Other editions
&活动目录相关文章
请把安转好的Windows 2008服务器加入到原有的Windows2003域环境。注意：因为原有的域还存在Windows 2003服务器，所以不能显示Windows 2008活动目录级别，当移除2003服务器后，就可以升级为Windows 2008功能级别了。…
记得笔者在以前的文章中，谈到过活动目录的SYSVOL文件夹的重要性。如我们可以在开始、运行处，直接输入%systemroot%
tds，打开ntds文件夹，然后来检查文件夹与文件是否被正确建立。…
在Windows 2000 Server或者是Windows Server 2003的活动目录上，对于数据库的脱机的磁盘碎片整理是需要在目录服务恢复模式下重启域控制的，同样对于域控制器的安全升级也是需要重启的操作的。…
确保Windows Server 2003域上的域名解析系统(domain name system，简称DNS)安全，是非常基本的一个要求。活动目录(Active Directory，简称AD)使用DNS来定位域控制器以及其他域服务所需的资源(比如文件，打印机，邮件等等)。…
你选用的备份方法应具足够的恢复数据文件及活动目录数据库的能力。在选择软件备份方法及使用的硬件设备时，可以考虑以下几种： 无论选用何种方法，都必须保证备份媒介，包括磁带，光纤和硬盘驱动器，有足够满足当前及短期内需要的能力。…
Windows2000作为一个崭新的操作系统，它的最大特点就是引入了活动目录，而活动目录的一个最大的特点就是把DNS和活动目录紧密结合在了一起。…
对于DNS，因为安装会提示自动部署，相信很多人都不会在这方面下很多功夫（包括我原来也是）。我为此付出了不少代价－－因为不懂DNS所以遇到DNS的问题不知如何解决。…
苹果iPod 对于IT部门来说是一个安全梦魇。这是因为任何一位员工都可以将这种便携式的USB存储设备插到电脑中并用它来窃取邮件列表、数据库、财务记录和机密用户数据等企业机密数据信息。…
在Windows Server 2008中，你现在能够建立AD DS审核通过使用新的审核策略的子类（目录服务变化）来记录新旧属性值，当活动目录对象及它们的属性发生变化时。…
活动目录（AD）中保存着能够对AD进行访问的重要密钥，如果不能恰当地增强AD的安全性，那么它很容易受到攻击。对于日常操作，管理员应使用非特权账号（例如，用户账号）；对于和AD有关的操作，管理员应使用一个独立 的管理账号。…
想在包含Windows Server 2000或Windows Server 2003域环境中添加Windows Server 2008只读域控制器前需要先拓展森林架构。…
想在包含Windows Server 2000或Windows Server 2003域域环境中添加Windows Server 2008域控制器前需要拓展活动目录schema.要进行这个操作,用户帐号必须拥有Enterprise Admins ,Schema Admins ,schema master 所在域的Domain Admins这3个权限。…
微信公众号
京ICP证号 京ICP备号-3京公网安备 00号
北京第二十六维信息技术有限公司（ZD至顶网） 版权所有。|
违法和不良信息举报电话：010-0　举报邮箱:活动目录 锟斤拷签_51CTO锟斤拷锟斤拷锟斤拷锟斤拷
搜索推荐文章
搜索原创文章
搜索近期文章
&&&&本文介绍了如何使用事件ID2080来帮助诊断ExchangeDSAccess问题中所包含的信息。许多朋友经常遇到ActiveDirectory域和Exchange服务器通信问题。那如何排查呢。常用最简单方法，在事件查看器中查看相关报错日志。今天我了解事件ID2080事件来帮助诊断ExchangeDSAccess问题。启动邮件..
&&&&某组织的ou中的账户可能经常需要移动，每个部门ou都有部门组，以dep_开头，如果账号从ou1移动到ou2，则账号需要从ou1中的部门组中删除，同时，要添加到ou2的部门组中，脚本如下：$ConfirmPreference="none"#关闭confirm确认提示$ou_all=Get-ADOrganizationalUnit-Filter*-SearchBa..
&&&&在过去的几年工作中，接触了客户的上百个域，绝大部分看起来都是很随意地搭建起来，后期的生产维护要多花很多时间。只有一个是咨询了美国最著名的网络安全公司建立起来的，几乎符合大多教科书的命名及安全规范，堪称典范。后来才了解到：该公司还设计了美国国防部，诺思罗普-格鲁..
&&&&当工程实施后，为用户提交文档一直是工程师比较繁重的工作。这组NetScaler和MAS脚本可以帮助我们自动生成文档减轻部分工作。脚本基于powershell，利用NetScaler的NitroRESTfulAPI把所有的信息取出，直接生成word或者pdf版本的文档。原脚本支持除中文外的多种欧美语言，经过我和作..
&&&&如图：contoso这家公司的IT环境中有很多类型的IT资源，而目前这些IT资源都处于一个分散管理的状态中，这样无形中增加了contoso这家公司的管理成本，而且管理制度没有办法落实到实际的生产环境中去。那么，如何解决这个问题呢？难道我们把这些个东西都放一个库房去？那么员工呢？部..
&&&&对于通过Exchange管理中心删除或使用EMS运行Remove-Mailbox命令删除邮箱时都会将对应的AD对象删除。对于删除的邮箱Exchange会将该邮箱标识为断开的邮箱，对应的AD会存放在AD回收站中(前提是已启用AD回收站)，所以对于恢复已删除的邮箱直接从AD回收站中恢复对应的AD对象即可，但是..
&&&&Windows2003微软已经停止技术支持.大部分用户都转移至Windows2008R2的阵营。2008R2活动目录相对于Windows2003R2活动目录增加一些新的功能例如RODC回收站功能.等等Windows2003R2如何升级到Windows2008R2。请看下面博文。1.把Windows2003R2域功能级别和林功能级升级到2003.2.在Windo..
&&&&30年前参观国家授时中心，得知：每次发射火箭，该中心都启用长波电台提供时间服务来控制火箭飞行。自此之后每次对表，都采用授时中心的BPM标准时间标准频率发播台。在我的想象当中，火箭卫星发射，时间最重要，其次是证券银行业。前几天，接触到一个银行客户，竟因为时间的不同步..
&&&&环境：centos664bitnginx1.8.1openssl1.0.2hnginx-auth-ldap编译安装：yuminstallopenldap-clients开启DEBUG方便调试./configure--prefix=/usr/local/nginx1.8.1--with-http_stub_status_module--add-module=../nginx-auth-ldap--with-openssl=../openssl-1.0.2h配置：1).http段：..
&&&&由于录制原因，视频声音过小，可带上耳机，调到最大声音..
&&&&视频由于录制原因，声音偏小，可带上耳机，调大最大声音..
&&&&监控账户登录对于有很大权限的账户，比如域管理员账户我们希望能够实时监控他的登录情况。如果账户被他人盗取，我们在第一时间就判断是正常使用还是他人盗取后使用的。这里介绍一种不借助第三方工具就能简单实现的邮件监控账户登录的方法。首先，打开安全日志，找到用户登录的日志..
&&页数 ( 1/40 )
Copyright&
版权所有 未经许可 请勿转载melvillo 的BLOG
用户名：melvillo
文章数：72
评论数：1306
访问量：933497
注册日期：
阅读量：5863
阅读量：12276
阅读量：420314
阅读量：1108626
51CTO推荐博文
相信玩过 Windows Server 操作系统的人都接触过活动目录这一概念，即使没有接触过，也相信各位听说过。
很多新手在接触 Windows Server 操作系统都会用到活动目录服务，很多人会有疑问，活动目录的作用是什么？
那么，这里我做个解答。
什么是活动目录
活动目录，英文名称为 Active Directory 。它是面向 Windows Server 操作系统的一种的目录服务。在活动目录中，所有的网络对象信息以一种结构化的数据存储方式来保存，使得管理员和用户能够轻松地查找和使用这些信息。活动目录以这种结构化的数据存储方式作为基础，对目录信息进行合乎逻辑的分层组织。
Active Directory 服务是 Windows 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。但是需要注意的是，Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。
活动目录的功能
活动目录主要为我们提供了以下功能：
基础网络服务：包括DNS、WINS、DHCP、证书服务等。
服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。
用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。
资源管理：管理打印机、文件共享服务等网络资源。
桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
目录形式的存储结构
活动目录存储的信息包含了各种相关对象，例如：用户、用户组、计算机、域、组织单位（OU）以及安全策略等等。这些信息可以通过活动目录服务被发布出来，以供用户和管理员的使用。
一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制，而且所有的域控制器都拥有目录的一个可写副本，所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
活动目录的数据库存放在一个名为 ntds.dit 的数据库文件中，该文件可以说是整个活动目录的核心，其中包括了用户帐号信息等等的相关资料。根据微软知识库文章可知，活动目录的数据库引擎被称为 ExtensibleStorage Engine ( ESE )，Exchange 和 WINS 都可以利用构建在这个数据引擎上的数据库。ESE 存储容量高达16 兆兆个字节，能包含一千万之多的数据对象，由此可见只有活动目录的数据库才能包含如此多的信息。
对于活动目录服务来讲，ntds.dit 文件要求存放在类型为 NTFS 分区格式的磁盘驱动器中，并且该文件是不可灭失的，因此要做好相应的数据备份工作。如果该文件丢失，会导致目录服务未能启动，原因是出现了以下错误: 系统找不到指定的文件。 错误状态： 0xc000000f。
活动目录的存储内容
在活动目录中记录的信息，被分为两大部分，一部分保存在活动目录数据库文件中，另一部分保存在被复制的文件系统上，例如：登录脚本、组策略等。
在活动目录数据库文件中（ntds.dit），记录的信息有以下三张表：
这个表中包含了所有可在活动创建的对象以及他们之间的相互关系。包括各种类型对象的可选及不可选的各种属性。这个表是活动数据库中最小的一个表，但是也是最基础的一个表。
link表包含所有属性的关联，包括活动中所有对象的属性的值。一个用户对象的所有属性的类型，包括每个属性的值及用户所属于的组等都属于这个表。这个表要大于Schema 表，但与Data 表相比要小。
活动中用户，组，应用程序特殊数据和其他的数据全部保存在Data表中。这是活动中存储最多的一个表，大量的活动的资料实际上还是存储在这个表中。
按照其存储的数据内容，可以将其数据分为：
Schema 信息
能在活动目录中创建并存储在活动目录中的所有对象和属性的详细信息，例如：你能在活动目录中新创建一个用户或是联系人，这是因为活动目录已经预先设置了这种类型的对象在活动目录对象中。Schema信息在所有的主域控制器中都有一份，这些都是静态的信息，在活动目录安装时生成，是不能更改的。
Configuration 信息
所有关于域控制器所在域森林或域树中的配置信息。这些信息域中所有的主域控制器都会相互复制，但是这些信息对一个域森林来说是静态的，在配置好后是无法修改的。
Domain 信息
域对象的信息，域中所有对象的信息。在域范围内会复制到所有的域控制器中。即使其中部分对象属于全局范围的对象。但是属性值也只在域内进行复制。
由于活动目录的基础是 Windows 域环境，因此，在该域中不可避免的要具备相应的 DNS 服务器，并且，如果需要的话，还需要搭建相应的 DHCP 服务器。
域功能级别
Windows 2000 混合模式（默认）
& 支持的域控制器：Microsoft Windows NT 4.0、Windows 2000、Windows Server 2003
& 激活的功能：本地与全局组，全局编录支持。
Windows 2000 纯模式
& 支持的域控制器：Windows 2000、Windows Server 2003
& 激活的功能：组嵌套、通用组、SidHistory、安全组与通讯组之间的转换、您可以通过提高目录林级别的设置来提升域级别。
Windows Server 2003 过渡版
& 支持的域控制器：Windows NT 4.0、Windows Server 2003
& 支持的功能：在此级别内没有域范围的激活的功能。当目录林级别提升至过渡版后，该目录林中所有域都将自动提升至该级别。该模式只在将 Windows NT 4.0 域中的域控制器升级至 Windows Server 2003 域控制器时使用。
Windows Server 2003
& 支持的域控制器：Windows Server 2003
& 支持的功能：域控制器重命名、登录时间戳属性更新与复制。在 InetOrgPerson 对象类上支持用户密码。约束委派，您可以重定向用户和计算机容器。本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
15:58:39 15:58:59 16:28:56 16:30:32今天我在百度里看到了这篇，对于初学者非常的不错，而且很详细地说明了什么是活动目录等内容。希望对大家有所帮助。并借用一张图。一、活动目录的由来 谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME下“文件夹”，那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系，一个文件生成之后相对来说这个文件的所在目录也就固定了（当然可以删除、转移等，现在不考虑这些），也就是说它的属性也就相对固定了，是静态的。这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小，并不能得出其它有关信息，这样就影响到了整体使用目录的效率，也就是影响了系统的整体效率，使系统的整个管理变得复杂。因为没有相互关联，所以在不同应用程序中同一对象要进行多次配置，管理起来相当繁锁，影响了系统资源的使用效率。为了改变这种效率低下的关系和加强与Internet上有关协议的关联Microsoft公司决定在WIN2K中全面改革，也就是引入活动目录的概念。理解活动目录的关键就在于“活动”两个字，千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解，那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹，正因为这个目录是活动的，所以它是动态的，它是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射，如找到了一个用户名，就可联想到它的账号、出生信息、E-mail、电话等所有基本信息，虽然组成这些信息的文件可能不在一块。同时不同应用程序之间还可以对这些信息进行共享，减少了系统开发资源的浪费，提高了系统资源的利用效率。 活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器，从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别，仅仅是一个对象，是一实体；而目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问，因为多台机上有相同的信息，所以在信息容氏方面具有很强的控制能力，正因如此，不管用户从何处访问或信息处在何处，都对用户提供统一的视图。 二、相关名词术语 虽然活动目录中用到的许多技术在其他软件产品中也已经出现过，但作为全面的整体网络方案还是首次亮相，其中有许多名词或术语或许是闻所未闻的，所以有必要详细了解 一下活动目录的有关名词或术语。 1、名字空间：从本质上讲，活动目录就是一个名字空间，我们可以把名字空间理解为任何给定名字的解析边界，这个边界就是指这个名字所能提供或关联、映射的所有信息范围。通俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和，如一个用户，如果我们在服务器已给这个用户定义了讲如：用户名、用户密码、工作单位、联系电话、家庭住址等，那上面所说的总和广义上理解就是“用户”这个名字的名字空间，因为我们只输入一个用户名即可找到上面我所列的一切信息。名字解析是把一个名字翻译成该名字所代表的对象或者信息的处理过程。举例来说，在一个电话目录形成一个名字空间中，我们可以从每一个电话户头的名字可以被解析到相应的电话号码，而不是象现在一样名字是名字，号码归号码，根本不能横向联系。Windows *作系统的文件系统也形成了一个名字空间，每一个文件名都可以被解析到文件本身（包含它应有的所有信息）。 2、对象： 对象是活动目录中的信息实体，也即我们通常所见的“属性”，但它是一组属性的集合，往往代表了有形的实体，比如用户账户、 文 件名等。对象通过属性描述它的基本特征，比如，一个用户账号的属性中可能包括用户姓名、 电话号码、 电子邮件地址和家庭住址等。 3、容器：容器是活动目录名字空间的一部分，与目录对象一样，它也有属性，但与目录对象不同的是，它不代表有形的实体，而是代表存放对象的空间，因为它仅代表存放一个对象的空间，所以它比名字空间小。比如一个用户，它是一个对象，但这个对象的容器就仅限于从这个对象本身所能提供的信息空间，如它仅能提供用户名、用户密码。其它的如：工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。 4、目录树：在任何一个名字空间中，目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象，树的非叶子节点是容器。目录树表达了对象的连接方式，也显示了从一个对象到另一个对象的路径。在活动目录中，目录树是基本的结构，从每一个容器作为起点，层层深入， 都可以构成一棵子树。一个简单的目录可以构成一棵树，一个计算机网络或者一个域也可以构成一棵树。这也很容易理解，我们最初学电脑时不就是在全面理解DOS下的路径概念基础之上开始的吗，其实这“目录树”也就是一种“路径关系”，如果你理解了DOS下的“路径”相信理解这“目录树”是没什么问题的！ 5、域： 域是WIN2K网络系统的安全性边界。我们知道一个计算机网最基本的单元就是“域”，这一点不是WIN2K所独有的，但活动目录可以贯穿一个或多个域。在独立的计算机上，域即指计算机本身，一个域可以分布在多个物理位置上，同时一个物理位置又可以划分不同网段为不同的域，每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后，活动目录可以被多个信任域域共享 6、组织单元：包含在域中特别有用的目录对象类型就是组织单元。组织单元是可将用户、组、计算机和其他单元放入活动目录的容器中，组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单元，您可在组织单元中代表逻辑层次结构的域中创建容器，这样您就可以根据您的组织模型管理帐户、资源的配置和使用，可使用组织单元创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的管理权限，组织单元的管理员不需要具有域中任何其他组织单元的管理权，组织单元有点象我们在NT时代的工作组，我们从管理权限上来讲可以这么理解。 7、域树：域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来，活动目录包含一个或多个域树。域树中的域层次越深级别越低，一个“.”代表一个层次，如域 就比 这个域级别低，因为它有两个层次关系，而只有一个次。而域Grandchild.双比 级别低，道理一样。域树中的域是通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传递的，因此在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一登录过程，在域树或树林中的所有域上对用户进行身份验证，但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限，所以必须在每个域的基础上为用户指派相应的权利和权限。 8、域林：域林是指由一个或多个没有形成连续名字空间的域树组成，它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。域林都有根域，域林的根域是域林中创建的第一个域，域林中所有域树的根域与域林的根域建立可传递的信任关系。 9、站点：站点是指包括活动目录域服务器的一个网络位置，通常是一个或多个通过TCP/IP连接起来的子网。站点内部的子网通过可靠、快速的网络连接起来。站点的划分使得管理员可以很方便地配置活动目录的复杂结构，更好地利用物理网络特性，使网络通信处于最优状态。当用户登录到网络时，活动目录客户机在同一个站点内找到活动目录域服务器，由于同一个站点内的网络通信是可靠、快速和高效的，所以对于用户来说，他可以在最快的时间内登录到网络系中。因为站点是以子网为边界的，所以活动目录在登录时很容易找到用户所在的站点，进而找到活动目录域服务器完成登录工作。 10、域控制器：域控制器是使用活动目录安装向导配置的WIN2K Server 的计算机。活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。域控制器存储着目录数据并管理用户域的交互关系，其中包括用户登录过程、身份验证和目录搜索，一个域可有一个或多个域控制器。为了获得高可用性和容错能力，使用单个局域网 (LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。 WIN2K Server 域控制器扩展了 WINNT Server 4.0 的域控制器所提供的能力和特性，WIN2K Server 多宿主复制使每个域控制器上的目录数据同步，以确保随着时间的推移这些信息仍能保持一致，也就是说是动态的，这就是活动目录的作用。多宿主复制是 WINNT Server 4.0 中使用的主域控制器和备份域控制器模型的发展，在 WINNT Server 4.0 中只有一个服务器，即主域控制器，拥有该目录的可读写副本。 三、安装活动目录的意义 我们说WIN2K的成功和创造性之一就是成功的全面引入了活动目录服务，那么到底安装活动目录有什么意义呢？这是我们所有初学WIN2K的人首要要问的一个问题。因为活动目录并不是WIN2K系统必需安装的一种服务，要全面理解它又是非常的不容易，那么安装活动目录的意义在哪里呢？它主要体现在以下几个方面： 1、信息的安全性大大增强 安装活动目录后信息的安全性完全与活动目录集成，用户授权管理和目录进入控制已经整合在活动目录当中了（包括用户的访问和登录权限等），而它们都是WIN2K*作系统的关键安全措施。活动目录集中控制用户授权，目录进入控制不只能在每一个目录中的对象上定义，而且还能在每一个对象的每个属性上定义，这一点是以前任何系统所不能达到的，包括WINNT 4.0。除此之外，活动目录还可以提供存储和应用程序作用域的安全策略，提供安全策略的存储和应用范围。安全策略可包含帐户信息，如域范围内的密码限制或对特定域资源的访问权等。所以从一定程序上可以这么说WIN2K的安全性就是活动目录所体现的安全性，由此可见对于网管来说如何配置好活动目录中对象及属性的安全性是一个网管配置好WIN2K系统的关键。 2、引入基于策略的管理，使系统的管理更加明朗 活动目录服务包括目录对象数据存储和逻辑分层结构（指上面所讲的目录、目录树、域、域树、域林等所组成的层次结构），作为目录，它存储着分配给特定环境的策略，称为组策略对象。作为逻辑结构，它为策略应用程序提供分层的环境。组策略对象表示了一套商务规则，它包括与要应用的环境有关的设置，组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录，域，或组织单元的组策略对象（GPOs）中。GPOs设置决定目录对象和域资源的进入权限，什么样的域资源可以被用户使用，以及这些域资源怎样使用等。例如，组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序，当它在服务器上启动时有多少用户可连接至 Server，以及当用户转移到不同的部门或组时他们可访问什么文件或服务。组策略对象使您可以管理少量的策略而不是大量的用户和计算机。通过活动目录，您可将组策略设置应用于适当的环境中，不管它是您的整个单位还是您单位中的特定部门。 3、具有很强的可扩展性 WIN2K的活动目录具有很强的可扩展性，管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如，在电子商务上你可以给每一个用户对象增加一个购物授权属性，然后存储每一个用户购买权限作为用户帐号的一部分。 4、具有很强的可伸缩性 活动目录可包含在一个或多个域，每个域具有一个或多个域控制器，以便您可以调整目录的规模以满足任何网络的需要。多个域可组成为域树，多个域树又可组成为树林，活动目录也就随着域的伸缩而伸缩，较好地适应了单位网络的变化。目录将其架构和配置信息分发给目录中所有的域控制器，该信息存储在域的第一个域控制器中，并且复制到域中任何其他域控制器。当该目录配置为单个域时，添加域控制器将改变目录的规模，而不影响其他域的管理开销。将域添加到目录使您可以针对不同策略环境划分目录，并调整目录的规模以容纳大量的资源和对象。 5、智能的信息复制能力 信息复制为目录提供了信息可用性、容错、负载平衡和性能优势，活动目录使用多主机复制，允许您在任何域控制器上而不是单个主域控制器上同步更新目录。多主机模式具有更大容错的优点，因为使用多域控制器，即使任何单独的域控制器停止工作，也可继续复制。由于进行了多主机复制，它们将更新目录的单个副本，在域控制器上创建或修改目录信息后，新创建或更改的信息将发送到域中的所有其他域控制器，所以其目录信息是最新的。域控制器需要最新的目录信息，但是要做到高效率，必须把自身的更新限制在只有新建或更改目录信息的时候，以免在网络高峰期进行同步而影响网络速度。在域控制器之间不加选择地交换目录信息能够迅速搞垮任何网络。通过活动目录就能达到只复制更改的目录信息，而不至于大量增加域控制器的负荷。 6、与 DNS 集成紧密 活动目录使用域名系统 (DNS)来为服务器目录命名，DNS 是将更容易理解的主机名（如 ）转换为数字 IP 地址的 Internet 标准服务，利于在TCP/IP网络中计算机之间的相互识别和通讯。DNS 的域名基于 DNS 分层命名结构，这是一种倒置的树状结构，单个根域，在它下面可以是父域和子域（分支和叶子）。关于这一点我会在后面以专门的篇章加以详细讲述，在此就仅作简单介绍。 7、与其他目录服务具有互动性 由于活动目录是基于标准的目录访问协议，许多应用程序界面（API）都允许开发者进入这些协议，例如活动目录服务界面（ADSI）、轻型目录访问协议 (LDAP) 第三版和名称服务提供程序接口 (NSPI)，因此它可与使用这些协议的其他目录服务相互*作。LDAP 是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议，所以可使用 LDAP 开发程序，与同时支持 LDAP 的其他目录服务共享活动目录信息。活动目录支持 Microsoft Exchange 4.0 和 5.x 客户程序所用的 NSPI 协议，以提供与 Exchange 目录的兼容性。 8、具有灵活的查询 任何用户可使用“开始”菜单、“网上邻居”或“活动目录用户和计算机”上的“搜索”命令，通过对象属性快速查找网络上的对象。如您可通过名字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户，反之亦然。
阅读(...) 评论() &