我想如今用過win2000的人已經(jīng)為數(shù)不少，他增加了許多新的特性，這其中當(dāng)然少不了AD(活動(dòng)目錄)，下面就讓我們?nèi)チ私庖幌逻@個(gè)看似神秘的東西。

首先讓我們先了解一下AD的由來，談到活動(dòng)目錄最使人容易想起的就是Dos下的'目錄'、'路徑'和Windows9X/ME下'文件夾'，那個(gè)時(shí)候的'目錄'或'文件夾'僅代表一個(gè)文件存在磁盤上的位置和層次關(guān)系，一個(gè)文件生成之后相對來說這個(gè)文件的所在目錄也就固定了（當(dāng)然可以刪除、轉(zhuǎn)移等，現(xiàn)在不考慮這些），也就是說它的屬性也就相對固定了，是靜態(tài)的。這個(gè)目錄所能代表的僅是這個(gè)目錄下所有文件的存放位置和所有文件總的大小，并不能得出其它有關(guān)信息，這樣就影響到了整體使用目錄的效率，也就是影響了系統(tǒng)的整體效率，使系統(tǒng)的整個(gè)管理變得復(fù)雜。因?yàn)闆]有相互關(guān)聯(lián)，所以在不同應(yīng)用程序中同一對象要進(jìn)行多次配置，管理起來相當(dāng)繁鎖，影響了系統(tǒng)資源的使用效率。為了改變這種效率低下的關(guān)系和加強(qiáng)與Internet上有關(guān)協(xié)議的關(guān)聯(lián)，Microsoft公司決定在WIN2K中全面改革，也就是引入活動(dòng)目錄的概念。理解活動(dòng)目錄的關(guān)鍵就在于'活動(dòng)'兩個(gè)字，千萬不要將'活動(dòng)'兩個(gè)字去掉而僅僅從'目錄'兩個(gè)字去理解，那你我理來理去一定還是不能脫離原來在DOS下目錄或Windows9x下的文件夾，正因?yàn)檫@個(gè)目錄是活動(dòng)的，所以它是動(dòng)態(tài)的，它是一種包含服務(wù)功能的目錄，它可以做到'由此及彼'的聯(lián)想、映射，如找到了一個(gè)用戶名，就可聯(lián)想到它的賬號、出生信息、E-mail、電話等所有基本信息，雖然組成這些信息的文件可能不在一塊。同時(shí)不同應(yīng)用程序之間還可以對這些信息進(jìn)行共享，減少了系統(tǒng)開發(fā)資源的浪費(fèi)，提高了系統(tǒng)資源的利用效率。

活動(dòng)目錄包括兩個(gè)方面：目錄和與目錄相關(guān)的服務(wù)。目錄是存儲各種對象的一個(gè)物理上的容器，從靜態(tài)的角度來理解這活動(dòng)目錄與我們以前所結(jié)識的'目錄'和'文件夾'沒有本質(zhì)區(qū)別，僅僅是一個(gè)對象，是一實(shí)體；而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，活動(dòng)目錄是一個(gè)分布式的目錄服務(wù)，信息可以分散在多臺不同的計(jì)算機(jī)上，保證用戶能夠快速訪問，因?yàn)槎嗯_機(jī)上有相同的信息，所以在信息容氏方面具有很強(qiáng)的控制能力，正因如此，不管用戶從何處訪問或信息處在何處，都對用戶提供統(tǒng)一的視圖。

下面我們了解一下活動(dòng)目錄的結(jié)構(gòu)：

在上一篇對活動(dòng)目錄有個(gè)基本了解之后下面我就來接觸一下活動(dòng)目錄實(shí)質(zhì)上的一面--活動(dòng)目錄的結(jié)構(gòu)。上篇我們講到活動(dòng)目錄是包括兩方面：目錄和目錄相關(guān)的服務(wù)。目錄是存儲各種對象的一個(gè)物理上的容器，與我們平常所說的目錄沒什么區(qū)別，目錄管理的基本對象是用戶、計(jì)算機(jī)、文件以及打印機(jī)等資源。而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，如用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理，它才是WIN2K活動(dòng)目錄的關(guān)鍵和精髓所在。目錄服務(wù)是WIN2K網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心管理機(jī)構(gòu)，所以目錄服務(wù)的引入對整個(gè)操作系統(tǒng)帶來了革命性的變化，不僅系統(tǒng)平臺上的各基礎(chǔ)模塊，比如網(wǎng)絡(luò)安全機(jī)制、用戶管理模塊等發(fā)生了變化，而且上層應(yīng)用的運(yùn)作方式以及開發(fā)模式也有了相應(yīng)的變化。這樣來理解'活動(dòng)目錄'是不是覺得更加容易？

同時(shí)活動(dòng)目錄是一個(gè)分布式的目錄服務(wù)，因?yàn)樾畔⒖梢苑稚⒃诙嗯_不同的計(jì)算機(jī)上，保證各計(jì)算機(jī)用戶快速訪問和容錯(cuò)；同時(shí)不管用戶從何處訪問或信息處在何處，對用戶都提供統(tǒng)一的視圖，使用戶覺得更加容易理解和掌握WIN2K系統(tǒng)的使用。活動(dòng)目錄集成了WIN2K服務(wù)器的關(guān)鍵服務(wù)，如域名服務(wù)(DNS)，消息隊(duì)列服務(wù)（MSMQ），事務(wù)服務(wù)（MTS）等。在應(yīng)用方面活動(dòng)目錄集成了關(guān)鍵應(yīng)用，如電子郵件、網(wǎng)絡(luò)管理、ERP等。要理解活動(dòng)目錄，我們必須從它的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)入手。

一、活動(dòng)目錄的邏輯結(jié)構(gòu)

'邏輯'兩個(gè)字相信大家平時(shí)見的比較多，如我們常說的'邏輯思維、邏輯分析'等，也許大家一講到'邏輯'兩個(gè)字就覺得十分抽象，難以理解。其實(shí)我們在這里所講的'邏輯結(jié)構(gòu)'，我覺得還是很好理解的，'邏輯'一般與'物理'是對等的，我們知道'物理上的'是指實(shí)實(shí)在在的，那么'邏輯上的'不就是指非物理上的，非實(shí)體的東西，它是一種抽象的東西，比如講一種'關(guān)系'、一個(gè)'空間、范圍'等。在第一篇我們講過活動(dòng)目錄的邏輯結(jié)構(gòu)非常靈活，有目錄樹、域、域樹、域林等，這些名字都不是實(shí)實(shí)在在的一種實(shí)體，只是代表了一種關(guān)系，一種范圍，如目錄樹就是由同一名字空間上的目錄組成，而域又是由不同的目錄樹組成，同理域樹是由不同的域組成，域林是由多個(gè)域樹組成。它們是一種完全的樹狀、層次結(jié)構(gòu)視圖，這種關(guān)系我們可以看成是一種動(dòng)態(tài)關(guān)系。邏輯結(jié)構(gòu)還與前面討論過的名字空間有直接關(guān)系，邏輯結(jié)構(gòu)為用戶和管理員在一定的名字空間中查找、定位對象提供了極大方便。活動(dòng)目錄中的邏輯單元主要包括：

1、域、域樹、域林

　域既是WIN2K網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，是對象（如計(jì)算機(jī)、用戶等）的容器，這些對象有相同的安全需求、復(fù)制過程和管理，這一點(diǎn)對于網(wǎng)管人員應(yīng)是相當(dāng)容易理解的。在WIN2K中域中所有的域控制器都是平等的（這一點(diǎn)與WINNT4.0不一樣，沒有主、副之分），域是安全邊界，域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或管理其他的域。每個(gè)域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。在這里就涉及到了不同域之間的信任關(guān)系及傳遞關(guān)系，下面就具體講一下WIN2K中的域信任關(guān)系。

域與域之間具有一定的信任關(guān)系，域信任關(guān)系使得一個(gè)域中的用戶可由另一域中的域控制器進(jìn)行驗(yàn)證，才能使一個(gè)域中的用戶訪問另一個(gè)域中的資源。所有域信任關(guān)系中只有兩種域：信任關(guān)系域和被信任關(guān)系域。信任關(guān)系就是域A信任域B，則域B中的用戶可以通過域A中的域控制器進(jìn)行身份驗(yàn)證后訪問域A中的資源，則域A與域B之間的關(guān)系就是信任關(guān)系。被信任關(guān)系就是被一個(gè)域信任的關(guān)系，在上面的例子中域B就是被域A信任，域B與域A的關(guān)系就是被信任關(guān)系。信任與被信任關(guān)系可以是單向的，也可以是雙向的，即域A與域B之間可以單方面的信任關(guān)系，也可以是雙方面的信任關(guān)系。

而在域中傳遞信任關(guān)系不受關(guān)系中兩個(gè)域的約束，是經(jīng)父域向上傳遞給域目錄樹中的下一個(gè)域，也就是說如果域A信任域B，則域A也就信任域B下面的子域域B1、域B2……，傳遞信任關(guān)系總是雙向的：關(guān)系中的兩個(gè)域互相信任（是指父域與子域之間）。默認(rèn)情況下，域目錄樹或目錄林（目錄林可以看做是同一域中的多個(gè)目錄樹組成）中的所有WiIN2K 信任關(guān)系都是傳遞的。通過大大減少需管理的委托關(guān)系數(shù)量，這將在很大程度上簡化域的管理。 WIN2K中的域傳遞信任關(guān)系一般是系統(tǒng)自動(dòng)的，但對于相同域目錄樹或林中的WiIN2K域，也可以顯式（手工）地創(chuàng)建傳遞信任關(guān)系。這對于形成交叉鏈接信任關(guān)系是非常重要的。不傳遞信任關(guān)系受關(guān)系中兩個(gè)域的約束，并且不經(jīng)父域向上傳遞到域目錄樹中的下一個(gè)域。必須顯式地創(chuàng)建不傳遞信任關(guān)系。默認(rèn)情況下，不傳遞信任關(guān)系是單向的，盡管也可以通過創(chuàng)建兩個(gè)單向信任關(guān)系創(chuàng)建一個(gè)雙向關(guān)系。所有不屬于相同域目錄樹或林中WiIN2K 域間建立的委托關(guān)系都是不傳遞的。所有WiIN2K域和WINNT域之間的委托關(guān)系都是不傳遞的，這一點(diǎn)對于一個(gè)企業(yè)同時(shí)使用WIN2K和WINNT域控制器時(shí)應(yīng)特別注意，當(dāng)從 WindowsNT升級到WiIN2K時(shí)，所有已現(xiàn)有的WindowsNT信任關(guān)系都將保持不變。在混合模式的網(wǎng)絡(luò)中，所有WindowsNT信任關(guān)系都是不傳遞的。WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和MITKerberosV5領(lǐng)域單向單向信任關(guān)系是單獨(dú)的委托關(guān)系。雙向信任關(guān)系包括一對單向委托關(guān)系，所有傳遞信任關(guān)系都是雙向的。為使不傳遞信任關(guān)系成為雙向，必須在所涉及的域間創(chuàng)建兩個(gè)單向信任關(guān)系。

2、組織單元（OU）

組織單元（OU）是一個(gè)容器對象，它也是活動(dòng)目錄的邏輯結(jié)構(gòu)的一部分，我們可以把域中的對象組織成邏輯組，它可以幫助我們簡化管理工作。OU可以包含各種對象，比如用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)等，甚至可以包括其他的OU，所以我們可以利用OU把域中的對象形成一個(gè)完全邏輯上的層次結(jié)構(gòu)。對于企 業(yè)來講，可以按部門把所有的用戶和設(shè)備組成一個(gè)OU層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個(gè)OU層次結(jié)構(gòu)。很明顯，通過組織單元的包容，組織單元具有很清楚的層次結(jié)構(gòu)，這種包容結(jié)構(gòu)可以使管理者把組織單元切入到域中以反應(yīng)出企業(yè)的組織結(jié)構(gòu)并且可以委派任務(wù)與授權(quán)。建立包容結(jié)構(gòu)的組織模型能夠幫助我們解決許多問題，同時(shí)仍然可以使用大型的域、域樹中每個(gè)對象都可以顯示在全局目錄，從而用戶就可以利用一個(gè)服務(wù)功能輕易地找到某個(gè)對象而不管它在域樹結(jié)構(gòu)中的位置。

由于OU層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個(gè)域中的OU層次結(jié)構(gòu)與另一個(gè)域中的OU層次結(jié)構(gòu)沒有任何關(guān)系。因?yàn)榛顒?dòng)目錄中的域可以比NT4的域容納更多對象，所以一個(gè)企業(yè)有可能只用一個(gè)域來構(gòu)造企業(yè)網(wǎng)絡(luò)，這時(shí)候我們就可以使用OU 來對對象進(jìn)行分組，形成多種管理層次結(jié)構(gòu)，從而極大地簡化網(wǎng)絡(luò)管理工作。組織中的不同部門可以成為不同的域，或者一個(gè)組織單元，從而采用層次化的命名方法來反映組織結(jié)構(gòu)和進(jìn)行管理授 權(quán)。順著組織結(jié)構(gòu)進(jìn)行顆粒化的管理授權(quán)可以解決很多管理上的頭疼問題，在加強(qiáng)中央管理的同時(shí)，又不失機(jī)動(dòng)靈活性。

WINNT4.0中的很多域都可以成為OU，建立起更大的域和更簡化的域關(guān)系，借助全局目錄(GlobalCatalog)，用戶和管理員仍然能夠迅速地找到對象和管理對象。 WIN2K可以在現(xiàn)存的WINNT4.0的環(huán)境中工作，保護(hù)現(xiàn)有的投資。

　二、活動(dòng)目錄的物理結(jié)構(gòu)

進(jìn)制-活動(dòng)目錄中，物理結(jié)構(gòu)與邏輯結(jié)構(gòu)有很大的不同，它們是彼此獨(dú)立的兩個(gè)概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)資源的管理，而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化。活動(dòng)目錄的物理結(jié)構(gòu)主要著眼于活動(dòng)目錄信息的復(fù)制和用戶登錄網(wǎng)絡(luò)時(shí)的性能優(yōu)化。物理結(jié)構(gòu)的兩個(gè)重要概念是站點(diǎn)和 域控制器。

1、站點(diǎn)

站點(diǎn)是由一個(gè)或多個(gè)IP子網(wǎng)組成，這些子網(wǎng)通過高速網(wǎng)絡(luò)設(shè)備連接在一起。站點(diǎn)往往由企業(yè)的物理位置分布情況決定，可以依據(jù)站點(diǎn)結(jié)構(gòu)配置活動(dòng)目錄的訪問和復(fù)制拓?fù)潢P(guān)系，這樣能使得網(wǎng)絡(luò)更有效地連接，并且可使復(fù)制策略更合理，用戶登錄更快速， 活動(dòng)目錄中的站點(diǎn)與域是兩個(gè)完全獨(dú)立的概念，一個(gè)站點(diǎn)中可以有多個(gè)域，多個(gè)站點(diǎn)也可以位于同一域中。

活動(dòng)目錄站點(diǎn)和服務(wù)可以通過使用站點(diǎn)提高大多數(shù)配置目錄服務(wù)的效率。可以通過使用活動(dòng)目錄站點(diǎn)和服務(wù)向活動(dòng)目錄發(fā)布站點(diǎn)的方法提供有關(guān)網(wǎng)絡(luò)物理結(jié)構(gòu)的信息，活動(dòng)目錄使用該信息確定如何復(fù)制目錄信息和處理服務(wù)的請求。計(jì)算機(jī)站點(diǎn)是根據(jù)其在子網(wǎng)或一組已連接好子網(wǎng)中的位置指定的，子網(wǎng)提供一種表示網(wǎng)絡(luò)分組的簡單方法，這與我們常見的郵政編碼將地址分組類似。將子網(wǎng)格式化成可方便發(fā)送有關(guān)網(wǎng)絡(luò)與目錄連接物理信息的形式，將計(jì)算機(jī)置于一個(gè)或多個(gè)連接好的子網(wǎng)中充分體現(xiàn)了站點(diǎn)所有計(jì)算機(jī)必須連接良好這一標(biāo)準(zhǔn)，原因是同一子網(wǎng)中計(jì)算機(jī)的連接情況通常優(yōu)于網(wǎng)絡(luò)中任意選取的計(jì)算機(jī)。使用站點(diǎn)的意義主要在于：

（1）、提高了驗(yàn)證過程的效率

當(dāng)客戶使用域帳戶登錄時(shí)，登錄機(jī)制首先搜索與客戶處于同一站點(diǎn)內(nèi)的域控制器，使用客戶站點(diǎn)內(nèi)的域控制器首先可以使網(wǎng)絡(luò)傳輸本地化，加快了身份驗(yàn)證的速度，提高了驗(yàn)證過程的效率。

（2）、平衡了復(fù)制頻率

活動(dòng)目錄信息可在站點(diǎn)內(nèi)部或站點(diǎn)與站點(diǎn)之間進(jìn)行信息復(fù)制，但由于網(wǎng)絡(luò)的原因，活動(dòng)目錄在站點(diǎn)內(nèi)部復(fù)制信息的頻率高于站點(diǎn)間的復(fù)制頻率。這樣做可以平衡對最新目錄信息需求和可用網(wǎng)絡(luò)帶寬帶來的限制。您可通過站點(diǎn)鏈接來定制活動(dòng)目錄如何復(fù)制信息以指定站點(diǎn)的連接方法，活動(dòng)目錄使用有關(guān)站點(diǎn)如何連接的信息生成連接對象以便提供有效的復(fù)制和容錯(cuò)。

（3）、可提供有關(guān)站點(diǎn)鏈接信息

　活動(dòng)目錄可使用站點(diǎn)鏈接信息費(fèi)用，鏈接使用次數(shù)，鏈接何時(shí)可用以及鏈接使用頻度等信息確定應(yīng)使用哪個(gè)站點(diǎn)來復(fù)制信息，以及何時(shí)使用該站點(diǎn)。定制復(fù)制計(jì)劃使復(fù)制在特定時(shí)間（諸如網(wǎng)絡(luò)傳輸空閑時(shí)）進(jìn)行會使復(fù)制更為有效。通常，所有域控制器都可用于站點(diǎn)間信息的交換，但也可以通過指定橋頭堡服務(wù)器優(yōu)先發(fā)送和接收站間復(fù)制信息的方法進(jìn)一步控制復(fù)制行為。當(dāng)擁有希望用于站間復(fù)制的特定服務(wù)器時(shí)，寧愿建立一個(gè)橋頭堡服務(wù)器而不使用其他可用服務(wù)器。或在配置使用代理服務(wù)器時(shí)建立一個(gè)橋頭堡服務(wù)器，用于通過防火墻發(fā)送和接收信息。

　2、域控制器

　域控制器是指運(yùn)行WIN2KServer版本的服務(wù)器，它保存了活動(dòng)目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個(gè)域中的其他域控制器上，使各域控制器上的目錄信息處于同步。域控制器也負(fù)責(zé)用戶的登錄過程以及其他與域有關(guān)的操作，比如身份鑒定、目錄信息查找等一個(gè)域可以有多個(gè)域控制器。規(guī)模較小的域可以只需要兩個(gè)域控制器，一個(gè)實(shí)際使用，另一個(gè)用于 容錯(cuò)性檢查。規(guī)模較大的域可以使用多個(gè)域控制器。

　WIN2K的域結(jié)構(gòu)與WINNT的域結(jié)構(gòu)不同的是，活動(dòng)目錄中的域控制器沒有主次之分，活動(dòng)目錄采用了多主機(jī)復(fù)制方案，每一個(gè)域控制器都有一個(gè)可寫入的目錄副本，這為目錄信息 容錯(cuò)帶來了無盡的好處。盡管在某一個(gè)時(shí)刻，不同的域控制器中的目錄信息可能有所不同，但一旦 活動(dòng)目錄中的所有域控制器執(zhí)行同步操作之后，最新的變化信息就會一致。 盡管活動(dòng)目錄支持多主機(jī)復(fù)制方案，然而由于復(fù)制引起的通信流量以及網(wǎng)絡(luò)潛在的沖 突，變化的傳播并不一定能夠順利進(jìn)行。因此有必要在域控制器中指定全局目錄服務(wù)器以及操 作主機(jī)。--全局目錄是一個(gè)信息倉庫，包含活動(dòng)目錄中所有對象的一部分屬性，往往是在查詢過 程中訪問最為頻繁的屬性。利用這些信息，可以定位到任何一個(gè)對象實(shí)際所在的位置，而全局目 錄服務(wù)器是一個(gè)域控制器，它保存了全局目錄的一份副本，并執(zhí)行對全局目錄的查詢操作。全局 目錄服務(wù)器可以提高活動(dòng)目錄中大范圍內(nèi)對象檢索的性能，比如在域林中查詢所有的打印機(jī)操 作。如果沒有一個(gè)全局目錄服務(wù)器，那么這樣的查詢操作必須要調(diào)動(dòng)域林中每一個(gè)域的查詢過 程。如果域中只有一個(gè)域控制器，那么它就是全局目錄服務(wù)器如果有多個(gè)域控制器，那么管理員 必須把一個(gè)域控制器配置為全局目錄控制器。

最后我們討論一下活動(dòng)目錄的配置問題：

　在前面我們知道'活動(dòng)目錄'是整個(gè)WIN2K系統(tǒng)中的一個(gè)關(guān)鍵服務(wù)，它不是孤立的，它與許多協(xié)議和服務(wù)有著非常緊密和關(guān)系，還涉及到整個(gè)WIN2K系統(tǒng)的系統(tǒng)結(jié)構(gòu)和安全。安裝'活動(dòng)目錄'不是安裝一般Windows組件那么簡單，在安裝前要進(jìn)行一系列的策劃和準(zhǔn)備。否則輕則根本無法享受到活動(dòng)目錄所帶來的優(yōu)越性，重則不能正確安裝'活動(dòng)目錄'這項(xiàng)服務(wù)。

　1、首先在 安裝活動(dòng)目錄之前，必須保證已經(jīng)有一臺機(jī)器安裝了WIN2K Server 或者Advanced Server，且至少有一個(gè)NTFS分區(qū)， 而且已經(jīng)為TCP/IP 配置了DNS協(xié)議，并且DNS服務(wù)支持SRV記錄和動(dòng)態(tài)更新協(xié)議。

　2、其次是要規(guī)劃好整個(gè)系統(tǒng)的域結(jié)構(gòu)，活動(dòng)目錄它可包含一個(gè)或多個(gè)域，如果整個(gè)系統(tǒng)的目錄結(jié)構(gòu)規(guī)劃得不好，層次不清就不能很好地發(fā)揮活動(dòng)目錄的優(yōu)越性。在這里選擇根域（就是一個(gè)系統(tǒng)的基本域）是一個(gè)關(guān)鍵， 根域名字的選擇可以有以下幾種方案：

　1）可以使用一個(gè)已經(jīng)注冊的DNS 域名作為活動(dòng)目的根域名，這樣的好處在于企業(yè)的公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)使用同樣的DNS名字。

　2）我們還可使用一個(gè)已經(jīng)注冊的DNS域名的子域名作為活動(dòng)目錄的根域名。

　3）為活動(dòng)目錄選擇一個(gè)與已經(jīng)注冊的DNS域名完全不同 的域名。這樣可以使企業(yè)網(wǎng)絡(luò)在內(nèi)部和互聯(lián)網(wǎng)上呈現(xiàn)出兩種完全不同的命名結(jié)構(gòu)。 4）把企業(yè)網(wǎng)絡(luò)的公共部分用一個(gè)已經(jīng)注冊的DNS域名進(jìn)行命名，而私有網(wǎng)絡(luò)用另一個(gè)內(nèi)部域名，從名字空間上把兩部分分開，這樣做就使得每一部分要訪問另部時(shí)必須使用對方的名字空間來標(biāo)識對象。

　3、再一個(gè)就是要進(jìn)行域和帳戶命名策劃，因?yàn)槭褂没顒?dòng)目錄的意義之一就在于使內(nèi)、外部網(wǎng)絡(luò)使用統(tǒng)一的目錄服務(wù)，采用統(tǒng)一的命名方案，以方便網(wǎng)絡(luò)管理和商務(wù)往來。活動(dòng)目錄域名通常是該域的完整DNS名稱，但是為確保向下兼容，每個(gè)域最好還有一個(gè)WIN2K以前版本的名稱，以便在運(yùn)行WIN2K以前版本的操作系統(tǒng)的計(jì)算機(jī)上使用。用戶帳戶在活動(dòng)目錄中，每個(gè)用戶帳戶都有一個(gè)用戶登錄名、一個(gè)WIN2K以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個(gè)用戶主要名稱后綴。在創(chuàng)建用戶帳戶時(shí)，管理員輸入其登錄名并選擇用戶主要名稱，活動(dòng)目錄建議 WIN2K 以前版本的用戶登錄名使用此用戶登錄名的前 20 個(gè)字節(jié)。活動(dòng)目錄命名策略是企業(yè)規(guī)劃網(wǎng)絡(luò)系統(tǒng)的第一個(gè)步驟，命名策略直接影 響到網(wǎng)絡(luò)的基本結(jié)構(gòu)，甚至影響網(wǎng)絡(luò)的性能和可擴(kuò)展性。活動(dòng)目錄為現(xiàn)代企業(yè)提供了很好的參考模型，既考慮到了企業(yè)的多層次結(jié)構(gòu)，也考慮到了企業(yè)的分布式特性，甚至為直接接入Internet提供完全一致的命名模型。

　所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 WIN2K 域的標(biāo)準(zhǔn)用法。標(biāo)準(zhǔn)格式為：user@domain.com (象個(gè)人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號。活動(dòng)目錄 在創(chuàng)建用戶主要名稱時(shí)自動(dòng)添加此符號。包含多個(gè) @ 號的用戶主要名稱是無效的。

　在活動(dòng)目錄中，默認(rèn)的用戶主要名稱后綴是域樹中根域的 DNS名。如果用戶的單位使用由部門和區(qū)域組成的多層域樹，則對于底層用戶的域名可能很長。對于該域中的用戶，默認(rèn)的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認(rèn)的登錄名可能是 user@grandchild.child.root.com 。這要一來用戶登錄時(shí)就要輸入的用戶名可能太長，輸入起來就非常不方便，WIN2K為了解決這一問題，規(guī)定在創(chuàng)建主要名稱后用戶只要在根域后加上相應(yīng)的用戶名， 使同一用戶使用更簡單的登錄名 user@root.com 就可以登錄，而不是前面所提到的那一長串。

　4、最后就是要注意設(shè)置規(guī)劃好域間的信任關(guān)系，對于WIN2K計(jì)算機(jī)，通過基于 Kerberos V5 安全協(xié)議的雙向、可傳遞信任關(guān)系啟用域之間的帳戶驗(yàn)證。在域樹中創(chuàng)建域時(shí)，相鄰域（父域和子域）之間自動(dòng)建立信任關(guān)系。在域林中，在樹林根域和添加到樹林的每個(gè)域樹的根域之間自動(dòng)建立信任關(guān)系。如果這些信任關(guān)系是可傳遞的，則可以在域樹或域林中的任何域之間進(jìn)行用戶和計(jì)算機(jī)的身份驗(yàn)證。

　如果將 WIN2K 以前版本的 Windows域升級為WIN2K域時(shí)，WIN2K域?qū)⒆詣?dòng)保留域和任何其他域之間現(xiàn)有的單向信任關(guān)系。包括WIN2K以前版本的Windows域的所有信任關(guān)系。如果用戶要安裝新的WIN2K域并且希望與任何WIN2K以前版本的域建立信任關(guān)系，則必須創(chuàng)建與那些域的外部信任關(guān)系。

二、活動(dòng)目錄的安裝

　所有的新安裝都是安裝成為Member Server，如果您在新安裝WIN2K SERVER時(shí)選擇安裝了'活動(dòng)目錄'選項(xiàng)，則系統(tǒng)就會出現(xiàn)類似于'如果您此時(shí)安裝活動(dòng)目錄則系統(tǒng)中的所有域名就不能再次改變……'之類的提示。一般情況下我們在新安裝系統(tǒng)時(shí)不選擇安裝活動(dòng)目錄，以便我們有時(shí)間來具體規(guī)劃與活動(dòng)目錄有關(guān)的協(xié)議和系統(tǒng)結(jié)構(gòu)。目錄服務(wù)都需要事后用 Dcprom o的命令特別安裝。目錄服務(wù)還可以卸載，而不用象在安裝Windows NT 4.0那樣，一開始就要定終身，系統(tǒng)會區(qū)分域控制器還是Member Server，兩者之間不可轉(zhuǎn)換。 Dcpromo是一個(gè)圖形化的向?qū)С绦颍龑?dǎo)用戶一步一步地建立域控制器，可以新建一 個(gè)域森林，一棵域樹，或者僅僅是域控制器的另一個(gè)備份，非常方便。很多其他的網(wǎng)絡(luò)服 務(wù)，比如DNS Server、DHCP Server和 Certificate Server等，都可以在以后與活動(dòng)目錄 集成安裝，便于實(shí)施策略管理等。 這個(gè)圖形化界面向?qū)С绦蛞矝]有什么特別之處，只要我們在前面理解好了活動(dòng)目錄的含義，并進(jìn)行了安裝前的一系列規(guī)劃，則可以很容易完成所有的安裝任務(wù)。

　在活動(dòng)目錄安裝之后，主要有三個(gè)活動(dòng)目錄的微軟管理界面（MMC），一個(gè)是活動(dòng)目 錄用戶和計(jì)算機(jī)管理，主要用于實(shí)施對域的管理；一個(gè)是活動(dòng)目錄的域和域信任關(guān)系的管 理，主要用于管理多域的關(guān)系；還有一個(gè)是活動(dòng)目錄的站點(diǎn)管理，可以把域控制器置于不 同的站點(diǎn)。一般局域網(wǎng)的范圍內(nèi)，為一個(gè)站點(diǎn)，站點(diǎn)內(nèi)的域控制器之間的復(fù)制是自動(dòng)進(jìn)行 的；站點(diǎn)間的域控制器之間的復(fù)制，需要管理員設(shè)定，以優(yōu)化復(fù)制流量，提高可伸縮性。 從活動(dòng)目錄管理界面，還可以在站點(diǎn)、域和組織單元中用鼠標(biāo)右鍵點(diǎn)擊，啟動(dòng)組策略 （Group Policy）的管理界面，實(shí)施對對象的細(xì)致管理。

　對于站點(diǎn)、域和組織單元，管理員還可以方便地進(jìn)行管理授權(quán)。右鍵點(diǎn)擊它們就可以啟動(dòng)'管理授權(quán) 向?qū)?，一步一步地設(shè)定哪些管理員對于哪些對象有什么樣的管理權(quán)限。比如說企業(yè)內(nèi)部 技術(shù)支持中心的管理員，只有復(fù)位用戶口令的權(quán)限，沒有創(chuàng)建和刪除用戶賬號的權(quán)限。這 種更細(xì)致的管理方法，成為'顆粒化'。

　另外，活動(dòng)目錄還充分地考慮到了備份和恢復(fù)目錄服務(wù)的需要，WIN2K備份工具中有專門備份活動(dòng)目錄的選項(xiàng)，在出現(xiàn)意外事故的時(shí)候，可以在機(jī)器啟動(dòng)時(shí)按F8進(jìn)入安全恢復(fù)模式，保證減少災(zāi)難的惡性影響。