活動目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。活動目錄服務是Windows 2000操作系統平臺的中心組件之一。理解活動目錄對于理解Windows 2000的整體價值是非常重要的。

Active Directory簡介

活動目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。（Active Directory不能運行在Windows Web Server上，但是可以通過它對運行Windows Web Server的計算機進行管理。）Active Directory存儲了有關網絡對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結構化的數據存儲方式，并以此作為基礎對目錄信息進行合乎邏輯的分層組織。

Microsoft Active Directory 服務是Windows 平臺的核心組件，它為用戶管理網絡環境各個組成要素的標識和關系提供了一種有力的手段。

目錄形式的數據存儲

人們經常將數據存儲作為目錄的代名詞。目錄包含了有關各種對象 [例如用戶、用戶組、計算機、域、組織單位（OU）以及安全策略] 的信息。這些信息可以被發布出來，以供用戶和管理員的使用。

目錄存儲在被稱為域控制器的服務器上，并且可以被網絡應用程序或者服務所訪問。一個域可能擁有一臺以上的域控制器。每一臺域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器復制到域、域樹或者森林中的其它域控制器上。由于目錄可以被復制，而且所有的域控制器都擁有目錄的一個可寫副本，所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。

目錄數據存儲在域控制器上的Ntds.dit文件中。我們建議將該文件存儲在一個NTFS分區上。有些數據保存在目錄數據庫文件中，而有些數據則保存在一個被復制的文件系統上，例如登錄腳本和組策略。

有三種類型的目錄數據會在各臺域控制器之間進行復制：

•域數據。域數據包含了與域中的對象有關的信息。一般來說，這些信息可以是諸如電子郵件聯系人、用戶和計算機帳戶屬性以及已發布資源這樣的目錄信息，管理員和用戶可能都會對這些信息感興趣。

例如，在向網絡中添加了一個用戶帳戶的時候，用戶帳戶對象以及屬性數據便被保存在域數據中。如果您修改了組織的目錄對象，例如創建、刪除對象或者修改了某個對象的屬性，相關的數據都會被保存在域數據中。

•配置數據。 配置數據描述了目錄的拓撲結構。配置數據包括一個包含了所有域、域樹和森林的列表，并且指出了域控制器和全局編錄所處的位置。

•架構數據。架構是對目錄中存儲的所有對象和屬性數據的正式定義。Windows Server 2003提供了一個默認架構，該架構定義了眾多的對象類型，例如用戶和計算機帳戶、組、域、組織單位以及安全策略。管理員和程序開發人員可以通過定義新的對象類型和屬性，或者為現有對象添加新的屬性，從而對該架構進行擴展。架構對象受訪問控制列表（ACL）的保護，這確保了只有經過授權的用戶才能夠改變架構。

活動目錄功能

活動目錄(Active Directory)主要提供以下功能：

1. 基礎網絡服務：包括DNS、WINS、DHCP、證書服務等。
2. 服務器及客戶端計算機管理：管理服務器及客戶端計算機賬戶，所有服務器及客戶端計算機加入域管理并實施組策略。
3. 用戶服務：管理用戶域賬戶、用戶信息、企業通訊錄（與電子郵件系統集成）、用戶組管理、用戶身份認證、用戶授權管理等，按省實施組管理策略。
4. 資源管理：管理打印機、文件共享服務等網絡資源。
5. 桌面配置：系統管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應用程序執行特征限制、網絡連接限制、安全配置限制等。
6. 應用系統支撐：支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。

Active Directory和安全性

安全性通過登錄身份驗證以及目錄對象的訪問控制集成在Active Directory之中。通過單點網絡登錄，管理員可以管理分散在網絡各處的目錄數據和組織單位，經過授權的網絡用戶可以訪問網絡任意位置的資源。基于策略的管理則簡化了網絡的管理，即便是那些最復雜的網絡也是如此。

Active Directory通過對象訪問控制列表以及用戶憑據保護其存儲的用戶帳戶和組信息。因為Active Directory不但可以保存用戶憑據，而且可以保存訪問控制信息，所以登錄到網絡上的用戶既能夠獲得身份驗證，也可以獲得訪問系統資源所需的權限。例如，在用戶登錄到網絡上的時候，安全系統首先利用存儲在Active Directory中的信息驗證用戶的身份。然后，在用戶試圖訪問網絡服務的時候，系統會檢查在服務的自由訪問控制列表（DCAL）中所定義的屬性。

因為Active Directory允許管理員創建組帳戶，管理員得以更加有效地管理系統的安全性。例如，通過調整文件的屬性，管理員能夠允許某個組中的所有用戶讀取該文件。通過這種辦法，系統將根據用戶的組成員身份控制其對Active Directory中對象的訪問操作。

 

Active Directory 的架構

簡述

Active Directory的架構（Schema）是一組定義，它對能夠存儲在Active Directory中的各種對象——以及有關這些對象的各種信息——進行了定義。因為這些定義本身也作為對象進行存儲，Active Directory可以像管理目錄中的其它對象一樣對架構對象加以管理。架構中包括了兩種類型的定義：屬性和分類。屬性和分類還可以被稱作架構對象或元數據。

分類

分類，又稱對象分類，描述了管理員所能夠創建的目錄對象。每一個分類都是一組對象的集合。在您創建某個對象時，屬性便存儲了用來描述對象的信息。例如，“用戶”分類便由多個屬性組成，其中包括網絡地址、主目錄等等。Active Directory中的所有對象都是某個對象分類的一個實例。

架構的擴展

有經驗的開發人員和網絡管理員可以通過為現有分類定義新的屬性或者定義新的分類來動態地擴展架構。

架構的內容由充當架構操作主控角色的域控制器進行控制。架構的副本被復制到森林中的所有域控制器上。這種共用架構的使用方式確保了森林范圍內的數據完整性和一致性。

此外，您還可以使用“Active Directory架構”管理單元對架構加以擴展。為了修改架構，您必須滿足以下三個要求：

• 成為“Schema Administrators”（架構管理員）組的成員

• 在充當架構操作主控角色的計算機上安裝“Active Directory架構”管理單元

• 擁有修改主控架構所需的管理員權限

在考慮對架構進行修改時，必須注意以下三個要點：

• 架構擴展是全局性的。 在您對架構進行擴展的時候，您實際上擴展了整個森林的架構，因為對架構的任何修改都會被復制到森林中所有域的所有域控制器上。

• 與系統有關的架構分類不能被修改。您不能修改Active Directory架構中的默認系統分類；但是，用來修改架構的應用程序可能會添加可選的系統分類，您可以對這些分類進行修改。

• 對架構的擴展不可撤銷。某些屬性或者分類的屬性可以在創建后修改。在新的分類或者屬性被添加到架構中之后，您可以將它置于非激活狀態，但是不能刪除它。但是，您可以廢除相關定義并且重新使用對象標識符（OID）或者顯示名稱，您可以通過這種方式撤銷一個架構定義。

有關架構修改的更多信息，請通過參閱 Microsoft Windows 資源工具包 。

Active Directory不支持架構對象的刪除；但是，對象可以被標記為“非激活”，以便實現與刪除同等的諸多益處。

屬性

屬性和分類單獨進行定義。每一個屬性僅僅定義一次，但是可以在多個分類中使用。例如，“Description”（描述）屬性可以使用在多個分類中，但是只需在架構中定義一次即可，以保持數據的一致性。

屬性用來描述對象。每一個屬性都擁有它自己的定義，定義則描述了特定于該屬性的信息類型。架構中的每一個屬性都可以在“Attribute-Schema”分類中指定，該分類決定了每一個屬性定義所必須包含的信息。

能夠應用到某個特殊對象上的屬性列表由分類（對象是該分類的一個實例）以及對象分類的任何超類所決定。屬性僅僅定義一次，但是可以多次使用。這確保了共享同一個屬性的所有分類能夠保持一致性。

多值屬性

屬性可以是單值的也可以是多值的。屬性的架構定義指定了屬性的實例是否必須是多值的。單值屬性的實例可以為空，也可以包含一個單值。多值屬性的實例可以為空，也可以包含一個單值或多值。多值屬性的每一個值都必須是唯一的。

索引屬性

索引應用于屬性，而不是分類。對屬性進行索引有助于更快地查詢到擁有該屬性的對象。當您將一個屬性標記為“已索引”之后，該屬性的所有實例都會被添加到該索引，而不是僅僅將作為某個特定分類成員的實例添加到索引。

添加經過索引的屬性會影響Active Directory的復制時間、可用內存以及數據庫大小。因為數據庫變得更大了，所以需要花費更多的時間進行復制。

多值屬性也可以被索引。同單值屬性的索引相比，多值屬性的索引進一步增加了Active Directory的大小，并且需要更多的時間來創建對象。在選擇需要進行索引的屬性時，請確信所選擇的共用屬性，而且能夠在開銷和性能之間取得平衡。

一個經過索引的架構屬性還可以被用來存儲屬性的容器所搜索，從而避免了對整個Active Directory數據庫進行搜索。這樣不僅縮短了搜索所需花費的時間，而且減少了在搜索期間需要使用的資源數量。

全局編錄的角色

全局編錄是一臺存儲了森林中所有Active Directory對象的一個副本的域控制器。此外，全局編錄還存儲了每個對象最常用的一些可搜索的屬性。全局編錄存儲了它所在域的所有目錄對象的完整副本，以及森林中其它域中所有目錄對象的部分副本，所以您不必咨詢域控制器即可實施有效的搜索操作。

全局編錄在森林中最初的一臺域控制器上自動創建。您可以為任何一臺域控制器添加全局編錄功能，或者將全局編錄的默認位置修改到另一臺域控制器上。

全局編錄擔當了以下目錄角色

• 查找對象 全局編錄允許用戶搜索森林所有域的目錄信息，而不管數據存儲在何處。森林內部的搜索可以利用最快的速度和最小的網絡流量得以執行。

在您從“開始”菜單搜索人員或打印機，或者在某個查詢的內部選擇了“整個目錄”選項的時候，您就是在對全局編錄進行搜索。在您輸入搜索請求之后，請求便會被路由到默認的全局編錄端口3268，以便發送到一個全局編錄進行解析。

• 提供了根據用戶主名的身份驗證。在進行身份驗證的域控制器不知道某個賬戶是否合法時，全局編錄便可以對用戶的主名進行解析。例如，如果用戶的賬戶位于example1.域，而用戶決定利用這個用戶主名從位于example2的一臺計算機上進行登錄，那么example2.的域控制器將無法找到該用戶的賬戶，然后，域控制器將于全局編錄服務器聯系，以完成整個登錄過程。

• 在多域環境下提供通用組的成員身份信息。和存儲在每個域的全局組成員身份不同，通用組成員身份僅僅保存在全局編錄之中。例如，在屬于一個通用組的用戶登錄到一個被設置為Windows 2000本機域功能級別或者更高功能級別的域的時候，全局組將為用戶賬戶提供通用組的成員身份信息。

如果在用戶登錄到運行在Windows 2000本機或者更高級別中的域的時候，某個全局編錄不可用并且用戶先前曾經登錄到該域，計算機將使用緩存下來的憑據讓用戶登錄。如果用戶以前沒有在該域登錄過，用戶將僅僅能夠登錄到本地計算機。

說明：即便全局編錄不可用，“Domain Administrators”（域管理員）組的成員也可以登錄到網絡中。

查找目錄信息

正如前面所介紹的，Active Directory的設計目的在于為來自用戶或應用程序的查詢提供有關目錄對象的信息。管理員和用戶可以使用“開始”菜單中的“搜索”命令輕松對目錄進行搜索和查找。客戶端程序也可以使用Active Directory服務接口（ADSI）訪問Active Directory中的信息。

Active Directory的主要益處就在于它能夠存儲有關網絡對象的豐富信息。在Active Directory中發布的有關的用戶、計算機、文件和打印機的信息可以被網絡用戶所使用。這種可用性能夠通過查看信息所需的安全權限加以控制。

網絡上的日常工作涉及用戶彼此之間的通信，以及對已發布資源的連接和訪問。這些工作需要查找名稱和地址，以便發送郵件或者連接到共享資源。在這方面，Active Directory就像是一個在企業中共享的地址簿 。例如，您可以按照姓、名、電子郵件地址、辦公室位置或者其它用戶賬戶屬性查找用戶。如前所述，信息的查找過程由于使用了全局編錄而得到了優化。

高效的搜索工具

管理員可以使用“Active Directory用戶和計算機”管理單元中的高級“查找”對話框高效率地執行管理工作，并且輕松定制和篩選從目錄取得的數據。此外，管理員還可以向組中快速添加對象，并且通過無需瀏覽的查詢幫助查找可能的成員，從而將對網絡的影響降低到最小限度。

 

Active Directory的復制

復制為目錄信息提供了可用性、容錯能力、負載平衡以及性能優勢。Active Directory 使用多主控復制，您可以在任何一臺域控制器上更新目錄，而不是只能在一臺特定的主域控制器上進行更新。多主控模式具有更出色的容錯能力，因為使用了多臺域控制器，即使在某一臺域控制器停止工作的情況下，復制依然能夠繼續。

域控制器可以存儲和復制：

• 架構信息。架構信息定義了可以在目錄中創建的對象，以及每隔對象所能夠擁有的屬性。這些信息是森林中所有域的共用信息。架構數據被復制到森林中的所有域控制器上。

• 配置信息。配置信息描述了您的部署的邏輯結構，其中包括諸如域結構或者復制拓撲這樣的信息。這些信息是森林中所有域的共用信息。配置數據被復制到森林中的所有域控制器上。

• 域信息。域信息描述了域中所有的對象。數據特定于具體的域，而且不會被分發到其它的任何域中。為了在整個域樹或者森林中查找信息，所有域中的所有對象的屬性的一個子集被保存在全局編錄中。域數據將被復制到域中的所有域控制器上。

• 應用程序信息。存儲在應用程序目錄分區中的信息旨在滿足用戶對這些信息的復制需要，但是這些信息并不是在任何情況下都需要。應用程序數據可以被明確地重新路由到森林中特定于管理用途的域控制器上，以防止產生不必要的復制流量。或者，您可以進行設置，將這些信息復制到域中的所有域控制器上。

站點在復制過程中的角色

站點提高了目錄信息的復制效率。目錄架構和配置信息在整個森林范圍內進行復制，而域數據則在域的所有域控制器之間進行復制，并且會被部分地復制到全局編錄上。通過有策略地減少復制流量，網絡的通信壓力也會得到相應的減輕。

域控制器使用站點和復制變化控制從以下方面對復制實施優化：

• 通過對所使用的連接不時進行重新評估，Active Directory可以始終使用最有效的網絡連接。

• Active Directory使用多條路由復制發生變化的目錄數據，從而提供了容錯能力。

• 由于僅僅需要復制發生了變化的信息，復制開銷降到了最小。

如果某個部署沒有按照站點加以組織，域控制器以及客戶機之間的信息交換將是混亂和無序的。站點可以改善網絡的利用效率。

Active Directory在站點內部復制目錄信息的頻度比在站點間的復制頻度要更高。這樣，擁有***連接條件的域控制器——它們很可能需要特殊的目錄信息——可以首先得到復制。其它站點中的域控制器則可以獲得所有發生了變化的目錄信息，但是它們進行復制的頻率要低一些，以便節省網絡帶寬。另外，由于數據在站點間進行復制時經過了壓縮處理，所以復制操作所占用的帶寬進一步得到了降低。為了實現高效復制，只有在添加或修改了目錄信息之后才進行目錄的更新。

如果目錄更新始終被分發到域中的所有其它域控制器上，它們將占用大量的網絡資源。雖然您可以手動添加或配置連接，或者強迫通過某條特定的連接進行復制，復制仍然可以根據您在“Active Directory Sites and Services”管理工具中提供的信息，通過Active Directory知識一致性檢查程序（Knowledge Consistency Checker，KCC）得到自動優化。KCC負責構建和維護Active Directory的復制拓撲。特別地，KCC可以決定何時進行復制，以及每臺服務器必須同哪些服務器開展復制。