操作活动目录中的对象（2）

    模板
　　
　　对能在AD数据库中存在的全部对象、属性和值进行定义的实体是模板(Schema)。模板还指定了特定对象的必需属性(比如我们刚刚建立的用户的登录名)和可选的属性(如用户的电话电话)。
　　
　　微软随AD包括了一个缺省的模板，它可以满足多数用户初始的需求。但是，AD是可以扩展的，这意味着，可以通过增加新的对象或属性类型，把特定属性修改成必需的或是可选的，从而对AD进行自定义。
　　
　　在AD中利用组织单元
　　
　　可以在AD中建立组织单元(OU)，对企业中的资源进行逻辑上的分组，例如用销售部、市场部这样的OU可以体现出业务的层次结构或者组织结构，而用纽约、波士顿来反映系统管理模式，以便做信息系统支持。微软建议在下列情况下，应当使用OU把企业的资源分组：如果想让AD结构反映公司结构或组织的细节；如果想把管理控制权委托到较小的用户组、组和资源上；或者如果公司组织结构日后会变化。
　　
　　在活动目录用户和计算机管理器 (Active Directory Users And Computers)中， OU用文件夹的方式表示，前面有一个书本的图标。缺省的域控制器容器有相同的图标。这个区别让你可以把组策略施加到这个对象类型上(组策略是 Windows NT 4.0的系统策略在Windows 2000中超集。简要地说，它们被用来定义计算机和用户的配置，管理用户桌面上的应用程序，指定安全选项，分配脚本，控制注册表的设置。)
　　
　　移动AD对象
　　
　　在已经建立了OU之后，你会想把资源从缺省的容器对象中移动到能够反映资源在你的组织结构中逻辑位置或者反映对资源的控制的OU中。在AD中移动对象相当简单，你在对象上单击右键，然后选择移动(Move)即可。你现在面对一个对话框，显示了你域的AD中的容器对象的层次结构。你从中选择要把对象移动到其中的容器对象，然后单击OK。就是这么简单，对象就被移动到AD中不同的容器里。你可能注意到一件事，就是你只能在你的域的 AD里移动对象。不幸的是，你不能在你的森林的不同域之间移动AD对象。
　　
　　建立组对象
　　
　　在Windows NT里，组被用来管理访问共享资源的用户和计算机，或者来建立电子邮件发送列表。在Windows 2000里，这种访问摆脱了只能访问建立组所在域的限制！组可以被用来在你的森林的任何域里应用权限。这与OU不同，OU只能用来为管理的目的建立AD对象集合，而且被限制在建立OU所在的域里。
　　
　　在你从新建(New)菜单里选择组(Group)时，新对象－组(New Object — Group)向导会提示你输入建立新组所需要的信息。这是向导的第一个也是唯一的屏幕，它会问你组名称，组类型和组的范围。
　　
　　我们首先来看组类型。Windows 2000 有两种类型的组：安全组和发布组。Windows 2000 操作系统只使用安全组。你要使用这些安全组在共享资源和AD对象上分配权限。发布组只被应用程序使用，而应用程序只能把发布组用于非安全方面的功能。
　　
　　例如，一个Exchange 用户可能使用发布组给一组用户发送电子邮件。但是，你应该知道，虽然发布组不能用于安全用途，可是你的安全组可以被应用程序作为电子邮件发布列表使用。如果你的域操作在纯(Native)模式，你可以把组类型从安全组切换成发布组，反之亦然。下面，我们来看看组的范围。每个安全组和发布组都有一个范围属性，它定义了你在森林里能怎么样使用该组。有三种组的范围：域本地(Domain local)，全局(Global)，和宇宙(Universal)。请参阅表 C 中各个组范围的说明：
　　
　　表c: 组范围　

　　　　
　　到了现在，你可能在想“为什么我要用其它组类型，而不用宇宙组？它给了我要的一切!”答案是，因为宇宙组和它的成员被列在全局编目里 (GC)。