Windows 2000的活动目录技术摘要

核心提示： 全局目录活动目录可以由很多分区或命名上下文构成，对象的明确名字（DN）含有足够的信息来定位存有对象复制的分区，Windows 2000的活动目录技术摘要(10)，但在很多时候，用户或应用程序并不知道目标对象的DN或哪一个分区可能包含对象，所有用户可以保证允许阅读其它用户的电子邮件和电话号属

全局目录

活动目录可以由很多分区或命名上下文构成。对象的明确名字（DN）含有足够的信息来定位存有对象复制的分区。但在很多时候，用户或应用程序并不知道目标对象的DN或哪一个分区可能包含对象。如果用户或应用程序知道一个或更多的目标对象的属性，全局目录就可以使它们在活动目录的域树中找到目标对象。

全局目录包含目录中每一个用户命名上下文的部分复制。它还包括命名上下文的模式及配置。这意味着GC中包括活动目录中每一个对象的复制，但只包括少部分的属性。在GC中包括的属性是那些搜索操作中最为常用的（例如用户的名和姓，登录名，等等），及那些需要定位对象整个复制的。GC使得用户能够快速地找到感兴趣的对象，而不需要知道哪个域中包括它们，也不需要知道在公司中临近的扩展名字空间。活动目录复制系统自动地建立全局目录并产生复制拓扑。复制进全局目录中的性质包括由Microsoft定义的一套基本集合。管理员还可以指定附加的性质来满足他们设置的需要。

安全性

这只是对活动目录安全性的概述。 要了解关于Windows 2000安全模型的更多信息，请查阅"使用Microsoft Windows 2000分布式安全性的安全网络"白皮书。

对象保护

活动目录中所有的对象都在访问控制列表(ACL)的保护下。ACL决定了谁可以看这些对象及每一个用户可以对这些对象进行什么操作。对于用户，永远也看不到他未被授权的对象。

ACL是一个存储了它保护的对象的访问控制入口（ACE）列表。在Windows 2000中，ACL以二进制数值的形式存储，叫作安全性描述符。每一个ACE包括一个安全性标识符（SID），它标识了ACE适用的委托人（用户或组）及ACE允许或禁止访问的信息类型。

目录对象的ACL包括适用于整体对象的ACE及适用于对象单个属性的ACE。这使得管理员不仅能够控制哪一个用户能够看到对象，而且可以控制这些用户可以看到那些属性。例如，所有用户可以保证允许阅读其它用户的电子邮件和电话号属性，但安全性属性可能支队具有特殊安全性的管理员群体开放。个别用户可能允许在他们个人自己的用户对象上写个人的属性例如：电话和通信地址。