Active Directory 結(jié)構(gòu)操作系統(tǒng)白皮書摘要要發(fā)揮 Microsoft? Windows? 2000 Server 操作系統(tǒng)的最大作用，必須首先了解 Active Directory? 目

Active Directory 結(jié)構(gòu)

操作系統(tǒng)

白皮書

摘要

要發(fā)揮 Microsoft? Windows? 2000 Server 操作系統(tǒng)的最大作用，必須首先了解 Active Directory? 目錄服務(wù)。Active Directory 是 Windows 2000 操作系統(tǒng)的新內(nèi)容，它在實施組織的網(wǎng)絡(luò)、進(jìn)而實現(xiàn)組織的商業(yè)目標(biāo)中占有重要地位。本文向網(wǎng)絡(luò)管理員介紹 Active Directory ，解釋其結(jié)構(gòu)，闡述其如何與應(yīng)用程序及其他目錄服務(wù)進(jìn)行交互操作。

本文以 Windows 2000 Beta 3 發(fā)行時有效的信息為基礎(chǔ)。在 Windows 2000 Server 的最終版本發(fā)行之前，本文提供的信息可能會隨時更改。

簡介

要想了解 Windows 2000 操作系統(tǒng)如何實現(xiàn)其功能，及其對完成企業(yè)目標(biāo)能夠提供哪些幫助，就必須先了解 Active Directory? 目錄服務(wù)。本文從以下三個方面介紹 Active Directory： ? 存儲。 Active Directory，即 Windows? 2000 Server 目錄服務(wù)，可分層存儲網(wǎng)絡(luò)對象的信息，并向管理員、用戶和應(yīng)用程序提供這些信息。本文首先解釋目錄服務(wù)的概念、Active Directory 服務(wù)與 Internet 域名系統(tǒng) (DNS) 的集成，以及當(dāng)您將服務(wù)

1器指定為域控制器 時，Active Directory 是如何實現(xiàn)的。

結(jié)構(gòu)。使用 Active Directory，可以根據(jù)結(jié)構(gòu)組織網(wǎng)絡(luò)及其對象，這些結(jié)構(gòu)包括域、目錄樹、目錄林、信任關(guān)系、部門 (OU) 和站點。本文第二節(jié)闡述這些 Active

Directory 組件的結(jié)構(gòu)和功能，以及管理員采用該體系結(jié)構(gòu)對網(wǎng)絡(luò)實施管理的方式，從而有助于用戶實現(xiàn)其商業(yè)目標(biāo)。

相互通信。Active Directory 以標(biāo)準(zhǔn)目錄訪問協(xié)議為基礎(chǔ)，因此能夠與其他目錄服務(wù)進(jìn)行交互操作，并可接受遵守這些協(xié)議的第三方應(yīng)用程序的訪問。最后一節(jié)闡述 Active Directory 與其他各種技術(shù)進(jìn)行通信的方式。 ? ?

Active Directory 的優(yōu)點

在 Windows 2000 操作系統(tǒng)中引入 Active Directory 有以下優(yōu)點：

? 與 DNS 集成。 Active Directory 使用域名系統(tǒng) (DNS)。DNS 是一種 Internet 標(biāo)準(zhǔn)服務(wù)，它將用戶能夠讀取的計算機名稱（例如 mycomputer.microsoft.com）翻譯成計算機能夠讀取的數(shù)字 Internet 協(xié)議 (IP) 地址（由英文句號分隔的四組數(shù)字）。這樣，在 TCP/IP 網(wǎng)絡(luò)計算機上運行的進(jìn)程即可相互識別并進(jìn)行連接。

靈活的查詢。 用戶和管理員如果要通過對象屬性快速查找網(wǎng)絡(luò)中的對象，可使用“開始”菜單中的“查找”命令、桌面上的“網(wǎng)上鄰居”圖標(biāo)或者是 Active Directory 用戶和計算機管理單元。例如，您可以按照一個用戶帳戶的姓名、電子郵件名、辦公地點或其他屬性查找該用戶。而且, 使用全局編錄優(yōu)化了查找信息的操作。

可擴展性。 Active Directory 是可擴展的；也就是說，管理員既可以在架構(gòu)中添加新的對象類別，也可在原有的對象類別中添加新屬性。架構(gòu)包含每個對象類別的定義，以及能夠存儲于目錄中的每個對象類別的屬性。例如，您可能會為 User 對象添? ?

?

?

?

?

? 加 Purchase Authority 屬性，然后將每個用戶的購買權(quán)限額保存為用戶帳戶的一部分。 基于策略的管理。 組策略是在初始化時應(yīng)用于計算機或用戶的配置設(shè)置。所有組策略設(shè)置都包含在應(yīng)用于 Active Directory 站點、域或部門的組策略對象 (GPO) 中。GPO 設(shè)置決定了對目錄對象和域資源的訪問權(quán)限、用戶可使用的域資源（如應(yīng)用程序），以及這些域資源針對其用途的配置方式。 可伸縮性。 Active Directory 包括一個或多個域，每個域均有一個或多個域控制器，由此，您能夠?qū)δ夸涍M(jìn)行自由擴展，從而滿足所有網(wǎng)絡(luò)的需求。多個域可合并成一個域目錄樹，多個域目錄樹可合并成一個目錄林。在只有一個域的最簡單的網(wǎng)絡(luò)結(jié)構(gòu)中，該域既是一個目錄樹，又是一個目錄林。 信息復(fù)制。 Active Directory 使用多主機復(fù)制，使您可以更新任何域控制器中的目錄。在一個域中部署多個域控制器還提供了容錯能力和負(fù)載平衡功能。因為這些域控制器包含同樣的目錄數(shù)據(jù)，所以，如果域內(nèi)的一個域控制器速度變慢、停止或出現(xiàn)故障，同一域內(nèi)的其他域控制器即可提供必要的目錄訪問功能。 信息安全。在 Windows 2000 操作系統(tǒng)中，用戶身份驗證和訪問控制的管理都與 Active Directory 完全結(jié)合在一起，這是該系統(tǒng)的一項關(guān)鍵性安全功能。Active Directory 將身份驗證集中進(jìn)行。不僅可以定義對目錄中每個對象的訪問控制，還可定義對每個對象的每個屬性的訪問控制。此外，Active Directory 還為安全策略提供了存儲區(qū)和應(yīng)用范圍。（關(guān)于 Active Directory 登錄身份驗證和訪問控制的詳細(xì)信息，請參閱本文結(jié)尾外的“其它信息”。） 互操作性。由于 Active Directory 以標(biāo)準(zhǔn)目錄訪問協(xié)議（例如輕型目錄訪問協(xié)議

(LDAP)）為基礎(chǔ)，因此它能夠與其他采用這些協(xié)議的目錄服務(wù)進(jìn)行交互操作。有些應(yīng)用程序編程接口 (API)--例如 Active Directory 服務(wù)接口 (ADSI)--允許開發(fā)者訪問這些協(xié)議。

在本文結(jié)尾，“附錄 A：工具”提供了一些軟件工具的簡要概述，您可以使用這些工具執(zhí)行與 Active Directory 有關(guān)的任務(wù)。

Active Directory 目錄服務(wù)

在進(jìn)入本文主要部分--Active Directory 結(jié)構(gòu)與互操作性--之前，此節(jié)作為預(yù)備內(nèi)容，從兩個區(qū)別很大的角度簡單介紹 Active Directory：

?

? 第一個角度是從 Active Directory 的最抽象意義上介紹，即：Active Directory 是一個與 Internet 域名系統(tǒng) (DNS) 集成的名稱空間。 第二個角度是從 Active Directory 的最普通意義上介紹，即：它是將服務(wù)器轉(zhuǎn)換成

域控制器的軟件。

在計算機網(wǎng)絡(luò)上下文環(huán)境中，目錄（又稱數(shù)據(jù)存儲區(qū)）是存儲網(wǎng)絡(luò)對象信息的分層結(jié)構(gòu)。對象包括共享資源，如服務(wù)器、共享卷和打印機；網(wǎng)絡(luò)用戶和計算機帳戶以；域、應(yīng)用程序、服務(wù)、安全策略，以及網(wǎng)絡(luò)上的其他所有內(nèi)容。以下是網(wǎng)絡(luò)目錄可能存儲的、與特殊對象類型有關(guān)的、特定種類信息的一個示例：一般情況下，目錄會存儲用戶帳戶的用戶名、密碼、電子郵件地址、電話號碼等信息。

目錄服務(wù)與目錄的不同之處在于：它既是目錄信息源，又是使信息對管理員、用戶、網(wǎng)絡(luò)服務(wù)和應(yīng)用程序有效并可用的服務(wù)。理想情況下，目錄服務(wù)會使物理拓?fù)浜蛥f(xié)議（兩個服務(wù)間傳輸數(shù)據(jù)所用的格式）透明化；這樣，即使用戶不知道資源的物理連接位置和連接方法，也能夠訪問資源。我們可以繼續(xù)以用戶帳戶為例：正是目錄服務(wù)使同一網(wǎng)絡(luò)中的其他授權(quán)用戶能夠訪問針對用戶帳戶對象所保存的目錄信息（如電子郵件地址）。

目錄服務(wù)可支持多種不同的功能。有些目錄服務(wù)與操作系統(tǒng)集成，有些則是一些應(yīng)用程序，如電子郵件目錄。Active Directory 等操作系統(tǒng)目錄服務(wù)可提供對用戶、計算機和共享資源的管理。Microsoft Exchange 等處理電子郵件的目錄服務(wù)使用戶能夠查找其他用戶并發(fā)送電子郵件。

Active Directory 是一種新型的目錄服務(wù)，是 Windows 2000 Server 操作系統(tǒng)的核心，它只在域控制器中運行。Active Directory 不但為數(shù)據(jù)提供了存儲區(qū)以及使該數(shù)據(jù)有效的服務(wù)，而且還保護了網(wǎng)絡(luò)對象，使其免受未經(jīng)授權(quán)的訪問，并防止跨網(wǎng)絡(luò)復(fù)制對象，這樣，即使一個域控制器出現(xiàn)故障，也不會導(dǎo)致數(shù)據(jù)丟失。

Active Directory 合并了 DNS

Active Directory 和 DNS 都是名稱空間。名稱空間是任一有界區(qū)域，在其中對給定的名稱進(jìn)行解析。名稱解析是把名稱轉(zhuǎn)換成該名稱代表的某一對象或信息的過程。例如，電話號碼簿組成了一個名稱空間，其中的電話用戶名可解析成電話號碼。Windows NTFS 文件系統(tǒng)組成了一個名稱空間，其中的文件名可解析為文件本身。

DNS 與 Internet

要理解 Windows 2000 處理 Active Directory 和 DNS 名稱空間的方式，需要先了解有關(guān) DNS 自身及其與 Internet 和 TCP/IP 之間關(guān)系的一些基本知識。Internet 是一種 TCP/IP 網(wǎng)絡(luò)。TCP/IP 通訊協(xié)議連接計算機，并使計算機可通過網(wǎng)絡(luò)傳輸數(shù)據(jù)。Internet 或任何其他 TCP/IP 網(wǎng)絡(luò)（如許多 Windows 網(wǎng)絡(luò)）上的每臺計算機都有一個 IP 地址。DNS 定位 TCP/IP 主機（計算機）的方法是：將最終用戶能理解的計算機名稱解析成計算機能讀懂的 IP 地址。可用分布到全球的 DNS 數(shù)據(jù)庫來管理 Internet 上的 IP 地址，也可以在本地實施 DNS，用于管理專用 TCP/IP 網(wǎng)絡(luò)中的地址。

DNS 組織成不同層次的域，使整個 Internet 成為一個名稱空間。DNS 有幾個頂級域，可進(jìn)一步劃分為第二級域。Internet 域名空間的根由 Internet 職權(quán)部門（目前是 Internet 網(wǎng)絡(luò)信息中心，簡稱 InterNIC）管理，該部門負(fù)責(zé)代理對 DNS 名稱空間頂級域名的管理職責(zé)，并負(fù)責(zé)注冊第二級域名。頂級域名是一些大家熟悉的域類別，如商業(yè)組織 (.com)、教育組織

(.edu)、政府組織 (.gov) 等等。對于美國以外的國家和地區(qū)，則用兩個字母的國家/地區(qū)代碼來表示，如英國用 .uk 表示。第二級域名代表了以前在機構(gòu)（和個體）中注冊的名稱空間，他們曾以這種方式實現(xiàn)了在 Internet 上的存在。圖 1 顯示了公司網(wǎng)絡(luò)連接到 Internet DNS 名稱空間的方式。

圖 1. Microsoft 如何適應(yīng) Internet DNS 名稱空間。

DNS 與 Active Directory 名稱空間的集成

DNS 與 Active Directory 的集成是 Windows 2000 Server 操作系統(tǒng)的核心功能。DNS 域和 Active Directory 域?qū)Σ煌拿Q空間使用相同的域名。因為兩個名稱空間共享一個相同的域結(jié)構(gòu)，所以必須了解它們不是同一個名稱空間。每個名稱空間保存了不同的數(shù)據(jù)，因而管理不

2同的對象。DNS 保存區(qū)域 以及資源記錄；Active Directory 保存域和域?qū)ο蟆?/p>

DNS 的域名以 DNS 分層命名結(jié)構(gòu)為基礎(chǔ)，這是一個反向樹結(jié)構(gòu)：最上方是一個根域，下面是父域和子域（枝和葉）。例如，有個 Windows 2000 域名是：child.parent.microsoft.com ；這表明域名 child 是域名 parent 的子域，而 parent 本身也是域 microsoft.com 的一個子域。

DNS 域的每臺計算機都可依據(jù)其完全合格的域名 (FQDN) 加以唯一識別。位于域

child.parent.microsoft.com 的計算機的 FQDN 是

computername .child.parent.microsoft.com 。

每個 Windows 2000 域都有一個 DNS 名稱（如 OrgName.com），并且每臺基于 Windows 2000 的計算機都有一個 DNS 名稱（如 AcctServer.OrgName.com）。因而，域和計算機都用 Active Directory 對象和 DNS 節(jié)點來表示（DNS 分層結(jié)構(gòu)中的一個節(jié)點代表一個域或一臺計算機）。 DNS 和 Active Directory 均用數(shù)據(jù)庫來解析名稱：

? DNS 是一種名稱解析服務(wù)。 通過將 DNS 服務(wù)器接收的請求視為對 DNS 數(shù)據(jù)庫的 DNS

查詢，DNS 將域名和計算機名解析成 IP 地址。具體地說，DNS 客戶機把 DNS 名稱查

詢發(fā)送到已配置的 DNS 服務(wù)器。DNS 服務(wù)器先接收名稱查詢，然后通過本地保存的文

件解析該名稱查詢，或咨詢另一臺 DNS 服務(wù)器進(jìn)行解析。DNS 不需要系統(tǒng)啟動

Active Directory。

Active Directory 是一種目錄服務(wù)。通過將域控制器接收的請求視為輕型目錄訪問協(xié)

3議 (LDAP) 搜索，或改成對 Active Directory 數(shù)據(jù)庫的請求，Active Directory 將?

域?qū)ο竺Q解析成對象記錄。具體而言，Active Directory 客戶機使用 LDAP 向

Active Directory 服務(wù)器發(fā)送查詢。Active Directory 客戶機通過查詢 DNS 來定位 Active Directory 服務(wù)器。即，Active Directory 將 DNS 用作定位器服務(wù)，把

Active Directory 域、站點及服務(wù)名稱解析成 IP 地址。例如，要登錄到 Active

Directory 域，Active Directory 客戶機會查詢已配置的 DNS 服務(wù)器，請求 LDAP

服務(wù)的 IP 地址（LDAP 服務(wù)在指定域的域控制器中運行）。Active Directory 不需

要系統(tǒng)啟動 DNS。

實際上，理解 Windows 2000 環(huán)境中 DNS 與 Active Directory 名稱空間之間的差異，就是理解：代表 DNS 區(qū)域中指定計算機的 DNS 主機記錄，與 Active Directory 域中代表“同一臺計算機”的計算機帳戶對象處于不同的名稱空間中。

總之，Active Directory 用以下兩種方式與 DNS 集成：

? Active Directory 域和 DNS 域有相同的分層結(jié)構(gòu)。盡管因目的不同，DNS 和 Active

Directory 域的組織名稱空間各自獨立，實施方法也有所不同，但它們卻有相同的結(jié)

構(gòu)。例如，microsoft.com 既是一個 DNS 域又是一個 Active Directory 域。

DNS 區(qū)域可保存在 Active Directory 中。 如果使用 Windows 2000 DNS 服務(wù)，主區(qū)域就可以保存在 Active Directory 中，以便復(fù)制到其他 Active Directory 域控制

器，為 DNS 服務(wù)提供增強的安全性。

Active Directory 客戶機使用 DNS 來定位域控制器。 為了定位指定域的域控制器，Active Directory 客戶機會查詢已配置的 DNS 服務(wù)器，以查找指定的資源記錄。 ? ?

Active Directory 與全局 DNS 名稱空間

Active Directory 被設(shè)計成可處于 Internet 全局 DNS 名稱空間的范圍之內(nèi)。如果組織使用 Windows 2000 Server 作為其網(wǎng)絡(luò)操作系統(tǒng)，當(dāng)該組織需要存在于 Internet 上時，Active Directory 名稱空間會作為一個或多個分層的 Windows 2000 域，保留在已注冊為 DNS 名稱空間的根域名之下。（組織可選擇不成為全局 Internet DNS 名稱空間的一部分；但即使它這樣做，仍要求 DNS 服務(wù)定位基于 Windows-2000 的計算機。)

根據(jù) DNS 命名規(guī)則，以英文句號 (. ) 分隔的 DNS 名稱的每部分都代表 DNS 分層樹結(jié)構(gòu)的一個節(jié)點，以及 Windows 2000 域分層樹結(jié)構(gòu)的一個可能的 Active Directory 域名。如圖 2 所示，DNS 分層結(jié)構(gòu)的根是一個有空標(biāo)簽 (" ") 的節(jié)點。Active Directory 名稱空間的根（目錄林根）無父根，它提供了指向 Active Directory 的 LDAP 進(jìn)入點。

圖 2. 比較 DNS 與 Active Directory 名稱空間的根

SRV 資源記錄與動態(tài)更新

DNS 獨立于 Active Directory，而 Active Directory 卻專門設(shè)計成與 DNS 協(xié)同工作。為了

4保證 Active Directory 正常運行，DNS 服務(wù)器必須支持服務(wù)位置 (SRV) 資源記錄。SRV 資

源記錄把服務(wù)名稱映射成提供該服務(wù)的服務(wù)器名稱。Active Directory 客戶機和域控制器使用 SRV 資源記錄確定域控制器的 IP 地址。

備注 關(guān)于規(guī)劃 DNS 服務(wù)器的部署過程以便支持 Active Directory 域的詳細(xì)信息，以及其他部署問題，請參閱本文“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning Guide。

除了要求 Windows 2000 網(wǎng)絡(luò)的 DNS 服務(wù)器支持 SRV 資源記錄外，Microsoft 還建議 DNS 服

5務(wù)器為 DNS 動態(tài)更新 提供支持。DNS 動態(tài)更新定義了一種協(xié)議，以便使用新值或變更值動態(tài)

更新 DNS 服務(wù)器。如果沒有 DNS 動態(tài)更新協(xié)議，管理員必須手動配置由域控制器創(chuàng)建、DNS 服務(wù)器保存的記錄。

新的 Windows 2000 DNS 服務(wù)既支持 SRV 資源記錄，又支持動態(tài)更新。如果選用不是基于 Windows 2000 的 DNS 服務(wù)器，則必須保證該服務(wù)器支持 SRV 資源記錄，否則應(yīng)將其升級為支持這些記錄的版本。有些舊的 DNS 服務(wù)器雖支持 SRV 資源記錄，但不支持動態(tài)更新，因此，當(dāng)您將 Windows 2000 Server 提升為域控制器時，必須手動更新這些服務(wù)器的資源記錄。該過程可使用 Netlogon.dns 文件（位于 systemrootSystem32config 文件夾）完成，該文件由 Active Directory 安裝向?qū)?chuàng)建。

Active Directory 創(chuàng)建域控制器

實施和管理網(wǎng)絡(luò)是一些實際操作。要理解 Active Directory 是如何與實際情況相結(jié)合的，就必須先了解：在運行 Windows 2000 Server 操作系統(tǒng)的計算機上安裝 Active Directory，實際是一種把服務(wù)器轉(zhuǎn)換成域控制器的操作。一個域控制器只能完全主持一個域。

具體而言，域控制器是一臺運行 Windows 2000 Server 的計算機，它已使用 Active Directory 安裝向?qū)нM(jìn)行了配置；該向?qū)Э砂惭b并配置向網(wǎng)絡(luò)用戶和計算機提供 Active Directory 目錄服務(wù)的組件。域控制器會存儲整個域的目錄數(shù)據(jù)（如系統(tǒng)安全策略和用戶身份驗證數(shù)據(jù)），并管理用戶和域的交互過程，包括用戶登錄進(jìn)程、身份驗證以及目錄搜索。 使用 Active Directory 安裝向?qū)⒎?wù)器提升為域控制器的過程，同樣或者是創(chuàng)建一個 Windows 2000 域，或者在原有域中添加新的域控制器。

本節(jié)闡述了 Active Directory 域控制器的概念，以及它在網(wǎng)絡(luò)中所扮演的某些重要角色。 由于引入了 Active Directory，Windows 2000 域控制器的功能與“對等”類似。這與

Windows NT Server 主域控制器 (PDC) 和備份域控制器 (BDC) 扮演的主/從角色有所不同。對等域控制器支持“多主機復(fù)制”，可在所有域控制器之間復(fù)制 Active Directory 信息。多主機復(fù)制的引入意味著管理員可以更新域中任何 Windows 2000 域控制器的 Active Directory。在 Windows NT Server 操作系統(tǒng)中，只有 PDC 有目錄的可讀寫副本，PDC 會把目錄信息的只讀副本復(fù)制到 BDC。（關(guān)于多主機復(fù)制的詳細(xì)信息，請參閱“多主機復(fù)制”一節(jié)的內(nèi)容。） 如果準(zhǔn)備由原有域升級到 Windows 2000 操作系統(tǒng)，則可在方便時分階段完成升級。如果正在為新的安裝創(chuàng)建第一個域控制器，則會在加載 Active Directory 的同時自動形成幾個實體。接下來的兩小節(jié)解釋了在新的網(wǎng)絡(luò)中安裝 Active Directory 域控制器的以下幾個方面：

?

? 第一個域控制器是一個全局編錄服務(wù)器。 第一個域控制器扮演操作主機角色。

全局編錄

Windows 2000 操作系統(tǒng)引入了全局編錄概念，這是一個保存在一個或多個域控制器中的數(shù)據(jù)庫。全局編錄在登錄用戶和查詢中扮演重要角色。

默認(rèn)情況下，全局編錄由 Windows 2000 目錄林中的初始域控制器自動創(chuàng)建，并且每個目錄林必須有至少一個全局編錄。如果使用多個站點，您可能希望在每個站點都將一個域控制器指定為全局編錄，因為需要全局編錄（決定了帳戶的組成員身份）完成登錄身份驗證進(jìn)程。這是指本機模式域?；旌夏Ｊ接虿恍枰樵冇糜诘卿浀娜志庝洝?/p> ,

在目錄林中安裝了其他域控制器后，就可以用 Active Directory 站點和服務(wù)工具將全局編錄的默認(rèn)位置更改為另一個域控制器。您還可根據(jù)組織對服務(wù)登錄請求和搜索查詢的要求，選擇將任一域控制器配置成主持全局編錄。全局編錄服務(wù)器越多，對用戶查詢的響應(yīng)就越快；但啟用很多域控制器作為全局編錄服務(wù)器會增加網(wǎng)絡(luò)中的復(fù)制通信量，因而影響了響應(yīng)速度。 全局編錄執(zhí)行兩個關(guān)鍵的 Active Directory 角色--登錄和查詢：

? 登錄。 在本機模式域中，全局編錄通過為帳戶提供通用組成員身份信息（該帳戶將

登錄請求發(fā)送到域控制器），啟用 Active Directory 客戶機的網(wǎng)絡(luò)登錄。實際上，不但對 Active Directory 的用戶驗證，而且對每個對象的身份驗證，甚至包括每臺計算機的啟動，都必須引用全局編錄服務(wù)器。在多域安裝中，為了完成用戶登錄過

程，必須至少有一臺包含全局編錄的域控制器正在運行，并且有效。當(dāng)用戶以非默認(rèn)的用戶主要名稱 (UPN) 登錄時，全局編錄服務(wù)器也必須是有效的。(關(guān)于登錄的詳細(xì)信息，請參閱“登錄名：UPN 與 SAM 帳戶名稱”一節(jié)的內(nèi)容) 。

如果在用戶啟動網(wǎng)絡(luò)登錄進(jìn)程時，全局編錄是無效的，則用戶將只能登錄到本地計算機，而無法登錄到網(wǎng)絡(luò)中。唯一的例外是，如果用戶是域管理員 (Domain Admin) 組的成員，就能夠在全局編錄無效的情況下登錄到網(wǎng)絡(luò)中。

? 查詢。 在包含多個域的目錄林中，全局編錄使客戶機能夠方便快捷地執(zhí)行跨所有域的

搜索，而不必逐個搜索每個域。全局編錄使目錄林中的目錄結(jié)構(gòu)對查找信息的最終用戶透明。絕大多數(shù) Active Directory 網(wǎng)絡(luò)通信是與查詢有關(guān)的： 用戶、管理員和程序都會請求有關(guān)目錄對象的信息。查詢過程要比目錄更新過程的發(fā)生頻度高得多。如果把不止一個域控制器指定為全局編錄服務(wù)器，這樣雖然會減少對查找目錄信息的用戶的響應(yīng)時間，但同時也會導(dǎo)致網(wǎng)絡(luò)的復(fù)制通信量增加；因此，必須平衡好它們之間的關(guān)系。 6

操作主機角色

對有些類型的更改，在對等域控制器之間執(zhí)行多主機復(fù)制是不切實際的；因此，只有一個被稱為“操作主機”的域控制器會接受這種更改請求。由于多主機復(fù)制在基于 Active Directory 的網(wǎng)絡(luò)中占有重要地位，因此理解這些例外情況非常重要。在任一 Active Directory 目錄林中，安裝期間至少會將五個不同的操作主機角色分配給初始域控制器。

當(dāng)您在新目錄林中創(chuàng)建第一個域時，全部五個獨立的主機操作角色都會自動分配給該域中的第一個域控制器。在只有一個域和一個域控制器的小規(guī)模 Active Directory 目錄林中，這個唯一的域控制器仍擔(dān)當(dāng)起所有的操作主機角色。在一個較大的網(wǎng)絡(luò)中，無論它有一個域還是多個域，您都可以重新將這些角色分配給其他的一個或多個域控制器。有些角色必須在每個目錄林中出現(xiàn)。有些角色則必須在目錄林的每個域中出現(xiàn)。

以下跨整個目錄林的兩種操作主機角色在目錄林中必須是唯一的，即整個目錄林中一種操作角色只能有一個：

? 架構(gòu)主機。 擁有架構(gòu)主機角色的域控制器控制對架構(gòu)的所有更新和修改。架構(gòu)定義了

可在目錄中保存的每個對象（及其屬性）。要更新目錄林的架構(gòu)，必須擁有架構(gòu)主機的訪問權(quán)。

域命名主機。 擁有域命名主機角色的域控制器控制目錄林中域的添加或刪除。 ?

以下整個域的三個操作主機角色在每個域內(nèi)都必須是唯一的： 即在目錄林的每個域中都只能有一個：

?

?

? 相對標(biāo)識符 (RID) 主機。 RID 主機為域內(nèi)的每個域控制器分配 RID 序列。只要域控制器創(chuàng)建了用戶、組或計算機對象，該主機就會為對象指定一個唯一的安全 ID (SID)。安全 ID 由域安全 ID（對域中創(chuàng)建的所有安全 ID 都是相同的) 和相對 ID (在域中創(chuàng)建的每個安全 ID 都是唯一的) 組成。當(dāng)域控制器用完自己的 RID 池后，會向 RID 主機請求另一個 RID 池。 主域控制器 (PDC) 模擬器。如果域包含未安裝 Windows 2000 客戶機軟件的計算機，或者如果包含 Windows NT 備份域控制器 (BDC)，PDC 模擬器就會充當(dāng) Windows NT 主域控制器 (PDC)。它可以處理客戶機的密碼更改過程，并將更新情況復(fù)制到 BDC。對由域中其他域控制器執(zhí)行的密碼更改過程，PDC 模擬器可優(yōu)先接收到對這些更改情況的復(fù)制。如果由于密碼錯誤而導(dǎo)致在另一個域控制器的登錄身份驗證失敗，域控制器會在拒絕登錄嘗試之前，將驗證請求轉(zhuǎn)發(fā)給 PDC 模擬器。 基礎(chǔ)結(jié)構(gòu)主機。當(dāng)一個由其他對象引用的對象移動時，基礎(chǔ)結(jié)構(gòu)主機負(fù)責(zé)更新域間的

所有引用。例如，只要組成員重新命名或有所更改，基礎(chǔ)結(jié)構(gòu)主機就會更新組與用戶間的引用。當(dāng)您重新命名或移動組中的成員（并且成員與組不在同一域中），暫時看起來組中就像沒有包含該成員。組所在域的基礎(chǔ)結(jié)構(gòu)主機負(fù)責(zé)更新組，使組能夠了解成員的新名稱或新位置。

基礎(chǔ)結(jié)構(gòu)主機使用多主機復(fù)制來對更新情況進(jìn)行分發(fā)。除非域中只有一個域控制器，否則不應(yīng)把基礎(chǔ)結(jié)構(gòu)主機的角色分配給主持全局編錄的域控制器。如果這樣做，基礎(chǔ)結(jié)構(gòu)主機將無法行使其功能。如果域中的所有域控制器都主持全局編錄（包括只有一個域控制器的情況），那么所有域控制器都會有當(dāng)前的最新數(shù)據(jù)，因而就不需要基礎(chǔ)結(jié)構(gòu)主機這一角色了。

體系結(jié)構(gòu)

只要安裝了 Active Directory 域控制器，也就同時創(chuàng)建了初始的 Windows 2000 域，或已在原有域中添加了新的域控制器。域控制器和域是如何適應(yīng)整個網(wǎng)絡(luò)體系結(jié)構(gòu)的?

本節(jié)介紹基于 Active Directory 的網(wǎng)絡(luò)組件，以及這些組件的組織方式。此外，還闡述了如何將對部門 (OU)、域或站點的管理責(zé)任委派給適當(dāng)?shù)膫€體，以及如何將配置設(shè)置分配給相同的三個 Active Directory 容器。其中包括以下主題：

?

?

?

?

?

? 對象（包括架構(gòu)）。 對象命名規(guī)則（包括安全主管名稱、SID 、與 LDAP 相關(guān)的名稱、對象 GUID 以及登錄名）。 對象發(fā)布。 域（包括目錄樹、目錄林、信任以及部門）。 站點（包括復(fù)制）。 如何將委派和組策略應(yīng)用于 OU、域和站點。

對象

Active Directory 對象是組成網(wǎng)絡(luò)的實體。對象是代表用戶、打印機或應(yīng)用程序等一些具體事物的一組不同的、已命名的屬性集。當(dāng)您創(chuàng)建一個 Active Directory 對象時，Active

Directory 會生成一些對象屬性的值，其他屬性值則由您提供。例如，當(dāng)您創(chuàng)建用戶對象時，Active Directory 會指定全球唯一標(biāo)識符 (GUID)，而您則提供其他一些屬性（如用戶的姓、名、登錄標(biāo)識符等等）的值。

架構(gòu)

“架構(gòu)”是對“對象類別”（不同類型的對象）及這些對象類別的“屬性”的說明。對于每個對象類別，架構(gòu)定義了對象類別必須具有的屬性，它可能具有的其他屬性，以及可以成為其父對象的對象類別。每個 Active Directory 對象都是一個對象類別的實例。每一屬性只定義一次，但可用在多個類別中。例如，屬性 Description 只定義了一次，卻已用在許多不同類別中。

架構(gòu)保存于 Active Directory 中。架構(gòu)定義本身也作為對象保存--即 Class Schema 對象和 Attribute Schema 對象。這使 Active Directory 可以用管理其他目錄對象的同種方法來管理類別和屬性對象。

創(chuàng)建或修改 Active Directory 對象的應(yīng)用程序使用架構(gòu)來確定以下內(nèi)容：對象一定或可能有哪些屬性；如何依據(jù)數(shù)據(jù)結(jié)構(gòu)和語法限制來描述屬性。

對象不是容器對象就是葉對象（又稱非容器對象）。容器對象存儲其他對象，而葉對象卻沒有該功能。例如，文件夾是文件的容器對象，而文件則是葉對象。

Active Directory 架構(gòu)中每一類別的對象都有這樣一些屬性，它們確保：

?

?

? 目錄數(shù)據(jù)存儲區(qū)中的每一對象都具有唯一的標(biāo)識。 對于安全主管（用戶、計算機或組），與 Windows NT 4.0 操作系統(tǒng)和早期版本中所用安全標(biāo)識符 (SID) 的兼容性。 與目錄對象名稱的 LDAP 標(biāo)準(zhǔn)的兼容性。

架構(gòu)屬性與查詢

使用 Active Directory 架構(gòu)工具能夠?qū)傩詷?biāo)記為有索引。這樣做的結(jié)果是，將該屬性的所有實例都添至索引，而不僅僅是添加特定類別成員的實例。為屬性建立索引有助于查詢能夠更加快速地找到具有該屬性的對象。

您也可以將一些屬性加入全局編錄。全局編錄包含了目錄林中每個對象的一組默認(rèn)屬性，而您可以將自己的選項添加進(jìn)去。用戶和應(yīng)用程序都使用全局編錄在整個目錄林中定位對象。只有具有以下特征的屬性才可包含在全局編錄中：

?

?

? 全局通用。 屬性應(yīng)是查找處于目錄林任意位置的對象（即使僅用于讀取訪問）時需要的屬性。 相對穩(wěn)定。屬性應(yīng)是不變或極少改變的。某一全局編錄中的屬性會復(fù)制到目錄林中所有其他全局編錄中。如果屬性經(jīng)常變化，則會導(dǎo)致復(fù)制通信量驟增。 小型。全局編錄中的屬性會復(fù)制到目錄林的每個全局編錄中。屬性越小，對復(fù)制過程

的影響程度越低。

架構(gòu)對象名稱

如上文所述，類別和屬性都是架構(gòu)對象。任何架構(gòu)對象都可以使用下列名稱類型中的一種進(jìn)行引用：

? LDAP 顯示名。 對于每一架構(gòu)對象來說，LDAP 顯示名是全局唯一的。LDAP 顯示名由

一個或多個詞組合而成，第一個詞后面的詞的詞首字母大寫。例如，mailAddress 和 machinePasswordChangeInterval 是兩個架構(gòu)屬性的 LDAP 顯示名。Active

Directory 架構(gòu)和其他 Windows 2000 管理工具顯示對象的 LDAP 顯示名；程序員和管理員可使用該名稱以編程方式引用對象。關(guān)于以編程方式擴展架構(gòu)的信息請參閱下一小節(jié)；關(guān)于 LDAP 的詳細(xì)信息，請參閱“輕型目錄訪問協(xié)議”一節(jié)。

?

? 公用名。架構(gòu)對象的公用名也是全局唯一的?？稍诩軜?gòu)中創(chuàng)建新對象類別或新屬性時指定公用名；公用名是在架構(gòu)中代表對象類別的、對象的相對可分辨名稱 (RDN)。關(guān)于 RDN 的詳細(xì)信息，請參閱“LDAP DN 與 RDN 名”一節(jié)的內(nèi)容。例如，上段提及的兩個屬性的公用名是 SMTP-Mail-Address 和 Machine-Password-Change-Interval。 對象標(biāo)識符 (OID)。 架構(gòu)對象的標(biāo)識符是由頒發(fā)機構(gòu)（如國際標(biāo)準(zhǔn)化組織 (ISO) 和

美國國家標(biāo)準(zhǔn)學(xué)會 (ANSI)）頒發(fā)的數(shù)字。例如，SMTP-Mail-Address 屬性的 OID 是

1.2.840.113556.1.4.786。OID 在整個全球網(wǎng)絡(luò)中確保是唯一的。從頒發(fā)機構(gòu)獲得根 OID 后，即可用它來分配其他 OID。OID 是一種分層結(jié)構(gòu)。例如，頒發(fā)給 Microsoft 的根 OID 是 1.2.840.113556。Microsoft 內(nèi)部管理由這個根產(chǎn)生的進(jìn)一步的分支。其中一個分支用來為 Active Directory 架構(gòu)類別分配 OID，另一個用于 Active

Directory 屬性。繼續(xù)以此為例：Active Directory 中的 OID 是

1.2.840.113556.1.5.4，表示 Builtin Domain 類，能夠按下表 1 所示進(jìn)行分析。 表 1. 對象標(biāo)識符

關(guān)于 OID 以及 OID 獲取方式的詳細(xì)信息，請參閱本文檔結(jié)尾處的“其它信息”。 擴展架構(gòu)

Windows 2000 Server 操作系統(tǒng)提供了一組默認(rèn)的對象類別和屬性，對許多組織來說這些已足夠使用。盡管您無法刪除架構(gòu)對象，但可將其標(biāo)記為不活動。

有經(jīng)驗的開發(fā)者和網(wǎng)絡(luò)管理員可以定義新類，或定義原有類的新屬性，以此來動態(tài)擴展架構(gòu)。我們推薦通過 Active Directory 服務(wù)接口 (ADSI) 以編程方式對 Active Directory 架構(gòu)進(jìn)行擴展。您也可用 LDAP 數(shù)據(jù)交換格式 (LDIFDE) 工具。（關(guān)于 ADSI 和 LDIFDE 的詳細(xì)信息，請參閱“Active Directory 服務(wù)接口”和“Active Directory 與 LDIFDE”一節(jié)的內(nèi)容。）

如果是為了開發(fā)和測試，您也可以使用 Active Directory 架構(gòu)工具查看并修改 Active Directory 架構(gòu)。

在考慮改變架構(gòu)時，應(yīng)切記以下要點：

?

?

? 架構(gòu)更改是涉及整個目錄林的全局過程。 架構(gòu)擴展是不可逆的（盡管可修改一些屬性）。 Microsoft 要求擴展架構(gòu)的任何人都要遵守 LDAP 顯示名和公用名的命名規(guī)則（上面

7的小節(jié)已討論過）。如果要獲得“Windows 認(rèn)證”徽標(biāo)，則必須保證這一一致性；詳

細(xì)信息，請參閱 Microsoft Developer Network Web 站點。