對于現(xiàn)在的企業(yè)網絡，管理員都會在網絡中啟動配置域控制器，域控制器的好處是可以幫助網絡管理員輕松地管理網絡中的電腦和用戶，防止用戶進行非法操作。域管理權限管理比較集中，管理人員可以較好的管理計算機資源安

對于現(xiàn)在的企業(yè)網絡，管理員都會在網絡中啟動配置域控制器，域控制器的好處是可以幫助網絡管理員輕松地管理網絡中的電腦和用戶，防止用戶進行非法操作。

域管理權限管理比較集中，管理人員可以較好的管理計算機資源安全性高??！有利于企業(yè)的一些保密資料的管理，比如說哪一個文件只讓哪個人看，或者讓某些人可以看，但不可以刪/改/移等；可以分發(fā)、指派各種補丁軟件等，實現(xiàn)網絡內的一起安裝，不需要管理員每臺電腦跑了，這也增加了每臺電腦的安全性，減少故障，降低維護成本.

簡單來說，安裝活動目錄的首要任務或者說主要目標是 客戶端的安全管理，然后是客戶端的標準化管理。再對這兩個概念進行一下擴展：

安全管理：說的形象一些，舉個例子。你的用戶使用計算機是不是經常的亂裝軟件，亂拷東西，然后病毒一堆，而這些破事兒卻要怪罪到你的頭上？

標轉化管理：也舉個例子。你的老板是不是曾經讓你把所有計算機的軟件或者桌面都統(tǒng)一一下，不要在桌面上放超級女生快樂男孩的圖片？

如果這兩點完成了，那么再往高級了說，活動目錄將成為企業(yè)基礎架構的根本，所有的高級服務都會向活動目錄整合，以利用其統(tǒng)一的身份驗證、安全管理以及資源公用。

1. 有利于統(tǒng)一管理；

2. 有利于網絡統(tǒng)一管理；

3. 有利于相關的設置統(tǒng)一應用到Clinent

便于管理，共享資源，安全性好，利于協(xié)同工作

帳號集中管理，環(huán)境集中管理，軟件集中管理

資料統(tǒng)一管理，防止有人把公司機密泄露出去。

可以把所有的員工電腦統(tǒng)一控制起來，不能想干嘛就干嘛，防止出現(xiàn)一些公司不愿意看到的情況。

1、信息的安全性大大增強

安裝活動目錄后信息的安全性完全與活動目錄集成，用戶授權管理和目錄進入控制已經整合在活動目錄當中了(包括用戶的訪問和登錄權限等) ，而它們都是WIN2K33系統(tǒng)的關鍵安全措施?；顒幽夸浖锌刂朴脩羰跈?，進行控制不僅僅在每一個目錄中的對象上定義，而且還能在每一個對象的每個屬性上定義，這一點是以前任何系統(tǒng)所不能達到的，包括WINNT 4.0。除此之外，活動目錄還可以提供存儲和應用程序作用域的安全策略，提供安全策略的存儲和應用范圍。安全策略可以包含帳戶信息，如域范圍內的密碼限制或對特定域資源的訪問權限等。所以從一定程序上可以這么說WIN2K3的安全性就是活動目錄所體現(xiàn)的安全性，由此可見對于網管來說如何配置好活動目錄中對象及屬性的安全性是一個網管配置好WIN2K3系統(tǒng)的關鍵。

具體應用：比如在工作組下面有3臺計算機，分別是A 、B 、C ，各有一個帳號a 、b 、c ，如果B 上有一個文檔要給a 用戶訪問，b 就要在B 計算機上創(chuàng)建一個帳號a’給a ，讓a 用a’去訪問，或者b 把自己的帳號密碼告訴a ，讓a 來訪問，同理，其他資源也是一樣處理。結果就是每一個用戶要記好幾個帳號密碼來訪問不同的資源，或者就是網絡里有很多額外的帳號密碼存在，或者很多人的密碼告訴給其他人，最終網絡安全變成一句空話。

但是如果實現(xiàn)了域就不一樣了，b 只要在資源上設置a 的訪問權限就可以了，不用額外創(chuàng)建帳號，也不用把自己的帳號密碼告訴別人，a 來訪問的時候，如果權限合適就可以直接進行操作。用戶a 也不需要記錄額外的帳號密碼。

再比如，經理m 有一臺計算機M ，為了保證安全性，M 計算機只能由m 來登錄，在AD 中只要簡單的設置一下就可以了。再有一臺打印機，如果有這這樣的安全要求，上班時間大家都可以使用，下了班就不能打印了。當有大文檔打印時，如果經理m 要打印文檔，可以中間插入打印，m 打印完了，原來的那個大文檔繼續(xù)打印下去。諸如此類的設置，在AD 中都可以非常方便的設置。

2、引入基于策略的管理，使系統(tǒng)的管理更加明朗

活動目錄服務包括目錄對象數(shù)據(jù)存儲和邏輯分層結構(上次在杭州我講過的目錄、目錄樹、域、域樹、域林等所組成的層次結構) ，作為目錄，它存儲著分配給特定環(huán)境的策略，稱為組策略對象。作為邏輯結構，它為策略應用程序提供分層的環(huán)境。組策略對象表示了一套商務規(guī)則，它包括與要應用的環(huán)境有關的設置，組策略是用戶或計算機初始化時用到的配置設置。所有的組策略設置都包含在應用到活動目錄，域，或組織單元的組策略對象(GPOs)中。GPOs 設置決定目錄對象和域資源的進入權限，什么樣的域資源可以被用戶使用，以及這些域資源怎樣使用等。例如，組策略對象可以決定當用戶登錄時用戶在他們的計算機上看到什么應用程序，當它在服務器上啟動時有多少用戶可連接至 Server ，以及當用戶轉移到不同的部門或組時他們可訪問什么文件或服務。組策略對象使您可以管理少量的策略而不是大量的用戶和計算機。通過活動目錄，您可將組策略設置應用于適當?shù)沫h(huán)境中，不管它是您的整個單位還是您單位中的特定部門。

具體應用：比如單位里面為了放置病毒感染和信息安全，要求所有的計算機只能使用USB 的鼠標和鍵盤，U 盤和移用硬盤不能使用。為了控制USB 接口的使用類型，工作組下面就只有一臺一臺計算機去設置組策略了，而AD 下僅僅一條組策略就可以完成，花費不到10秒鐘!

在比如，為了防止員工修改系統(tǒng)配置導致系統(tǒng)崩潰，或為了禁止員工上班時間玩游戲，需要禁止某些組件的使用，用AD 自帶的組策略功能也非常方便。至于給所有員工發(fā)送一個信息或安裝一個軟件之類的常規(guī)性管理任務，AD 的組策略也很容易就實現(xiàn)。而且這些策略的設置可以依據(jù)單位的部門或職稱架構來實現(xiàn)。非常方便!

3、具有很強的可擴展性

WIN2K3的活動目錄具有很強的可擴展性，管理員可以在計劃中增加新的對象類，或者給現(xiàn)有的對象類增加新的屬性。計劃包括可以存儲在目錄中的每一個對象類的定義和對象類的屬性。例如，在電子商務上你可以給每一個用戶對象增加一個購物授權屬性，然后存儲每一個用戶購買權限作為用戶帳號的一部分。

具體應用：比如單位將來用實現(xiàn)郵件系統(tǒng)和企業(yè)內部通訊系統(tǒng)，實現(xiàn)依據(jù)網絡來完成企業(yè)內部的文件，信息，語音等等的通訊，這樣可以大大節(jié)省企業(yè)運行成本。利用活動目錄的可擴展性，只不過是在用戶帳號上多了郵箱屬性或MSN 屬性而已，用戶甚至可以使用IE

來安全的收發(fā)郵件，連Outlook 都不需要!

4、具有很強的可伸縮性

活動目錄可包含在一個或多個域，每個域具有一個或多個域控制器，以便您可以調整目錄的規(guī)模以滿足任何網絡的需要。多個域可組成為域樹，多個域樹又可組成為樹林，活動目錄也就隨著域的伸縮而伸縮，較好地適應了單位網絡的變化。目錄將其架構和配置信息分發(fā)給目錄中所有的域控制器，該信息存儲在域的第一個域控制器中，并且復制到域中任何其他域控制器。當該目錄配置為單個域時，添加域控制器將改變目錄的規(guī)模，而不影響其他域的管理開銷。將域添加到目錄使您可以針對不同策略環(huán)境劃分目錄，并調整目錄的規(guī)模以容納大量的資源和對象。

5、智能的信息復制能力

信息復制為目錄提供了信息可用性、容錯、負載平衡和性能優(yōu)勢，活動目錄使用多主機復制，允許您在任何域控制器上而不是單個主域控制器上同步更新目錄。多主機模式具有更大容錯的優(yōu)點，因為使用多域控制器，即使任何單獨的域控制器停止工作，也可繼續(xù)復制。由于進行了多主機復制，它們將更新目錄的單個副本，在域控制器上創(chuàng)建或修改目錄信息后，新創(chuàng)建或更改的信息將發(fā)送到域中的所有其他域控制器，所以其目錄信息是最新的。域控制器需要最新的目錄信息，但是要做到高效率，必須把自身的更新限制在只有新建或更改目錄信息的時候，以免在網絡高峰期進行同步而影響網絡速度。在域控制器之間不加選擇地交換目錄信息能夠迅速搞垮任何網絡。通過活動目錄就能達到只復制更改的目錄信息，而不至于大量增加域控制器的負荷。

6、與 DNS 集成緊密

活動目錄使用域名系統(tǒng) (DNS)來為服務器目錄命名，DNS 是將更容易理解的主機名(如 Mike.Mycompany.com) 轉換為數(shù)字 IP 地址的 Internet 標準服務，利于在TCP/IP網絡中計算機之間的相互識別和通訊。DNS 的域名基于 DNS 分層命名結構，這是一種倒置的樹狀結構，單個根域，在它下面可以是父域和子域(分支和葉子) 。

具體應用：任何一臺計算機加入到域之后，就獲得了一個唯一限定名(FQDN)，由于域名稱是層次結構的，所以該名稱在整個企業(yè)中也是唯一的，這樣當我們需要查找任何計算機都可以使用該名稱。

而且由于該名稱是由AD 注冊在DNS 中，完全符合當前網絡的狀態(tài)(所有計算機都在AD 中注冊) ，這一點在動態(tài)地址分配的情況下非常有利。而且由于DNS 是不受地域和網絡基礎結構影響的，任何地點的任何用戶都可以方便的訪問到需要的資源。

另外，在AD 中，每一個用戶都有唯一的用戶主名(UPN)，類似于郵件地址的用戶主名不僅有利于用戶記憶(在多域環(huán)境下特別有用) ，而且和郵件系統(tǒng)掛鉤，進一步簡化了終端用戶的使用。

7、與其他目錄服務具有互連性

由于活動目錄是基于標準的目錄訪問協(xié)議，許多應用程序界面(API)都允許開發(fā)者進入這些協(xié)議，例如活動目錄服務界面(ADSI)、輕型目錄訪問協(xié)議 (LDAP) 第三版和名稱服務提供程序接口 (NSPI)，因此它可與使用這些協(xié)議的其他目錄服務相互*作。LDAP 是用于在活動目錄中查詢和檢索信息的目錄訪問協(xié)議。因為它是一種工業(yè)標準服務協(xié)議，所以可使用 LDAP 開發(fā)程序，與同時支持 LDAP 的其他目錄服務共享活動目錄信息?；顒幽夸浿С?Microsoft Exchange 2003客戶程序所用的 NSPI 協(xié)議，以提供與 Exchange 目錄的兼容性。

8、具有靈活的查詢

任何用戶可使用“開始”菜單、“網上鄰居”或“活動目錄用戶和計算機”上的“搜索”命令，通過對象屬性快速查找網絡上的對象。如您可通過名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶，反之亦然。

具體應用：比如在A 地的一個員工要給B 地的員工發(fā)送一份文檔，他不需要將文檔打印出來再快遞過去，他完全可以在AD 中搜索B 地員工辦公室(或附近辦公地點) 的某臺打印機就可以了，然后直接將文檔發(fā)送到那臺打印機上，B 的用戶就可以直接拿到文檔了。而A 的用戶不知道B 地的打印機沒有關系，他可以根據(jù)地名，樓層，辦公室等等信息，很快定位到正確的打印機!