Windows 2000活动目录的功能简述

核心提示： 这种域树和域森林的方法，帮助活动目录使用容器层次来模拟一个企业的组织结构，Windows 2000活动目录的功能简述(4)，组织中的不同部门可以成为不同的域，或者一个域中有层次结构的组织单元（Organizational Unit, OU），而不是由活动目录来决定访问控制的，Windows

这种域树和域森林的方法，帮助活动目录使用容器层次来模拟一个企业的组织结构。组织中的不同部门可以成为不同的域，或者一个域中有层次结构的组织单元（Organizational Unit, OU），从而采用层次化的命名方法来反映组织结构和进行管理授权。顺着组织结构进行颗粒化的管理授权可以解决很多管理上的头疼问题，在加强中央管理的同时，又不失机动灵活性。

Windows NT 4.0中的很多域都可以成为OU，建立起更大的域和更简化的域关系，借助全局目录(G lobal Catalog) ，用户和管理员仍然能够迅速地找到对象和管理对象。Windows 2000可以在现存的Windows NT 4.0的环境中工作，保护现有的投资；微软也提供一系列的工具帮助4.0的用户迁移到Wi ndows 2000的目录环境中。微软提供Directory Connector使活动目录与Exchange Server 5.5、NDS的目录服务同步，并且Exchange 6.0干脆就采用了Windows 2000作其目录服务。

在活动目录中，目录存储只有一种形式，即域控制器（Domain Controller），包括了完整的域目录的信息，不再有主域控制器和备份域控制器的区别。所有的域控制器在用户访问和提供服务方面都是相同的。它们之间的同步是采用了一种先进的多主复制的技术，称为Update Sequence Numbers (USN)。每个服务器跟踪其复制伙伴的最新USN列表，保证及时更新并且更新不会有冲突或相互覆盖等。

Windows 2000的安全性服务（如Kerberos，PKI和智能卡等）和活动目录紧密结合。活动目录存储了域安全政策的信息，比如域口令的限制政策、系统访问权限等，实施了基于对象的安全模型和访问控制机制。在活动目录中的每个对象都有一个独有的安全性描述，定义了浏览或更新对象属性所需要的访问权限。但是，当LDAP客户端访问活动目录时，操作系统会实施访问安全控制，而不是由活动目录来决定访问控制的。Windows 2000 安全性和活动目录相辅相成，可以共同完成任务和协同管理。