Active Directory 結構操作系統(tǒng)白皮書摘要要發(fā)揮 Microsoft? Windows? 2000 Server 操作系統(tǒng)的最大作用，必須首先了解 Active Directory? 目

Active Directory 結構

操作系統(tǒng)

白皮書

摘要

要發(fā)揮 Microsoft? Windows? 2000 Server 操作系統(tǒng)的最大作用，必須首先了解 Active Directory? 目錄服務。Active Directory 是 Windows 2000 操作系統(tǒng)的新內容，它在實施組織的網(wǎng)絡、進而實現(xiàn)組織的商業(yè)目標中占有重要地位。本文向網(wǎng)絡管理員介紹 Active Directory ，解釋其結構，闡述其如何與應用程序及其他目錄服務進行交互操作。

本文以 Windows 2000 Beta 3 發(fā)行時有效的信息為基礎。在 Windows 2000 Server 的最終版本發(fā)行之前，本文提供的信息可能會隨時更改。

簡介

要想了解 Windows 2000 操作系統(tǒng)如何實現(xiàn)其功能，及其對完成企業(yè)目標能夠提供哪些幫助，就必須先了解 Active Directory? 目錄服務。本文從以下三個方面介紹 Active Directory： ? 存儲。 Active Directory，即 Windows? 2000 Server 目錄服務，可分層存儲網(wǎng)絡對象的信息，并向管理員、用戶和應用程序提供這些信息。本文首先解釋目錄服務的概念、Active Directory 服務與 Internet 域名系統(tǒng) (DNS) 的集成，以及當您將服務

1器指定為域控制器 時，Active Directory 是如何實現(xiàn)的。

結構。使用 Active Directory，可以根據(jù)結構組織網(wǎng)絡及其對象，這些結構包括域、目錄樹、目錄林、信任關系、部門 (OU) 和站點。本文第二節(jié)闡述這些 Active

Directory 組件的結構和功能，以及管理員采用該體系結構對網(wǎng)絡實施管理的方式，從而有助于用戶實現(xiàn)其商業(yè)目標。

相互通信。Active Directory 以標準目錄訪問協(xié)議為基礎，因此能夠與其他目錄服務進行交互操作，并可接受遵守這些協(xié)議的第三方應用程序的訪問。最后一節(jié)闡述 Active Directory 與其他各種技術進行通信的方式。 ? ?

Active Directory 的優(yōu)點

在 Windows 2000 操作系統(tǒng)中引入 Active Directory 有以下優(yōu)點：

? 與 DNS 集成。 Active Directory 使用域名系統(tǒng) (DNS)。DNS 是一種 Internet 標準服務，它將用戶能夠讀取的計算機名稱（例如 mycomputer.microsoft.com）翻譯成計算機能夠讀取的數(shù)字 Internet 協(xié)議 (IP) 地址（由英文句號分隔的四組數(shù)字）。這樣，在 TCP/IP 網(wǎng)絡計算機上運行的進程即可相互識別并進行連接。

靈活的查詢。 用戶和管理員如果要通過對象屬性快速查找網(wǎng)絡中的對象，可使用“開始”菜單中的“查找”命令、桌面上的“網(wǎng)上鄰居”圖標或者是 Active Directory 用戶和計算機管理單元。例如，您可以按照一個用戶帳戶的姓名、電子郵件名、辦公地點或其他屬性查找該用戶。而且, 使用全局編錄優(yōu)化了查找信息的操作。

可擴展性。 Active Directory 是可擴展的；也就是說，管理員既可以在架構中添加新的對象類別，也可在原有的對象類別中添加新屬性。架構包含每個對象類別的定義，以及能夠存儲于目錄中的每個對象類別的屬性。例如，您可能會為 User 對象添? ?

?

?

?

?

? 加 Purchase Authority 屬性，然后將每個用戶的購買權限額保存為用戶帳戶的一部分。 基于策略的管理。 組策略是在初始化時應用于計算機或用戶的配置設置。所有組策略設置都包含在應用于 Active Directory 站點、域或部門的組策略對象 (GPO) 中。GPO 設置決定了對目錄對象和域資源的訪問權限、用戶可使用的域資源（如應用程序），以及這些域資源針對其用途的配置方式。 可伸縮性。 Active Directory 包括一個或多個域，每個域均有一個或多個域控制器，由此，您能夠對目錄進行自由擴展，從而滿足所有網(wǎng)絡的需求。多個域可合并成一個域目錄樹，多個域目錄樹可合并成一個目錄林。在只有一個域的最簡單的網(wǎng)絡結構中，該域既是一個目錄樹，又是一個目錄林。 信息復制。 Active Directory 使用多主機復制，使您可以更新任何域控制器中的目錄。在一個域中部署多個域控制器還提供了容錯能力和負載平衡功能。因為這些域控制器包含同樣的目錄數(shù)據(jù)，所以，如果域內的一個域控制器速度變慢、停止或出現(xiàn)故障，同一域內的其他域控制器即可提供必要的目錄訪問功能。 信息安全。在 Windows 2000 操作系統(tǒng)中，用戶身份驗證和訪問控制的管理都與 Active Directory 完全結合在一起，這是該系統(tǒng)的一項關鍵性安全功能。Active Directory 將身份驗證集中進行。不僅可以定義對目錄中每個對象的訪問控制，還可定義對每個對象的每個屬性的訪問控制。此外，Active Directory 還為安全策略提供了存儲區(qū)和應用范圍。（關于 Active Directory 登錄身份驗證和訪問控制的詳細信息，請參閱本文結尾外的“其它信息”。） 互操作性。由于 Active Directory 以標準目錄訪問協(xié)議（例如輕型目錄訪問協(xié)議

(LDAP)）為基礎，因此它能夠與其他采用這些協(xié)議的目錄服務進行交互操作。有些應用程序編程接口 (API)--例如 Active Directory 服務接口 (ADSI)--允許開發(fā)者訪問這些協(xié)議。

在本文結尾，“附錄 A：工具”提供了一些軟件工具的簡要概述，您可以使用這些工具執(zhí)行與 Active Directory 有關的任務。

Active Directory 目錄服務

在進入本文主要部分--Active Directory 結構與互操作性--之前，此節(jié)作為預備內容，從兩個區(qū)別很大的角度簡單介紹 Active Directory：

?

? 第一個角度是從 Active Directory 的最抽象意義上介紹，即：Active Directory 是一個與 Internet 域名系統(tǒng) (DNS) 集成的名稱空間。 第二個角度是從 Active Directory 的最普通意義上介紹，即：它是將服務器轉換成

域控制器的軟件。

在計算機網(wǎng)絡上下文環(huán)境中，目錄（又稱數(shù)據(jù)存儲區(qū)）是存儲網(wǎng)絡對象信息的分層結構。對象包括共享資源，如服務器、共享卷和打印機；網(wǎng)絡用戶和計算機帳戶以；域、應用程序、服務、安全策略，以及網(wǎng)絡上的其他所有內容。以下是網(wǎng)絡目錄可能存儲的、與特殊對象類型有關的、特定種類信息的一個示例：一般情況下，目錄會存儲用戶帳戶的用戶名、密碼、電子郵件地址、電話號碼等信息。

目錄服務與目錄的不同之處在于：它既是目錄信息源，又是使信息對管理員、用戶、網(wǎng)絡服務和應用程序有效并可用的服務。理想情況下，目錄服務會使物理拓撲和協(xié)議（兩個服務間傳輸數(shù)據(jù)所用的格式）透明化；這樣，即使用戶不知道資源的物理連接位置和連接方法，也能夠訪問資源。我們可以繼續(xù)以用戶帳戶為例：正是目錄服務使同一網(wǎng)絡中的其他授權用戶能夠訪問針對用戶帳戶對象所保存的目錄信息（如電子郵件地址）。

目錄服務可支持多種不同的功能。有些目錄服務與操作系統(tǒng)集成，有些則是一些應用程序，如電子郵件目錄。Active Directory 等操作系統(tǒng)目錄服務可提供對用戶、計算機和共享資源的管理。Microsoft Exchange 等處理電子郵件的目錄服務使用戶能夠查找其他用戶并發(fā)送電子郵件。

Active Directory 是一種新型的目錄服務，是 Windows 2000 Server 操作系統(tǒng)的核心，它只在域控制器中運行。Active Directory 不但為數(shù)據(jù)提供了存儲區(qū)以及使該數(shù)據(jù)有效的服務，而且還保護了網(wǎng)絡對象，使其免受未經(jīng)授權的訪問，并防止跨網(wǎng)絡復制對象，這樣，即使一個域控制器出現(xiàn)故障，也不會導致數(shù)據(jù)丟失。

Active Directory 合并了 DNS

Active Directory 和 DNS 都是名稱空間。名稱空間是任一有界區(qū)域，在其中對給定的名稱進行解析。名稱解析是把名稱轉換成該名稱代表的某一對象或信息的過程。例如，電話號碼簿組成了一個名稱空間，其中的電話用戶名可解析成電話號碼。Windows NTFS 文件系統(tǒng)組成了一個名稱空間，其中的文件名可解析為文件本身。

DNS 與 Internet

要理解 Windows 2000 處理 Active Directory 和 DNS 名稱空間的方式，需要先了解有關 DNS 自身及其與 Internet 和 TCP/IP 之間關系的一些基本知識。Internet 是一種 TCP/IP 網(wǎng)絡。TCP/IP 通訊協(xié)議連接計算機，并使計算機可通過網(wǎng)絡傳輸數(shù)據(jù)。Internet 或任何其他 TCP/IP 網(wǎng)絡（如許多 Windows 網(wǎng)絡）上的每臺計算機都有一個 IP 地址。DNS 定位 TCP/IP 主機（計算機）的方法是：將最終用戶能理解的計算機名稱解析成計算機能讀懂的 IP 地址?？捎梅植嫉饺虻?DNS 數(shù)據(jù)庫來管理 Internet 上的 IP 地址，也可以在本地實施 DNS，用于管理專用 TCP/IP 網(wǎng)絡中的地址。

DNS 組織成不同層次的域，使整個 Internet 成為一個名稱空間。DNS 有幾個頂級域，可進一步劃分為第二級域。Internet 域名空間的根由 Internet 職權部門（目前是 Internet 網(wǎng)絡信息中心，簡稱 InterNIC）管理，該部門負責代理對 DNS 名稱空間頂級域名的管理職責，并負責注冊第二級域名。頂級域名是一些大家熟悉的域類別，如商業(yè)組織 (.com)、教育組織

(.edu)、政府組織 (.gov) 等等。對于美國以外的國家和地區(qū)，則用兩個字母的國家/地區(qū)代碼來表示，如英國用 .uk 表示。第二級域名代表了以前在機構（和個體）中注冊的名稱空間，他們曾以這種方式實現(xiàn)了在 Internet 上的存在。圖 1 顯示了公司網(wǎng)絡連接到 Internet DNS 名稱空間的方式。

圖 1. Microsoft 如何適應 Internet DNS 名稱空間。

DNS 與 Active Directory 名稱空間的集成

DNS 與 Active Directory 的集成是 Windows 2000 Server 操作系統(tǒng)的核心功能。DNS 域和 Active Directory 域對不同的名稱空間使用相同的域名。因為兩個名稱空間共享一個相同的域結構，所以必須了解它們不是同一個名稱空間。每個名稱空間保存了不同的數(shù)據(jù)，因而管理不

2同的對象。DNS 保存區(qū)域 以及資源記錄；Active Directory 保存域和域對象。

DNS 的域名以 DNS 分層命名結構為基礎，這是一個反向樹結構：最上方是一個根域，下面是父域和子域（枝和葉）。例如，有個 Windows 2000 域名是：child.parent.microsoft.com ；這表明域名 child 是域名 parent 的子域，而 parent 本身也是域 microsoft.com 的一個子域。

DNS 域的每臺計算機都可依據(jù)其完全合格的域名 (FQDN) 加以唯一識別。位于域

child.parent.microsoft.com 的計算機的 FQDN 是

computername .child.parent.microsoft.com 。

每個 Windows 2000 域都有一個 DNS 名稱（如 OrgName.com），并且每臺基于 Windows 2000 的計算機都有一個 DNS 名稱（如 AcctServer.OrgName.com）。因而，域和計算機都用 Active Directory 對象和 DNS 節(jié)點來表示（DNS 分層結構中的一個節(jié)點代表一個域或一臺計算機）。 DNS 和 Active Directory 均用數(shù)據(jù)庫來解析名稱：

? DNS 是一種名稱解析服務。 通過將 DNS 服務器接收的請求視為對 DNS 數(shù)據(jù)庫的 DNS

查詢，DNS 將域名和計算機名解析成 IP 地址。具體地說，DNS 客戶機把 DNS 名稱查

詢發(fā)送到已配置的 DNS 服務器。DNS 服務器先接收名稱查詢，然后通過本地保存的文

件解析該名稱查詢，或咨詢另一臺 DNS 服務器進行解析。DNS 不需要系統(tǒng)啟動

Active Directory。

Active Directory 是一種目錄服務。通過將域控制器接收的請求視為輕型目錄訪問協(xié)

3議 (LDAP) 搜索，或改成對 Active Directory 數(shù)據(jù)庫的請求，Active Directory 將?

域對象名稱解析成對象記錄。具體而言，Active Directory 客戶機使用 LDAP 向

Active Directory 服務器發(fā)送查詢。Active Directory 客戶機通過查詢 DNS 來定位 Active Directory 服務器。即，Active Directory 將 DNS 用作定位器服務，把

Active Directory 域、站點及服務名稱解析成 IP 地址。例如，要登錄到 Active

Directory 域，Active Directory 客戶機會查詢已配置的 DNS 服務器，請求 LDAP

服務的 IP 地址（LDAP 服務在指定域的域控制器中運行）。Active Directory 不需

要系統(tǒng)啟動 DNS。

實際上，理解 Windows 2000 環(huán)境中 DNS 與 Active Directory 名稱空間之間的差異，就是理解：代表 DNS 區(qū)域中指定計算機的 DNS 主機記錄，與 Active Directory 域中代表“同一臺計算機”的計算機帳戶對象處于不同的名稱空間中。

總之，Active Directory 用以下兩種方式與 DNS 集成：

? Active Directory 域和 DNS 域有相同的分層結構。盡管因目的不同，DNS 和 Active

Directory 域的組織名稱空間各自獨立，實施方法也有所不同，但它們卻有相同的結

構。例如，microsoft.com 既是一個 DNS 域又是一個 Active Directory 域。

DNS 區(qū)域可保存在 Active Directory 中。 如果使用 Windows 2000 DNS 服務，主區(qū)域就可以保存在 Active Directory 中，以便復制到其他 Active Directory 域控制

器，為 DNS 服務提供增強的安全性。

Active Directory 客戶機使用 DNS 來定位域控制器。 為了定位指定域的域控制器，Active Directory 客戶機會查詢已配置的 DNS 服務器，以查找指定的資源記錄。 ? ?

Active Directory 與全局 DNS 名稱空間

Active Directory 被設計成可處于 Internet 全局 DNS 名稱空間的范圍之內。如果組織使用 Windows 2000 Server 作為其網(wǎng)絡操作系統(tǒng)，當該組織需要存在于 Internet 上時，Active Directory 名稱空間會作為一個或多個分層的 Windows 2000 域，保留在已注冊為 DNS 名稱空間的根域名之下。（組織可選擇不成為全局 Internet DNS 名稱空間的一部分；但即使它這樣做，仍要求 DNS 服務定位基于 Windows-2000 的計算機。)

根據(jù) DNS 命名規(guī)則，以英文句號 (. ) 分隔的 DNS 名稱的每部分都代表 DNS 分層樹結構的一個節(jié)點，以及 Windows 2000 域分層樹結構的一個可能的 Active Directory 域名。如圖 2 所示，DNS 分層結構的根是一個有空標簽 (" ") 的節(jié)點。Active Directory 名稱空間的根（目錄林根）無父根，它提供了指向 Active Directory 的 LDAP 進入點。

圖 2. 比較 DNS 與 Active Directory 名稱空間的根

SRV 資源記錄與動態(tài)更新

DNS 獨立于 Active Directory，而 Active Directory 卻專門設計成與 DNS 協(xié)同工作。為了

4保證 Active Directory 正常運行，DNS 服務器必須支持服務位置 (SRV) 資源記錄。SRV 資

源記錄把服務名稱映射成提供該服務的服務器名稱。Active Directory 客戶機和域控制器使用 SRV 資源記錄確定域控制器的 IP 地址。

備注 關于規(guī)劃 DNS 服務器的部署過程以便支持 Active Directory 域的詳細信息，以及其他部署問題，請參閱本文“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning Guide。

除了要求 Windows 2000 網(wǎng)絡的 DNS 服務器支持 SRV 資源記錄外，Microsoft 還建議 DNS 服

5務器為 DNS 動態(tài)更新 提供支持。DNS 動態(tài)更新定義了一種協(xié)議，以便使用新值或變更值動態(tài)

更新 DNS 服務器。如果沒有 DNS 動態(tài)更新協(xié)議，管理員必須手動配置由域控制器創(chuàng)建、DNS 服務器保存的記錄。

新的 Windows 2000 DNS 服務既支持 SRV 資源記錄，又支持動態(tài)更新。如果選用不是基于 Windows 2000 的 DNS 服務器，則必須保證該服務器支持 SRV 資源記錄，否則應將其升級為支持這些記錄的版本。有些舊的 DNS 服務器雖支持 SRV 資源記錄，但不支持動態(tài)更新，因此，當您將 Windows 2000 Server 提升為域控制器時，必須手動更新這些服務器的資源記錄。該過程可使用 Netlogon.dns 文件（位于 systemrootSystem32config 文件夾）完成，該文件由 Active Directory 安裝向導創(chuàng)建。

Active Directory 創(chuàng)建域控制器

實施和管理網(wǎng)絡是一些實際操作。要理解 Active Directory 是如何與實際情況相結合的，就必須先了解：在運行 Windows 2000 Server 操作系統(tǒng)的計算機上安裝 Active Directory，實際是一種把服務器轉換成域控制器的操作。一個域控制器只能完全主持一個域。

具體而言，域控制器是一臺運行 Windows 2000 Server 的計算機，它已使用 Active Directory 安裝向導進行了配置；該向導可安裝并配置向網(wǎng)絡用戶和計算機提供 Active Directory 目錄服務的組件。域控制器會存儲整個域的目錄數(shù)據(jù)（如系統(tǒng)安全策略和用戶身份驗證數(shù)據(jù)），并管理用戶和域的交互過程，包括用戶登錄進程、身份驗證以及目錄搜索。 使用 Active Directory 安裝向導將服務器提升為域控制器的過程，同樣或者是創(chuàng)建一個 Windows 2000 域，或者在原有域中添加新的域控制器。

本節(jié)闡述了 Active Directory 域控制器的概念，以及它在網(wǎng)絡中所扮演的某些重要角色。 由于引入了 Active Directory，Windows 2000 域控制器的功能與“對等”類似。這與

Windows NT Server 主域控制器 (PDC) 和備份域控制器 (BDC) 扮演的主/從角色有所不同。對等域控制器支持“多主機復制”，可在所有域控制器之間復制 Active Directory 信息。多主機復制的引入意味著管理員可以更新域中任何 Windows 2000 域控制器的 Active Directory。在 Windows NT Server 操作系統(tǒng)中，只有 PDC 有目錄的可讀寫副本，PDC 會把目錄信息的只讀副本復制到 BDC。（關于多主機復制的詳細信息，請參閱“多主機復制”一節(jié)的內容。） 如果準備由原有域升級到 Windows 2000 操作系統(tǒng)，則可在方便時分階段完成升級。如果正在為新的安裝創(chuàng)建第一個域控制器，則會在加載 Active Directory 的同時自動形成幾個實體。接下來的兩小節(jié)解釋了在新的網(wǎng)絡中安裝 Active Directory 域控制器的以下幾個方面：

?

? 第一個域控制器是一個全局編錄服務器。 第一個域控制器扮演操作主機角色。

全局編錄

Windows 2000 操作系統(tǒng)引入了全局編錄概念，這是一個保存在一個或多個域控制器中的數(shù)據(jù)庫。全局編錄在登錄用戶和查詢中扮演重要角色。

默認情況下，全局編錄由 Windows 2000 目錄林中的初始域控制器自動創(chuàng)建，并且每個目錄林必須有至少一個全局編錄。如果使用多個站點，您可能希望在每個站點都將一個域控制器指定為全局編錄，因為需要全局編錄（決定了帳戶的組成員身份）完成登錄身份驗證進程。這是指本機模式域?；旌夏Ｊ接虿恍枰樵冇糜诘卿浀娜志庝?。

在目錄林中安裝了其他域控制器后，就可以用 Active Directory 站點和服務工具將全局編錄的默認位置更改為另一個域控制器。您還可根據(jù)組織對服務登錄請求和搜索查詢的要求，選擇將任一域控制器配置成主持全局編錄。全局編錄服務器越多，對用戶查詢的響應就越快；但啟用很多域控制器作為全局編錄服務器會增加網(wǎng)絡中的復制通信量，因而影響了響應速度。 全局編錄執(zhí)行兩個關鍵的 Active Directory 角色--登錄和查詢：

? 登錄。 在本機模式域中，全局編錄通過為帳戶提供通用組成員身份信息（該帳戶將

登錄請求發(fā)送到域控制器），啟用 Active Directory 客戶機的網(wǎng)絡登錄。實際上，不但對 Active Directory 的用戶驗證，而且對每個對象的身份驗證，甚至包括每臺計算機的啟動，都必須引用全局編錄服務器。在多域安裝中，為了完成用戶登錄過

程，必須至少有一臺包含全局編錄的域控制器正在運行，并且有效。當用戶以非默認的用戶主要名稱 (UPN) 登錄時，全局編錄服務器也必須是有效的。(關于登錄的詳細信息，請參閱“登錄名：UPN 與 SAM 帳戶名稱”一節(jié)的內容) 。

如果在用戶啟動網(wǎng)絡登錄進程時，全局編錄是無效的，則用戶將只能登錄到本地計算機，而無法登錄到網(wǎng)絡中。唯一的例外是，如果用戶是域管理員 (Domain Admin) 組的成員，就能夠在全局編錄無效的情況下登錄到網(wǎng)絡中。

? 查詢。 在包含多個域的目錄林中，全局編錄使客戶機能夠方便快捷地執(zhí)行跨所有域的

搜索，而不必逐個搜索每個域。全局編錄使目錄林中的目錄結構對查找信息的最終用戶透明。絕大多數(shù) Active Directory 網(wǎng)絡通信是與查詢有關的： 用戶、管理員和程序都會請求有關目錄對象的信息。查詢過程要比目錄更新過程的發(fā)生頻度高得多。如果把不止一個域控制器指定為全局編錄服務器，這樣雖然會減少對查找目錄信息的用戶的響應時間，但同時也會導致網(wǎng)絡的復制通信量增加；因此，必須平衡好它們之間的關系。 6

操作主機角色

對有些類型的更改，在對等域控制器之間執(zhí)行多主機復制是不切實際的；因此，只有一個被稱為“操作主機”的域控制器會接受這種更改請求。由于多主機復制在基于 Active Directory 的網(wǎng)絡中占有重要地位，因此理解這些例外情況非常重要。在任一 Active Directory 目錄林中，安裝期間至少會將五個不同的操作主機角色分配給初始域控制器。

當您在新目錄林中創(chuàng)建第一個域時，全部五個獨立的主機操作角色都會自動分配給該域中的第一個域控制器。在只有一個域和一個域控制器的小規(guī)模 Active Directory 目錄林中，這個唯一的域控制器仍擔當起所有的操作主機角色。在一個較大的網(wǎng)絡中，無論它有一個域還是多個域，您都可以重新將這些角色分配給其他的一個或多個域控制器。有些角色必須在每個目錄林中出現(xiàn)。有些角色則必須在目錄林的每個域中出現(xiàn)。

以下跨整個目錄林的兩種操作主機角色在目錄林中必須是唯一的，即整個目錄林中一種操作角色只能有一個：

? 架構主機。 擁有架構主機角色的域控制器控制對架構的所有更新和修改。架構定義了

可在目錄中保存的每個對象（及其屬性）。要更新目錄林的架構，必須擁有架構主機的訪問權。

域命名主機。 擁有域命名主機角色的域控制器控制目錄林中域的添加或刪除。 ?

以下整個域的三個操作主機角色在每個域內都必須是唯一的： 即在目錄林的每個域中都只能有一個：

?

?

? 相對標識符 (RID) 主機。 RID 主機為域內的每個域控制器分配 RID 序列。只要域控制器創(chuàng)建了用戶、組或計算機對象，該主機就會為對象指定一個唯一的安全 ID (SID)。安全 ID 由域安全 ID（對域中創(chuàng)建的所有安全 ID 都是相同的) 和相對 ID (在域中創(chuàng)建的每個安全 ID 都是唯一的) 組成。當域控制器用完自己的 RID 池后，會向 RID 主機請求另一個 RID 池。 主域控制器 (PDC) 模擬器。如果域包含未安裝 Windows 2000 客戶機軟件的計算機，或者如果包含 Windows NT 備份域控制器 (BDC)，PDC 模擬器就會充當 Windows NT 主域控制器 (PDC)。它可以處理客戶機的密碼更改過程，并將更新情況復制到 BDC。對由域中其他域控制器執(zhí)行的密碼更改過程，PDC 模擬器可優(yōu)先接收到對這些更改情況的復制。如果由于密碼錯誤而導致在另一個域控制器的登錄身份驗證失敗，域控制器會在拒絕登錄嘗試之前，將驗證請求轉發(fā)給 PDC 模擬器。 基礎結構主機。當一個由其他對象引用的對象移動時，基礎結構主機負責更新域間的

所有引用。例如，只要組成員重新命名或有所更改，基礎結構主機就會更新組與用戶間的引用。當您重新命名或移動組中的成員（并且成員與組不在同一域中），暫時看起來組中就像沒有包含該成員。組所在域的基礎結構主機負責更新組，使組能夠了解成員的新名稱或新位置。

基礎結構主機使用多主機復制來對更新情況進行分發(fā)。除非域中只有一個域控制器，否則不應把基礎結構主機的角色分配給主持全局編錄的域控制器。如果這樣做，基礎結構主機將無法行使其功能。如果域中的所有域控制器都主持全局編錄（包括只有一個域控制器的情況），那么所有域控制器都會有當前的最新數(shù)據(jù)，因而就不需要基礎結構主機這一角色了。

體系結構

只要安裝了 Active Directory 域控制器，也就同時創(chuàng)建了初始的 Windows 2000 域，或已在原有域中添加了新的域控制器。域控制器和域是如何適應整個網(wǎng)絡體系結構的?

本節(jié)介紹基于 Active Directory 的網(wǎng)絡組件，以及這些組件的組織方式。此外，還闡述了如何將對部門 (OU)、域或站點的管理責任委派給適當?shù)膫€體，以及如何將配置設置分配給相同的三個 Active Directory 容器。其中包括以下主題：

?

?

?

?

?

? 對象（包括架構）。 對象命名規(guī)則（包括安全主管名稱、SID 、與 LDAP 相關的名稱、對象 GUID 以及登錄名）。 對象發(fā)布。 域（包括目錄樹、目錄林、信任以及部門）。 站點（包括復制）。 如何將委派和組策略應用于 OU、域和站點。

對象

Active Directory 對象是組成網(wǎng)絡的實體。對象是代表用戶、打印機或應用程序等一些具體事物的一組不同的、已命名的屬性集。當您創(chuàng)建一個 Active Directory 對象時，Active

Directory 會生成一些對象屬性的值，其他屬性值則由您提供。例如，當您創(chuàng)建用戶對象時，Active Directory 會指定全球唯一標識符 (GUID)，而您則提供其他一些屬性（如用戶的姓、名、登錄標識符等等）的值。

架構

“架構”是對“對象類別”（不同類型的對象）及這些對象類別的“屬性”的說明。對于每個對象類別，架構定義了對象類別必須具有的屬性，它可能具有的其他屬性，以及可以成為其父對象的對象類別。每個 Active Directory 對象都是一個對象類別的實例。每一屬性只定義一次，但可用在多個類別中。例如，屬性 Description 只定義了一次，卻已用在許多不同類別中。

架構保存于 Active Directory 中。架構定義本身也作為對象保存--即 Class Schema 對象和 Attribute Schema 對象。這使 Active Directory 可以用管理其他目錄對象的同種方法來管理類別和屬性對象。

創(chuàng)建或修改 Active Directory 對象的應用程序使用架構來確定以下內容：對象一定或可能有哪些屬性；如何依據(jù)數(shù)據(jù)結構和語法限制來描述屬性。

對象不是容器對象就是葉對象（又稱非容器對象）。容器對象存儲其他對象，而葉對象卻沒有該功能。例如，文件夾是文件的容器對象，而文件則是葉對象。

Active Directory 架構中每一類別的對象都有這樣一些屬性，它們確保：

?

?

? 目錄數(shù)據(jù)存儲區(qū)中的每一對象都具有唯一的標識。 對于安全主管（用戶、計算機或組），與 Windows NT 4.0 操作系統(tǒng)和早期版本中所用安全標識符 (SID) 的兼容性。 與目錄對象名稱的 LDAP 標準的兼容性。

架構屬性與查詢

使用 Active Directory 架構工具能夠將屬性標記為有索引。這樣做的結果是，將該屬性的所有實例都添至索引，而不僅僅是添加特定類別成員的實例。為屬性建立索引有助于查詢能夠更加快速地找到具有該屬性的對象。

您也可以將一些屬性加入全局編錄。全局編錄包含了目錄林中每個對象的一組默認屬性，而您可以將自己的選項添加進去。用戶和應用程序都使用全局編錄在整個目錄林中定位對象。只有具有以下特征的屬性才可包含在全局編錄中：

?

?

? 全局通用。 屬性應是查找處于目錄林任意位置的對象（即使僅用于讀取訪問）時需要的屬性。 相對穩(wěn)定。屬性應是不變或極少改變的。某一全局編錄中的屬性會復制到目錄林中所有其他全局編錄中。如果屬性經(jīng)常變化，則會導致復制通信量驟增。 小型。全局編錄中的屬性會復制到目錄林的每個全局編錄中。屬性越小，對復制過程

的影響程度越低。

架構對象名稱

如上文所述，類別和屬性都是架構對象。任何架構對象都可以使用下列名稱類型中的一種進行引用：

? LDAP 顯示名。 對于每一架構對象來說，LDAP 顯示名是全局唯一的。LDAP 顯示名由

一個或多個詞組合而成，第一個詞后面的詞的詞首字母大寫。例如，mailAddress 和 machinePasswordChangeInterval 是兩個架構屬性的 LDAP 顯示名。Active

Directory 架構和其他 Windows 2000 管理工具顯示對象的 LDAP 顯示名；程序員和管理員可使用該名稱以編程方式引用對象。關于以編程方式擴展架構的信息請參閱下一小節(jié)；關于 LDAP 的詳細信息，請參閱“輕型目錄訪問協(xié)議”一節(jié)。

?

? 公用名。架構對象的公用名也是全局唯一的?？稍诩軜嬛袆?chuàng)建新對象類別或新屬性時指定公用名；公用名是在架構中代表對象類別的、對象的相對可分辨名稱 (RDN)。關于 RDN 的詳細信息，請參閱“LDAP DN 與 RDN 名”一節(jié)的內容。例如，上段提及的兩個屬性的公用名是 SMTP-Mail-Address 和 Machine-Password-Change-Interval。 對象標識符 (OID)。 架構對象的標識符是由頒發(fā)機構（如國際標準化組織 (ISO) 和

美國國家標準學會 (ANSI)）頒發(fā)的數(shù)字。例如，SMTP-Mail-Address 屬性的 OID 是

1.2.840.113556.1.4.786。OID 在整個全球網(wǎng)絡中確保是唯一的。從頒發(fā)機構獲得根 OID 后，即可用它來分配其他 OID。OID 是一種分層結構。例如，頒發(fā)給 Microsoft 的根 OID 是 1.2.840.113556。Microsoft 內部管理由這個根產(chǎn)生的進一步的分支。其中一個分支用來為 Active Directory 架構類別分配 OID，另一個用于 Active

Directory 屬性。繼續(xù)以此為例：Active Directory 中的 OID 是

1.2.840.113556.1.5.4，表示 Builtin Domain 類，能夠按下表 1 所示進行分析。 表 1. 對象標識符

關于 OID 以及 OID 獲取方式的詳細信息，請參閱本文檔結尾處的“其它信息”。 擴展架構

Windows 2000 Server 操作系統(tǒng)提供了一組默認的對象類別和屬性，對許多組織來說這些已足夠使用。盡管您無法刪除架構對象，但可將其標記為不活動。

有經(jīng)驗的開發(fā)者和網(wǎng)絡管理員可以定義新類，或定義原有類的新屬性，以此來動態(tài)擴展架構。我們推薦通過 Active Directory 服務接口 (ADSI) 以編程方式對 Active Directory 架構進行擴展。您也可用 LDAP 數(shù)據(jù)交換格式 (LDIFDE) 工具。（關于 ADSI 和 LDIFDE 的詳細信息，請參閱“Active Directory 服務接口”和“Active Directory 與 LDIFDE”一節(jié)的內容。）

如果是為了開發(fā)和測試，您也可以使用 Active Directory 架構工具查看并修改 Active Directory 架構。

在考慮改變架構時，應切記以下要點：

?

?

? 架構更改是涉及整個目錄林的全局過程。 架構擴展是不可逆的（盡管可修改一些屬性）。 Microsoft 要求擴展架構的任何人都要遵守 LDAP 顯示名和公用名的命名規(guī)則（上面

7的小節(jié)已討論過）。如果要獲得“Windows 認證”徽標，則必須保證這一一致性；詳

細信息，請參閱 Microsoft Developer Network Web 站點。