Active Directory 結(jié)構(gòu)操作系統(tǒng)白皮書摘要要發(fā)揮 Microsoft? Windows? 2000 Server 操作系統(tǒng)的最大作用，必須首先了解 Active Directory? 目

Active Directory 結(jié)構(gòu)

操作系統(tǒng)

白皮書

摘要

要發(fā)揮 Microsoft? Windows? 2000 Server 操作系統(tǒng)的最大作用，必須首先了解 Active Directory? 目錄服務(wù)。Active Directory 是 Windows 2000 操作系統(tǒng)的新內(nèi)容，它在實(shí)施組織的網(wǎng)絡(luò)、進(jìn)而實(shí)現(xiàn)組織的商業(yè)目標(biāo)中占有重要地位。本文向網(wǎng)絡(luò)管理員介紹 Active Directory ，解釋其結(jié)構(gòu)，闡述其如何與應(yīng)用程序及其他目錄服務(wù)進(jìn)行交互操作。

本文以 Windows 2000 Beta 3 發(fā)行時(shí)有效的信息為基礎(chǔ)。在 Windows 2000 Server 的最終版本發(fā)行之前，本文提供的信息可能會(huì)隨時(shí)更改。

簡(jiǎn)介

要想了解 Windows 2000 操作系統(tǒng)如何實(shí)現(xiàn)其功能，及其對(duì)完成企業(yè)目標(biāo)能夠提供哪些幫助，就必須先了解 Active Directory? 目錄服務(wù)。本文從以下三個(gè)方面介紹 Active Directory： ? 存儲(chǔ)。 Active Directory，即 Windows? 2000 Server 目錄服務(wù)，可分層存儲(chǔ)網(wǎng)絡(luò)對(duì)象的信息，并向管理員、用戶和應(yīng)用程序提供這些信息。本文首先解釋目錄服務(wù)的概念、Active Directory 服務(wù)與 Internet 域名系統(tǒng) (DNS) 的集成，以及當(dāng)您將服務(wù)器指定為域控制器 時(shí)，Active Directory 是如何實(shí)現(xiàn)的。

? 結(jié)構(gòu)。使用 Active Directory，可以根據(jù)結(jié)構(gòu)組織網(wǎng)絡(luò)及其對(duì)象，這些結(jié)構(gòu)包括域、目錄樹、目錄林、信任關(guān)系、部門 (OU) 和站點(diǎn)。本文第二節(jié)闡述這些 Active Directory 組件的結(jié)構(gòu)和功能，以及管理員采用該體系結(jié)構(gòu)對(duì)網(wǎng)絡(luò)實(shí)施管理的方式，從而有助于用戶實(shí)現(xiàn)其商業(yè)目標(biāo)。

? 相互通信。Active Directory 以標(biāo)準(zhǔn)目錄訪問協(xié)議為基礎(chǔ)，因此能夠與其他目錄服務(wù)進(jìn)行交互操作，并可接受遵守這些協(xié)議的第三方應(yīng)用程序的訪問。最后一節(jié)闡述 Active Directory 與其他各種技術(shù)進(jìn)行通信的方式。 1

Active Directory 的優(yōu)點(diǎn)

在 Windows 2000 操作系統(tǒng)中引入 Active Directory 有以下優(yōu)點(diǎn)：

? 與 DNS 集成。 Active Directory 使用域名系統(tǒng) (DNS)。DNS 是一種 Internet 標(biāo)準(zhǔn)服務(wù)，它將用戶能夠讀取的計(jì)算機(jī)名稱（例如 mycomputer.microsoft.com）翻譯成計(jì)算機(jī)能夠讀取的數(shù)字 Internet 協(xié)議 (IP) 地址（由英文句號(hào)分隔的四組數(shù)字）。這樣，在 TCP/IP 網(wǎng)絡(luò)計(jì)算機(jī)上運(yùn)行的進(jìn)程即可相互識(shí)別并進(jìn)行連接。

? 靈活的查詢。 用戶和管理員如果要通過對(duì)象屬性快速查找網(wǎng)絡(luò)中的對(duì)象，可使用“開

始”菜單中的“查找”命令、桌面上的“網(wǎng)上鄰居”圖標(biāo)或者是 Active Directory 用戶和計(jì)算機(jī)管理單元。例如，您可以按照一個(gè)用戶帳戶的姓名、電子郵件名、辦公地點(diǎn)或其他屬性查找該用戶。而且, 使用全局編錄優(yōu)化了查找信息的操作。

? 可擴(kuò)展性。 Active Directory 是可擴(kuò)展的；也就是說，管理員既可以在架構(gòu)中添加新

的對(duì)象類別，也可在原有的對(duì)象類別中添加新屬性。架構(gòu)包含每個(gè)對(duì)象類別的定義，以及能夠存儲(chǔ)于目錄中的每個(gè)對(duì)象類別的屬性。例如，您可能會(huì)為 User 對(duì)象添加

Purchase Authority 屬性，然后將每個(gè)用戶的購買權(quán)限額保存為用戶帳戶的一部分。 ? 基于策略的管理。 組策略是在初始化時(shí)應(yīng)用于計(jì)算機(jī)或用戶的配置設(shè)置。所有組策略

設(shè)置都包含在應(yīng)用于 Active Directory 站點(diǎn)、域或部門的組策略對(duì)象 (GPO) 中。GPO 設(shè)置決定了對(duì)目錄對(duì)象和域資源的訪問權(quán)限、用戶可使用的域資源（如應(yīng)用程序），以及這些域資源針對(duì)其用途的配置方式。

? 可伸縮性。 Active Directory 包括一個(gè)或多個(gè)域，每個(gè)域均有一個(gè)或多個(gè)域控制器，

由此，您能夠?qū)δ夸涍M(jìn)行自由擴(kuò)展，從而滿足所有網(wǎng)絡(luò)的需求。多個(gè)域可合并成一個(gè)域目錄樹，多個(gè)域目錄樹可合并成一個(gè)目錄林。在只有一個(gè)域的最簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)中，該域既是一個(gè)目錄樹，又是一個(gè)目錄林。

? 信息復(fù)制。 Active Directory 使用多主機(jī)復(fù)制，使您可以更新任何域控制器中的目錄。

在一個(gè)域中部署多個(gè)域控制器還提供了容錯(cuò)能力和負(fù)載平衡功能。因?yàn)檫@些域控制器包含同樣的目錄數(shù)據(jù)，所以，如果域內(nèi)的一個(gè)域控制器速度變慢、停止或出現(xiàn)故障，同一域內(nèi)的其他域控制器即可提供必要的目錄訪問功能。

? 信息安全。在 Windows 2000 操作系統(tǒng)中，用戶身份驗(yàn)證和訪問控制的管理都與 Active

Directory 完全結(jié)合在一起，這是該系統(tǒng)的一項(xiàng)關(guān)鍵性安全功能。Active Directory 將身份驗(yàn)證集中進(jìn)行。不僅可以定義對(duì)目錄中每個(gè)對(duì)象的訪問控制，還可定義對(duì)每個(gè)對(duì)象的每個(gè)屬性的訪問控制。此外，Active Directory 還為安全策略提供了存儲(chǔ)區(qū)和應(yīng)用范圍。（關(guān)于 Active Directory 登錄身份驗(yàn)證和訪問控制的詳細(xì)信息，請(qǐng)參閱本文結(jié)尾外的“其它信息”。）

? 互操作性。由于 Active Directory 以標(biāo)準(zhǔn)目錄訪問協(xié)議（例如輕型目錄訪問協(xié)議

(LDAP)）為基礎(chǔ)，因此它能夠與其他采用這些協(xié)議的目錄服務(wù)進(jìn)行交互操作。有些應(yīng)用程序編程接口 (API)--例如 Active Directory 服務(wù)接口 (ADSI)--允許開發(fā)者訪問這些協(xié)議。

在本文結(jié)尾，“附錄 A：工具”提供了一些軟件工具的簡(jiǎn)要概述，您可以使用這些工具執(zhí)行與 Active Directory 有關(guān)的任務(wù)。

Active Directory 目錄服務(wù)

在進(jìn)入本文主要部分--Active Directory 結(jié)構(gòu)與互操作性--之前，此節(jié)作為預(yù)備內(nèi)容，從兩個(gè)區(qū)別很大的角度簡(jiǎn)單介紹 Active Directory：

?

? 第一個(gè)角度是從 Active Directory 的最抽象意義上介紹，即：Active Directory 是一個(gè)與 Internet 域名系統(tǒng) (DNS) 集成的名稱空間。 第二個(gè)角度是從 Active Directory 的最普通意義上介紹，即：它是將服務(wù)器轉(zhuǎn)換成域

控制器的軟件。

在計(jì)算機(jī)網(wǎng)絡(luò)上下文環(huán)境中，目錄（又稱數(shù)據(jù)存儲(chǔ)區(qū)）是存儲(chǔ)網(wǎng)絡(luò)對(duì)象信息的分層結(jié)構(gòu)。對(duì)象包括共享資源，如服務(wù)器、共享卷和打印機(jī)；網(wǎng)絡(luò)用戶和計(jì)算機(jī)帳戶以；域、應(yīng)用程序、服務(wù)、安全策略，以及網(wǎng)絡(luò)上的其他所有內(nèi)容。以下是網(wǎng)絡(luò)目錄可能存儲(chǔ)的、與特殊對(duì)象類型有關(guān)的、特定種類信息的一個(gè)示例：一般情況下，目錄會(huì)存儲(chǔ)用戶帳戶的用戶名、密碼、電子郵件地址、電話號(hào)碼等信息。

目錄服務(wù)與目錄的不同之處在于：它既是目錄信息源，又是使信息對(duì)管理員、用戶、網(wǎng)絡(luò)服務(wù)和應(yīng)用程序有效并可用的服務(wù)。理想情況下，目錄服務(wù)會(huì)使物理拓?fù)浜蛥f(xié)議（兩個(gè)服務(wù)間傳輸數(shù)據(jù)所用的格式）透明化；這樣，即使用戶不知道資源的物理連接位置和連接方法，也能夠訪問資源。我們可以繼續(xù)以用戶帳戶為例：正是目錄服務(wù)使同一網(wǎng)絡(luò)中的其他授權(quán)用戶能夠訪問針對(duì)用戶帳戶對(duì)象所保存的目錄信息（如電子郵件地址）。

目錄服務(wù)可支持多種不同的功能。有些目錄服務(wù)與操作系統(tǒng)集成，有些則是一些應(yīng)用程序，如電子郵件目錄。Active Directory 等操作系統(tǒng)目錄服務(wù)可提供對(duì)用戶、計(jì)算機(jī)和共享資源的管理。Microsoft Exchange 等處理電子郵件的目錄服務(wù)使用戶能夠查找其他用戶并發(fā)送電子郵件。 Active Directory 是一種新型的目錄服務(wù)，是 Windows 2000 Server 操作系統(tǒng)的核心，它只在域控制器中運(yùn)行。Active Directory 不但為數(shù)據(jù)提供了存儲(chǔ)區(qū)以及使該數(shù)據(jù)有效的服務(wù)，而且還保護(hù)了網(wǎng)絡(luò)對(duì)象，使其免受未經(jīng)授權(quán)的訪問，并防止跨網(wǎng)絡(luò)復(fù)制對(duì)象，這樣，即使一個(gè)域控制器出現(xiàn)故障，也不會(huì)導(dǎo)致數(shù)據(jù)丟失。

Active Directory 合并了 DNS

Active Directory 和 DNS 都是名稱空間。名稱空間是任一有界區(qū)域，在其中對(duì)給定的名稱進(jìn)行解析。名稱解析是把名稱轉(zhuǎn)換成該名稱代表的某一對(duì)象或信息的過程。例如，電話號(hào)碼簿組成了一個(gè)名稱空間，其中的電話用戶名可解析成電話號(hào)碼。Windows NTFS 文件系統(tǒng)組成了一個(gè)名稱空間，其中的文件名可解析為文件本身。

DNS 與 Internet

要理解 Windows 2000 處理 Active Directory 和 DNS 名稱空間的方式，需要先了解有關(guān) DNS 自身及其與 Internet 和 TCP/IP 之間關(guān)系的一些基本知識(shí)。Internet 是一種 TCP/IP 網(wǎng)絡(luò)。TCP/IP 通訊協(xié)議連接計(jì)算機(jī)，并使計(jì)算機(jī)可通過網(wǎng)絡(luò)傳輸數(shù)據(jù)。Internet 或任何其他 TCP/IP 網(wǎng)絡(luò)（如許多 Windows 網(wǎng)絡(luò)）上的每臺(tái)計(jì)算機(jī)都有一個(gè) IP 地址。DNS 定位 TCP/IP 主機(jī)（計(jì)算機(jī)）的方法是：將最終用戶能理解的計(jì)算機(jī)名稱解析成計(jì)算機(jī)能讀懂的 IP 地址?？捎梅植嫉饺虻?DNS 數(shù)據(jù)庫來管理 Internet 上的 IP 地址，也可以在本地實(shí)施 DNS，用于管理專用 TCP/IP 網(wǎng)絡(luò)中的地址。

DNS 組織成不同層次的域，使整個(gè) Internet 成為一個(gè)名稱空間。DNS 有幾個(gè)頂級(jí)域，可進(jìn)一步劃分為第二級(jí)域。Internet 域名空間的根由 Internet 職權(quán)部門（目前是 Internet 網(wǎng)絡(luò)信息中心，簡(jiǎn)稱 InterNIC）管理，該部門負(fù)責(zé)代理對(duì) DNS 名稱空間頂級(jí)域名的管理職責(zé)，并負(fù)責(zé)注冊(cè)第二級(jí)域名。頂級(jí)域名是一些大家熟悉的域類別，如商業(yè)組織 (.com)、教育組織 (.edu)、政府組織 (.gov) 等等。對(duì)于美國(guó)以外的國(guó)家和地區(qū)，則用兩個(gè)字母的國(guó)家/地區(qū)代碼來表示，如

英國(guó)用 .uk 表示。第二級(jí)域名代表了以前在機(jī)構(gòu)（和個(gè)體）中注冊(cè)的名稱空間，他們?cè)赃@種方式實(shí)現(xiàn)了在 Internet 上的存在。圖 1 顯示了公司網(wǎng)絡(luò)連接到 Internet DNS 名稱空間的方式。

圖 1. Microsoft 如何適應(yīng) Internet DNS 名稱空間。

DNS 與 Active Directory 名稱空間的集成

DNS 與 Active Directory 的集成是 Windows 2000 Server 操作系統(tǒng)的核心功能。DNS 域和 Active Directory 域?qū)Σ煌拿Q空間使用相同的域名。因?yàn)閮蓚€(gè)名稱空間共享一個(gè)相同的域結(jié)構(gòu)，所以必須了解它們不是同一個(gè)名稱空間。每個(gè)名稱空間保存了不同的數(shù)據(jù)，因而管理不同的對(duì)象。DNS 保存區(qū)域 以及資源記錄；Active Directory 保存域和域?qū)ο蟆?/p>

DNS 的域名以 DNS 分層命名結(jié)構(gòu)為基礎(chǔ)，這是一個(gè)反向樹結(jié)構(gòu)：最上方是一個(gè)根域，下面是父域和子域（枝和葉）。例如，有個(gè) Windows 2000 域名是：child.parent.microsoft.com ；這表明域名 child 是域名 parent 的子域，而 parent 本身也是域 microsoft.com 的一個(gè)子域。 DNS 域的每臺(tái)計(jì)算機(jī)都可依據(jù)其完全合格的域名 (FQDN) 加以唯一識(shí)別。位于域

child.parent.microsoft.com 的計(jì)算機(jī)的 FQDN 是 2

computername .child.parent.microsoft.com 。

每個(gè) Windows 2000 域都有一個(gè) DNS 名稱（如 OrgName.com），并且每臺(tái)基于 Windows 2000 的計(jì)算機(jī)都有一個(gè) DNS 名稱（如 AcctServer.OrgName.com）。因而，域和計(jì)算機(jī)都用 Active Directory 對(duì)象和 DNS 節(jié)點(diǎn)來表示（DNS 分層結(jié)構(gòu)中的一個(gè)節(jié)點(diǎn)代表一個(gè)域或一臺(tái)計(jì)算機(jī)）。

DNS 和 Active Directory 均用數(shù)據(jù)庫來解析名稱：

? DNS 是一種名稱解析服務(wù)。 通過將 DNS 服務(wù)器接收的請(qǐng)求視為對(duì) DNS 數(shù)據(jù)庫的 DNS

查詢，DNS 將域名和計(jì)算機(jī)名解析成 IP 地址。具體地說，DNS 客戶機(jī)把 DNS 名稱查詢發(fā)送到已配置的 DNS 服務(wù)器。DNS 服務(wù)器先接收名稱查詢，然后通過本地保存的文件解析該名稱查詢，或咨詢另一臺(tái) DNS 服務(wù)器進(jìn)行解析。DNS 不需要系統(tǒng)啟動(dòng) Active Directory 。

? Active Directory 是一種目錄服務(wù)。通過將域控制器接收的請(qǐng)求視為輕型目錄訪問協(xié)

議 (LDAP) 搜索，或改成對(duì) Active Directory 數(shù)據(jù)庫的請(qǐng)求，Active Directory 將域?qū)ο竺Q解析成對(duì)象記錄。具體而言，Active Directory 客戶機(jī)使用 LDAP 向 Active Directory 服務(wù)器發(fā)送查詢。Active Directory 客戶機(jī)通過查詢 DNS 來定位 Active Directory 服務(wù)器。即，Active Directory 將 DNS 用作定位器服務(wù)，把 Active

Directory 域、站點(diǎn)及服務(wù)名稱解析成 IP 地址。例如，要登錄到 Active Directory 域，Active Directory 客戶機(jī)會(huì)查詢已配置的 DNS 服務(wù)器，請(qǐng)求 LDAP 服務(wù)的 IP 地址

（LDAP 服務(wù)在指定域的域控制器中運(yùn)行）。Active Directory 不需要系統(tǒng)啟動(dòng) DNS。 實(shí)際上，理解 Windows 2000 環(huán)境中 DNS 與 Active Directory 名稱空間之間的差異，就是理解：代表 DNS 區(qū)域中指定計(jì)算機(jī)的 DNS 主機(jī)記錄，與 Active Directory 域中代表“同一臺(tái)計(jì)算機(jī)”的計(jì)算機(jī)帳戶對(duì)象處于不同的名稱空間中。

總之，Active Directory 用以下兩種方式與 DNS 集成：

? Active Directory 域和 DNS 域有相同的分層結(jié)構(gòu)。盡管因目的不同，DNS 和 Active

Directory 域的組織名稱空間各自獨(dú)立，實(shí)施方法也有所不同，但它們卻有相同的結(jié)構(gòu)。例如，microsoft.com 既是一個(gè) DNS 域又是一個(gè) Active Directory 域。

? DNS 區(qū)域可保存在 Active Directory 中。 如果使用 Windows 2000 DNS 服務(wù)，主區(qū)

域就可以保存在 Active Directory 中，以便復(fù)制到其他 Active Directory 域控制器，為 DNS 服務(wù)提供增強(qiáng)的安全性。

? Active Directory 客戶機(jī)使用 DNS 來定位域控制器。 為了定位指定域的域控制器，

Active Directory 客戶機(jī)會(huì)查詢已配置的 DNS 服務(wù)器，以查找指定的資源記錄。 3

Active Directory 與全局 DNS 名稱空間

Active Directory 被設(shè)計(jì)成可處于 Internet 全局 DNS 名稱空間的范圍之內(nèi)。如果組織使用 Windows 2000 Server 作為其網(wǎng)絡(luò)操作系統(tǒng)，當(dāng)該組織需要存在于 Internet 上時(shí)，Active Directory 名稱空間會(huì)作為一個(gè)或多個(gè)分層的 Windows 2000 域，保留在已注冊(cè)為 DNS 名稱空間的根域名之下。（組織可選擇不成為全局 Internet DNS 名稱空間的一部分；但即使它這樣做，仍要求 DNS 服務(wù)定位基于 Windows-2000 的計(jì)算機(jī)。)

根據(jù) DNS 命名規(guī)則，以英文句號(hào) (. ) 分隔的 DNS 名稱的每部分都代表 DNS 分層樹結(jié)構(gòu)的一個(gè)節(jié)點(diǎn)，以及 Windows 2000 域分層樹結(jié)構(gòu)的一個(gè)可能的 Active Directory 域名。如圖 2 所示，DNS 分層結(jié)構(gòu)的根是一個(gè)有空標(biāo)簽 (" ") 的節(jié)點(diǎn)。Active Directory 名稱空間的根（目錄林根）無父根，它提供了指向 Active Directory 的 LDAP 進(jìn)入點(diǎn)。

圖 2. 比較 DNS 與 Active Directory 名稱空間的根

SRV 資源記錄與動(dòng)態(tài)更新

DNS 獨(dú)立于 Active Directory ，而 Active Directory 卻專門設(shè)計(jì)成與 DNS 協(xié)同工作。為了保證 Active Directory 正常運(yùn)行，DNS 服務(wù)器必須支持服務(wù)位置 (SRV) 資源記錄。SRV 資源記錄把服務(wù)名稱映射成提供該服務(wù)的服務(wù)器名稱。Active Directory 客戶機(jī)和域控制器使用 SRV 資源記錄確定域控制器的 IP 地址。

備注 關(guān)于規(guī)劃 DNS 服務(wù)器的部署過程以便支持 Active Directory 域的詳細(xì)信息，以及其他部署問題，請(qǐng)參閱本文“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning 4Guide 。

除了要求 Windows 2000 網(wǎng)絡(luò)的 DNS 服務(wù)器支持 SRV 資源記錄外，Microsoft 還建議 DNS 服務(wù)器為 DNS 動(dòng)態(tài)更新 提供支持。DNS 動(dòng)態(tài)更新定義了一種協(xié)議，以便使用新值或變更值動(dòng)態(tài)更新 DNS 服務(wù)器。如果沒有 DNS 動(dòng)態(tài)更新協(xié)議，管理員必須手動(dòng)配置由域控制器創(chuàng)建、DNS 服務(wù)器保存的記錄。

新的 Windows 2000 DNS 服務(wù)既支持 SRV 資源記錄，又支持動(dòng)態(tài)更新。如果選用不是基于 Windows 2000 的 DNS 服務(wù)器，則必須保證該服務(wù)器支持 SRV 資源記錄，否則應(yīng)將其升級(jí)為支持這些記錄的版本。有些舊的 DNS 服務(wù)器雖支持 SRV 資源記錄，但不支持動(dòng)態(tài)更新，因此，當(dāng)您將 Windows 2000 Server 提升為域控制器時(shí)，必須手動(dòng)更新這些服務(wù)器的資源記錄。該過程可使用 Netlogon.dns 文件（位于 systemrootSystem32config 文件夾）完成，該文件由 Active Directory 安裝向?qū)?chuàng)建。 5

Active Directory 創(chuàng)建域控制器

實(shí)施和管理網(wǎng)絡(luò)是一些實(shí)際操作。要理解 Active Directory 是如何與實(shí)際情況相結(jié)合的，就必須先了解：在運(yùn)行 Windows 2000 Server 操作系統(tǒng)的計(jì)算機(jī)上安裝 Active Directory ，實(shí)際是一種把服務(wù)器轉(zhuǎn)換成域控制器的操作。一個(gè)域控制器只能完全主持一個(gè)域。

具體而言，域控制器是一臺(tái)運(yùn)行 Windows 2000 Server 的計(jì)算機(jī)，它已使用 Active Directory 安裝向?qū)нM(jìn)行了配置；該向?qū)Э砂惭b并配置向網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供 Active Directory 目錄服務(wù)的組件。域控制器會(huì)存儲(chǔ)整個(gè)域的目錄數(shù)據(jù)（如系統(tǒng)安全策略和用戶身份驗(yàn)證數(shù)據(jù)），并管理用戶和域的交互過程，包括用戶登錄進(jìn)程、身份驗(yàn)證以及目錄搜索。

使用 Active Directory 安裝向?qū)⒎?wù)器提升為域控制器的過程，同樣或者是創(chuàng)建一個(gè) Windows 2000 域，或者在原有域中添加新的域控制器。

本節(jié)闡述了 Active Directory 域控制器的概念，以及它在網(wǎng)絡(luò)中所扮演的某些重要角色。 由于引入了 Active Directory ，Windows 2000 域控制器的功能與“對(duì)等”類似。這與 Windows NT Server 主域控制器 (PDC) 和備份域控制器 (BDC) 扮演的主/從角色有所不同。對(duì)等域控制

器支持“多主機(jī)復(fù)制”，可在所有域控制器之間復(fù)制 Active Directory 信息。多主機(jī)復(fù)制的引入意味著管理員可以更新域中任何 Windows 2000 域控制器的 Active Directory。在 Windows NT Server 操作系統(tǒng)中，只有 PDC 有目錄的可讀寫副本，PDC 會(huì)把目錄信息的只讀副本復(fù)制到 BDC 。（關(guān)于多主機(jī)復(fù)制的詳細(xì)信息，請(qǐng)參閱“多主機(jī)復(fù)制”一節(jié)的內(nèi)容。）

如果準(zhǔn)備由原有域升級(jí)到 Windows 2000 操作系統(tǒng)，則可在方便時(shí)分階段完成升級(jí)。如果正在為新的安裝創(chuàng)建第一個(gè)域控制器，則會(huì)在加載 Active Directory 的同時(shí)自動(dòng)形成幾個(gè)實(shí)體。接下來的兩小節(jié)解釋了在新的網(wǎng)絡(luò)中安裝 Active Directory 域控制器的以下幾個(gè)方面：

?

? 第一個(gè)域控制器是一個(gè)全局編錄服務(wù)器。 第一個(gè)域控制器扮演操作主機(jī)角色。

全局編錄

Windows 2000 操作系統(tǒng)引入了全局編錄概念，這是一個(gè)保存在一個(gè)或多個(gè)域控制器中的數(shù)據(jù)庫。全局編錄在登錄用戶和查詢中扮演重要角色。

默認(rèn)情況下，全局編錄由 Windows 2000 目錄林中的初始域控制器自動(dòng)創(chuàng)建，并且每個(gè)目錄林必須有至少一個(gè)全局編錄。如果使用多個(gè)站點(diǎn)，您可能希望在每個(gè)站點(diǎn)都將一個(gè)域控制器指定為全局編錄，因?yàn)樾枰志庝洠Q定了帳戶的組成員身份）完成登錄身份驗(yàn)證進(jìn)程。這是指本機(jī)模式域?；旌夏Ｊ接虿恍枰樵冇糜诘卿浀娜志庝?。

在目錄林中安裝了其他域控制器后，就可以用 Active Directory 站點(diǎn)和服務(wù)工具將全局編錄的默認(rèn)位置更改為另一個(gè)域控制器。您還可根據(jù)組織對(duì)服務(wù)登錄請(qǐng)求和搜索查詢的要求，選擇將任一域控制器配置成主持全局編錄。全局編錄服務(wù)器越多，對(duì)用戶查詢的響應(yīng)就越快；但啟用很多域控制器作為全局編錄服務(wù)器會(huì)增加網(wǎng)絡(luò)中的復(fù)制通信量，因而影響了響應(yīng)速度。

全局編錄執(zhí)行兩個(gè)關(guān)鍵的 Active Directory 角色--登錄和查詢：

? 登錄。 在本機(jī)模式域中，全局編錄通過為帳戶提供通用組成員身份信息（該帳戶將登

錄請(qǐng)求發(fā)送到域控制器），啟用 Active Directory 客戶機(jī)的網(wǎng)絡(luò)登錄。實(shí)際上，不但對(duì) Active Directory 的用戶驗(yàn)證，而且對(duì)每個(gè)對(duì)象的身份驗(yàn)證，甚至包括每臺(tái)計(jì)算機(jī)的啟動(dòng)，都必須引用全局編錄服務(wù)器。在多域安裝中，為了完成用戶登錄過程，必須至少有一臺(tái)包含全局編錄的域控制器正在運(yùn)行，并且有效。當(dāng)用戶以非默認(rèn)的用戶主要名稱 (UPN) 登錄時(shí)，全局編錄服務(wù)器也必須是有效的。(關(guān)于登錄的詳細(xì)信息，請(qǐng)參閱“登錄名：UPN 與 SAM 帳戶名稱”一節(jié)的內(nèi)容) 。

如果在用戶啟動(dòng)網(wǎng)絡(luò)登錄進(jìn)程時(shí)，全局編錄是無效的，則用戶將只能登錄到本地計(jì)算機(jī)，而無法登錄到網(wǎng)絡(luò)中。唯一的例外是，如果用戶是域管理員 (Domain Admin) 組的成員，就能夠在全局編錄無效的情況下登錄到網(wǎng)絡(luò)中。

? 查詢。 在包含多個(gè)域的目錄林中，全局編錄使客戶機(jī)能夠方便快捷地執(zhí)行跨所有域的

搜索，而不必逐個(gè)搜索每個(gè)域。全局編錄使目錄林中的目錄結(jié)構(gòu)對(duì)查找信息的最終用戶透明。絕大多數(shù) Active Directory 網(wǎng)絡(luò)通信是與查詢有關(guān)的： 用戶、管理員和程序6

都會(huì)請(qǐng)求有關(guān)目錄對(duì)象的信息。查詢過程要比目錄更新過程的發(fā)生頻度高得多。如果把不止一個(gè)域控制器指定為全局編錄服務(wù)器，這樣雖然會(huì)減少對(duì)查找目錄信息的用戶的響應(yīng)時(shí)間，但同時(shí)也會(huì)導(dǎo)致網(wǎng)絡(luò)的復(fù)制通信量增加；因此，必須平衡好它們之間的關(guān)系。 操作主機(jī)角色

對(duì)有些類型的更改，在對(duì)等域控制器之間執(zhí)行多主機(jī)復(fù)制是不切實(shí)際的；因此，只有一個(gè)被稱為“操作主機(jī)”的域控制器會(huì)接受這種更改請(qǐng)求。由于多主機(jī)復(fù)制在基于 Active Directory 的網(wǎng)絡(luò)中占有重要地位，因此理解這些例外情況非常重要。在任一 Active Directory 目錄林中，安裝期間至少會(huì)將五個(gè)不同的操作主機(jī)角色分配給初始域控制器。

當(dāng)您在新目錄林中創(chuàng)建第一個(gè)域時(shí)，全部五個(gè)獨(dú)立的主機(jī)操作角色都會(huì)自動(dòng)分配給該域中的第一個(gè)域控制器。在只有一個(gè)域和一個(gè)域控制器的小規(guī)模 Active Directory 目錄林中，這個(gè)唯一的域控制器仍擔(dān)當(dāng)起所有的操作主機(jī)角色。在一個(gè)較大的網(wǎng)絡(luò)中，無論它有一個(gè)域還是多個(gè)域，您都可以重新將這些角色分配給其他的一個(gè)或多個(gè)域控制器。有些角色必須在每個(gè)目錄林中出現(xiàn)。有些角色則必須在目錄林的每個(gè)域中出現(xiàn)。

以下跨整個(gè)目錄林的兩種操作主機(jī)角色在目錄林中必須是唯一的，即整個(gè)目錄林中一種操作角色只能有一個(gè)：

? 架構(gòu)主機(jī)。 擁有架構(gòu)主機(jī)角色的域控制器控制對(duì)架構(gòu)的所有更新和修改。架構(gòu)定義了

可在目錄中保存的每個(gè)對(duì)象（及其屬性）。要更新目錄林的架構(gòu)，必須擁有架構(gòu)主機(jī)的訪問權(quán)。

? 域命名主機(jī)。 擁有域命名主機(jī)角色的域控制器控制目錄林中域的添加或刪除。

以下整個(gè)域的三個(gè)操作主機(jī)角色在每個(gè)域內(nèi)都必須是唯一的： 即在目錄林的每個(gè)域中都只能有一個(gè)：

? 相對(duì)標(biāo)識(shí)符 (RID) 主機(jī)。 RID 主機(jī)為域內(nèi)的每個(gè)域控制器分配 RID 序列。只要域控

制器創(chuàng)建了用戶、組或計(jì)算機(jī)對(duì)象，該主機(jī)就會(huì)為對(duì)象指定一個(gè)唯一的安全 ID (SID)。安全 ID 由域安全 ID（對(duì)域中創(chuàng)建的所有安全 ID 都是相同的) 和相對(duì) ID (在域中創(chuàng)建的每個(gè)安全 ID 都是唯一的) 組成。當(dāng)域控制器用完自己的 RID 池后，會(huì)向 RID 主機(jī)請(qǐng)求另一個(gè) RID 池。

? 主域控制器 (PDC) 模擬器。如果域包含未安裝 Windows 2000 客戶機(jī)軟件的計(jì)算機(jī)，

或者如果包含 Windows NT 備份域控制器 (BDC)，PDC 模擬器就會(huì)充當(dāng) Windows NT 主域控制器 (PDC)。它可以處理客戶機(jī)的密碼更改過程，并將更新情況復(fù)制到 BDC。對(duì)由域中其他域控制器執(zhí)行的密碼更改過程，PDC 模擬器可優(yōu)先接收到對(duì)這些更改情況的復(fù)制。如果由于密碼錯(cuò)誤而導(dǎo)致在另一個(gè)域控制器的登錄身份驗(yàn)證失敗，域控制器會(huì)在拒絕登錄嘗試之前，將驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)給 PDC 模擬器。

? 基礎(chǔ)結(jié)構(gòu)主機(jī)。當(dāng)一個(gè)由其他對(duì)象引用的對(duì)象移動(dòng)時(shí)，基礎(chǔ)結(jié)構(gòu)主機(jī)負(fù)責(zé)更新域間的所

有引用。例如，只要組成員重新命名或有所更改，基礎(chǔ)結(jié)構(gòu)主機(jī)就會(huì)更新組與用戶間的引用。當(dāng)您重新命名或移動(dòng)組中的成員（并且成員與組不在同一域中），暫時(shí)看起來組中就像沒有包含該成員。組所在域的基礎(chǔ)結(jié)構(gòu)主機(jī)負(fù)責(zé)更新組，使組能夠了解成員的新名稱或新位置。

基礎(chǔ)結(jié)構(gòu)主機(jī)使用多主機(jī)復(fù)制來對(duì)更新情況進(jìn)行分發(fā)。除非域中只有一個(gè)域控制器，否則不應(yīng)把基礎(chǔ)結(jié)構(gòu)主機(jī)的角色分配給主持全局編錄的域控制器。如果這樣做，基礎(chǔ)結(jié)構(gòu)主機(jī)將無法行使其功能。如果域中的所有域控制器都主持全局編錄（包括只有一個(gè)域控制器的情況），那么所有域控制器都會(huì)有當(dāng)前的最新數(shù)據(jù)，因而就不需要基礎(chǔ)結(jié)構(gòu)主機(jī)這一角色了。

體系結(jié)構(gòu)

只要安裝了 Active Directory 域控制器，也就同時(shí)創(chuàng)建了初始的 Windows 2000 域，或已在原有域中添加了新的域控制器。域控制器和域是如何適應(yīng)整個(gè)網(wǎng)絡(luò)體系結(jié)構(gòu)的?

本節(jié)介紹基于 Active Directory 的網(wǎng)絡(luò)組件，以及這些組件的組織方式。此外，還闡述了如何將對(duì)部門 (OU)、域或站點(diǎn)的管理責(zé)任委派給適當(dāng)?shù)膫€(gè)體，以及如何將配置設(shè)置分配給相同的三個(gè) Active Directory 容器。其中包括以下主題：

?

?

?

?

?

? 對(duì)象（包括架構(gòu)）。 對(duì)象命名規(guī)則（包括安全主管名稱、SID 、與 LDAP 相關(guān)的名稱、對(duì)象 GUID 以及登錄名）。 對(duì)象發(fā)布。 域（包括目錄樹、目錄林、信任以及部門）。 站點(diǎn)（包括復(fù)制）。 如何將委派和組策略應(yīng)用于 OU、域和站點(diǎn)。

對(duì)象

Active Directory 對(duì)象是組成網(wǎng)絡(luò)的實(shí)體。對(duì)象是代表用戶、打印機(jī)或應(yīng)用程序等一些具體事物的一組不同的、已命名的屬性集。當(dāng)您創(chuàng)建一個(gè) Active Directory 對(duì)象時(shí)，Active Directory 會(huì)生成一些對(duì)象屬性的值，其他屬性值則由您提供。例如，當(dāng)您創(chuàng)建用戶對(duì)象時(shí)，Active Directory 會(huì)指定全球唯一標(biāo)識(shí)符 (GUID)，而您則提供其他一些屬性（如用戶的姓、名、登錄標(biāo)識(shí)符等等）的值。

架構(gòu)

“架構(gòu)”是對(duì)“對(duì)象類別”（不同類型的對(duì)象）及這些對(duì)象類別的“屬性”的說明。對(duì)于每個(gè)對(duì)象類別，架構(gòu)定義了對(duì)象類別必須具有的屬性，它可能具有的其他屬性，以及可以成為其父對(duì)象的對(duì)象類別。每個(gè) Active Directory 對(duì)象都是一個(gè)對(duì)象類別的實(shí)例。每一屬性只定義一次，但可用在多個(gè)類別中。例如，屬性 Description 只定義了一次，卻已用在許多不同類別中。 架構(gòu)保存于 Active Directory 中。架構(gòu)定義本身也作為對(duì)象保存--即 Class Schema 對(duì)象和 Attribute Schema 對(duì)象。這使 Active Directory 可以用管理其他目錄對(duì)象的同種方法來管理類別和屬性對(duì)象。

創(chuàng)建或修改 Active Directory 對(duì)象的應(yīng)用程序使用架構(gòu)來確定以下內(nèi)容：對(duì)象一定或可能有哪些屬性；如何依據(jù)數(shù)據(jù)結(jié)構(gòu)和語法限制來描述屬性。

對(duì)象不是容器對(duì)象就是葉對(duì)象（又稱非容器對(duì)象）。容器對(duì)象存儲(chǔ)其他對(duì)象，而葉對(duì)象卻沒有該功能。例如，文件夾是文件的容器對(duì)象，而文件則是葉對(duì)象。

Active Directory 架構(gòu)中每一類別的對(duì)象都有這樣一些屬性，它們確保：

?

?

? 目錄數(shù)據(jù)存儲(chǔ)區(qū)中的每一對(duì)象都具有唯一的標(biāo)識(shí)。 對(duì)于安全主管（用戶、計(jì)算機(jī)或組），與 Windows NT 4.0 操作系統(tǒng)和早期版本中所用安全標(biāo)識(shí)符 (SID) 的兼容性。 與目錄對(duì)象名稱的 LDAP 標(biāo)準(zhǔn)的兼容性。

架構(gòu)屬性與查詢

使用 Active Directory 架構(gòu)工具能夠?qū)傩詷?biāo)記為有索引。這樣做的結(jié)果是，將該屬性的所有實(shí)例都添至索引，而不僅僅是添加特定類別成員的實(shí)例。為屬性建立索引有助于查詢能夠更加快速地找到具有該屬性的對(duì)象。

您也可以將一些屬性加入全局編錄。全局編錄包含了目錄林中每個(gè)對(duì)象的一組默認(rèn)屬性，而您可以將自己的選項(xiàng)添加進(jìn)去。用戶和應(yīng)用程序都使用全局編錄在整個(gè)目錄林中定位對(duì)象。只有具有以下特征的屬性才可包含在全局編錄中：

?

?

? 全局通用。 屬性應(yīng)是查找處于目錄林任意位置的對(duì)象（即使僅用于讀取訪問）時(shí)需要的屬性。 相對(duì)穩(wěn)定。屬性應(yīng)是不變或極少改變的。某一全局編錄中的屬性會(huì)復(fù)制到目錄林中所有其他全局編錄中。如果屬性經(jīng)常變化，則會(huì)導(dǎo)致復(fù)制通信量驟增。 小型。全局編錄中的屬性會(huì)復(fù)制到目錄林的每個(gè)全局編錄中。屬性越小，對(duì)復(fù)制過程的

影響程度越低。

架構(gòu)對(duì)象名稱

如上文所述，類別和屬性都是架構(gòu)對(duì)象。任何架構(gòu)對(duì)象都可以使用下列名稱類型中的一種進(jìn)行引用：

? LDAP 顯示名。 對(duì)于每一架構(gòu)對(duì)象來說，LDAP 顯示名是全局唯一的。LDAP 顯示名由一

個(gè)或多個(gè)詞組合而成，第一個(gè)詞后面的詞的詞首字母大寫。例如，mailAddress 和

machinePasswordChangeInterval 是兩個(gè)架構(gòu)屬性的 LDAP 顯示名。Active Directory 架構(gòu)和其他 Windows 2000 管理工具顯示對(duì)象的 LDAP 顯示名；程序員和管理員可使用該名稱以編程方式引用對(duì)象。關(guān)于以編程方式擴(kuò)展架構(gòu)的信息請(qǐng)參閱下一小節(jié)；關(guān)于 LDAP 的詳細(xì)信息，請(qǐng)參閱“輕型目錄訪問協(xié)議”一節(jié)。

? 公用名。架構(gòu)對(duì)象的公用名也是全局唯一的?？稍诩軜?gòu)中創(chuàng)建新對(duì)象類別或新屬性時(shí)指

定公用名；公用名是在架構(gòu)中代表對(duì)象類別的、對(duì)象的相對(duì)可分辨名稱 (RDN)。關(guān)于 RDN