Windows 2000的活动目录技术摘要

核心提示： 图3 明确名字的图形表示相对明确名字对象的相对明确名字（RDN）是属于对象本身属性的名字的一部分，在前面的例子中用户对象"James Smith"的RDN是CN=James Smith，Windows 2000的活动目录技术摘要(4)，父对象的RDN是CN=Users，

图3 明确名字的图形表示

相对明确名字

对象的相对明确名字（RDN）是属于对象本身属性的名字的一部分。在前面的例子中用户对象"James Smith"的RDN是CN=James Smith。父对象的RDN是CN=Users。

命名上下文和分区

活动目录由一个或多个命名上下文或分区构成。命名环境是目录的任意临近的子树。命名上下文是复制的单位。

在活动目录中，一个单独的服务器通常最少包括三个命名上下文：

模式

配置（复制拓扑和相关的元数据）

一个或多个用户命名上下文（在目录中包括实际对象的子树）

域

域是Windows NT 或Windows 2000计算机网络的独立安全范围。（要了解域的更多信息，请看Windows 文档）。活动目录由一个或多个域构成。一个域可以跨越不止一个物理地点。每一个域都有它自己的安全策略及域其它域见的安全关系。当多个域通过信任关系连接起来，而且拥有共同的模式、配置和全局目录时，您就拥有了一个域树。多个域树可以连接起来形成一个森林。

域树

域树是由若干具有共同的模式、配置的域构成的，形成了一个临近的名字空间。在树中的域也是通过信任关系连接起来的。活动目录是一个或更多树的集合。

树可以通过两种途径表示。一种表示是域之间的关系，另一种表示是域树的名字空间。

表示信任关系

您可以在个别域及它们如何相互信任的基础上画出一幅域树的图画。

Windows 2000域之间信任关系建立在Kerberos安全协议上。Kerberos信任是可传递的和分层次分层结构的--如果域A信任域B信任域C，域A也信任域C。