Active Directory：活动目录

活动目录（Active Directory）是 Windows 2000 操作系统的新内容，它在实施组织的网络、进而实现组织的商业目标中占有重要地位。

　　可以从三个方面来介绍活动目录：

　　1）存储：活动目录即Windows 2000 Server目录服务，可分层存储网络对象的信息，并向管理员、用户和应用程序提供这些信息。

　　2）结构：使用活动目录，可以根据结构组织网络及其对象，这些结构包括域、目录树、目录林、信任关系、部门（OU）和站点。

　　3）相互通信：活动目录以标准目录访问协议为基础，因此能够与其他目录服务进行交互操作，并可接受遵守这些协议的第三方应用程序的访问。

　　活动目录的优点在于：

　　1）与DNS 集成。活动目录使用域名系统(DNS)。DNS是一种Internet 标准服务，它将用户能够读取的计算机名称（例如 mycomputer.microsoft.com）翻译成计算机能够读取的数字 Internet 协议 (IP) 地址（由英文句号分隔的四组数字）。这样，在 TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。

　　2）灵活的查询。用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是 Active Directory 用户和计算机管理单元。例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。而且,使用全局编录优化了查找信息的操作。

　　3）可扩展性。Active Directory 是可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在原有的对象类别中添加新属性。架构包含每个对象类别的定义，以及能够存储于目录中的每个对象类别的属性。例如，您可能会为 User 对象添加 Purchase Authority 属性，然后将每个用户的购买权限额保存为用户帐户的一部分。

　　4）基于策略的管理。组策略是在初始化时应用于计算机或用户的配置设置。所有组策略设置都包含在应用于活动目录站点、域或部门的组策略对象（GPO）中。GPO 设置决定了对目录对象和域资源的访问权限、用户可使用的域资源（如应用程序），以及这些域资源针对其用途的配置方式。

　　5）可伸缩性。活动目录包括一个或多个域，每个域均有一个或多个域控制器，由此，您能够对目录进行自由扩展，从而满足所有网络的需求。多个域可合并成一个域目录树，多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中，该域既是一个目录树，又是一个目录林。

　　6）信息复制。活动目录使用多主机复制，使您可以更新任何域控制器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控制器包含同样的目录数据，所以，如果域内的一个域控制器速度变慢、停止或出现故障，同一域内的其他域控制器即可提供必要的目录访问功能。

　　7）信息安全。在 Windows 2000 操作系统中，用户身份验证和访问控制的管理都与活动目录完全结合在一起，这是该系统的一项关键性安全功能。活动目录将身份验证集中进行。不仅可以定义对目录中每个对象的访问控制，还可定义对每个对象的每个属性的访问控制。此外，活动目录还为安全策略提供了存储区和应用范围。

　　8）互操作性。由于活动目录以标准目录访问协议（例如轻型目录访问协议 (LDAP)）为基础，因此它能够与其他采用这些协议的目录服务进行交互操作。有些应用程序编程接口 (API)–例如活动目录服务接口（ADSI）–允许开发者访问这些协议。

最近更新时间：2009-01-13 EN