;;;;Windows 2000 Server活動(dòng)目錄是一個(gè)完全可擴(kuò)展、可伸縮的目錄服務(wù)，既能滿足商業(yè)ISP的需要，又能滿足企業(yè)內(nèi)部網(wǎng)和外聯(lián)網(wǎng)的需要，充分體現(xiàn)了微軟產(chǎn)品集成性、深入性和易用性等優(yōu)點(diǎn)。 ;;;;集成性 ;;;;Windows 2000活動(dòng)目錄的繼承性主要是指它結(jié)合了三個(gè)方面的管理內(nèi)容：用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)和基于網(wǎng)絡(luò)的應(yīng)用管理。另外， Windows 2000活動(dòng)目錄還廣泛地采納了Internet標(biāo)準(zhǔn)，把眾多的Internet服務(wù)都集成在一起，增強(qiáng)自身網(wǎng)絡(luò)管理功能。;;;;目錄管理的基本對(duì)象是用戶和計(jì)算機(jī)，還包括文件、打印機(jī)等資源。用戶對(duì)象的屬性非常豐富，不但有常見(jiàn)的賬號(hào)名、口令等，還包括郵件信箱和個(gè)人主頁(yè)地址、在公司中的職位關(guān)系等，可以在活動(dòng)目錄中給用戶對(duì)象發(fā)送郵件和訪問(wèn)其個(gè)人主頁(yè)等。在活動(dòng)目錄中，支持 全局性的查找，比如查找在整個(gè)網(wǎng)絡(luò)中的雙面打印的彩色打印機(jī)等。 ;;;;基于活動(dòng)目錄的應(yīng)用服務(wù)是Windows 2000平臺(tái)上的新一代的應(yīng)用程序，它使應(yīng)用開(kāi)發(fā)員可以擴(kuò)展活動(dòng)目錄的Schema 和UI兩個(gè)對(duì)象，通過(guò)ADSI/ADO編程在活動(dòng)目錄中發(fā)布服務(wù)綁定信息，通過(guò)組策略配置應(yīng)用程序。比較典型的基于目錄的應(yīng)用的例子是NetMeeting。在活動(dòng) 目錄的環(huán)境中，你只要在NetMeeting中敲入同事的E-mail別名，就可以通過(guò)活動(dòng)目錄中的定位服務(wù)，與其進(jìn)行對(duì)話和桌面協(xié)作等，非常方便。;;;;活動(dòng)目錄完全采用了Internet標(biāo)準(zhǔn)協(xié)議，甚至連用戶帳號(hào)都可以用“用戶名@域名”來(lái)表征，進(jìn)行網(wǎng)絡(luò)登錄。單個(gè)域目錄樹(shù)中的所有域共享一個(gè)等級(jí)命名結(jié)構(gòu)。一個(gè)子域的域名就是將該子域的名稱添加到父域的名稱中。例如，headquarters.mycompany.com 是mycompany.com 域的子域。共享公用根域的域被認(rèn)為共享鄰近的名稱空間。目錄樹(shù)中的域通過(guò)雙向、傳遞的委托關(guān)系聯(lián)接在一起。由于這些委托關(guān)系是雙向和傳遞的，因此加入目錄樹(shù)的域會(huì)立即與目錄樹(shù)中的每個(gè)域建立委托關(guān)系。這些委托關(guān)系允許單個(gè)用戶登錄以驗(yàn)證用戶并授權(quán)驗(yàn)證用戶訪問(wèn)整個(gè)網(wǎng)絡(luò)。這使得目錄樹(shù)中所有其他域中具有適當(dāng)憑據(jù)的用戶和計(jì)算機(jī)可以使用目錄樹(shù)所有域中的所有對(duì)象。例如，你的公司兼并了一家其他的公司，你的域樹(shù)可以和它們的域樹(shù)othercom.com建立起整個(gè)的域林來(lái)。整個(gè)域林的所有對(duì)象，只要安全性管理許可，都可以用LDAP協(xié)議訪問(wèn)到。域名服務(wù)(domain name service, DNS)在此充當(dāng)了名字解析的功能，建議用戶使用與活動(dòng)目錄集成的DNS務(wù)器，來(lái)保證動(dòng)態(tài)更新域名和更好的復(fù)制能力。在當(dāng)今的Internet時(shí)代，Windows 2000活動(dòng)目錄這種基于Internet標(biāo)準(zhǔn)的做法，給用戶帶來(lái)了眾多的益處。;;;;另外，活動(dòng)目錄集成了關(guān)鍵服務(wù)，如DNS、MSMQ（消息隊(duì)列服務(wù)）；集成了關(guān)鍵應(yīng)用，如電子郵件、網(wǎng)管、ERP等；集成了關(guān)鍵數(shù)據(jù)訪問(wèn)，如ADSI、OLE DB等；還集成了關(guān)鍵的安全性，如Kerberos第五版本和公開(kāi)密鑰基礎(chǔ)設(shè)施等。 ;;;;深入性 ;;;;Windows 2000活動(dòng)目錄的深入性主要體現(xiàn)在其企業(yè)級(jí)的可伸縮性、安全性、互操作性、編程能力和升級(jí)能力上。Windows 2000活動(dòng)目錄允許用戶組建單域來(lái)管理少量的網(wǎng)絡(luò)對(duì)象，也允許用戶通過(guò)域目錄管理成萬(wàn)上億個(gè)對(duì)象。活動(dòng)目錄的伸縮性是通過(guò)為每個(gè)域創(chuàng)建一個(gè)目 錄存儲(chǔ)的方法來(lái)獲得的。在一個(gè)域目錄存儲(chǔ)中僅僅包括了這個(gè)域中的所有對(duì)象。但是，當(dāng)域樹(shù)建立起來(lái)之后，每個(gè)域都有能力搜索整個(gè)域樹(shù)中所有的目錄存儲(chǔ)。這種劃分整個(gè)域樹(shù)的方法，使用戶查找所需要的信息變得更加方便、快速。 ;;;;活動(dòng)目錄的域樹(shù)和域森林的組建方法，可幫助用戶使用容器層次來(lái)模擬一個(gè)企業(yè)的組織結(jié)構(gòu)。組織中的不同部門可以成為不同的域，或者一個(gè)域中有層次結(jié)構(gòu)的組織單元，從而采用層次化的命名方法來(lái)反映組織結(jié)構(gòu)和進(jìn)行管理授權(quán)。順著組織結(jié)構(gòu)進(jìn)行顆粒化的管理授權(quán) 可以解決很多管理上的頭疼問(wèn)題，在加強(qiáng)中央管理的同時(shí)，又不失機(jī)動(dòng)靈活性。用戶可以將Windows NT 4.0中的很多域都轉(zhuǎn)換成活動(dòng)目錄的組織單元，建立起更大的域和更簡(jiǎn)化的域關(guān)系。另外，借助全局目錄(Global Catalog)，用戶和管理員仍然能夠迅速地找到對(duì)象和管理對(duì)象。由于有一系列的工具可以幫助NT 4.0 的用戶遷移到Windows 2000 的目錄環(huán)境中，Windows 2000可以在現(xiàn)存的Windows NT 4.0的環(huán)境中工作，保護(hù)現(xiàn)有的投資。;;;;Windows 2000活動(dòng)目錄和其安全性服務(wù)（如Kerberos，PKI和智能卡等）緊密結(jié)合，相輔相成，共同完成安全任務(wù)和協(xié)同管理。活動(dòng)目錄存儲(chǔ)了域安全政策的信息，例如域用戶口令的限制政策和系統(tǒng)訪問(wèn)權(quán)限等，實(shí)施了基于對(duì)象的安全模型和訪問(wèn)控制機(jī)制。在活動(dòng)目錄中的每個(gè)對(duì)象都有一個(gè)獨(dú)有的安全性描述，定義了瀏覽或更新對(duì)象屬性所需要的訪問(wèn)權(quán)限。不過(guò)，當(dāng)LDAP客戶端訪問(wèn)域時(shí)，不是由活動(dòng)目錄決定訪問(wèn)控制，而是由系統(tǒng)來(lái)實(shí)施訪問(wèn)安全控制。;;;;易用性 ;;;;Windows 2000活動(dòng)目錄主要體現(xiàn)在其簡(jiǎn)易的安裝和管理上。先說(shuō)一下活動(dòng)目錄的安裝。在安裝Windows 2000 Server活動(dòng)目錄時(shí)，第一個(gè)域服務(wù)器都配置域控制器，而其他所有新安裝的計(jì)算機(jī)都是安裝成為成員服務(wù)器，并且目錄服務(wù)可以事后用Dcpromo的命令進(jìn)行特別安裝。而不用像在安裝Windows NT 4.0那樣，一開(kāi)始就要定終身：是域控制器還是成員服務(wù)器，兩者之間不可轉(zhuǎn)換，且目錄服務(wù)不可以卸載。Dcpromo是一個(gè)圖形化的向?qū)С绦颍龑?dǎo)用戶一步一步地建立域控制器，可以新建一個(gè)域森林，一棵域樹(shù)，或者僅僅是域控制器的另一個(gè)備份，非常方便。很多其他的網(wǎng)絡(luò)服務(wù)，比如DNS Server、DHCP Server和Certificate Server等，都可以在以后與活動(dòng)目錄集成安裝，便于實(shí)施策略管理等。;;;;在活動(dòng)目錄安裝之后，主要有三個(gè)活動(dòng)目錄的管理界面（MMC），一個(gè)是活動(dòng)目錄用戶和計(jì)算機(jī)管理，主要用于實(shí)施對(duì)域的用戶和計(jì)算機(jī)進(jìn)行管理；一個(gè)是活動(dòng)目錄的域和域信任關(guān)系的管理，主要用于管理多域的委托和信任關(guān)系；還有一個(gè)是活動(dòng)目錄的站點(diǎn)管理，可以 把域控制器置于不同的站點(diǎn)進(jìn)行管理。一般情況下，一個(gè)站點(diǎn)內(nèi)的域控制器之間的復(fù)制是自動(dòng)進(jìn)行的；站點(diǎn)間的域控制器之間的復(fù)制需要管理員設(shè)定，以優(yōu)化復(fù)制流量，提高可伸縮性。;;;;對(duì)于SDOU，管理員還可以方便地進(jìn)行管理授權(quán)。右擊SDOU就可以啟動(dòng)”管理授權(quán)向?qū)А保徊揭徊降卦O(shè)定哪些管理員對(duì)于哪些對(duì)象有什么樣的管理權(quán)限。比如說(shuō)企業(yè)內(nèi)部技術(shù)支持中心的管理員，只有復(fù)位用戶口令的權(quán)限，沒(méi)有創(chuàng)建和刪除用戶賬號(hào)的權(quán)限。 ;;;;另外，活動(dòng)目錄還充分地考慮到了備份和恢復(fù)目錄服務(wù)的需要。Windows 2000備份工具中有專門備份活動(dòng)目錄的選項(xiàng)，在出現(xiàn)意外事故的時(shí)候，可以在機(jī)器啟動(dòng)時(shí)按F8進(jìn)入安全模式，來(lái)進(jìn)行目錄服務(wù)的恢復(fù)，保證減少災(zāi)難的惡性影響。