Active Directory 是用于 Windows 2000 Server 的目錄服務。它存儲著網絡上各種對象的有關信息，并使該信息易于管理員和用戶查找及使用。Active Directory 目錄服務使用結構化的數據存儲作為目錄信息的邏輯層次結構的基礎。Active Directory 的優點：信息安全性 、基于策略的管理 、可擴展性 、可伸縮性 、信息的復制 、與 DNS 集成 、與其他目錄服務的互操作性、靈活的查詢。
　　本章主要內容：
　　1、活動目錄的基本概念及其作用
　　2、在安裝活動目錄前的目錄規劃
　　3、活動目錄工具
　　6.1 活動目錄的概念
　　6.1.1 域
　　域提供了多項優點：
　　§　組織對象。
　　§　發布有關域對象的資源和信息。
　　§　將組策略對象應用到域可加強資源和安全性管理。
　　§　委派授權使用戶不再需要大量的具有廣泛管理權利的管理員。
　　
　　要創建域，用戶必須將一個或更多的運行 Windows 2000 Server 的計算機升級為域控制器。域控制器為網絡用戶和計算機提供 Active Directory 目錄服務、存儲目錄數據并管理用戶和域之間的交互作用，包括用戶登錄過程、驗證和目錄搜索。每個域至少必須包含一個域控制器。
　　域樹和域林
　　活動目錄中的每個域利用 DNS 域名加以標識，并且需要一個或多個域控制器。如果用戶的網絡需要一個以上的域，則用戶可以創建多個域。共享相同的公用架構和全局目錄的一個或多個域稱為域林。如圖 6.1 中所示，如果樹林中的多個域有連續的 DNS 域名，則該結構稱為域樹。
　　　
　　如圖6.2所示如果相關域樹共享相同的 Active Directory 架構以及目錄配置和復制信息，但不共享連續的 DNS 名稱空間，則稱之為域林。
　　域樹和域林的組合為用戶提供了靈活的域命名選項。連續和非連續的 DNS 名稱空間都可加入到用戶的目錄中。
　　　
　　6.1.2. 域和帳戶命名
　　Active Directory 域名通常是該域的完整 DNS 名稱。但是，為確保向下兼容，每個域還有一個 Windows 2000 以前版本的名稱，以便在運行 Windows 2000 以前版本的操作系統的計算機上使用。用戶帳戶
　　在 Active Directory 中，每個用戶帳戶都有一個用戶登錄名、一個 Windows 2000 以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個用戶主要名稱后綴。在創建用戶帳戶時，管理員輸入其登錄名并選擇用戶主要名稱。Active Directory 建議 Windows 2000 以前版本的用戶登錄名使用此用戶登錄名的前 20 個字節。
　　所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 Windows 2000 域的標準用法。表準格式為：user@domain.com (類似個人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號。Active Directory 在創建用戶主要名稱時自動添加此符號。包含多個 @ 號的用戶主要名稱是無效的。
　　在 Active Directory 中，默認的用戶主要名稱后綴是域樹中根域的 DNS 名。如果用戶的單位使用由部門和區域組成的多層域樹，則對于底層用戶的域名可能很長。對于該域中的用戶，默認的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認的登錄名可能是 user@grandchild.child.root.com 。創建主要名稱后綴 - "root" 使同一用戶使用更簡單的登錄名 user@root.com 就可以登錄。
　　
　　6.1.3 域間信任關系
　　對于 Windows 2000 計算機，通過基于 Kerberos V5 安全協議的雙向、可傳遞信任關系啟用域之間的帳戶驗證。
　　在域樹中創建域時，相鄰域（父域和子域）之間自動建立信任關系。如圖 6.2 中的 root.com 和 child.root.com 之間自動建立信任關系。在域林中，在樹林根域和添加到樹林的每個域樹的根域之間自動建立信任關系。因為這些信任關系是可傳遞的，所以可以在域樹或域林中的任何域之間進行用戶和計算機的身份驗證。
　　如果將 Windows 2000 以前版本的 Windows 域升級為 Windows 2000 域時，Windows 2000 域將保留域和任何其他域之間現有的單向信任關系。包括 Windows 2000 以前版本的 Windows 域的所有信任關系。如果用戶要安裝新的 Windows 2000 域并且希望與任何 Windows 2000 以前版本的域建立信任關系，則必須創建與那些域的外部信任關系。
　　所有域信任關系都只能有兩個域：信任域和受信任域。域信任關系按以下特征進行描述：
　　§　單向
　　單向信任是域 A 信任域 B 的單一信任關系。所有的單向關系都是不可傳遞的，并且所有的不可傳遞信任都是單向的。身份驗證請求只能從信任域傳到受信任域。Windows 2000 的域可與以下域建立單向信任：不同樹林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 領域。
　　§　雙向
　　Windows 2000 樹林中的所有域信任都是雙向可傳遞信任。建立新的子域時，雙向可傳遞信任在新的子域和父域之間自動建立。
　　
　　§　可傳遞
　　Windows 2000 樹林中的所有域信任都是可傳遞的。可傳遞信任始終為雙向：此關系中的兩個域相互信任。
　　可傳遞信任不受信任關系中的兩個域的約束。每次當用戶建立新的子域時，在父域和新子域之間就隱含地（自動）建立起雙向可傳遞信任關系。這樣，可傳遞信任關系在域樹中按其形成的方式向上流動，并在域樹中的所有域之間建立起可傳遞信任。
　　如圖6.3中因為域 1 和域 2 有可傳遞信任關系，域 2 和域 3 有可傳遞信任關系，所以域 3 中的用戶（在獲得相應權限時）可訪問域 1 中的資源。因為域 1 和域 A 具有可傳遞信任關系，
　　　
　　并且域 A 的域樹中的其他域和域 A 具有可傳遞信任關系，所以域 B 中的用戶（當授與適當權限時）可訪問域 3 中的資源。
　　
　　§　不可傳遞
　　不可傳遞信任受信任關系中的兩個域的約束，并不流向樹林中的任何其他域。在大多數情況下，用戶必須明確建立不可傳遞信任。在 Windows 2000 域和 Windows NT 域之間的所有信任關系都是不可傳遞的。從 Windows NT 升級至 Windows 2000 時，目前所有的 Windows NT 信任都保持不動。在混和模式環境中，所有的 Windows NT 信任都是不可傳遞的。不可傳遞信任默認為單向信任關系。
　　§　外部信任
　　外部信任創建了與樹林外部的域的信任關系。創建外部信任的優點在于使用戶可以通過樹林的信任路徑不包含的域進行身份驗證。所有的外部驗證都是單向非轉移的信任
　　§　快捷信任
　　快捷信任是雙向可傳遞的信任，使用戶可以縮短復雜樹林中的路徑。Windows 2000 同一樹林中域之間的快捷信任是明確創建的。快捷信任具有優化的性能，能縮短與 Windows 2000 安全機制有關的信任路徑以便進行身份驗證。在樹林中的兩個域樹之間使用快捷信任是最有效的。
　　
　　6.1.4 站點
　　站點是由一個或多個 IP 子網中的一組計算機，確保目錄信息的有效交換，站點中的計算機需要很好地連接，尤其是子網內的計算機。站點和域名稱空間之間沒有必要的連接。站點反映網絡的物理結構，而域通常反映用戶單位的邏輯結構。邏輯結構和物理結構相互獨立，所以網絡的物理結構及其域結構之間沒有必要的相關性，Active Directory 允許單個站點中有多個域，單個域中有多個站點。
　　如果配置方案未組織成站點，則域和客戶之間的信息交換可能非常混亂。站點能提高網絡使用的效率。站點服務在以下兩方面令網絡操作更為有效：
　　§　服務請求
　　當客戶從域控制器請求服務時，只要相同域中的域控制器有一個可用，此請求就將會發給這個域控制器。選擇與發出請求的客戶連接良好的域控制器將使該請求的處理效率更高。
　　§　復制
　　站點使目錄信息以流水線的方式復制。目錄架構和配置信息分布在整個樹林中，而且域數據分布在域中的所有域控制器之間。通過有策略地減少復制，用戶的網絡擁塞也會同樣減少。Active Directory 在一個站點內比在站點之間更頻繁地復制目錄信息。這樣，連接最好的域控制器中，最可能需要特定目錄信息的域控制器首先接收復制的內容。其他站點中的域控制器接收對目錄所進行的更改，但不頻繁，以降低網絡帶寬的消耗。
　　
　　6.1.5 Active Directory 用戶和計算機帳戶
　　Active Directory 用戶和計算機帳戶代表物理實體，諸如計算機或人。用戶帳戶和計算機帳戶（以及組）稱為安全主體。安全主體是自動分配安全標識符的目錄對象。帶安全標識符的對象可登錄到網絡并訪問域資源。用戶或計算機帳戶用于：
　　§　驗證用戶或計算機的身份。
　　§　授權或拒絕訪問域資源。
　　§　管理其他安全主體。
　　§　審計使用用戶或計算機帳戶執行的操作。
　　Windows 2000 提供了可用于登錄到運行 Windows 2000 的計算機的預定義用戶帳戶。這些預定義帳戶為：
　　§　管理員帳戶
　　§　來賓帳戶
　　預定義帳戶就是允許用戶登錄到本地計算機并訪問本地計算機上資源的默認用戶帳戶。設計這些帳戶的主要目的是本地計算機的初始登錄和配置。每個預定義帳戶均有不同的權利和權限組合。管理員帳戶有最廣泛的權利和權限，同時來賓帳戶有受限制的權利和權限。
　　
　　6.1.6組策略
　　組策略設置影響計算機或用戶帳戶并且可應用于站點、域或組織單位。它可用于配置安全選項、管理應用程序、管理桌面外觀、指派腳本并將文件夾從本地計算機重新定向到網絡位置。
　　
　　6.1.7集成DNS
　　由于 Active Directory 與 DNS 集成而且共享相同的名稱空間結構，因此注意兩者之間的差異非常重要：DNS 是一種名稱解析服務。