Active Directory 概述

摘要： 要发挥 Microsoft® Windows® 2000 Server 操作系统的最大作用，必须首先了解 Active Directory™ 目录服务。Active Directory 是 Windows 2000 操作系统的新内容，它在实施组织的网络、进而实现组织的商业目标中占有重要地位。本文向网络管理员介绍 Active Directory，解释其结构，阐述其如何与应用程序及其他目录服务进行交互操作。 本文以 Windows 2000 Beta 3 发行时有效的信息为基础。在 Windows 2000 Server 的最终版本发行之前，本文提供的信息可能会随时更改。 简介： 要想了解 Windows 2000 操作系统如何实现其功能，及其对完成企业目标能够提供哪些帮助，就必须先了解 Active Directory™ 目录服务。本文从以下三个方面介绍 Active Directory：

• 存储。 Active Directory，即 Windows® 2000 Server 目录服务，可分层存储网络对象的信息，并向管理员、用户和应用程序提供这些信息。本文首先解释目录服务的概念、Active Directory 服务与 Internet 域名系统 (DNS) 的集成，以及当您将服务器指定为域控制器 1 时，Active Directory 是如何实现的。
• 结构。使用 Active Directory，可以根据结构组织网络及其对象，这些结构包括域、目录树、目录林、信任关系、部门 (OU) 和站点。本文第二节阐述这些 Active Directory 组件的结构和功能，以及管理员采用该体系结构对网络实施管理的方式，从而有助于用户实现其商业目标。
• 相互通信。Active Directory 以标准目录访问协议为基础，因此能够与其他目录服务进行交互操作，并可接受遵守这些协议的第三方应用程序的访问。最后一节阐述 Active Directory 与其他各种技术进行通信的方式。

Active Directory 的优点在 Windows 2000 操作系统中引入 Active Directory 有以下优点：

• 与 DNS 集成。 Active Directory 使用域名系统 (DNS)。DNS 是一种 Internet 标准服务，它将用户能够读取的计算机名称（例如 mycomputer.microsoft.com）翻译成计算机能够读取的数字 Internet 协议 (IP) 地址（由英文句号分隔的四组数字）。这样，在 TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。
• 灵活的查询。 用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是 Active Directory 用户和计算机管理单元。例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。而且,使用全局编录优化了查找信息的操作。
• 可扩展性。 Active Directory 是可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在原有的对象类别中添加新属性。架构包含每个对象类别的定义，以及能够存储于目录中的每个对象类别的属性。例如，您可能会为 User 对象添加 Purchase Authority 属性，然后将每个用户的购买权限额保存为用户帐户的一部分。
• 基于策略的管理。 组策略是在初始化时应用于计算机或用户的配置设置。所有组策略设置都包含在应用于 Active Directory 站点、域或部门的组策略对象 (GPO) 中。GPO 设置决定了对目录对象和域资源的访问权限、用户可使用的域资源（如应用程序），以及这些域资源针对其用途的配置方式。
• 可伸缩性。 Active Directory 包括一个或多个域，每个域均有一个或多个域控制器，由此，您能够对目录进行自由扩展，从而满足所有网络的需求。多个域可合并成一个域目录树，多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中，该域既是一个目录树，又是一个目录林。
• 信息复制。 Active Directory 使用多主机复制，使您可以更新任何域控制器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控制器包含同样的目录数据，所以，如果域内的一个域控制器速度变慢、停止或出现故障，同一域内的其他域控制器即可提供必要的目录访问功能。
• 信息安全。在 Windows 2000 操作系统中，用户身份验证和访问控制的管理都与 Active Directory 完全结合在一起，这是该系统的一项关键性安全功能。Active Directory 将身份验证集中进行。不仅可以定义对目录中每个对象的访问控制，还可定义对每个对象的每个属性的访问控制。此外，Active Directory 还为安全策略提供了存储区和应用范围。（关于 Active Directory 登录身份验证和访问控制的详细信息，请参阅本文结尾外的“其它信息”。）
• 互操作性。由于 Active Directory 以标准目录访问协议（例如轻型目录访问协议 (LDAP)）为基础，因此它能够与其他采用这些协议的目录服务进行交互操作。有些应用程序编程接口 (API)--例如 Active Directory 服务接口 (ADSI)--允许开发者访问这些协议。

[ 本帖最后由 灰儿 于 2008-6-18 18:50 编辑 ]