Active Directory 是用于 Windows 2000 Server 的目錄服務(wù)。它存儲(chǔ)著網(wǎng)絡(luò)上各種對象的有關(guān)信息，并使該信息易于管理員和用戶查找及使用。Active Directory 目錄服務(wù)使用結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)作為目錄信息的邏輯層次結(jié)構(gòu)的基礎(chǔ)。Active Directory 的優(yōu)點(diǎn)：信息安全性 、基于策略的管理 、可擴(kuò)展性 、可伸縮性 、信息的復(fù)制 、與 DNS 集成 、與其他目錄服務(wù)的互操作性、靈活的查詢。
　　本章主要內(nèi)容：
　　1、活動(dòng)目錄的基本概念及其作用
　　2、在安裝活動(dòng)目錄前的目錄規(guī)劃
　　3、活動(dòng)目錄工具
　　6.1 活動(dòng)目錄的概念
　　6.1.1 域
　　域提供了多項(xiàng)優(yōu)點(diǎn)：
　　§　組織對象。
　　§　發(fā)布有關(guān)域?qū)ο蟮馁Y源和信息。
　　§　將組策略對象應(yīng)用到域可加強(qiáng)資源和安全性管理。
　　§　委派授權(quán)使用戶不再需要大量的具有廣泛管理權(quán)利的管理員。
　　
　　要?jiǎng)?chuàng)建域，用戶必須將一個(gè)或更多的運(yùn)行 Windows 2000 Server 的計(jì)算機(jī)升級(jí)為域控制器。域控制器為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供 Active Directory 目錄服務(wù)、存儲(chǔ)目錄數(shù)據(jù)并管理用戶和域之間的交互作用，包括用戶登錄過程、驗(yàn)證和目錄搜索。每個(gè)域至少必須包含一個(gè)域控制器。
　　域樹和域林
　　活動(dòng)目錄中的每個(gè)域利用 DNS 域名加以標(biāo)識(shí)，并且需要一個(gè)或多個(gè)域控制器。如果用戶的網(wǎng)絡(luò)需要一個(gè)以上的域，則用戶可以創(chuàng)建多個(gè)域。共享相同的公用架構(gòu)和全局目錄的一個(gè)或多個(gè)域稱為域林。如圖 6.1 中所示，如果樹林中的多個(gè)域有連續(xù)的 DNS 域名，則該結(jié)構(gòu)稱為域樹。
　　　
　　如圖6.2所示如果相關(guān)域樹共享相同的 Active Directory 架構(gòu)以及目錄配置和復(fù)制信息，但不共享連續(xù)的 DNS 名稱空間，則稱之為域林。
　　域樹和域林的組合為用戶提供了靈活的域命名選項(xiàng)。連續(xù)和非連續(xù)的 DNS 名稱空間都可加入到用戶的目錄中。
　　　
　　6.1.2. 域和帳戶命名
　　Active Directory 域名通常是該域的完整 DNS 名稱。但是，為確保向下兼容，每個(gè)域還有一個(gè) Windows 2000 以前版本的名稱，以便在運(yùn)行 Windows 2000 以前版本的操作系統(tǒng)的計(jì)算機(jī)上使用。用戶帳戶
　　在 Active Directory 中，每個(gè)用戶帳戶都有一個(gè)用戶登錄名、一個(gè) Windows 2000 以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個(gè)用戶主要名稱后綴。在創(chuàng)建用戶帳戶時(shí)，管理員輸入其登錄名并選擇用戶主要名稱。Active Directory 建議 Windows 2000 以前版本的用戶登錄名使用此用戶登錄名的前 20 個(gè)字節(jié)。
　　所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 Windows 2000 域的標(biāo)準(zhǔn)用法。表準(zhǔn)格式為：user@domain.com (類似個(gè)人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號(hào)。Active Directory 在創(chuàng)建用戶主要名稱時(shí)自動(dòng)添加此符號(hào)。包含多個(gè) @ 號(hào)的用戶主要名稱是無效的。
　　在 Active Directory 中，默認(rèn)的用戶主要名稱后綴是域樹中根域的 DNS 名。如果用戶的單位使用由部門和區(qū)域組成的多層域樹，則對于底層用戶的域名可能很長。對于該域中的用戶，默認(rèn)的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認(rèn)的登錄名可能是 user@grandchild.child.root.com 。創(chuàng)建主要名稱后綴 - "root" 使同一用戶使用更簡單的登錄名 user@root.com 就可以登錄。
　　
　　6.1.3 域間信任關(guān)系
　　對于 Windows 2000 計(jì)算機(jī)，通過基于 Kerberos V5 安全協(xié)議的雙向、可傳遞信任關(guān)系啟用域之間的帳戶驗(yàn)證。
　　在域樹中創(chuàng)建域時(shí)，相鄰域（父域和子域）之間自動(dòng)建立信任關(guān)系。如圖 6.2 中的 root.com 和 child.root.com 之間自動(dòng)建立信任關(guān)系。在域林中，在樹林根域和添加到樹林的每個(gè)域樹的根域之間自動(dòng)建立信任關(guān)系。因?yàn)檫@些信任關(guān)系是可傳遞的，所以可以在域樹或域林中的任何域之間進(jìn)行用戶和計(jì)算機(jī)的身份驗(yàn)證。
　　如果將 Windows 2000 以前版本的 Windows 域升級(jí)為 Windows 2000 域時(shí)，Windows 2000 域?qū)⒈Ａ粲蚝腿魏纹渌蛑g現(xiàn)有的單向信任關(guān)系。包括 Windows 2000 以前版本的 Windows 域的所有信任關(guān)系。如果用戶要安裝新的 Windows 2000 域并且希望與任何 Windows 2000 以前版本的域建立信任關(guān)系，則必須創(chuàng)建與那些域的外部信任關(guān)系。
　　所有域信任關(guān)系都只能有兩個(gè)域：信任域和受信任域。域信任關(guān)系按以下特征進(jìn)行描述：
　　§　單向
　　單向信任是域 A 信任域 B 的單一信任關(guān)系。所有的單向關(guān)系都是不可傳遞的，并且所有的不可傳遞信任都是單向的。身份驗(yàn)證請求只能從信任域傳到受信任域。Windows 2000 的域可與以下域建立單向信任：不同樹林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 領(lǐng)域。
　　§　雙向
　　Windows 2000 樹林中的所有域信任都是雙向可傳遞信任。建立新的子域時(shí)，雙向可傳遞信任在新的子域和父域之間自動(dòng)建立。
　　
　　§　可傳遞
　　Windows 2000 樹林中的所有域信任都是可傳遞的。可傳遞信任始終為雙向：此關(guān)系中的兩個(gè)域相互信任。
　　可傳遞信任不受信任關(guān)系中的兩個(gè)域的約束。每次當(dāng)用戶建立新的子域時(shí)，在父域和新子域之間就隱含地（自動(dòng)）建立起雙向可傳遞信任關(guān)系。這樣，可傳遞信任關(guān)系在域樹中按其形成的方式向上流動(dòng)，并在域樹中的所有域之間建立起可傳遞信任。
　　如圖6.3中因?yàn)橛?1 和域 2 有可傳遞信任關(guān)系，域 2 和域 3 有可傳遞信任關(guān)系，所以域 3 中的用戶（在獲得相應(yīng)權(quán)限時(shí)）可訪問域 1 中的資源。因?yàn)橛?1 和域 A 具有可傳遞信任關(guān)系，
　　　
　　并且域 A 的域樹中的其他域和域 A 具有可傳遞信任關(guān)系，所以域 B 中的用戶（當(dāng)授與適當(dāng)權(quán)限時(shí)）可訪問域 3 中的資源。
　　
　　§　不可傳遞
　　不可傳遞信任受信任關(guān)系中的兩個(gè)域的約束，并不流向樹林中的任何其他域。在大多數(shù)情況下，用戶必須明確建立不可傳遞信任。在 Windows 2000 域和 Windows NT 域之間的所有信任關(guān)系都是不可傳遞的。從 Windows NT 升級(jí)至 Windows 2000 時(shí)，目前所有的 Windows NT 信任都保持不動(dòng)。在混和模式環(huán)境中，所有的 Windows NT 信任都是不可傳遞的。不可傳遞信任默認(rèn)為單向信任關(guān)系。
　　§　外部信任
　　外部信任創(chuàng)建了與樹林外部的域的信任關(guān)系。創(chuàng)建外部信任的優(yōu)點(diǎn)在于使用戶可以通過樹林的信任路徑不包含的域進(jìn)行身份驗(yàn)證。所有的外部驗(yàn)證都是單向非轉(zhuǎn)移的信任
　　§　快捷信任
　　快捷信任是雙向可傳遞的信任，使用戶可以縮短復(fù)雜樹林中的路徑。Windows 2000 同一樹林中域之間的快捷信任是明確創(chuàng)建的。快捷信任具有優(yōu)化的性能，能縮短與 Windows 2000 安全機(jī)制有關(guān)的信任路徑以便進(jìn)行身份驗(yàn)證。在樹林中的兩個(gè)域樹之間使用快捷信任是最有效的。
　　
　　6.1.4 站點(diǎn)
　　站點(diǎn)是由一個(gè)或多個(gè) IP 子網(wǎng)中的一組計(jì)算機(jī)，確保目錄信息的有效交換，站點(diǎn)中的計(jì)算機(jī)需要很好地連接，尤其是子網(wǎng)內(nèi)的計(jì)算機(jī)。站點(diǎn)和域名稱空間之間沒有必要的連接。站點(diǎn)反映網(wǎng)絡(luò)的物理結(jié)構(gòu)，而域通常反映用戶單位的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨(dú)立，所以網(wǎng)絡(luò)的物理結(jié)構(gòu)及其域結(jié)構(gòu)之間沒有必要的相關(guān)性，Active Directory 允許單個(gè)站點(diǎn)中有多個(gè)域，單個(gè)域中有多個(gè)站點(diǎn)。
　　如果配置方案未組織成站點(diǎn)，則域和客戶之間的信息交換可能非常混亂。站點(diǎn)能提高網(wǎng)絡(luò)使用的效率。站點(diǎn)服務(wù)在以下兩方面令網(wǎng)絡(luò)操作更為有效：
　　§　服務(wù)請求
　　當(dāng)客戶從域控制器請求服務(wù)時(shí)，只要相同域中的域控制器有一個(gè)可用，此請求就將會(huì)發(fā)給這個(gè)域控制器。選擇與發(fā)出請求的客戶連接良好的域控制器將使該請求的處理效率更高。
　　§　復(fù)制
　　站點(diǎn)使目錄信息以流水線的方式復(fù)制。目錄架構(gòu)和配置信息分布在整個(gè)樹林中，而且域數(shù)據(jù)分布在域中的所有域控制器之間。通過有策略地減少復(fù)制，用戶的網(wǎng)絡(luò)擁塞也會(huì)同樣減少。Active Directory 在一個(gè)站點(diǎn)內(nèi)比在站點(diǎn)之間更頻繁地復(fù)制目錄信息。這樣，連接最好的域控制器中，最可能需要特定目錄信息的域控制器首先接收復(fù)制的內(nèi)容。其他站點(diǎn)中的域控制器接收對目錄所進(jìn)行的更改，但不頻繁，以降低網(wǎng)絡(luò)帶寬的消耗。
　　
　　6.1.5 Active Directory 用戶和計(jì)算機(jī)帳戶
　　Active Directory 用戶和計(jì)算機(jī)帳戶代表物理實(shí)體，諸如計(jì)算機(jī)或人。用戶帳戶和計(jì)算機(jī)帳戶（以及組）稱為安全主體。安全主體是自動(dòng)分配安全標(biāo)識(shí)符的目錄對象。帶安全標(biāo)識(shí)符的對象可登錄到網(wǎng)絡(luò)并訪問域資源。用戶或計(jì)算機(jī)帳戶用于：
　　§　驗(yàn)證用戶或計(jì)算機(jī)的身份。
　　§　授權(quán)或拒絕訪問域資源。
　　§　管理其他安全主體。
　　§　審計(jì)使用用戶或計(jì)算機(jī)帳戶執(zhí)行的操作。
　　Windows 2000 提供了可用于登錄到運(yùn)行 Windows 2000 的計(jì)算機(jī)的預(yù)定義用戶帳戶。這些預(yù)定義帳戶為：
　　§　管理員帳戶
　　§　來賓帳戶
　　預(yù)定義帳戶就是允許用戶登錄到本地計(jì)算機(jī)并訪問本地計(jì)算機(jī)上資源的默認(rèn)用戶帳戶。設(shè)計(jì)這些帳戶的主要目的是本地計(jì)算機(jī)的初始登錄和配置。每個(gè)預(yù)定義帳戶均有不同的權(quán)利和權(quán)限組合。管理員帳戶有最廣泛的權(quán)利和權(quán)限，同時(shí)來賓帳戶有受限制的權(quán)利和權(quán)限。
　　
　　6.1.6組策略
　　組策略設(shè)置影響計(jì)算機(jī)或用戶帳戶并且可應(yīng)用于站點(diǎn)、域或組織單位。它可用于配置安全選項(xiàng)、管理應(yīng)用程序、管理桌面外觀、指派腳本并將文件夾從本地計(jì)算機(jī)重新定向到網(wǎng)絡(luò)位置。
　　
　　6.1.7集成DNS
　　由于 Active Directory 與 DNS 集成而且共享相同的名稱空間結(jié)構(gòu)，因此注意兩者之間的差異非常重要：DNS 是一種名稱解析服務(wù)。