高中转学流程2017规定:WINDOWS2000 中活动目录的功能是什么？

Microsoft® Active Directory® 服务是Windows® 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

通过在Windows 2000操作系统的基础之上进行扩展，Windows Server 2003产品家族改进了Active Directory的易管理性，并且简化了迁移和部署工作的复杂程度。特别地，对于应用程序开发人员以及独立软件开发商（ISV），他们会发现 Windows Server 2003中的Active Directory将是他们开发基于目录的应用程序的最佳选择。

Active Directory已经得到了增强，以便降低企业的整体拥有成本（TCO）和操作的复杂性。各种新的功能和改进特性被添加到了产品的各个层面上，以提高系统的通用性，简化管理以及提升可靠性。利用Windows Server 2003，组织可以在受益于成本节省的同时，提高各类不同企业要素的共享和管理效率。

本文面向IT管理员，网络系统设计人员或者任何渴望了解Windows Server 2003中的Active Directory所具有的主要增强和新增功能的人员。本文首先介绍了Active Directory的基本概念，然后重点讲述了Windows Server 2003产品家族中的Active Directory所拥有的新增特性和改进功能：

• 集成和生产力

• 性能和伸缩性

• 系统管理和配置管理

• 组策略功能

• 安全性增强

Active Directory 的基本概念

Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。（Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。）Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

目录形式的数据存储

人们经常将数据存储作为目录的代名词。目录包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位（OU）以及安全策略] 的信息。这些信息可以被发布出来，以供用户和管理员的使用。

目录存储在被称为域控制器的服务器上，并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制，而且所有的域控制器都拥有目录的一个可写副本，所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。

目录数据存储在域控制器上的Ntds.dit文件中。我们建议将该文件存储在一个NTFS分区上。有些数据保存在目录数据库文件中，而有些数据则保存在一个被复制的文件系统上，例如登录脚本和组策略。

有三种类型的目录数据会在各台域控制器之间进行复制：

• 域数据。域数据包含了与域中的对象有关的信息。一般来说，这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息，管理员和用户可能都会对这些信息感兴趣。

例如，在向网络中添加了一个用户帐户的时候，用户帐户对象以及属性数据便被保存在域数据中。如果您修改了组织的目录对象，例如创建、删除对象或者修改了某个对象的属性，相关的数据都会被保存在域数据中。

• 配置数据。 配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表，并且指出了域控制器和全局编录所处的位置。

• 架构数据。架构是对目录中存储的所有对象和属性数据的正式定义。Windows Server 2003提供了一个默认架构，该架构定义了众多的对象类型，例如用户和计算机帐户、组、域、组织单位以及安全策略。管理员和程序开发人员可以通过定义新的对象类型和属性，或者为现有对象添加新的属性，从而对该架构进行扩展。架构对象受访问控制列表（ACL）的保护，这确保了只有经过授权的用户才能够改变架构。

Active Directory和安全性

安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理，即便是那些最复杂的网络也是如此。

Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为Active Directory不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需的权限。例如，在用户登录到网络上的时候，安全系统首先利用存储在Active Directory中的信息验证用户的身份。然后，在用户试图访问网络服务的时候，系统会检查在服务的自由访问控制列表（DCAL）中所定义的属性。

因为Active Directory允许管理员创建组帐户，管理员得以更加有效地管理系统的安全性。例如，通过调整文件的属性，管理员能够允许某个组中的所有用户读取该文件。通过这种办法，系统将根据用户的组成员身份控制其对Active Directory中对象的访问操作。

Active Directory 的架构

Active Directory的架构（Schema）是一组定义，它对能够存储在Active Directory中的各种对象——以及有关这些对象的各种信息——进行了定义。因为这些定义本身也作为对象进行存储，Active Directory可以像管理目录中的其它对象一样对架构对象加以管理。架构中包括了两种类型的定义：属性和分类。属性和分类还可以被称作架构对象或元数据。

分类

分类，又称对象分类，描述了管理员所能够创建的目录对象。每一个分类都是一组对象的集合。在您创建某个对象时，属性便存储了用来描述对象的信息。例如， “用户”分类便由多个属性组成，其中包括网络地址、主目录等等。Active Directory中的所有对象都是某个对象分类的一个实例。

架构的扩展

有经验的开发人员和网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。

架构的内容由充当架构操作主控角色的域控制器进行控制。架构的副本被复制到森林中的所有域控制器上。这种共用架构的使用方式确保了森林范围内的数据完整性和一致性。

此外，您还可以使用“Active Directory架构”管理单元对架构加以扩展。为了修改架构，您必须满足以下三个要求：

• 成为“Schema Administrators”（架构管理员）组的成员

• 在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元

• 拥有修改主控架构所需的管理员权限

在考虑对架构进行修改时，必须注意以下三个要点：

• 架构扩展是全局性的。 在您对架构进行扩展的时候，您实际上扩展了整个森林的架构，因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。

• 与系统有关的架构分类不能被修改。您不能修改Active Directory架构中的默认系统分类；但是，用来修改架构的应用程序可能会添加可选的系统分类，您可以对这些分类进行修改。

• 对架构的扩展不可撤销。某些属性或者分类的属性可以在创建后修改。在新的分类或者属性被添加到架构中之后，您可以将它置于非激活状态，但是不能删除它。但是，您可以废除相关定义并且重新使用对象标识符（OID）或者显示名称，您可以通过这种方式撤销一个架构定义。

有关架构修改的更多信息，请通过http://www.microsoft.com/reskit参阅 Microsoft Windows 资源工具包 。

Active Directory不支持架构对象的删除；但是，对象可以被标记为“非激活”，以便实现与删除同等的诸多益处。

属性

属性和分类单独进行定义。每一个属性仅仅定义一次，但是可以在多个分类中使用。例如，“Description”（描述）属性可以使用在多个分类中，但是只需在架构中定义一次即可，以保持数据的一致性。

属性用来描述对象。每一个属性都拥有它自己的定义，定义则描述了特定于该属性的信息类型。架构中的每一个属性都可以在“Attribute-Schema”分类中指定，该分类决定了每一个属性定义所必须包含的信息。

能够应用到某个特殊对象上的属性列表由分类（对象是该分类的一个实例）以及对象分类的任何超类所决定。属性仅仅定义一次，但是可以多次使用。这确保了共享同一个属性的所有分类能够保持一致性。

多值属性

属性可以是单值的也可以是多值的。属性的架构定义指定了属性的实例是否必须是多值的。单值属性的实例可以为空，也可以包含一个单值。多值属性的实例可以为空，也可以包含一个单值或多值。多值属性的每一个值都必须是唯一的。

索引属性

索引应用于属性，而不是分类。对属性进行索引有助于更快地查询到拥有该属性的对象。当您将一个属性标记为“已索引”之后，该属性的所有实例都会被添加到该索引，而不是仅仅将作为某个特定分类成员的实例添加到索引。

添加经过索引的属性会影响Active Directory的复制时间、可用内存以及数据库大小。因为数据库变得更大了，所以需要花费更多的时间进行复制。

多值属性也可以被索引。同单值属性的索引相比，多值属性的索引进一步增加了Active Directory的大小，并且需要更多的时间来创建对象。在选择需要进行索引的属性时，请确信所选择的共用属性，而且能够在开销和性能之间取得平衡。

一个经过索引的架构属性还可以被用来存储属性的容器所搜索，从而避免了对整个Active Directory数据库进行搜索。这样不仅缩短了搜索所需花费的时间，而且减少了在搜索期间需要使用的资源数量。

全局编录的角色

全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。此外，全局编录还存储了每个对象最常用的一些可搜索的属性。全局编录存储了它所在域的所有目录对象的完整副本，以及森林中其它域中所有目录对象的部分副本，所以您不必咨询域控制器即可实施有效的搜索操作。

全局编录在森林中最初的一台域控制器上自动创建。您可以为任何一台域控制器添加全局编录功能，或者将全局编录的默认位置修改到另一台域控制器上。

全局编录担当了以下目录角色：

• 查找对象 全局编录允许用户搜索森林所有域的目录信息，而不管数据存储在何处。森林内部的搜索可以利用最快的速度和最小的网络流量得以执行。

在您从“开始”菜单搜索人员或打印机，或者在某个查询的内部选择了“整个目录”选项的时候，您就是在对全局编录进行搜索。在您输入搜索请求之后，请求便会被路由到默认的全局编录端口3268，以便发送到一个全局编录进行解析。

• 提供了根据用户主名的身份验证。在进行身份验证的域控制器不知道某个账户是否合法时，全局编录便可以对用户的主名进行解析。例如，如果用户的账户位于example1.microsoft.com域，而用户决定利用user1@example1.microsoft.com这个用户主名从位于example2.microsoft.com的一台计算机上进行登录，那么example2.microsoft.com的域控制器将无法找到该用户的账户，然后，域控制器将于全局编录服务器联系，以完成整个登录过程。

• 在多域环境下提供通用组的成员身份信息。和存储在每个域的全局组成员身份不同，通用组成员身份仅仅保存在全局编录之中。例如，在属于一个通用组的用户登录到一个被设置为Windows 2000本机域功能级别或者更高功能级别的域的时候，全局组将为用户账户提供通用组的成员身份信息。

如果在用户登录到运行在Windows 2000本机或者更高级别中的域的时候，某个全局编录不可用并且用户先前曾经登录到该域，计算机将使用缓存下来的凭据让用户登录。如果用户以前没有在该域登录过，用户将仅仅能够登录到本地计算机。

说明：即便全局编录不可用，“Domain Administrators”（域管理员）组的成员也可以登录到网络中。

查找目录信息

正如前面所介绍的，Active Directory的设计目的在于为来自用户或应用程序的查询提供有关目录对象的信息。管理员和用户可以使用“开始”菜单中的“搜索”命令轻松对目录进行搜索和查找。客户端程序也可以使用Active Directory服务接口（ADSI）访问Active Directory中的信息。

Active Directory的主要益处就在于它能够存储有关网络对象的丰富信息。在Active Directory中发布的有关的用户、计算机、文件和打印机的信息可以被网络用户所使用。这种可用性能够通过查看信息所需的安全权限加以控制。

网络上的日常工作涉及用户彼此之间的通信，以及对已发布资源的连接和访问。这些工作需要查找名称和地址，以便发送邮件或者连接到共享资源。在这方面， Active Directory就像是一个在企业中共享的地址簿。例如，您可以按照姓、名、电子邮件地址、办公室位置或者其它用户账户属性查找用户。如前所述，信息的查找过程由于使用了全局编录而得到了优化。

高效的搜索工具

管理员可以使用“Active Directory用户和计算机”管理单元中的高级“查找”对话框高效率地执行管理工作，并且轻松定制和筛选从目录取得的数据。此外，管理员还可以向组中快速添加对象，并且通过无需浏览的查询帮助查找可能的成员，从而将对网络的影响降低到最小限度。

Active Directory的复制

复制为目录信息提供了可用性、容错能力、负载平衡以及性能优势。Active Directory 使用多主控复制，您可以在任何一台域控制器上更新目录，而不是只能在一台特定的主域控制器上进行更新。多主控模式具有更出色的容错能力，因为使用了多台域控制器，即使在某一台域控制器停止工作的情况下，复制依然能够继续。

域控制器可以存储和复制：

• 架构信息。架构信息定义了可以在目录中创建的对象，以及每隔对象所能够拥有的属性。这些信息是森林中所有域的共用信息。架构数据被复制到森林中的所有域控制器上。

• 配置信息。配置信息描述了您的部署的逻辑结构，其中包括诸如域结构或者复制拓扑这样的信息。这些信息是森林中所有域的共用信息。配置数据被复制到森林中的所有域控制器上。

• 域信息。域信息描述了域中所有的对象。数据特定于具体的域，而且不会被分发到其它的任何域中。为了在整个域树或者森林中查找信息，所有域中的所有对象的属性的一个子集被保存在全局编录中。域数据将被复制到域中的所有域控制器上。

• 应用程序信息。存储在应用程序目录分区中的信息旨在满足用户对这些信息的复制需要，但是这些信息并不是在任何情况下都需要。应用程序数据可以被明确地重新路由到森林中特定于管理用途的域控制器上，以防止产生不必要的复制流量。或者，您可以进行设置，将这些信息复制到域中的所有域控制器上。

站点在复制过程中的角色

站点提高了目录信息的复制效率。目录架构和配置信息在整个森林范围内进行复制，而域数据则在域的所有域控制器之间进行复制，并且会被部分地复制到全局编录上。通过有策略地减少复制流量，网络的通信压力也会得到相应的减轻。

域控制器使用站点和复制变化控制从以下方面对复制实施优化：

• 通过对所使用的连接不时进行重新评估，Active Directory可以始终使用最有效的网络连接。

• Active Directory使用多条路由复制发生变化的目录数据，从而提供了容错能力。

• 由于仅仅需要复制发生了变化的信息，复制开销降到了最小。

如果某个部署没有按照站点加以组织，域控制器以及客户机之间的信息交换将是混乱和无序的。站点可以改善网络的利用效率。

Active Directory在站点内部复制目录信息的频度比在站点间的复制频度要更高。这样，拥有最佳连接条件的域控制器——它们很可能需要特殊的目录信息——可以首先得到复制。其它站点中的域控制器则可以获得所有发生了变化的目录信息，但是它们进行复制的频率要低一些，以便节省网络带宽。另外，由于数据在站点间进行复制时经过了压缩处理，所以复制操作所占用的带宽进一步得到了降低。为了实现高效复制，只有在添加或修改了目录信息之后才进行目录的更新。

如果目录更新始终被分发到域中的所有其它域控制器上，它们将占用大量的网络资源。虽然您可以手动添加或配置连接，或者强迫通过某条特定的连接进行复制，复制仍然可以根据您在“Active Directory Sites and Services”管理工具中提供的信息，通过Active Directory知识一致性检查程序（Knowledge Consistency Checker，KCC）得到自动优化。KCC负责构建和维护Active Directory的复制拓扑。特别地，KCC可以决定何时进行复制，以及每台服务器必须同哪些服务器开展复制。

Active Directory客户端

利用Active Directory客户端，Windows 2000 Professional 或者 Windows XP Professional所拥有的众多Active Directory特性可以被运行Windows 95、Windows 98以及Windows NT® 4.0操作系统的计算机所使用：

• 站点感知。您可以登录到网络中距离客户端最近的一台域控制器上。

• Active Directory 服务接口（ADSI）。您可以使用它为Active Directory编写脚本。ADSI还为Active Directory编程人员提供了一个公共的编程API。

• 分布式文件系统（DFS）容错客户端。您可以访问Windows 2000 以及运行Windows DFS 容错和故障转移文件共享的服务器，这些文件共享在Active Directory中指定。

• NTLM version 2 身份验证。您可以使用NT LanMan (NTLM) version 2中经过改进的身份验证特性。有关启用NTML version 2的更多信息，请参阅Microsoft 知识库文章Q239869，“如何启用NTLM 2 身份验证” ：http://support.microsoft.com/.
• Active Directory Windows 地址簿（WAB）属性页。您可以修改用户对象页上的属性，例如电话号码和地址。

• Active Directory的搜索能力。您可以通过“开始”按钮，查找Windows 2000 Server 或者Windows 域中的打印机和人员。有关在Active Directory中发布打印机的更多信息，请参阅Microsoft 知识库文章Q234619，“在 Windows 2000 Active Directory中发布打印机”：http://support.microsoft.com.
Windows 2000 Professional 和 Windows XP Professional 提供了Windows 95、Windows 98和Windows NT 4.0上的Active Directory客户端所没有的一些功能，例如：对Kerberos version 5的支持；对组策略或者IntelliMirror® 管理技术的支持；以及服务主名或者相互验证。通过升级到Windows 2000 Professional或Windows XP Professional，您可以对这些附加特性加以充分利用。更多信息，请参看：

• 升级到Windows 2000 http://www.microsoft.com/windows2000/professional/howtobuy/upgrading/default.asp.
• Windows XP Professional 升级中心 http://www.microsoft.com/windowsxp/pro/howtobuy/upgrading/default.asp.
为了安装Active Directory客户端，请参阅Active Directory 客户端页面： http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp
Active Directory的新增功能和改进特性

• 本白皮书的剩余部分概括了Windows Server 2003产品家族中的Active Directory在以下方面所拥有的一些新增功能和改进特性：

• 集成和生产力

• 性能和伸缩性

• 系统管理和配置管理

• 组策略特性

• 安全性增强

Active Directory 的集成和生产力

作为管理企业标识、对象和关系的主要手段，Active Directory中的接口（包括编程接口和用户界面）已经得到了改进，以提高管理工作的效率和系统的集成能力。

让Active Directory更加易于使用和管理

Active Directory包含了众多增强特性，例如对MMC管理单元的改进以及对象选择工具组件等，它们让Active Directory变得更加易于使用。MMC插件方便了多个对象的管理。管理员可以：

• 编辑多个用户对象。 一次选择并编辑多个对象属性。

• 保存查询。将针对Active Directory服务的查询保存下载以便今后使用。结果可以用XML格式导出。

• 使用经过改进的对象选择工具组件快速选择对象。该组件经过重新设计并且得到了加强，能够改善工作流和提高在大目录中查找对象的效率，同时还提供了一种更灵活的查询功能。各种用户界面均可以使用该组件，并且可以为第三方开发人员所使用。

更多的集成和生产力特性和改进

特性 描述

ACL 列表用户界面的修改 ACL用户界面已经得到了增强，以改善其易用性以及继承和特定的对象权限。

扩展性增强 那些拥有某个独立软件开发商（ISV）或者原始设备制造商（OEM）所开发的能够利用Active Directory的软件或设备的管理员拥有了更加出色的管理能力，并且可以添加任何对象分类作为组的成员。

来自其它LDAP目录的用户对象 在LDAP目录中定义的用户对象使用了RFC 2798中定义的inetOrgPerson类（例如Novell和Netscape），这些对象可以使用Active Directory用户界面进行定义。这个与Active Directory用户对象配合工作的用户界面可以处理inetOrgPerson对象。现在，任何需要使用inetOrgPerson类的应用程序或者客户都可以轻松实现它们的目的。

Passport 集成（通过IIS） Passport 身份验证现在可以通过Internet Information Services (IIS) 6.0进行，而且允许Active Directory用户对象被映射到他们相应的Passport标识符上（如果存在该标识）。本地安全机构（Local Security Authority，LSA）将为用户创建一个令牌，然后IIS 6.0将根据HTTP请求对其加以设置。现在，拥有相应Passport 标识的Internet用户可以使用他们的Passport访问资源，就如同使用他们的Active Directory凭据一样。

利用ADSI使用终端服务器 特定于终端服务器用户的属性可以通过使用Active Directory服务接口（ADSI）编写脚本进行设置。除了通过目录手动设置之外，用户属性可以利用脚本加以设定。这样做的一个好处就是：可以通过 ADSI容易地实现属性的批量修改或编程修改。

复制和信任监视WMI提供者 Windows管理规范（WMI）类可以监视域控制器之间是否成功地对Active Directory信息进行了复制。因为众多的Windows 2000组件，例如Active Directory复制，都需要依赖于域间的相互信任，本特性还为监视信任关系是否能够正常工作提供了一种手段。管理员或者运营队伍可以通过WMI在发生复制问题时轻松获得报警。

MSMQ 分发列表 消息队列（Message Queuing，MSMQ）现在支持向驻留在Active Directory中的分发列表（Distribution Lists）发送消息。MSMQ用户可以通过Active Directory轻松管理分发列表。

Active Directory 性能和伸缩性

主要的修改体现在Windows Server 2003对Active Directory信息的复制和同步操作的管理方面。此外，还围绕安装、迁移和维护添加了新的功能，以便让Active Directory更加灵活、健壮和高效。

改善分支办公室的性能

分支办公室部署通常由众多的远程办公室组成，而且每个远程办公室均拥有自己的域控制器——但是一般使用慢速连接与公司连接中心或数据中心保持相连。在用户登录时，Windows Server 2003不再要求访问中央的全局编录服务器，从而加快了分支办公室的登录过程。现在，组织无需在拥有不可靠网络的地方为分支办公室部署一台全局编录服务器。

与在用户每次登录到域控制器时要求联系全局编录不同，当网络可用时，域控制器会将先前从该站点或者从离线全局编录服务器登录的用户的通用组成员关系缓存下来。然后，在登录时，用户无需让域控制器联系全局编录服务器，便可登录到网络上，从而减少了对慢速或者不可靠网络的需求。如果全局编录发生故障，无法处理用户的登录请求，这项改进还可以提供更多的可靠性。

其它性能特性和改进

特性 描述

禁止对站点间的复制流量进行压缩处理 禁止对不同站点的域控制器之间的复制流量进行压缩。可以减轻域控制器的CPU负担，从而在需要时提高性能。

群集化的虚拟服务器支持 群集对象现在也可以被定义为计算机对象。具有群集意识和Active Directory意识的应用程序可以将它们自己的配置信息与一个经过良好定义的对象建立关联。

并发LDAP绑定 出于对用户进行身份验证的目的，您可以对同一个连接上的多个轻量级目录访问协议（LDAP）实施绑定。应用程序开发人员可以利用本特性，极大提高LDAP绑定的性能，同时对向Active Directory发出的请求实施身份验证。

域控制器超载预防 如果域中已经包含大量域成员，而且这些成员已经升级到Windows 2000和Wind