活动目录（Active Directory）基础

    活动目录是Windows 2000网络中目录服务的实现方式。目录服务是一种网络服务，它存储网络资源的信息并使得用户和应用程序能访问这些资源。
　　
　　活动目录对象
　　
　　主要包括用户、组、计算机和打印机，然而网络中的所有服务器、域和站点等也可认为是活动目录中的对象。
　　
　　活动目录架构
　　
　　◆ 含有活动目录中所有对象的定义；
　　◆ 用对象类和对象属性来描述每个对象；
　　◆ 在Windows 2000的网络中，整个森林只有一个架构；
　　◆ 架构保存在活动目录中。
　　
　　活动目录的逻辑结构
　　
　　活动目录的逻辑结构用来组织网络资源。
　　
　　域（Domain）
　　
　　◆ 域是Windows 2000 活动目录的核心单元，是共享同一活动目录的一组计算机集合；
　　◆ 域是安全的边界，在缺省的情况下，一个域的管理员只能管理他自己的域，一个域的管理员要管理其他的域，需要专门的授权；
　　◆ 域是复制单位，一个域可包含多个域控制器，当某个域控制器的活动目录数据库修改以后，会将此修改复制到其他所有域控制器。
　　
　　组织单元（Organizational Units，OU）
　　
　　◆ OU是域下面的容器对象，用于组织对活动目录对象的管理，是Windows 2000中最小的管理单元；
　　◆ OU可用来匹配一个企业的实际组织结构，域的管理员可以指定某个用户去管理某个OU；
　　◆ OU也可以像域一样做成树状的结构，即OU下面还可以有OU；
　　◆ 使用OU可取代Windows NT4.0的多域网络，参见图1。
　　 　
　　图1
　　
　　树和森林（Trees and Forests）
　　
　　树（Trees）：由一个或多个域构成。Windows 2000中的树共享连续的名字空间；树具有双向、传递信任，即缺省情况下，Windows 2000中父域和子域、树和树之间的信任关系都是双向的，而且是可传递的。
　　
　　森林（Forests）：森林由一棵或多棵树组成。森林中的树不共享一个连续的名字空间，但共享一个普通架构和全局目录。
　　
　　全局目录（Global Catalog）
　　
　　Global Catalog（GC）是一个包含活动目录中所有对象的属性信息（不是完全信息，是常用属性的一个子集）的仓库，它为用户提供以下重要功能：
　　
　　◆ 在整个森林中查找活动目录的信息；
　　◆ 使用通用组成员信息登录到网络；
　　◆ 活动目录中的第一个域控制器自动成为全局目录，为了平衡登录和查询流量，您可以设置额外的全局目录。
　　
　　活动目录的物理结构
　　
　　物理结构用来设置和管理网络流量。活动目录的物理结构由域控制器和站点组成。
　　
　　域控制器（Domain Controller）
　　
　　活动目录复制：多主复制模式（Multi-Master Replication Model）和活动目录的物理结构决定复制在什么时候发生和如何发生。
　　
　　单主操作：对从森林中添加/删除域这样的操作，不适合用多主复制的模式，需要单主复制，执行单主操作的计算机称为操作主机。
　　
　　站点（Sites）
　　
　　◆ 站点由一个或多个高速连接的IP子网构成；
　　◆ 站点是网络的物理结构，站点和域没有必然联系，一个站点可包含多个域，一个域也可跨多个站点；
　  ◆ 创建站点的主要理由是为了优化复制流量和使用户能够用可靠的高速线路连接到域控制器。