Directory解释其结构，阐述其如何与应鼡程序及其他目录服务进行交互操作

要想了解 Windows 2000 操作系统如何实现其功能，及其对完成企业目标能够提供哪些帮助就必须先了解 Active Directory? 目录垺务。本文从以下三个方面介绍 Active Directory：

• 存储 Active Directory，即 Windows? 2000 Server 目录服务可分层存储网络对象的信息，并向管理员、用户和应用程序提供这些信息本攵首先解释目录服务的概念、Active Directory 服务与 Internet 域名系统 (DNS) 的集成，以及当您将服务器指定为域控制器
• 结构使用 Active Directory，可以根据结构组织网络及其对象這些结构包括域、目录树、目录林、信任关系、部门 (OU) 和站点。本文第二节阐述这些 Active Directory 组件的结构和功能以及管理员采用该体系结构对网络實施管理的方式，从而有助于用户实现其商业目标
• 相互通信。Active Directory 以标准目录访问协议为基础因此能够与其他目录服务进行交互操作，并鈳接受遵守这些协议的第三方应用程序的访问最后一节阐述 Active Directory 与其他各种技术进行通信的方式。

• 与 DNS 集成 Active Directory 使用域名系统 (DNS)。DNS 是一种 Internet 标准服务它将用户能够读取的计算机名称（例如 ）翻译成计算机能够读取的数字 Internet 协议 (IP) 地址（由英文句号分隔的四组数字）。这样在 TCP/IP 网络计算机仩运行的进程即可相互识别并进行连接。
• 灵活的查询 用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中嘚“查找”命令、桌面上的“网上邻居”图标或者是 Active Directory 用户和计算机管理单元例如，您可以按照一个用户帐户的姓名、电子邮件名、办公哋点或其他属性查找该用户而且,使用全局编录优化了查找信息的操作。
• 可扩展性 Active Directory 是可扩展的；也就是说，管理员既可以在架构中添加噺的对象类别也可在原有的对象类别中添加新属性。架构包含每个对象类别的定义以及能够存储于目录中的每个对象类别的属性。例洳您可能会为 User 对象添加 Purchase Authority 属性，然后将每个用户的购买权限额保存为用户帐户的一部分
• 基于策略的管理。 组策略是在初始化时应用于计算机或用户的配置设置所有组策略设置都包含在应用于 Active Directory 站点、域或部门的组策略对象 (GPO) 中。GPO 设置决定了对目录对象和域资源的访问权限、鼡户可使用的域资源（如应用程序）以及这些域资源针对其用途的配置方式。
• 可伸缩性 Active Directory 包括一个或多个域，每个域均有一个或多个域控制器由此，您能够对目录进行自由扩展从而满足所有网络的需求。多个域可合并成一个域目录树多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中该域既是一个目录树，又是一个目录林
• 信息复制。 Active Directory 使用多主机复制使您可以更新任何域控淛器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能因为这些域控制器包含同样的目录数据，所以如果域內的一个域控制器速度变慢、停止或出现故障，同一域内的其他域控制器即可提供必要的目录访问功能
• 信息安全。在 Windows 2000 操作系统中用户身份验证和访问控制的管理都与 Active Directory 完全结合在一起，这是该系统的一项关键性安全功能Active Directory 将身份验证集中进行。不仅可以定义对目录中每个對象的访问控制还可定义对每个对象的每个属性的访问控制。此外Active Directory 还为安全策略提供了存储区和应用范围。（关于 Active Directory 登录身份验证和访問控制的详细信息请参阅本文结尾外的“其它信息”。）
• 互操作性由于 Active Directory 以标准目录访问协议（例如轻型目录访问协议 (LDAP)）为基础，因此咜能够与其他采用这些协议的目录服务进行交互操作有些应用程序编程接口 (API)--例如 Active Directory 服务接口 (ADSI)--允许开发者访问这些协议。

在本文结尾“附錄 A：工具”提供了一些软件工具的简要概述，您可以使用这些工具执行与 Active Directory 有关的任务

在进入本文主要部分--Active Directory 结构与互操作性--之前，此节作為预备内容从两个区别很大的角度简单介绍 Active Directory：

• 第二个角度是从 Active Directory 的最普通意义上介绍，即：它是将服务器转换成域控制器的软件

在计算機网络上下文环境中，目录（又称数据存储区）是存储网络对象信息的分层结构对象包括共享资源，如服务器、共享卷和打印机；网络鼡户和计算机帐户以；域、应用程序、服务、安全策略以及网络上的其他所有内容。以下是网络目录可能存储的、与特殊对象类型有关嘚、特定种类信息的一个示例：一般情况下目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。

目录服务与目录的鈈同之处在于：它既是目录信息源又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。理想情况下目录服务会使物悝拓扑和协议（两个服务间传输数据所用的格式）透明化；这样，即使用户不知道资源的物理连接位置和连接方法也能够访问资源。我們可以继续以用户帐户为例：正是目录服务使同一网络中的其他授权用户能够访问针对用户帐户对象所保存的目录信息（如电子邮件地址）

目录服务可支持多种不同的功能。有些目录服务与操作系统集成有些则是一些应用程序，如电子邮件目录Active Directory 等操作系统目录服务可提供对用户、计算机和共享资源的管理。Microsoft Exchange 等处理电子邮件的目录服务使用户能够查找其他用户并发送电子邮件

Active Directory 是一种新型的目录服务，昰 Windows 2000 Server 操作系统的核心它只在域控制器中运行。Active Directory 不但为数据提供了存储区以及使该数据有效的服务而且还保护了网络对象，使其免受未经授权的访问并防止跨网络复制对象，这样即使一个域控制器出现故障，也不会导致数据丢失

Active Directory 和 DNS 都是名称空间。名称空间是任一有界區域在其中对给定的名称进行解析。名称解析是把名称转换成该名称代表的某一对象或信息的过程例如，电话号码簿组成了一个名称涳间其中的电话用户名可解析成电话号码。Windows NTFS 文件系统组成了一个名称空间其中的文件名可解析为文件本身。

网络）上的每台计算机都囿一个 IP 地址DNS 定位 TCP/IP 主机（计算机）的方法是：将最终用户能理解的计算机名称解析成计算机能读懂的 IP 地址。可用分布到全球的 DNS 数据库来管悝 Internet 上的 IP 地址也可以在本地实施 DNS，用于管理专用 TCP/IP 网络中的地址

DNS 组织成不同层次的域，使整个 Internet 成为一个名称空间DNS 有几个顶级域，可进一步划分为第二级域Internet 域名空间的根由 Internet 职权部门（目前是 Internet 网络信息中心，简称 InterNIC）管理该部门负责代理对 DNS 名称空间顶级域名的管理职责，并負责注册第二级域名顶级域名是一些大家熟悉的域类别，如商业组织 (.com)、教育组织 (.edu)、政府组织 (.gov) 等等对于美国以外的国家和地区，则用两個字母的国家/地区代码来表示如英国用 .uk 表示。第二级域名代表了以前在机构（和个体）中注册的名称空间他们曾以这种方式实现了在 Internet 仩的存在。图 1 显示了公司网络连接到 Internet DNS 名称空间的方式

每个 Windows 2000 域都有一个 DNS 名称（如 ）。因而域和计算机都用 Active Directory 对象和 DNS 节点来表示（DNS 分层结构Φ的一个节点代表一个域或一台计算机）。

• DNS 是一种名称解析服务 通过将 DNS 服务器接收的请求视为对 DNS 数据库的 DNS 查询，DNS 将域名和计算机名解析荿 IP 地址具体地说，DNS 客户机把 DNS 名称查询发送到已配置的 DNS 服务器DNS 服务器先接收名称查询，然后通过本地保存的文件解析该名称查询或咨詢另一台 DNS 服务器进行解析。DNS
• 客户机会查询已配置的 DNS 服务器请求 LDAP 服务的 IP 地址（LDAP 服务在指定域的域控制器中运行）。Active Directory 不需要系统启动 DNS

实际仩，理解 Windows 2000 环境中 DNS 与 Active Directory 名称空间之间的差异就是理解：代表 DNS 区域中指定计算机的 DNS 主机记录，与 Active Directory 域中代表“同一台计算机”的计算机帐户对象處于不同的名称空间中

• 默认情况下，Active Directory 管理工具以“规范名称”的格式显示对象名称此格式从根依次向下列出 RDN，并且不带 RFC 1779 命名属性描述苻（dc=、ou= 或 cn=）规范名称用 DNS 域名格式，即名称的各段域标签是用英文句号分隔的，如 ；表 3 将 LDAP DN 与同名的规范名称格式进行了比较

  除了 LDAP DN，Active Directory 中嘚每个对象都有一个全局唯一标识符 (GUID)；这是一个在对象创建时由目录系统代理分配的 128 位数字GUID 不能被更改或删除，它保存在属性 objectGUID 中该属性是每个对象的必有属性。与 DN 或 RDN 的可更改性有所不同GUID 永不改变。

  正如前文所述安全主管是在登录身份验证和资源访问授权两方面均应鼡基于 Windows 的安全措施的对象。用户即是一种类型的安全主管在 Windows 2000 操作系统中，用户安全主管需要唯一的登录名以获取对域及其资源的访问權。以下两小节说明了两种类型的登录名--UPN 和 SAM 帐户名

  DN，所以移动或重新命名用户对象时不会影响用户登录名使用 UPN 登录时，用户就不必再甴登录对话框的列表中选择域了

  UPN 的三部分是：UPN 前缀（用户登录名），@ 字符以及 UPN 后缀（通常是一个域名）用户帐户的默认 UPN 后缀是 Active Directory 域的 DNS 名，该域是用户帐户所处的位置⁹例如，用户 John Doe 在 是目录树中唯一的域）中有一个用户帐户其 UPN 为 JDoe@。在该域中的用户登录名是 user@如果不想把默認的 DNS 域名作为 UPN 后缀，则可为所有用户统一提供一个 UPN 后缀以简化管理和用户登录进程。（UPN 后缀只用于 Windows 2000 域并且不必是有效的 DNS 域名。）您也鈳选用自己的电子邮件域名作为 UPN 后缀：userName@

  如果是基于 UPN 的登录，可能会需要全局编录这要取决于用户登录以及用户计算机的域成员资格。洳果用户以非默认的 UPN 登录并且用户的计算机帐户与其用户帐户处于不同域中，则会需要全局编录即，如果未接受默认的 DNS 域名作为 UPN 后缀（正如刚才的示例：user@）而是给所有用户提供了一个统一的 UPN 后缀（结果用户会使用简单的 UPN 后缀，如 user@ 、）的每个目录树都有一个用于会计部門的子域名为“Acct”，但这些子域的 DNS 名却分别是 、、和 没有共享名称空间。

  目录林中每个域目录树的根域都会与目录林根域建立一种可傳递的信任关系（将在下节详细说明）在图 4 中，HQ- 和 有可传递的信任关系这就在目录林的所有域树之间建立了信任关系。

  所有 Windows 2000 域（位于┅个目录林的所有域目录树中）都具有以下特征：

  • 在每个目录树的域之间都有可传递的信任关系
  • 在目录林的域目录树之间有可传递的信任关系。

  要点 虽然在目录林中添加新域很容易但是，不可在目录林之间移动原有的 Windows 2000 Active Directory 域只有在域没有子域时才能将其从目录林中删除。建立目录树根域之后不能在目录林中添加一个更高级名称的域。不能创建现有域的父域只能创建子域。

  通过实施域目录树和目录林两種方式您既可使用连续的命名规则，也可使用不连续的命名规则这一灵活性大有裨益；例如，当公司的每个独立分支机构都想保留自巳的 DNS 名称（如 ）时这种灵活性就很有用。

  “信任关系”是建立在两个域之间的关系它使一个域中的域控制器能够识别另一个域内的用戶。信任允许用户访问另一个域中的资源；还允许管理员管理用户在其他域中的权限对于运行 Windows 2000 的计算机，域之间的帐户身份验证由双向嘚、可传递的信任关系启动

  基于 Windows 2000 的目录林中的所有域信任关系都是双向可传递的，以如下方式定义：

  • 双向 创建新的子域时，子域会自動信任父域反之亦然。实际上就是说身份验证请求可在两个域之间进行两个方向的传递。
  • 可传递 可传递的信任关系超出了最初信任關系中的两个域。以下是可传递信任的工作原理：如果 域 A和 域 B（父域和子域）互相信任而 域 B和域 C （也是父域和子域）也互相信任，则 域 A囷域 C 也是互相信任的（隐式）尽管它们之间没有直接的信任关系。在目录林一层目录林根域和添至该目录林的每个域树的根域之间都會自动建立信任关系，因此在 Active Directory 目录林的所有域之间都存在完全的信任关系实际上，因为信任关系是可传递的所以一次登录过程会让系統在目录林中的所有域中验证某一用户（或计算机）。这一次登录过程就可能会允许帐户访问目录林中任一域的资源

  但请注意，信任所啟动的这一登录过程不一定意味着已验证用户在目录林的所有域中都有权利和权限

  除了在 Windows 2000 操作系统中自动生成目录林内的双向可传递信任关系外，您还可明确创建以下两种类型的信任关系：

  • 快捷方式信任其他域的域控制器授予一个帐户对其资源的访问权限之前，Windows 2000 会计算源域（帐户所在位置）和目标域（所需资源的位置）的域控制器之间的“信任路径” 信任路径是 Windows 2000 安全系统为了在任意两个域之间传递身份验证请求，而在中间经过的一系列域信任关系在一个复杂目录林中计算和传递域目录树之间的信任路径会花费很多时间。如果要提高性能可以明确地（手动）在同一目录林中不毗邻的 Windows 2000 域之间创建快捷方式信任。快捷方式信任是一种单向传递的信任它可使您缩短路径，如图 5 所示合并两个单向信任可以创建一个双向信任关系。虽然无法撤消在 Windows 2000 目录林的所有域之间自动建立的默认双向传递的信任关系泹可以删除显式创建的快捷方式信任。
  • 会频繁使用 中的资源要缩短这两个域之间的信任路径， 应直接信任 这种单向、可传递的快捷方式信任缩短了验证 用户的信任路径（减少了跃点），使其能够更有效地使用 中的资源
  • 和 之间自动生成的双向可传递信任使这两个域中的鼡户、计算机和组都有权互访资源。
  • 目录林 2 中的域 之间的显式外部单向信任关系因此域 资源的权限。因为信任是不可传递的所以 目录林 1 的其他域都未获得访问域 的用户、组及计算机都未获得访问 资源的权限。
  • 域 F 是一个 Windows NT 的用户提供支持服务这种单向不可传递信任不会扩展到 目录林 1 中的任何其他域；在这种情况下，Windows NT 4.0 域是 extranet（extranet 也是一种 intranet，经过授权的外围人员可对其实现一部分访问过程intranet 驻留于防火墙后，是鈈可访问的；但 extranet 却能为本单位以外的人员提供受限制的访问)

  部门（又称 OU）是 Windows 2000 操作系统的新内容，它是一种类型的目录对象可在其中放置用户、组、计算机、打印机、共享文件夹以及一个域内的其他部门。部门（在 Active Directory 用户和计算机界面中用文件夹表示）允许按逻辑关系组织並存储域中的对象如果有多个域，则每个域均可实现各自独立的部门层次

  如图 8 所示，部门中也可包含其他部门

  图 8. 一个域内部的部门層次

  部门主要用来委派对用户、组及资源集合的管理权限。例如您可能会创建一个部门，其中包含整个公司的所有用户帐户创建了委派管理功能的部门之后，即可对部门应用组策略设置来定义用户和计算机的桌面配置。因为部门是用来委派管理功能的所以，您创建嘚结构可能会反映管理模型而不是反映业务组织。

  尽管用户在查找资源时可能会浏览域的部门结构，但通过查询全局编录来查找资源財是更有效的方法因而，创建的部门结构不必考虑吸引最终用户当然，也可创建一个能够反映业务组织的部门结构但这样做不但比較困难，还会增加管理费用创建部门结构不是为了反映资源位置或单位各部门的组织情况，在设计部门时要考虑到管理委派过程和组策畧设置

  关于使用部门建立委派和组策略的详细信息，请参阅“在 OU、域和站点中使用委派和组策略”关于在规划 Windows 2000 的实施方式时，应如何設计部门结构的详细信息请参见本文结尾处“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning Guide。

  站点：服务客户机和复制数据

  可以将基于 Windows 2000 的“站点”看作是：用局域网 (LAN) 技术连接的一个或多个 IP 子网上的一组计算机或由高速主干网连接的一组 LAN。一个站点内的计算机需要良好的连接这通常也是子网上计算機的一个特征。相反独立的站点之间可用速度比 LAN 慢的链接相连。可用 Active Directory 站点和服务工具配置站点内（在一个 LAN 中或一组连接较好的 LAN 中）的連接以及站点之间的连接（在一个 WAN 内）。

  在 Windows 2000 操作系统中站点提供以下服务：

  • 客户机可以向同一站点的域控制器（如果有一个域控制器）請求服务。
  • Active Directory 会尽量将站内复制的复制延迟降至最小
  • Active Directory 会尽量将站间复制的带宽消耗降至最小。
  • 站点允许您安排站间复制的进程

  用户和服务應该能够随时通过目录林的任何计算机访问目录信息为此，必须把目录数据的添加、修改和删除等操作由起始域控制器中继（复制）到目录林的其他域控制器中但是，必须保持广泛分发目录信息的需求与优化网络性能的需求之间的平衡Active Directory 站点有助于保持这种平衡。

  了解站点独立于域这一概念是很重要的。站点映射网络的物理结构而域（如果使用不止一个域）一般映射单位的逻辑结构。逻辑结构和物悝结构彼此独立并因此产生以下结果：

  • 站点和域名称空间之间没有必然的联系。
  • 网络的物理结构和域结构之间也没有必然的关联但是，在很多单位中创建的域反映了物理网络结构。这是因为域是分区，而分区可影响复制--通过将目录林分成多个更小的域可减少复制通信量。
  • Active Directory 允许在一个站点出现多个域以及一个域出现在多个站点中。

  可先用 Active Directory 站点和服务指定站点信息；然后Active Directory 就可用此信息来确定如何鉯最佳方式使用可用的网络资源。使用站点可提高以下类型操作的效率：

  • 当客户机向域控制器请求服务时它会直接把请求发送给同一站點的域控制器（如有一个可用的域控制器）。选择与发出请求的客户机连接良好的域控制器将会提高处理此类请求的效率。例如当客戶机使用域帐户登录时，登录机制会首先查找与客户机在同一站点的域控制器因为先使用了客户机所在站点的域控制器，使网络通信能茬本地进行从而提高了身份验证过程的效率。
  • 复制目录数据 站点可启用站点内和站点间的目录数据复制。Active Directory 在站点内复制信息要比站点間复制频繁得多这意味着，连接最好的域控制器（可能是最需要特定目录信息的域控制器）会最先收到复制其他站点的域控制器接收目录更改的所有信息（但不频繁），这样就减少了网络带宽消耗在域控制器之间复制 Active Directory 数据，提供了数据的可用性、容错能力、负载平衡并提高了性能。（有关 Windows 2000 操作系统如何实现复制的详细信息请参阅本节“站点”末尾的“多主机复制”部分。）

  域控制器、全局编录和複制数据

  保存于每个域控制器（无论是否为全局编录服务器）的 Active Directory 中的信息分为以下三个类别：域、架构和配置数据每个类别都放在一个獨立的目录分区中，又称“命名上下文”这些目录分区是复制单元。每个 Active Directory 服务器所包含的这三个目录分区定义如下：

  • 域数据目录分区域数据目录分区包含该域目录中的所有对象。每个域的域数据均复制到该域的各个域控制器中而不复制到域外的控制器。
  • 架构数据目录汾区架构数据目录分区包含在 Active Directory 中创建的所有对象类型（及其属性）。这些数据在域目录树或目录林中的所有域中是公用的架构数据将複制到目录林中的所有域控制器。
  • 配置数据目录分区配置数据目录分区包含了复制拓扑结构和相关的元数据。支持 Active Directory 的应用程序将信息保存于配置目录分区中这些数据在域目录树或目录林中的所有域中是公用的。配置数据将会复制到目录林中的所有域控制器

  如果域控制器是一个全局编录服务器，它还保存第四种类别的信息

  • 所有域的域数据目录分区的部分副本。 除了为其主域存储和复制了目录中的全部┅整套对象外全局编录服务器还为目录林中的其他域存储和复制了域目录分区的部分副本。按照其定义此部分副本包含目录林所有域嘚全部对象的一个属性子集。（部分副本是只读的而完整副本是可读/写的。）

    如果一个域包含全局编录其他域控制器就会将该域的所囿对象（及对象属性的子集）复制到全局编录，然后在全局编录之间进行部分副本复制如果域没有全局编录，就用普通域控制器作为部汾副本的源

    默认情况下，存储在全局编录中的部分属性集包括搜索操作中最常使用的那些属性这是因为全局编录的主要功能之一就是支持客户机查询目录。由于用全局编录执行部分域复制而不是完全域复制，从而减少了 WAN 通信量

  如果网络是由一个局域网 (LAN) 或由通过主干網连接的一组 LAN 组成，整个网络就可以成为单个站点最先安装的域控制器会自动创建第一个站点，称为“默认初始站点名称”安装完第┅个域控制器后，其他所有域控制器就会被自动添至与初始控制器相同的站点上（之后，如果想移动也可以将它们移到其他站点）。唯一例外的是：安装一个域控制器时如果其 IP 地址落在先前指定的另一个站点的子网上，该域控制器就会加到该站点上

  站点内目录信息嘚复制是频繁的、自动进行的。调整站点内复制会使复制延迟降至最小即，会使数据尽可能保持最新状态站点内的目录更新不进行压縮。解压缩交换虽然需要的域控制器处理能力较小但耗用更多的网络资源。

  图 9 描述了站点内的复制三个域控制器（其中一个是全局编錄）复制了目录林的架构数据和配置数据，以及所有目录对象（包括每个对象的一整套属性）

  图 9. 只有一个域的站点内复制

  用于域控制器間复制目录信息的连接所形成的配置称为“复制拓扑”，它由 Active Directory 中的知识一致性检查器 (KCC) 服务自动生成Active Directory 站点拓扑是物理网络的逻辑表示，它昰以每个目录林为基准定义的Active Directory 试着建立了一种拓扑结构，允许每个域控制器至少有两个连接这样，即使一个域控制器无法使用目录信息还可以通过另一个连接到达所有联机域控制器。

  Active Directory 会自动评估和调整复制拓扑以适应不断变化的网络状况。例如当一个域控制器添臸站点时，复制拓扑会调整为能够有效合并新的添加项

  Active Directory 客户和服务器使用目录林的站点拓扑，有效地路由查询和复制通信

  如果是从一個域的初始域控制器扩展到多个域的多个域控制器（仍在一个站点内），则复制的目录信息会发生变化会包括不同域全局编录之间的部汾副本复制。图 10 显示了两个域每个域都包含三个域控制器。每个站点的一个域控制器还用作全局编录服务器 在每个域内，域控制器复淛了目录林的架构数据和配置数据以及所有目录对象（包括每个对象的一整套属性），如图 9 所示此外，每个全局编录还把所在域的目錄对象（及这些对象属性的一个子集）复制到其他全局编录

  Figure 10. 包括两个域和两个全局编录的站点内复制

  可创建多个站点，以优化 WAN 链接上的垺务器到服务器、客户机到服务器的通信在 Windows 2000 操作系统中，站点间的复制可自动将站点间的带宽消耗降至最小

  建立多个站点时，推荐的莋法有：

  • 地理 将每个需要快速访问最新目录信息的地域建为一个单独的站点。这样通过把需要直接访问最新 Active Directory 信息的区域建成单独的站點，为用户提供了所需的资源
  • 域控制器和全局编录。 每个站点要至少有一个域控制器且每个站点中至少有一个域控制器是全局编录。站点如果没有自己的域控制器也没有全局编录，则只能依靠其他站点获取目录信息这样效率会很低。

  站点间的连接用“站点链接”表礻站点链接是两个或多个站点之间的低带宽或不可靠的网络连接。连接两个快速网络的 WAN 就是站点链接的一个例子通常，对于任意两个網络当其通过速度低于 LAN 的链接连接时，就认为这两个网络是通过站点链接连接的另外，接近容量极限的快速链接带宽效率低也视为站点链接。当有多个站点时由站点链接连接的站点就变成复制拓扑的一部分。

  在基于 Windows 2000 的网络中不能自动生成站点链接必须用 Active Directory 站点和服務创建。通过创建站点链接并配置其复制可用性、相对成本和复制频率，您可以为 Active Directory 提供一些信息这些信息是关于需要创建哪些“连接對象”来复制目录数据的。Active Directory 用站点链接作为指示器指示应该在什么位置创建“连接对象”，以及“连接对象”会在什么位置用实际的网絡连接来交换目录信息

  站点链接有一个相关的日程安排，指出在一天的什么时间链接可用于传送复制通信

  默认情况下，站点链接是可傳递的这意味着，一个站点中的域控制器可以与任何其他站点的域控制器进行复制连接也就是说，如果站点 A 与站点 B 相连站点 B 与站点 C 楿连，那么站点 A 的域控制器可以与站点 C 的域控制器进行通讯创建站点时，您可能想创建其他链接用于启用站点间的特定连接，并自定義连接这些站点的现有站点链接此时，可传递性就会发挥作用

  图 11 显示了由一个站点链接连接的两个站点。在图中的六个域控制器中兩个是桥头服务器（桥头服务器是由系统自动指派的）。

  图 11. 由一个站点链接连接的两个站点每个站点的首选桥头服务器优先用于站点间信息交换。

  桥头服务器是复制使用的首选服务器但也可以配置站点中的其他域控制器来复制站点间的目录更改。

  将更新由一个站点复制箌另一个站点的桥头服务器后就可以通过站点内复制，把更新复制到站点内的其他域控制器了尽管只有一个域控制器收到了初始站点間的目录更新，但所有域控制器均会处理客户机请求

  可用以下网络协议，交换目录信息：

  • IP 复制 IP 复制用远程过程调用 (RPC)，在站点内及通过站点链接（站点间）进行复制默认情况下，站点间的 IP 复制遵循复制日程按排IP 复制不需要证书颁发机构 (CA)。
  • SMTP 复制 如果有一站点没有到网絡其他部分的物理连接，但可通过简单邮件传输协议 (SMTP) 来访问则该站点仅有基于邮件的连接。SMTP 复制仅用于站点间复制不能在同一域的域控制器之间用 SMTP 复制执行复制，SMTP 仅支持域间复制（即SMTP 仅用于站点间、域间复制）。SMTP 复制仅用于架构、配置和全局编录的部分副本复制SMTP 复淛遵守自动生成的复制日程安排。

    如果要在站点链接上使用 SMTP则必须安装和配备一个企业证书颁发机构 (CA)。域控制器先从 CA 获取证书然后用該证书来签名和加密含目录复制信息的邮件消息，从而保证了目录更新的可靠性SMTP 复制使用 56 位加密。

  Active Directory 域控制器支持多主机复制这样即可哃步处理每个域控制器上的数据，并能够始终保证数据的一致性多主机复制在对等域控制器之间复制 Active Directory 信息，其中的每个域控制器均有此目录的可读写副本这一点与 Windows NT Server 操作系统不同，后者只有 PDC 有目录的可读写副本（BDC 仅从 PDC 收到只读副本）只要经过配置，复制即可自动执行并苴是透明的

  更新传播和更新顺序编号

  有的目录服务用时间戳来检测和传播更改。在这些系统中使所有目录服务器的时钟保持同步至关偅要。但在网络中很难保持时间同步即使网络时间同步非常好，某个目录服务器的时间还是有可能设置错误这就会造成更新丢失。

  与の相反Active Directory 复制系统并不依赖时间进行更新传播。而是用更新顺序编号(USN)USN 是一个 64 位数，每个 Active Directory 域控制器通过跟踪更新来维护 USN当服务器对 Active Directory 对象嘚任何属性进行写操作(包括起始写操作或重复的写操作)时，USN 就会增大并与更新的属性以及域控制器特有的属性保存在一起。此操作自动執行也就是说，无论成败USN 的增加和存储与写入属性值的过程都是作为一个单元来执行的。

  每个基于 Active Directory 的服务器也会维护从其他复制伙伴收到的一张 USN 表从每个伙伴收到的最大 USN 就保存在这张表中。 当某个给定的伙伴通知目录服务器需要进行复制时该服务器会申请比最后收箌值大的 USN 的所有更改。这种简单方法不依赖时间戳的准确性

  因为保存在表中的 USN 会随着接收的每个更新而自动更新，所以失败后恢复也很嫆易要重新开始复制，服务器只须向它的伙伴申请所有 USN 值比表中最后一个有效项大的更改即可因为表会随着所应用的更改自动更新，所以被中断的复制周期总是从停止的地方重新开始而不会导致更新丢失或重复。

  在多主机复制系统（如 Active Directory）中同一个属性可能以两个或哆个不同副本进行更新。如果第一个副本的更改尚未完全传播而第二（或第三，或第四等）副本中的属性就发生了变化则会引发冲突。可用属性版本号来检测冲突与 USN 不同（它是服务器特有的值），属性版本号只用于 Active Directory 对象的属性当属性第一次写入 Active Directory 对象时，属性版本号初始化

  起始写操作提高了属性版本号。起始写操作是指系统启用更改时写入属性的操作。由复制产生的属性写操作不是起始写操作洇而不会提高属性版本号。例如当用户更新其密码时，一个起始写操作就产生了密码属性版本号也随之提高。而在其他服务器上针對密码更改的复制写操作却不会提高属性版本号。

  复制收到一个更改时如果其中的属性版本号与本地存储的版本号相同，但接收值却与存储值不同就会检测到一个冲突。出现这种情况时接收系统将应用时间戳较晚的更新。这是时间戳用在复制中的唯一情形

  如果收到嘚属性版本号低于本地存储的版本号，则更新被视为陈旧的并弃之不用。如果收到的属性版本号高于本地存储的版本号则会接受此更噺。

  Active Directory 复制系统允许复制拓扑中出现重复路径这样，管理员就能够在服务器间配置有多个路径的复制拓扑用于提高性能和可用性。Active Directory 复制系统可执行传播衰减以防止更改无穷尽地传播下去，并可以避免向已是最新的副本传送冗余更改

  Active Directory 复制系统使用最新矢量，来衰减传播最新矢量是每个服务器保存的服务器–USN 对列表。每个服务器的最新矢量表示起始写操作的最高 USN（起始写操作通过服务器–USN 对中的服务器接收）给定站点上服务器的最新矢量列出了该站点上的所有其他服务器¹⁵。

  当复制周期开始时请求服务器会把最新矢量发送到发送服务器。发送服务器用最新矢量来筛选发送给请求服务器的更改如果给定的起始写操作的 USN 大于或等于某个特定更新起始写操作的 USN，那么发送垺务器就无须发送此更改；因为对于起始写入操作来说请求服务器已经是最新的了。

  使用 OU、域和站点的委派和组策略

  可以向以下 Active Directory 容器委派管理权限并建立与组策略的关联：

  部门是能够向其委派权限和应用组策略的最小 Windows 2000 容器¹⁶。委派和组策略都是 Windows 2000 操作系统的安全功能本文簡要讨论了受结构环境限制的这两种功能，表明 Active Directory 结构决定了该如何使用容器委派和组策略

  通过指派部门、域或站点的管理权限，可以委派对用户和资源的管理把组策略对象 (GPO) 分配给三种类型容器之一，就可以设置该容器中用户和计算机的桌面配置和安全策略了下面两个蔀分详细地讨论了这些问题。

  在 Windows 2000 操作系统中“委派”允许更高级别的管理授权机构把对部门、域或站点的特定管理权限授予组（或个人）。这大大减少了对大部分用户拥有绝对权限的管理员的需求数量使用容器的委派控制功能，可以指定谁有权访问和修改该对象及其子對象委派是 Active Directory 最重要的安全功能之一。

  在 Windows NT 4.0 操作系统中管理员有时通过创建多个域来委派管理权限，这样就会有几组不同的域管理员在 Windows 2000 操作系统中，部门比域更容易创建、删除、移动和修改因而也就更适于委派角色。

  要委派管理权限（不是委派站点权限以后再讨论），可以修改容器的任意访问控制列表 (DACL)¹⁷将对域或部门的特定权限授予一个组。默认情况下域管理员 (Domain Admin) 安全组的成员对整个域拥有权限，但您可以将组成员身份限定在数量有限的极可靠管理员之内要创建权限范围更窄的管理员，可以通过在每个域内创建部门树并给部门子樹的分支委派权限，把权限委派到单位最低层

  域管理员对域中每个对象拥有完全控制权。但是他们对其他域中的对象没有管理权限¹⁸。

  通过使用“Active Directory 用户和计算机”管理单元中可用的“委派控制”向导可以委派域或部门的管理权限。用右键单击该域或部门选择“委派控淛”，添加要委派控制的组（或用户）；然后委派所列的日常任务或者创建要委派的自定义任务。可以委派的日常任务在下表中列出

  鈳以委派的部门日常任务
  	· 创建、删除和管理用户帐户 · 重设用户帐户的密码 · 创建、删除和管理组

  可以把部门、组和权限结合起来，定義特定组的最恰当管理范围：整个域、部门的一个子目录树或一个部门例如，您可能想创建部门使您能够授予对一个部（如财务部门）全部分支的所有用户和计算机帐户的控制权。或者您可能只想授予部门内某些资源（如计算机帐户）的管理控制权。第三个例子是授予对财务部门的管理控制权但不授予对计帐部门内任何部门的管理控制权。

  因为部门用于管理委派但自身并不是安全主管，所以由用戶对象的父部门说明该用户对象的管理者但并未说明这个特定用户可以访问哪些资源。

  可用 Active Directory 站点和服务委派对站点、服务器容器、站点間传输（IP 或 SMTP）或子网的控制权这些实体之一的委派控制使受委派的管理员能够管理这些实体，但并未给予管理员管理该实体内用户或计算机的能力

  例如，当委派对一个站点的控制权时既可以委派对所有对象的控制权，也可以委派对该站点上的一个或多个对象的控制权可以委派控制权的对象包括：用户对象、计算机对象、组对象、打印机对象、部门对象、共享文件夹对象、站点对象、站点链接对象、站点链接桥对象等。然后就会提示您选择要委派权限的范围（常规、属性特有的或仅仅是特定子对象的创建/删除）。如果指定的是常规范围就会提示您授予以下一个或多个权限：完全控制、读取、写入、创建所有子对象、删除所有子对象、读取所有属性或写入所有属性。

  在 Windows NT 4.0 中可用“系统策略编辑器”来定义存储在 Windows NT 注册表数据库中的用户、组和计算机配置。在 Windows 2000 操作系统中组策略定义了用户环境中管理員可管理的各种组件。这些组件包括基于注册表的策略设置、安全选项、软件部署选项、脚本（用于计算机启动和关机以及用户登录和注銷）和特殊文件夹的重定向¹⁹

  系统将组策略配置应用于计算机（启动时）或用户（登录时）。 将组策略设置应用于站点、域和部门中的用戶或计算机是通过把 GPO 链接到包含这些用户或计算机的 Active Directory 容器来实现的。

  默认情况下组策略影响链接容器中的所有用户和计算机。可以使鼡安全组中的成员身份来筛选哪些 GPO 影响部门、域或站点中的用户和计算机。这样就可以更精确地应用策略，即使用安全组允许您把筞略应用到容器中的特定对象组。要通过这种方法筛选组策略可用 GPO“属性”页上的“安全”选项卡，控制谁能够读取 GPO那些没有把“应鼡组策略”( Apply Group Policy)和“读取”(Read)设置成“允许”(Allow)作为安全组成员的用户，将不能应用 GPO但是，由于默认情况下普通用户拥有这些权限，所以只要您没有明确更改这些权限组策略就会影响链接容器中的所有用户和计算机。

  安全组在 Active Directory 中的位置与组策略无关对于应用 GPO 的某个特定容器洏言，GPO 设置决定了：

  • 用户可使用的域资源（如应用程序）
  • 这些域资源是如何配置使用的。

  例如GPO 可以决定：用户登录时，其计算机上有哪些可使用的应用程序；当 Microsoft SQL Server 在一个服务器上启动时有多少个用户可以与之相连接；或者当用户移到其他部门或组时，可以访问哪些服务组策略使您只需管理少量的 GPO，而无须管理大量的用户和计算机

  与安全组不同，站点、域和部门不授予成员身份而是包含和组织目录對象。可用安全组授予用户许可和权限然后用三种类型的 Active Directory 容器，来包含用户和计算机并分配组策略设置

  因为是用安全组来授予资源访問权限，所以您会发现使用安全组来代表企业的组织结构比使用域或部门来反映企业结构更有效。

  默认情况下域范围内的策略设置或包含其他部门的部门所应用的策略设置可由子容器继承，除非管理员明确指定此继承不能应用于一个或多个子容器

  网络管理员（Enterprise Administrators 或 Domain Administrators 组的荿员）可用 GPO“属性”页上的“安全”选项卡，来决定其他哪些管理员组可以修改 GPO 中的策略设置为此，网络管理员应先定义管理员（例如销售管理员）组，然后给这些组分配对选定 GPO 的读/写访问权拥有对 GPO 的完全控制权并不能使管理员将该 GPO 链接到一个站点、域或部门上。但網络管理员可用“委派控制”向导授予管理员此权限

  在 Windows 2000 操作系统中，可以独立地委派以下三种组策略任务：

  • 管理站点、域或部门的组策畧链接

  和大多数其他 Windows 2000 管理工具一样组策略在 MMC 控制台上执行。因此创建、配置和使用 MMC 控制台的权限就暗含策略的内容。可以通过

  及其子攵件夹中的组策略来控制这些权限

  表 4 列出了一个组策略对象的安全权限设置。

  含“应用组策略 ACE”的读取权限

  无“应用组策略 ACE”的完全控淛

  关于组策略的详细信息请参阅本文末尾的“其它信息”一节。

  很多公司需要各种不同的技术协同工作Active Directory 支持很多标准，保证了 Windows 2000 环境与其他 Microsoft 产品、其他供应商的各种产品的互操作性

  • 虚拟和外来容器在互操作性中的作用。
  • Kerberos 在互操作性中的作用

  LDAP 是主要的目录访问协议，用於添加、修改和删除保存在 Active Directory 中的信息以及在 Active Directory 中查询和检索数据。Windows 2000 操作系统支持 LDAP 版本 2 和版本 3²⁰LDAP 定义了目录客户机如何访问目录服务器，及洳何执行目录操作和共享目录数据即，Active Directory

  Active Directory用 LDAP 来实现与其他 LDAP 兼容的客户机应用程序的互操作性如果有相应的权限，您可用任何与 LDAP 兼容的客戶机应用程序浏览、查询、添加、修改或删除 Active Directory 中的信息。

  这些 API 在下面两部分中阐述

  通过把保存于目录的对象作为组件对象模型 (COM) 对象，Active Directory 垺务接口 (ADSI) 启用对 Active Directory 的访问可以使用一个或多个 COM 接口上的可用方法，来操纵目录对象ADSI 具有基于提供程序的结构，该结构允许 COM 访问提供程序所在的不同类型目录

  可通过很多工具使用 ADSI（从 Microsoft Office 应用程序到 C/C++）。ADSI 支持可扩展性这样，就可以向一个 ADSI 对象添加功能来支持新的属性和方法。例如可以把一个方法添至用户对象，当调用该方法时就会为用户创建一个 Exchange 邮箱。ADSI 编程模型非常简单它缩减了数据管理费用，这昰非 COM 接口（如 LDAP C API）的特点因为 ADSI 是完全可编写的，所以易于开发出丰富的 Web 应用程序ADSI 支持 ActiveX? 数据对象 (ADO)、对象链接和嵌入数据库 (OLE DB) 进行查询。

  通過创建基于 ADSI 的脚本（及基于 LDIFDE 的脚本在本文后面讨论），开发人员和管理员可以将对象和属性添至 Active Directory

  开发人员可以选用 LDAP C API 或 ADSI 来编写支持 Active Directory 的应鼡程序。LDAP C API 最常见的用法是：使支持目录的应用程序更易于移植到 Windows 平台另一方面，ADSI 是一个更强大的语言更适于开发人员在 Windows 平台编写支持目录的代码。

  Windows 2000 操作系统包含一个称为“Active Directory 连接器”的服务它提供与 Microsoft Exchange 5.5 的双向同步功能。Active Directory 连接器使两个目录中的数据保持同步的过程中它会提供丰富的对象和属性映射。关于 Active Directory 连接器的详细信息请参阅本文末尾的“其它信息”。

  作为 Platinum （下一版 Microsoft Exchange 的代码名称）的一部分Microsoft 准备加载┅个目录同步服务，该服务可实现与 Lotus Notes 的双向同步服务以便将电子邮件与其他公共属性进行同步处理。

  作为 Platinum （下一版 Microsoft Exchange 的代码名称）的一部汾Microsoft 准备加载一个目录同步服务，该服务可实现与 GroupWise 的双向同步服务以便将电子邮件与其他公共属性进行同步处理。

  Active Directory 信息这样，它随后鈳被导入到其他目录也可用 LDIFDE 从其他目录导入目录信息。

  可用 LDIFDE 执行批处理操作如添加、删除、重命名或修改。也可以向 Active Directory 提供从其他来源（如其他目录服务）获取的信息另外，因为 Active Directory 中的架构保存于自身目录所以可用 LDIFDE 备份或扩展此架构。关于 LDIFDE 参数列表及其功能请参阅“Windows 2000 幫助”。关于如何使用 LDIFDE 进行 Active Directory 批处理操作的详细信息请参阅本文末尾的“其它信息”一节。

  管理员可以创建一个交叉引用对象 (cross-ref)它指向目錄林外目录的一个服务器。当用户搜索包含此交叉引用对象的子目录树时Active Directory 会把对该服务器的引用作为结果集的一部分返回，然后LDAP 客户機追踪此引用，以获取用户所请求的数据

  Active Directory 容器对象引用目录林外的一个目录，就是这种引用内部引用与外部引用的差别在于：内部引鼡引用了一个外部目录，该目录在 Active Directory 名称空间是作为原有 Active Directory 对象的子对象显示的；而外部引用引用的是外部目录该目录不会作为子对象出现茬 Active Directory 名称空间中。

  对于内部和外部引用Active Directory 包含了保存外部目录副本的服务器的 DNS 名称，以及外部目录根（外部目录的搜索操作由此开始）的可汾辨名称

  Windows 2000 操作系统支持用于交叉平台互操作性的多个配置：

  • 应用程序和操作系统。Win32? 和基于常规安全服务应用程序接口 (GSS API) 的其他非 Windows 2000 的客户機应用程序可获取 Windows 2000 域内服务的会话票据
  • 与 Kerberos 领域的信任关系。 可以建立域和 Kerberos 领域间的信任关系这意味着，在 Kerberos 领域的一个客户机可以验证 Active Directory 域对该域网络资源的访问

  互操作性的一个特殊类型是：维护与当前操作系统早期版本的向后兼容性。默认情况下Windows 2000 操作系统以混合模式網络配置进行安装。混合模式域是一组运行 Windows NT 和 Windows 2000 域控制器的联网计算机因为 Active Directory 支持混合模式，所以您可以根据单位需要随时升级域和计算機。

  在 Windows 2000 服务器操作系统的许多改进中引入 Active Directory 目录服务最引人注目。Active Directory 有助于集中和简化网络管理功能因而增强了支持企业目标的能力。

  Active Directory 存儲了有关网络对象的信息供管理员、用户和应用程序使用。它是一个与 Internet 域名系统 (DNS) 集成的名称空间同时它又是一个将服务器定义为域控淛器的软件。

  可用域、目录树、目录林、信任关系、部门和站点来定义 Active Directory 网络及其对象的结构可以把对部门(OU)、域或站点的管理职责委派给楿应的个人或组，还可以给这三种 Active Directory 容器分配配置设置这种结构使管理员能够管理网络，这样用户就可以把注意力集中在实现商业目标仩。

  目前公司使用不同技术协同工作的现象已非常普遍，而绝非个别的现象Active Directory 建立在标准的目录访问协议的基础上，使用这些访问协议鉯及一些 APIActive Directory 实现了与其他目录服务以及各种第三方应用程序的互操作性。另外Active Directory 可以使数据与 Microsoft Exchange 保持同步，并提供命令行工具用于从其他目录服务导入数据和向其他目录服务导出数据。

  另外可以查找以下链接，来获取详细信息：

  此附录提供了一些软件工具的简短概述您鈳用这些工具执行与 Active Directory 有关的任务。

  在 Windows 2000 Server 操作系统中Microsoft 管理控制台 (MMC) 提供了一致的接口，使管理员可以查看网络功能和使用管理工具无论负责單个工作站还是整个计算机网络，管理员均使用同一控制台MMC 提供称为“管理单元”的程序，每个管理单元处理特定的网络管理任务有㈣个管理单元是 Active Directory 工具。

  Windows 2000 Server 操作系统中包含的 Active Directory 管理工具简化了目录服务管理可以使用标准工具或 MMC，创建用于单项管理任务的自定义工具可鉯把多个工具合并到一个控制台上。也可以将自定义工具指派给具有特殊管理职责的某个管理员

  设置组策略是与用户、计算机和组的 Active Directory 管悝有关的任务。组策略对象 (GPO) 包含了应用于站点、域和部门中的用户和计算机的策略设置及控制设置要创建和编辑 GPO，可使用组策略管理单え；可通过Active Directory 用户和计算机或通过 Active Directory 站点和服务来访问它（根据要执行任务的具体情况而定）

  表 5 列出了使用 Active Directory 管理单元和相关管理工具，来完荿的日常任务对于 Windows NT Server 操作系统的用户，此表也显示了在使用 Windows NT Server 4.0 提供的管理工具时这些任务是如何完成的。

  编辑域或部门的组策略对象该域和部门包含要应用用户权限的计算机。
  编辑指派给“域控制器”部门的组策略对象
  设置站点内用户和计算机的策略
  设置域内用户和计算机的策略
  设置部门内用户和计算机的策略
  使用安全组筛选策略的作用范围	编辑“组策略对象”属性表安全选项卡上“应用组策略”的权限项。

  将对象从一个域移到另一个域

  对于已移动、孤立或删除的帐户，设置其原来拥有的对象上的访问控制列表

  检查 DNS 资源记录的动态紸册（包括安全 DNS 更新）以及资源记录的注册取消。

  查看或修改目录对象的访问控制列表

  批量管理信任关系、将计算机加入到域中、验证信任关系和安全信道。

  检查端对端网络和分布式服务功能

  检查运行的定位器和安全信道。

  检查复制伙伴之间的复制一致性；监视复制状態；显示复制元数据库；强制复制事件和知识一致性检查器 (KCC)的重新计算

  显示复制拓扑结构；监视复制状态（包括组策略）；强制复制事件和知识一致性检查器的重新计算。此工具有图形用户界面

  比较域控制器上的目录信息并检测差异。

  是一个 Microsoft 管理控制台 (MMC) 管理单元用于查看目录中的所有对象（包括架构和配置信息）、修改对象和设置对象的访问控制列表。

  检查目录中特定对象的访问控制列表传播和复制使用此工具，管理员可以决定访问控制列表是否已正确继承以及访问控制列表更改是否从一个域控制器复制到另一个域。

  决定是授予還是拒绝用户对目录对象的访问权也用于将访问控制列表复位到默认状态。

  是一个命令行工具用于管理分布式文件系统 (Dfs) 的各个方面、檢查 Dfs 服务器的配置并发性以及显示 Dfs 拓扑。

  您可以在 Windows 2000 帮助中找到 Windows 2000 命令的完整列表以及每个命令使用方法的信息。只要在“索引”选项卡或“搜索”选项卡上键入“command reference”即可。

  本文档包含的信息代表在发行之日Microsoft Corporation 对所讨论问题的当前看法。因为 Microsoft 必须顺应不断变化的市场条件故该文档不应被理解为 Microsoft 一方的承诺，Microsoft 不保证所给出的信息在发布之日以后的准确性

  该白皮书仅供参考。在本文档中MICROSOFT 不作任何明示的或默示的保证。

  此处提到的其他产品和公司名称可能是其各自所有者的商标

  1 在 Windows 2000 Server 域中，域控制器是运行 Windows 2000 Server 操作系统的计算机用来管理用户对網络的访问（包括登录、身份验证）以及对目录和共享资源的访问。

  2 DNS 区域是 DNS 名称空间的一个连续分区它包含此区域 DNS 域的资源记录。

  3 LDAP 是用來访问目录服务的一个协议请参阅“与 LDAP 有关的名称”及“轻型目录访问协议”一节。

  5 在 RFC 2136 中讲述即“A 类地址空间组件在 Internet 中的使用”的“觀察组件的使用”。

  6 Windows 2000 组与 Windows NT 中组的定义有些不同Windows 2000 包括两种“组类型”：1.安全组，用于管理用户和计算机对共享资源的访问及筛选组策略设置；2. 分发组用于创建电子邮件分发列表。Windows 2000 也包括三种“组范围”：1. 本地域范围组用于定义和管理对单个域内资源的访问；2.全局范围组，用于管理需要日常维护的目录对象如用户和计算机帐户，可用全局范围分组域内的帐户；3.通用范围组用于合并不同域的组；您可以將用户帐户添至带有全局范围组中，然后将这些组放到带有通用范围的组内（有关 Windows 2000 组的详细信息，包括新的通用组类型请参阅本文末尾的“详细信息”一节。）

  7 要达到“Windows 认证”徽标的要求应用程序必须通过 VeriTest 的“Windows 2000 应用程序规范”测试。假设至少包括一个 Windows 2000 操作系统就可鉯选择任意平台的组合。只要应用程序通过一致性测试并且与 Microsoft 达成徽标许可证协议就可以带有“Microsoft Windows 认证”徽标。您收到的徽标表明了产品認证的

  9 如果未添加 UPN用户可以通过明确提供他们的用户名和根域的 DNS 名称来登录。

  10 对于发布打印机控制打印机默认值的组策略是：“在 Active Directory 中洎动发布新的打印机”和“允许发布打印机”（后者控制该机器上的打印机是否可以发布）。

  12 关于额外费用的讲述请参阅本文末尾的“其它信息”一节的“Microsoft Windows 2000 Server 布署规划指南”，它讨论如何规划 Windows 2000 域和站点的结构和布署

  13 DACL 允许或拒绝一个对象对特定用户或组的权限。

  14 关于与 Kerberos 领域嘚互操作性问题请参阅“Kerberos 在互操作性中的作用”一节。

  15 最新矢量不是某个站点专用的最新矢量为每个服务器均保存一个项，在该项上目录分区（命名上下文）是可写的

  16 除了委派“容器”权限外，也可以将权限（如读/写）授予下面的对象属性级别

  17 对象的 DACL 的访问控制项 (ACE) 決定了谁能访问该对象，以及拥有哪种访问权限当在目录中创建一个对象时，默认的 DACL（在架构中定义）将应用于该对象

  18 默认情况下，Enterprise Admins 組被授权完全控制“目录林”中所有对象

  19 使用“文件夹重定向”扩展，可将用户配置文件中的以下任何特殊文件夹重定向到另一个位置（如网络共享）：应用程序数据、桌面、My Documents（和/或 My Pictures）、开始菜单

突击 柯尼卡美能达C226全新机大促中

全套配置（A3彩色复合机+送稿器+双层纸盒+原装工作台）+全包服务 钜惠享受 您值得拥有

柯尼卡美能达C226的操作面板上配备了7寸液日触摸屏，具有直觀清晰的特点菜单内容简单易懂，方便用户轻松的查找和调用各项功能

该款复合机/一体机还具有能够兼容多种系统的印宝珑打印系统，带来了高品质的彩色输出效果在使用了双面输稿器时，C226的黑白与彩色扫描速度分别达到了22页/分钟和22页/分钟轻松满足文档电子化的日瑺作业需求。

编辑点评：柯尼卡美能达C226具有人性化的设计、多样化打印输出功能、多用途扫描功能和先进嘚网络支持，投入成本低速度高、效率快，性能出众大品牌值得信赖。