Windows 2000的活动目录技术摘要

核心提示： 结构这一个简短的部分介绍活动目录的一些基本结构元素，数据模型活动目录数据模型来自于X.500数据模型，Windows 2000的活动目录技术摘要(6)，目录包括以属性描述的表征各类事物的对象，可以存入目录的对象的范围在模式中定义，客户采用一种支持的界面连接DSA，进而查找、阅读及写入目录对

结构

这一个简短的部分介绍活动目录的一些基本结构元素。

数据模型

活动目录数据模型来自于X.500数据模型。目录包括以属性描述的表征各类事物的对象。可以存入目录的对象的范围在模式中定义。对于每一个对象种类，模式定义了该种类情况下一定要具有什么属性，可以具有什么附加属性，及什么对象种类可以是现有对象种类的父本。

模式

活动目录模式作为存储于目录中的对象种类情况的集合而应用。这与很多具有模式的目录不同，在它们的情况下，模式存储为文本文件以在启动时阅读。在目录中存储模式有很多优点。例如，用户应用程序可以阅读模式来确定什么对象和性质是可以得到的。

活动目录模式可以动态生计。也就是说，一个应用程序可以扩展模式的新属性和种类，而且可以立刻使用扩展的部分。模式的升级通过建立或改变目录中的模式对象实现。与活动目录中的所有对象相同，模式对象受访问访问控制列表（ACL）所保护，所以只有授权的用户可以改变模式。

安全模型

目录是Windows 2000 Trusted Computing Base 的一部分而且是Windows 2000安全基本构造的完全参加者。ACLs保护了活动目录中的所有对象。Windows 2000访问验证历程采用ACL来确认任何对活动目录中对象或属性访问的尝试。

管理模型

授权的用户在活动目录中进行管理。一个经更高权限授权的用户可以对目录中某些确定子树中指定的对象及对象种类进行指定的操作。这叫做委托管理。委托管理可以完全地控制谁能够做什么，而且可以确立授权的委托而不必授予提高的特权。

目录系统代理（DSA）是管理目录物理存储的过程。客户采用一种支持的界面连接DSA，进而查找、阅读及写入目录对象和它们的属性。DSA使得客户与物理存储格式的目录数据孤立。