Windows 2000的活动目录技术摘要

　　安全性

　　这只是对活动目录安全性的概述。 要了解关于Windows 2000安全模型的更多信息，请查阅"使用Microsoft Windows 2000分布式安全性的安全网络"白皮书。

　　对象保护

　　活动目录中所有的对象都在访问控制列表(ACL)的保护下。ACL决定了谁可以看这些对象及每一个用户可以对这些对象进行什么操作。对于用户，永远也看不到他未被授权的对象。

　　ACL是一个存储了它保护的对象的访问控制入口（ACE）列表。在Windows 2000中，ACL以二进制数值的形式存储，叫作安全性描述符。每一个ACE包括一个安全性标识符（SID），它标识了ACE适用的委托人（用户或组）及ACE允许或禁止访问的信息类型。

　　目录对象的ACL包括适用于整体对象的ACE及适用于对象单个属性的ACE。这使得管理员不仅能够控制哪一个用户能够看到对象，而且可以控制这些用户可以看到那些属性。例如，所有用户可以保证允许阅读其它用户的电子邮件和电话号属性，但安全性属性可能支队具有特殊安全性的管理员群体开放。个别用户可能允许在他们个人自己的用户对象上写个人的属性例如：电话和通信地址。

　　委托

　　委托是活动目录最重要的安全特性之一。委托使得较高级的管理员对个人或组授予对容器和子树授予特定的管理权。这样就通过取消大部分用户组的权利而消除了对"域管理员"的需求。

　　ACE可以给用户或组授予对容器中对象的特定的管理权。权利是对特定对象种类的特定操作而授予的，它是通过容器的ACL中的ACE给予的。例如，为了允许用户"James Smith"成为"公司会计"组织单位的管理者，您应该向"公司会计"的ACL中加入如下ACE5：

　　"James Smith";Grant ;Create, Modify, Delete;Object-Class User

　　"James Smith";Grant ;Create, Modify, Delete;Object-Class Group

　　"James Smith";Grant ;Write;Object-Class User; Attribute Password

　　现在，James Smith可以在"公司会计"中创建新的用户和组，并且可以设置现存用户的密码。但他不能创建其它的对象种类，而且他不能影响在任意其它容器中的用户（当然，除非ACE授予他对其它容器的访问权）。

　　继承

　　继承使得一个给定的ACE在可以从它应用的容器传播到其所有子孙的容器。继承可以与委托相结合，从而保证对目录中整个子树的某一单一操作的管理权。

　　复制

　　活动目录提供多主版本复制。多主版本复制意味着给定分区的所有拷贝都是可写的。这就使得给定分区的任意拷贝的更新都可以完成。活动目录复制系统将一个给定拷贝的改变传递给所有其它拷贝。复制是自动而且透明的。

　　更新传播

　　一些目录服务采用时间标志来检测和传播改变。在这些系统中，保持所有目录服务器的同步是非常重要的。在网络中保持时间同步是非常困难的。即使在非常好的时间同步网络中，对某一给定目录服务器而言，时间设置也有可能是错误的。这就可能导致更新的遗失。

　　Windows 2000 提供分布式时间同步，但是活动目录复制系统并不依靠时间来保证更新传播。 作为替代，活动目录复制系统采用更新序列数（USN）。USN是一个64位数，由每个活动目录服务器保持。当服务器向活动目录写任意属性时，USN更新并且与所写属性共同存储。这一过程时自动完成的--这就是说，USN的增加与存储和属性写的成功和失败是作为单一单元工作的。

　　每一个活动目录服务器还保持由从复制同伴得到的USN表。从每个同伴得到的最高USN存储于这个表中。当一个给定的同伴通知目录服务器需要复制是，服务器对所有比最近一次收到数值高的USN发出请求。这是一个非常简单的途径而且不依赖于精确的时间标志。由于接收每次更新时表中存储的USN是自动更新的，所以失败后的恢复也是很简单的。要重新启动复制，服务器只需对其同伴表中比最近一次有效登录值高的USN发出请求。由于当改变有效时表是自动更新的，被打断的复制周期通常可以从它打断的位置重新进行，而不失去任何复制的更新。

　　冲突检测--版本号

　　在一个类似于活动目录的多主版本复制系统中，同一个属性更新两个或多个不同的拷贝是可能的，当第二个（或第三个、第四个等等）拷贝的改变在第一个拷贝的改变完全传播之前进行时，复制冲突就发生了。冲突是通过采用属性版本号检测的。与USN是服务器确定值不同，属性版本号时由活动目录对象的属性确定的。在活动目录对象的属性第一次写入时，就进行版本号的初始化。

　　源写入（Originating writes）可以更新版本号。源写入是一个在系统初始化改变时向属性进行的写过程。由复制引起的属性写过程不是源写入而且不更新版本号。例如，当用户更新他或她的密码时，源写过程就发生了，版本号也更新了。在其它服务器上发生的改变密码的复制写过程并不改变版本号。

　　在一个复制过程中，接收到的属性版本号与本地存储的属性版本号相对应，如果二者不同，那么在接收到通过该复制引起的改变时，就检测到了冲突。当这一过程发生时，接收系统会采用具有 较迟时间标志的更新。这是在复制过程中唯一采用时间的情况。

　　当接收到的版本号比本地存储的版本号低时，就意味着这个更新是过时的而且可以放弃了。当接收到的版本号比本地存储的版本号高时，更新就被接受了。

　　传播衰减

　　活动目录复制系统允许在复制拓扑中的循环。这样就允许管理员在服务器中配置具有多路径的复制拓扑，从而提高效果和有效性。活动目录复制系统采用传播衰减来避免改变的无限传播及对已更新拷贝的冗余传送。

　　活动目录复制系统采用最新向量来衰减传播。最新向量是在每个服务器中存储的server-USN对列表。在每个服务器中的最新向量表征了从server-USN对中的服务器得到的定向写过程的最高USN。在给定地址列表中的服务器的最新向量所有该位置的其它服务器。

　　当一个复制周期开始时，请求服务器将它的最新向量发送给传送服务器。传送服务器采用最新向量来过滤发送给请求服务器的改变。如果一个给定定向写过程的高USN大于等于某一特定更新的定向写过程的USN，那么传送服务器就不需要传送改变；请求服务器相对于定向写过程已经是最新的了。

　　树与森林

　　Windows 2000的域树是Windows 2000域的分层结构组织，每一个都由活动目录的一个分区构成。树的形态及树成员之间的关系由域的DNS名决定。在一个树中的域一定要组成一个临近的名字空间，例如a.myco.com是myco.com的子代，b.myco.com是a.myco.com的子代，等等。

　　可传递的双向信任

　　当一个域加入一个Windows 2000域树中时，在加入域与它树中父代之间的可传递双向信任关系就自动建立了。由于信任时可传递的和双向的，所以树成员之间的其它附加信任关系是不需要的。信任分层结构组织作为目录的元数据存储与配置容器中。

　　当一个与加入树时，这些需要的对象都可以在目录中建立。

　　名字空间

　　Windows 2000域树中的域必须构成一个临近的名字空间。缺省值为，每一个域的直接的子代是临近的，而且已经是它们名字空间的一部分。这意味着子代域中的每个对象的显著名以父代域的名字作为前缀。不相连贯的树可以结合成森林。

图7 父代域和子代域构成了临近的名字空间因为子代域名称是父代域名称的附属

　　例如，父域，O=Internet/DC=COM/DC=Microsoft；子域，O=Internet/DC=COM/DC=Microsoft/DC=PBS，构成了临近的命名树，因为根对象在父代域中。

　　O=Internet/DC=COM/DC=Microsoft是子代中根对象（O=Internet/DC=COM/DC=Microsoft/DC=PBS）的直接父代。因为父代和子代构成了一个命名树，所以在父代中进行的深入搜索会自动地搜索子代。

　　什么时候构成域树

　　Windows 2000的域树是企业范围的活动目录。在给定企业中的所有Windows 2000域都应该属于企业域树。需要支持具有不相连贯的DNS名称域的公司，应该建立森林。

　　如何建立域树或森林

　　Windows 2000的域在安装的过程中进入到域树中。在安装新的Windows 2000服务器时（或者在更新Windows NT的早期版本时），管理员可以有如下选择：

　　在一个新森林中创建第一个树

　　在一个现存森林中创建一个新树

　　创建一个现存域的新拷贝

　　安装子域

　　要加入域树，选择Install a Child Domain并且确认新子域的父代域。将来Windows的更新将增两个（或更多）现存树共同加入某单一、较大树中的功能。在现存树中的域可以自由的移动，从而改变树的总体形态。规划良好的树时非常重要的，但是什么时良好的时非常主观的，而且建立在您们组织的特定需要上。象需要的那样，改造树的能力降低了事先了解正确设计的重要性。

　　站点

　　站点是网络中假定机器间的连接都非常良好的区域。Windows 2000定义一个区域为一个或多个IP子网。这建立在具有相同子网地址的计算机都立即在网络同一部分的假设上，典型地，LAN或其它高带宽6环境例如Frame Relay, ATM,或其它的环境。

　　Windows 2000采用站点的信息来定位靠近用户的活动目录服务器。当一个用户工作站连接到网上时，它从DHCP服务器接收一个TCP/IP地址，来确认此工作站附属于哪个子网。具有静态配置IP地址的工作站，也具有静态配置子网信息。在任何一种情况下，Windows 2000的域控制器（DC）定位器都将在已知的关于工作站的子网信息的基础上，尝试在用户的同一子网内定位一个活动目录服务器。

　　站点与复制

　　Windows 2000复制系统为给定站点的活动目录服务器间的复制自动地产生一个环状拓扑。在一个位置，目录复制通过远程控制访问（RPC）完成。在站点之间，复制可以选择性地采用RPC或通讯配置。Windows 2000提供简单地的SMTP通讯作为标准特性。如果Microsoft Exchange可用，那么站点内部的复制可以通过Exchange完成，采用Exchange支持的任意多邮件传输协议（包括SMTP, X.400及其它协议）

　　规划站点

　　最小的站点只包括一个单独的IP子网。Windows 2000假设在同一站点的所有机器分享高带宽网络。确定了这一点，良好的站点设计应该是一个使分配给给定站点的所有子网分享这样一个网络的设计。通过广域网分离出来地网络的区域，多线路或其它较慢地连接应该在隔离的站点中。

　　模式

　　活动目录模式定义了所有对象种类的集合及可以存储于目录中的属性。对于每一个对象种类，通过指定此种类的合法父代，模式定义了它可以创建于目录树中何处。种类的内容使通过种类必须或可以包括属性列表来定义的。

　　何时扩展模式

　　当没有现存的目录种类满足手头需要时，用户和应用程序就需要扩展模式。控制模式是一个简单、直接的过程。

　　加入属性

　　新属性可以在任何时候加入到模式中。一个属性的定义包括名称、唯一对象标识符、定义属性存储数据类型的语法及可选择的范围限制。对于字串，数值限制设定字串长度的最大与最小值。对于整数，数值限制设定整数的最大与最小值。

　　在活动目录中查询的效果直接与可用来优化给定查询的索引的有效性有关。当没有索引可以满足给定查询时，LDAP服务器必须要读遍整个分区来满足查询的要求。当您定义一个属性时，您可以选择为这一属性建立一个索引。也可以通过设置attributeSchema对象的searchFlags属性为1，来为一个给定属性建立索引。您应在如下时候将一个属性编入索引：

　　经常应用于查询的属性。加入索引消耗存储空间，而且会影响插入的运行（因为当插入一个项目时必须要对索引进行维护），因此您不应该把一个不常用的属性加入索引。

　　属性的值必须高度唯一化。布尔值属性应该永远不编入索引中，因为布尔值属性只可能有两个可能的值：是或否。职员号及姓是高度唯一化的，因此很利于编入索引。

　　属性应该对应您感兴趣的对象。将一个属性编入索引使您能够快速地找到含有属性范例的对象。在加入索引之前，应确定您正在加入的属性是您希望查询的对象一定具有或可能具有的。

　　加入新对象

　　新对象种类可以在任何时候加入模式中。一个对象定义包括名称、对象标识符(OID)、可以包括和必须包括属性的列表、可作为此对象父代的种类列表、对象起源的种类及可应用于此对象的任意附加种类列表。

　　如何扩展模式

　　由于模式能够控制什么可以存储于目录中，还描述了已经存储了什么，所以模式的写操作访问的缺省值对管理员是限制性的。Windows 2000提供了Microsoft Management Console (MMC)下的模式管理系统。要扩展模式，具有适当权限的用户可以创建新属性和种类。然后，属性可以加入新的或已存在的种类中。对于每个新属性或种类而言，都需要OID。

　　对象标识符(OIDs)

　　对象标识符是一个明确标识对象种类或目录服务7中属性的数字。OIDS通过解决问题权威发布，并且形成分层结构组织。OID表达为带有小数点的字串（例如，"1.2.3.4"）。企业（及个人）可以从解决问题权威那里得到一个根OID，并采用它分配附加的OID。例如，微软分配的根OID为1.2.840.113556。微软从此根内部管理进一步的分支。其中的一个分支用来给活动目录种类分配OID，另一个给活动目录属性分配OID，等等。

　　世界上的很多国家有确定的国家注册委员会 (NRA)，负责给企业分配OID。在美国，国家注册委员会是美国国家标准协会 (ANSI) 。国家注册委员会分配根OID。企业也可以为OID注册名称。根OID及注册名称都需要付款。可以与您们国家的国家注册委员会联系来获得详细资料8。

　　发布

　　发布是在目录中创建对象的操作，可以直接包括您想要公布的信息，也可以提供您想要公布信息的索引。举个例子，用户对象包括关于用户的有用信息，如他们的电话号、电子邮件地址；而一个卷对象包括共享文件系统卷的索引。

　　何时发布

　　当信息对用户群的大部分有用或可以引起他们的兴趣的时候，当信息需要成为可高度访问的时候，应该将它在活动目录中发布出来。

　　在活动目录中发布的信息有两个主要特征：

　　它是相对静态的而且不经常改变。电话号和相对静态信息的例子，适于发布；用户当前选择的电子邮件信息是高度不稳定信息的例子。

　　它是结构化的而且可以表征一系列离散的属性。用户的商业地址就是一个结构化信息的例子，适于发布；用户的声音的音频剪辑是非结构化信息的例子，更适于文件系统。

　　应用程序的操作信息特别适合在活动目录中发布。它包括一个给定应用程序应用于所有情况下的通用配置信息。例如，一个关系数据库可以在活动目录中作为一个对象为数据库服务器存储缺省的配置。新安装此产品时，可以从对象中收集缺省的配置，简化了安装过程，而且提高了企业中安装的一致性。

　　应用程序也可以在目录中发布它们的连接点。连接点是客户/服务器的结合处。活动目录采用服务管理点对象为集散服务管理定义了结构，而且为RPC，Winsock, 及COM应用程序提供了标准的连接点。未采用RPC或者Winsock界面来发布连接点的应用程序可以在目录中直接地发布服务连接点对象。

　　应用程序的数据在目录中也可以采用应用程序专用对象发布。应用程序专用对象应该满足上面讨论的标准。那就是说，数据应该是引起广泛兴趣的、相对稳定的及结构化的。

　　如何发布

　　发布的手段随应用程序或服务的变化而变化：

　　RPC-RPC应用程序采用API中的RpcNs*家族来在目录中发布连接点，及查询已经发布的服务的连接点。

　　Windows Sockets-Windows Sockets应用程序采用API中的注册与解决方案家族（可在Winsock 2.0中得到）来发布连接点，及查询已经发布的服务的连接点。

　　DCOM-DCOM服务通过活动目录中的DCOM Class Store来发布连接点。

　　组

　　Windows 2000引入了一些新的组特性

　　如果安装了下一个主要版本的Exchange，组可以当作分配列表。

　　组可以包含不安全的成员（当组既用作安全性目的又用作分配列表目的时，这一点很重要）

　　组的安全性用法可以取消（当组只作为分配列表应用时，这一点很重要）

　　组可以嵌套。

　　引入了一种组的新类型，通用组。

　　通用组（Universal Group）是形式最简单的组。通用组可以出现在森林中任意地点的ACL，而且可以包括其它通用组、全球组、及来自森林中任意地点的用户。小型安装可以专门应用通用组而不将它们与全球组及本地组相关。

　　全局组（Global Group）可以出现在森林中任意地点的ACL。全局组可以包括用户和来自其本身域的其它全局组。

　　域本地组只能应用于其本身自身域的ACL中。域本地组可以包括用户、来自森林中任意域的全球组、世界组、及其本身自身域的其它域本地组。

　　这三种组类型提供了丰富而灵活地控制环境的途径，从而减少了由组成员改变引起的与全局目录的复制交换。通用组出现在GC中，但它包括来自森林中域的基本全局组。一旦全局组建立起来了，通用组的成员就不会经常改变了。全局组出现在GC中但不是它们的成员。全局组成员的改变不会复制出它们定义的域。域本地组只在它们定义的域出现，根本不在GC中出现。

　　您可以将Windows NT 3.51 及 4.0系统直接升级为Windows 2000。Windows NT 3.1 及3.5系统在可以升级为Windows 2000之前，必须先升级为Windows NT 3.51 或 4.0。Windows 2000的新安装可以在Windows 2000 Hardware Compatibility List中列出的任意系统中进行。

　　域控制器

　　域控制其保留了目录的一份拷贝。在 Windows NT 3.51 和4.0中，有两种域控制器--主域控制器（PDC）和备份域控制器（BDC）。主域控制器保存了一份读/写拷贝，而备份域控制器保存了一份只读拷贝。

　　在Windows 2000中，所有的域控制器为给定的域都保存了一份可写了目录拷贝。没有主和备份之分；所有域控制器都是相同的。

　　要迁移Windows NT 3.51 或 4.0的域到Windows 2000，您必须首先升级域的主域控制器到Windows 2000。这样，域中的用户和组就自动地由域目录装载于活动目录。作为升级的一部分，您可以指定此域是否为：

　　新森林中一个新树的根

　　已存在森林中一个新树的根

　　域的一个已存在树的子代

　　按这一观点，域是一个混合域。您可以采用Windows 2000管理工具来管理域，还可以在目录中创建组织单元文件夹的组织结构来委托管理权。备份域控制器、成员服务器、及客户没有改变而且不会意识到PDC现在是一个活动目录服务器。

　　要迁移备份域控制器，需要将每一个升级到Windows 2000。升级过程能够识别备份域控制器，自动地将它安装为活动目录的一个复制品，而且将它插入复制拓扑。当所有的域控制器都升级到Windows 2000时，域就不再是混合域，而且支持嵌套的域。

　　成员服务器

　　要迁移成员服务器，要将它们升级到Windows 2000。本地用户和本地组储存域成员服务器的注册表中，并不移入活动目录。升级成员服务器到Windows 2000允许它加入Kerberos防卫，增加了对活动目录探测应用程序的支持，还加入了微软管理控制台、活动目录探测外壳及通用对话框。

　　用户机

　　要迁移到基于Windows NT Workstation的客户机，要升级他们到Windows 2000专业版。您可以迁移基于Windows 95的客户机，通过安装一个服务包来实现这一点。服务包中还包括为使活动目录响应而必需的附加软件组件。升级客户使得他能够加入Kerberos防卫，加入了活动目录探测应用程序，还加入了活动目录探测外壳及通用对话框。

　　用户帐号

　　当低级的PDC（3.51或者4.0）升级到Windows 2000时，用户迁移到了活动目录并且被放置在域根下称为"Users"的容器中。

　　机器帐号

　　当低级的PDC（3.51 或者4.0）升级到Windows 2000时，机器帐号迁移到了活动目录并且被放置在域根下称为Computers的容器中。

　　全局组

　　当低级的PDC (3.51或者4.0)升级到Windows 2000时，组迁移到了活动目录并且被放置在域根下称为Users的容器中。内置组在特定的Built-in组中。

　　常见问题

　　工作站如何找到它的站点？

　　工作站通过将它的子网提交给它连接的第一个活动目录服务器来找到它的站点。工作站通过对其IP地址采用子网掩码的方式来决定子网的。子网掩码和IPO地址是通过DHCP配置或静态配置的。连接的第一个服务器采用提交的子网来为工作站所在的站点确定站点对象。如果当前的服务器不在那个站点，服务器将通知工作站采用更合适的服务器。

　　工作站如何找到目录服务器？

　　工作站通过查询DNS的方式找到目录服务器。给定域的目录服务器在DNS中以如下形式发布SRV 资源记录：LDAP.TCP.

　　这样，登录到Microsoft.com上的工作站可以查询DNS的SRV记录找到LDAP.TCP.Microsoft.com。可以从列表中找出服务器并连接。连接的服务器将用工作站提交的子网信息来象前一个回答中描述的那样确定最好的服务器。

　　我如何登录？

　　用户可以采用各种各样格式的各种各样的名称登录Windows 2000专业版。其中包括Win32的可用来进行必要的名称格式转换的应用程序界面DsCrackNames所支持的名称格式。

　　域名NETBIOS及SAM-Account-Name-This都是Windows NT 4.0风格的登录名称。域名NETBIOS是迁移前域的名称。SAM-Account-Name是迁移前用户的帐户名。

　　用户主名-其格式为@。如果名称不是唯一的，登录尝试将以一种未知的错误而失败。

　　在迁移后域资源中的访问控制列表发生了什么变化？

　　访问控制列表不会被迁移直接影响。如果所有Windows NT 3.51 及 Windows NT 4.0域都迁移到位，那么从ACL方面来看是没有变化的。

　　如果您将服务器从资源域移到了迁移帐号域中的组织单元，并且删除了资源域，那么您需要编辑一存有现在已删除域ACE的ACL。这不是Windows 2000迁移的功能；如果您在任意版本的Windows NT中删除了一个域，那么由此域发布的安全标识符都将无效。

　　为了减少重新整理ACL资源的工作，如果您在Windows NT 3.51 或4.0中有一个资源域，而且您想要在Windows 2000中用OU代替它并删除它，您不应该将组从资源域装入ACL中。

　　注意，这并不影响来自成员服务器的本地组；它只影响那些来自域控制器的本地组。

　　作为Windows 2000的一部分，Microsoft将提供辅助整理ACL资源的工具。

　　如果我删除了一个域，ACLs将发生什么变化？

　　当您在一个域中创建了一个组，将由这个域发布一个安全标识符（SID）。当您将SID加入ACL时，它保证了在他们标志中具有SID的用户的访问权。用户通过在发布SID的域上登录在他们的标志中获得SID。这样就可以网络登录并且透明地进行。

　　当您编辑ACL时，LookupAccountNameAPI要访问SID。如果您删除了发布SID的域，您将在ACL的用户及组列表中看到"Unknown User"。如果您在Windows NT 3.51 和 Windows NT 4.0中删除了域或移去了信任连接，这种情况将发生。

　　本地组将发生什么变化？

　　这个答案有两个部分：

　　部分1：成员服务器上的本地组--成员服务器上的本地组停留在本地；它们只存在于成员服务器的SAM中，并且不迁移到活动目录中。成员服务器中的本地组的一个典型功能时保存来自帐户于的全球组。服务器管理员将本地组加入服务器资源的ACL中，并且将全球组加入本地组。在Windows 2000中，这种情况没有改变。唯一的不同在于全球组变成了通常的组并且在活动目录中发布。

　　部分2：在PDC和BDC上的本地组--备份域控制器有一个只读的SAM。当您在BDC上创建一个本地组时，对PDC而言是远程的而且复制给所有BDC。从语义上讲，这些本地组与成员服务器上的本地组是一致的，但它们存在于PDC上或所有BDC上。当您升级到Windows 2000时，升级过程为它们中的每个在活动目录中创建了本地组域对象。

　　何时查询全局目录？

　　对全局目录的查询是以下面集中方式之一开始的：

　　通过子树或一级LDAP植根于空DN（名字空间的根）的查询--这就产生了全局目录的索引。

　　通过直接参考GC拷贝的GC端口（尽管客户程序不太可能通过这一途径）。

　　通过参考外在的GC ADSI provider (GC://)。

　　我一定要用Microsoft的DNS服务器吗？

　　不是这样。采用Microsoft DNS有明显的优点，但任何RFC-compliant DNS服务器都可以工作。推荐采用动态DNS，因为采用动态DNS时，活动目录服务器可以在DNS中自动低注册必要的记录。静态DNS服务器工作得同样很好，但每个活动目录服务器的DNS注册必须人工完成。

　　采用Microsoft的DNS服务器的优点是什么？

　　Windows 200中包括的DNS服务器是RFC 和 BIND兼容动态DNS的工具。对Windows 2000而言，它是本地工具而不是公共域中BIND工具的端口。Microsoft DNS服务器储存了DNS区域因为在活动目录中它是强有力的。DNS数据在Microsoft DNS服务器中可以通过活动目录而不是通过区域传送复制。Microsoft DNS服务器支持同其它DNS服务器进行相互操作的标准DNS区域。

　　DHCP发生了什么变化？

　　DHCP 服务器没有为Windows 2000大幅度改变。DHCP客户是DNS响应的而且采用了动态DNS服务在DNS中来注册由DHCP直接发布的地址。如果DHCP确认了WINS服务器DHCP客户将继续采用WINS注册。

　　WINS发生了什么变化？

　　WINS没有为Windows 2000改变什么。Windows 2000客户（及更新安装活动目录的Windows 95客户）不再需要采用NETBIOS名字空间。WINS对于低级客户寻找服务器仍然是需要的，反之亦然。当在企业中不再有低级用户时，WINS就可以不再使用了。