、深入性(Comprehensive)和易用性(Ease of Use)等优点。活动目录是一个完全可扩展、可伸缩的目录服务，既能满足商业ISP的需要，又能满足企业内部网和外联网的需要。

　　活动目录是从一个数据存储开始的。它采用的是Exchange Server的数据存储方式，称为Extensible Storage Service (ESS)。其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能非常优良。在这个数据存储之上已建立索引，可以方便快速地搜索和定位信息。活动目录的分区是域，一个域可以存储上百万个对象。域之间还有层次关系，可以建立域树和域森林，并可无限地扩展。在数据存储之上建立了一个对象模型，以构成活动目录。这一对象模型对LDAP完全支持，还可以管理和修改Schema。Schema包括了活动目录中的计算机、用户和打印机等所有对象的定义，其本身也是活动目录的内容之一，在整个域森林中是惟一的。通过修改Schema，用户或开发人员可以自己定义特殊的类和属性来创建所需要的对象和对象属性。

　　活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器；而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一种分布式的目录服务，信息可以分散在多台不同的计算机上，以保证快速访问和容错；同时，不管用户从何处访问或信息处在何处，都对用户提供统一的视图。

　　Windows 2000目录服务仍然采用域作为其基本的管理单位，但增进了许多新的功能。域模式的最大好处就是它的单一网络登录能力，任何用户只要在域中有一个账户，就可以漫游网络，但对于以往域的信任关系许多管理员颇有微词，认为它过分强调安全性而可调整性不够。新一代的动态目录服务扩展了域目录树的灵活性，增强了信任关系。它把一个域作为一个完整的目录，域之间能够通过一种基于Kerberos认证的可传递的信任关系建立起树状连接，从而使单一账户在该树状结构中的任何地方都有效，这样在网络管理和扩展时就比较轻松了。同时动态目录服务把域又详细划分成组织单元(Organizational Unit，OU)，组织单元是一个逻辑单位，它是域中一些用户和组、文件与打印机等资源对象。组织单元中还可以再划分下级组织单元。组织单元具有继承性，子单元能够继承父单元的访问许可权。每一个组织单元可以有自己单独的管理员并指定其管理权限，他们管理着不同的任务，从而实现了对资源和用户的分级管理。域目录树中的每一个节点都有自己的安全边界。域的这种层次结构既保证了安全性，又做到细致兼备。动态目录服务通过这种域内的组织单元树和域之间的可传递信任树来组织其信任的对象，实现颗粒式管理，为动态活动目录的管理和扩展带来了极大的方便。这样，在Windows 2000中一个域能够轻松地管理多达数万个对象，而一棵域树则可以是包含上亿个对象的庞大的网络。

　　在Windows 2000中，由于采用了动态活动目录服务，不再区分主域控制器和备份域控制器，域中所有域控制器之间都是平等的关系。不区分主域控制器和备份域控制器并不会增加管理的复杂性，这主要是因为动态活动目录在进行目录复制时不是沿用一般目录服务的主从方式，而是采用多主复制方式，从而摆脱了对时间戳的依赖。Windows 2000在复制目录库时对各个对象的修改顺序数进行大小比较，判断它们被修改的先后顺序，结果最新修改的对象属性被保留。旧的属性就被新的属性所取代，这就保证每一个域控制器上的目录服务数据库都是最新的。通过这种方式，任何一个域控制器上的目录库的变更都会自动复制到其他域控制器上的副本中。复制并没有加重域目录树的网络负担，这是因为动态目录服务的目录库不是一个大块，而是由许多小块组成，并且那些易变的对象不在一般目录库中存放，而是单独存储的，保证了在复制目录库时就只复制本域需要的对象，而且越是紧急的变更系统会越快进行复制。另外，Windows 2000也不再划分全局组和本地组，组内可以包含任何用户和其他组账户，而不管它们在域目录树的什么位置。

　　Windows 2000动态目录服务的另一大特点是其与Internet的融合，为此它把DNS作为其定位服务。本着去粗取精的原则，Windows 2000吸收X.500和DNS的优点，并完美地结合起来。为了克服DNS管理难度大的缺点，Windows 2000将DNS与其特有的DHCP和WINS紧密配合，同时支持将来的动态DNS，从而使DNS管理变得易于操作。另外，Windows 2000广泛地支持标准的命名规则，例如，WWW使用的HTTPURL命名规则、 Internet电子邮件使用的RFC822命名规则、NetBIOS采用的UNC命名规则以及LDAPURLS和X.500命名规则等。

　　为了扩展的需要，Windows 2000动态目录服务内置了轻便目录访问C语言、动态目录组件、开放服务信息处理等API接口，为目录服务的应用和开发提供了强大的工具。在向上发展的同时，Windows 2000也向下兼容，Windows NT和旧的BackOffice系统可以很容易的融进Windows 2000动态活动目录，或者直接升级到Windows 2000系统。

　　活动目录是Windows平台的一个核心的部件，活动目录服务提供了一种管理组成网络环境的各种对象的标志和关系的方法。Windows Server 2003使得活动目录能够更为简单地管理、迁移和部署。