對(duì)于現(xiàn)在的企業(yè)網(wǎng)絡(luò)，管理員都會(huì)在網(wǎng)絡(luò)中啟動(dòng)配置域控制器，域控制器的好處是可以幫助網(wǎng)絡(luò)管理員輕松地管理網(wǎng)絡(luò)中的電腦和用戶，防止用戶進(jìn)行非法操作。域管理權(quán)限管理比較集中，管理人員可以較好的管理計(jì)算機(jī)資源安

對(duì)于現(xiàn)在的企業(yè)網(wǎng)絡(luò)，管理員都會(huì)在網(wǎng)絡(luò)中啟動(dòng)配置域控制器，域控制器的好處是可以幫助網(wǎng)絡(luò)管理員輕松地管理網(wǎng)絡(luò)中的電腦和用戶，防止用戶進(jìn)行非法操作。

域管理權(quán)限管理比較集中，管理人員可以較好的管理計(jì)算機(jī)資源安全性高??！有利于企業(yè)的一些保密資料的管理，比如說(shuō)哪一個(gè)文件只讓哪個(gè)人看，或者讓某些人可以看，但不可以刪/改/移等；可以分發(fā)、指派各種補(bǔ)丁軟件等，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的一起安裝，不需要管理員每臺(tái)電腦跑了，這也增加了每臺(tái)電腦的安全性，減少故障，降低維護(hù)成本.

簡(jiǎn)單來(lái)說(shuō)，安裝活動(dòng)目錄的首要任務(wù)或者說(shuō)主要目標(biāo)是 客戶端的安全管理，然后是客戶端的標(biāo)準(zhǔn)化管理。再對(duì)這兩個(gè)概念進(jìn)行一下擴(kuò)展：

安全管理：說(shuō)的形象一些，舉個(gè)例子。你的用戶使用計(jì)算機(jī)是不是經(jīng)常的亂裝軟件，亂拷東西，然后病毒一堆，而這些破事兒卻要怪罪到你的頭上？

標(biāo)轉(zhuǎn)化管理：也舉個(gè)例子。你的老板是不是曾經(jīng)讓你把所有計(jì)算機(jī)的軟件或者桌面都統(tǒng)一一下，不要在桌面上放超級(jí)女生快樂(lè)男孩的圖片？

如果這兩點(diǎn)完成了，那么再往高級(jí)了說(shuō)，活動(dòng)目錄將成為企業(yè)基礎(chǔ)架構(gòu)的根本，所有的高級(jí)服務(wù)都會(huì)向活動(dòng)目錄整合，以利用其統(tǒng)一的身份驗(yàn)證、安全管理以及資源公用。

1. 有利于統(tǒng)一管理；

2. 有利于網(wǎng)絡(luò)統(tǒng)一管理；

3. 有利于相關(guān)的設(shè)置統(tǒng)一應(yīng)用到Clinent

便于管理，共享資源，安全性好，利于協(xié)同工作

帳號(hào)集中管理，環(huán)境集中管理，軟件集中管理

資料統(tǒng)一管理，防止有人把公司機(jī)密泄露出去。

可以把所有的員工電腦統(tǒng)一控制起來(lái)，不能想干嘛就干嘛，防止出現(xiàn)一些公司不愿意看到的情況。

1、信息的安全性大大增強(qiáng)

安裝活動(dòng)目錄后信息的安全性完全與活動(dòng)目錄集成，用戶授權(quán)管理和目錄進(jìn)入控制已經(jīng)整合在活動(dòng)目錄當(dāng)中了(包括用戶的訪問(wèn)和登錄權(quán)限等) ，而它們都是WIN2K33系統(tǒng)的關(guān)鍵安全措施?；顒?dòng)目錄集中控制用戶授權(quán)，進(jìn)行控制不僅僅在每一個(gè)目錄中的對(duì)象上定義，而且還能在每一個(gè)對(duì)象的每個(gè)屬性上定義，這一點(diǎn)是以前任何系統(tǒng)所不能達(dá)到的，包括WINNT 4.0。除此之外，活動(dòng)目錄還可以提供存儲(chǔ)和應(yīng)用程序作用域的安全策略，提供安全策略的存儲(chǔ)和應(yīng)用范圍。安全策略可以包含帳戶信息，如域范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問(wèn)權(quán)限等。所以從一定程序上可以這么說(shuō)WIN2K3的安全性就是活動(dòng)目錄所體現(xiàn)的安全性，由此可見(jiàn)對(duì)于網(wǎng)管來(lái)說(shuō)如何配置好活動(dòng)目錄中對(duì)象及屬性的安全性是一個(gè)網(wǎng)管配置好WIN2K3系統(tǒng)的關(guān)鍵。

具體應(yīng)用：比如在工作組下面有3臺(tái)計(jì)算機(jī)，分別是A 、B 、C ，各有一個(gè)帳號(hào)a 、b 、c ，如果B 上有一個(gè)文檔要給a 用戶訪問(wèn)，b 就要在B 計(jì)算機(jī)上創(chuàng)建一個(gè)帳號(hào)a’給a ，讓a 用a’去訪問(wèn)，或者b 把自己的帳號(hào)密碼告訴a ，讓a 來(lái)訪問(wèn)，同理，其他資源也是一樣處理。結(jié)果就是每一個(gè)用戶要記好幾個(gè)帳號(hào)密碼來(lái)訪問(wèn)不同的資源，或者就是網(wǎng)絡(luò)里有很多額外的帳號(hào)密碼存在，或者很多人的密碼告訴給其他人，最終網(wǎng)絡(luò)安全變成一句空話。

但是如果實(shí)現(xiàn)了域就不一樣了，b 只要在資源上設(shè)置a 的訪問(wèn)權(quán)限就可以了，不用額外創(chuàng)建帳號(hào)，也不用把自己的帳號(hào)密碼告訴別人，a 來(lái)訪問(wèn)的時(shí)候，如果權(quán)限合適就可以直接進(jìn)行操作。用戶a 也不需要記錄額外的帳號(hào)密碼。

再比如，經(jīng)理m 有一臺(tái)計(jì)算機(jī)M ，為了保證安全性，M 計(jì)算機(jī)只能由m 來(lái)登錄，在AD 中只要簡(jiǎn)單的設(shè)置一下就可以了。再有一臺(tái)打印機(jī)，如果有這這樣的安全要求，上班時(shí)間大家都可以使用，下了班就不能打印了。當(dāng)有大文檔打印時(shí)，如果經(jīng)理m 要打印文檔，可以中間插入打印，m 打印完了，原來(lái)的那個(gè)大文檔繼續(xù)打印下去。諸如此類的設(shè)置，在AD 中都可以非常方便的設(shè)置。

2、引入基于策略的管理，使系統(tǒng)的管理更加明朗

活動(dòng)目錄服務(wù)包括目錄對(duì)象數(shù)據(jù)存儲(chǔ)和邏輯分層結(jié)構(gòu)(上次在杭州我講過(guò)的目錄、目錄樹、域、域樹、域林等所組成的層次結(jié)構(gòu)) ，作為目錄，它存儲(chǔ)著分配給特定環(huán)境的策略，稱為組策略對(duì)象。作為邏輯結(jié)構(gòu)，它為策略應(yīng)用程序提供分層的環(huán)境。組策略對(duì)象表示了一套商務(wù)規(guī)則，它包括與要應(yīng)用的環(huán)境有關(guān)的設(shè)置，組策略是用戶或計(jì)算機(jī)初始化時(shí)用到的配置設(shè)置。所有的組策略設(shè)置都包含在應(yīng)用到活動(dòng)目錄，域，或組織單元的組策略對(duì)象(GPOs)中。GPOs 設(shè)置決定目錄對(duì)象和域資源的進(jìn)入權(quán)限，什么樣的域資源可以被用戶使用，以及這些域資源怎樣使用等。例如，組策略對(duì)象可以決定當(dāng)用戶登錄時(shí)用戶在他們的計(jì)算機(jī)上看到什么應(yīng)用程序，當(dāng)它在服務(wù)器上啟動(dòng)時(shí)有多少用戶可連接至 Server ，以及當(dāng)用戶轉(zhuǎn)移到不同的部門或組時(shí)他們可訪問(wèn)什么文件或服務(wù)。組策略對(duì)象使您可以管理少量的策略而不是大量的用戶和計(jì)算機(jī)。通過(guò)活動(dòng)目錄，您可將組策略設(shè)置應(yīng)用于適當(dāng)?shù)沫h(huán)境中，不管它是您的整個(gè)單位還是您單位中的特定部門。

具體應(yīng)用：比如單位里面為了放置病毒感染和信息安全，要求所有的計(jì)算機(jī)只能使用USB 的鼠標(biāo)和鍵盤，U 盤和移用硬盤不能使用。為了控制USB 接口的使用類型，工作組下面就只有一臺(tái)一臺(tái)計(jì)算機(jī)去設(shè)置組策略了，而AD 下僅僅一條組策略就可以完成，花費(fèi)不到10秒鐘!

在比如，為了防止員工修改系統(tǒng)配置導(dǎo)致系統(tǒng)崩潰，或?yàn)榱私箚T工上班時(shí)間玩游戲，需要禁止某些組件的使用，用AD 自帶的組策略功能也非常方便。至于給所有員工發(fā)送一個(gè)信息或安裝一個(gè)軟件之類的常規(guī)性管理任務(wù)，AD 的組策略也很容易就實(shí)現(xiàn)。而且這些策略的設(shè)置可以依據(jù)單位的部門或職稱架構(gòu)來(lái)實(shí)現(xiàn)。非常方便!

3、具有很強(qiáng)的可擴(kuò)展性

WIN2K3的活動(dòng)目錄具有很強(qiáng)的可擴(kuò)展性，管理員可以在計(jì)劃中增加新的對(duì)象類，或者給現(xiàn)有的對(duì)象類增加新的屬性。計(jì)劃包括可以存儲(chǔ)在目錄中的每一個(gè)對(duì)象類的定義和對(duì)象類的屬性。例如，在電子商務(wù)上你可以給每一個(gè)用戶對(duì)象增加一個(gè)購(gòu)物授權(quán)屬性，然后存儲(chǔ)每一個(gè)用戶購(gòu)買權(quán)限作為用戶帳號(hào)的一部分。

具體應(yīng)用：比如單位將來(lái)用實(shí)現(xiàn)郵件系統(tǒng)和企業(yè)內(nèi)部通訊系統(tǒng)，實(shí)現(xiàn)依據(jù)網(wǎng)絡(luò)來(lái)完成企業(yè)內(nèi)部的文件，信息，語(yǔ)音等等的通訊，這樣可以大大節(jié)省企業(yè)運(yùn)行成本。利用活動(dòng)目錄的可擴(kuò)展性，只不過(guò)是在用戶帳號(hào)上多了郵箱屬性或MSN 屬性而已，用戶甚至可以使用IE

來(lái)安全的收發(fā)郵件，連Outlook 都不需要!

4、具有很強(qiáng)的可伸縮性

活動(dòng)目錄可包含在一個(gè)或多個(gè)域，每個(gè)域具有一個(gè)或多個(gè)域控制器，以便您可以調(diào)整目錄的規(guī)模以滿足任何網(wǎng)絡(luò)的需要。多個(gè)域可組成為域樹，多個(gè)域樹又可組成為樹林，活動(dòng)目錄也就隨著域的伸縮而伸縮，較好地適應(yīng)了單位網(wǎng)絡(luò)的變化。目錄將其架構(gòu)和配置信息分發(fā)給目錄中所有的域控制器，該信息存儲(chǔ)在域的第一個(gè)域控制器中，并且復(fù)制到域中任何其他域控制器。當(dāng)該目錄配置為單個(gè)域時(shí)，添加域控制器將改變目錄的規(guī)模，而不影響其他域的管理開銷。將域添加到目錄使您可以針對(duì)不同策略環(huán)境劃分目錄，并調(diào)整目錄的規(guī)模以容納大量的資源和對(duì)象。

5、智能的信息復(fù)制能力

信息復(fù)制為目錄提供了信息可用性、容錯(cuò)、負(fù)載平衡和性能優(yōu)勢(shì)，活動(dòng)目錄使用多主機(jī)復(fù)制，允許您在任何域控制器上而不是單個(gè)主域控制器上同步更新目錄。多主機(jī)模式具有更大容錯(cuò)的優(yōu)點(diǎn)，因?yàn)槭褂枚嘤蚩刂破鳎词谷魏螁为?dú)的域控制器停止工作，也可繼續(xù)復(fù)制。由于進(jìn)行了多主機(jī)復(fù)制，它們將更新目錄的單個(gè)副本，在域控制器上創(chuàng)建或修改目錄信息后，新創(chuàng)建或更改的信息將發(fā)送到域中的所有其他域控制器，所以其目錄信息是最新的。域控制器需要最新的目錄信息，但是要做到高效率，必須把自身的更新限制在只有新建或更改目錄信息的時(shí)候，以免在網(wǎng)絡(luò)高峰期進(jìn)行同步而影響網(wǎng)絡(luò)速度。在域控制器之間不加選擇地交換目錄信息能夠迅速搞垮任何網(wǎng)絡(luò)。通過(guò)活動(dòng)目錄就能達(dá)到只復(fù)制更改的目錄信息，而不至于大量增加域控制器的負(fù)荷。

6、與 DNS 集成緊密

活動(dòng)目錄使用域名系統(tǒng) (DNS)來(lái)為服務(wù)器目錄命名，DNS 是將更容易理解的主機(jī)名(如 Mike.Mycompany.com) 轉(zhuǎn)換為數(shù)字 IP 地址的 Internet 標(biāo)準(zhǔn)服務(wù)，利于在TCP/IP網(wǎng)絡(luò)中計(jì)算機(jī)之間的相互識(shí)別和通訊。DNS 的域名基于 DNS 分層命名結(jié)構(gòu)，這是一種倒置的樹狀結(jié)構(gòu)，單個(gè)根域，在它下面可以是父域和子域(分支和葉子) 。

具體應(yīng)用：任何一臺(tái)計(jì)算機(jī)加入到域之后，就獲得了一個(gè)唯一限定名(FQDN)，由于域名稱是層次結(jié)構(gòu)的，所以該名稱在整個(gè)企業(yè)中也是唯一的，這樣當(dāng)我們需要查找任何計(jì)算機(jī)都可以使用該名稱。

而且由于該名稱是由AD 注冊(cè)在DNS 中，完全符合當(dāng)前網(wǎng)絡(luò)的狀態(tài)(所有計(jì)算機(jī)都在AD 中注冊(cè)) ，這一點(diǎn)在動(dòng)態(tài)地址分配的情況下非常有利。而且由于DNS 是不受地域和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)影響的，任何地點(diǎn)的任何用戶都可以方便的訪問(wèn)到需要的資源。

另外，在AD 中，每一個(gè)用戶都有唯一的用戶主名(UPN)，類似于郵件地址的用戶主名不僅有利于用戶記憶(在多域環(huán)境下特別有用) ，而且和郵件系統(tǒng)掛鉤，進(jìn)一步簡(jiǎn)化了終端用戶的使用。

7、與其他目錄服務(wù)具有互連性

由于活動(dòng)目錄是基于標(biāo)準(zhǔn)的目錄訪問(wèn)協(xié)議，許多應(yīng)用程序界面(API)都允許開發(fā)者進(jìn)入這些協(xié)議，例如活動(dòng)目錄服務(wù)界面(ADSI)、輕型目錄訪問(wèn)協(xié)議 (LDAP) 第三版和名稱服務(wù)提供程序接口 (NSPI)，因此它可與使用這些協(xié)議的其他目錄服務(wù)相互*作。LDAP 是用于在活動(dòng)目錄中查詢和檢索信息的目錄訪問(wèn)協(xié)議。因?yàn)樗且环N工業(yè)標(biāo)準(zhǔn)服務(wù)協(xié)議，所以可使用 LDAP 開發(fā)程序，與同時(shí)支持 LDAP 的其他目錄服務(wù)共享活動(dòng)目錄信息。活動(dòng)目錄支持 Microsoft Exchange 2003客戶程序所用的 NSPI 協(xié)議，以提供與 Exchange 目錄的兼容性。

8、具有靈活的查詢

任何用戶可使用“開始”菜單、“網(wǎng)上鄰居”或“活動(dòng)目錄用戶和計(jì)算機(jī)”上的“搜索”命令，通過(guò)對(duì)象屬性快速查找網(wǎng)絡(luò)上的對(duì)象。如您可通過(guò)名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來(lái)查找用戶，反之亦然。

具體應(yīng)用：比如在A 地的一個(gè)員工要給B 地的員工發(fā)送一份文檔，他不需要將文檔打印出來(lái)再快遞過(guò)去，他完全可以在AD 中搜索B 地員工辦公室(或附近辦公地點(diǎn)) 的某臺(tái)打印機(jī)就可以了，然后直接將文檔發(fā)送到那臺(tái)打印機(jī)上，B 的用戶就可以直接拿到文檔了。而A 的用戶不知道B 地的打印機(jī)沒(méi)有關(guān)系，他可以根據(jù)地名，樓層，辦公室等等信息，很快定位到正確的打印機(jī)!