活动目录是 Windows 2000 Server 可扩展和调整的目录服务

分派管理权限消除了需要大量具有广泛管理权限管理员的必要

双向

双向信任关系包括一对单向委托关系，即域 A 信任域 B ，而域 B 也信任域 A

复制服务负责在网络中分配目录数据

对于相同域目录树或林中的 Windows 2000 域，也可以显式（手工）地创建传递信任关系
服务器

总之，不传递信任关系是以下对象委托关系的唯一形式：

Windows 2000 域和 Windows NT 域

目录林中的 Windows 2000 域和另一目录林中的 Windows 2000 域

Windows 2000 域和 MIT Kerberos V5 领域

单向

单向信任关系是单独的委托关系，即域 A 信任域 B

由于组织单位可包含其他组织单位，因此容器的分层结构可扩展用来建立域中组织分层结构的模型

目录林

目录林包含一个或多个目录树

目录程序

活动目录的目录服务具有以下特性：

数据存储，也称为目录，存储有关活动目录对象的信息

计算机站点是根据其在子网或一组已连接好子网中的位置指定的
网络

一系列规则定义了目录中对象的类和属性、这些对象范例的限制以及名称的格式

不传递

不传递信任关系受关系中两个域的约束，并且不经父域向上传递到域目录树中的下一个域

为保证网络登录过程的安全，以及对目录数据查询和数据修改的访问控制，将安全子系统与之集成

为获得活动目录的最大效益，通过网络访问活动目录的计算机必须运行正确的客户软件
网络

全局目录包含了目录中所有对象的信息

单个域可以跨越多个物理位置或站点

单个域目录树中的所有域共享一个等级命名结构

可以通过使用活动目录站点和服务向活动目录发布站点的方法提供有关网络物理结构的信息

可使用活动目录域和信任关系管理委托关系

可使用组织单位创建管理模型，该模型可调整为任何尺寸
通信

域

域在活动目录中定义安全边界

域也是复制的单元

域信任关系

域信任关系是一种建立在域间的关系，它使得一个域中的用户可由另一域中的域控制器进行验证

域目录树

目录树中的第一个域称为目录树的根域

域目录树中管理权的传递特性并非固有的

域目录树和目录林

将多域组合到一起的结构，称为域目录树和目录林
www.orchn.com

如果域目录树配置为目录林的一部分，则将在域控制器的安装过程中新域目录树的根域之间自动创建传递委托关系，新域目录树将添加到目录林和目录林根节点（添加到目录林的第一个域目录树的根域）

如果连接好的计算机的配置较小，则任意选取域控制器不会引起问题

安全性通过登录验证以及对目录中对象的访问控制与活动目录相集成

将对象分成不同的组放入域中有助于在网络中反映公司的组织结构

查询和索引机制使得网络用户或应用程序可以发布和查找对象及其属性

每个域只存储有关该域中对象的信息

每次安装域控制器和创建新的子域时，将以隐含方式（自动）在父域和新的子域间创建一个传递委托关系

注释

传递信任关系只能存在于相同域目录树或林中 Windows 2000 的域间

注释

所有 Windows 2000 域和 Windows NT 域之间的委托关系都是不传递的
服务器

活动目录站点和服务

当用户登录后，将验证其凭据，并提供对网络资源的访问

活动目录简介

目录是一个存储网络对象信息的分层结构

由于链接于目录林中的域目录树是通过传递、双向 Kerberos 信任关系链接的，故用户可以访问整个目录林任何域中的资源

目录林所有目录树中的所有域必须共享以下特性：

域间的传递委托关系

域目录树间的传递委托关系

公用规划

公用全局目录

域目录树和目录林的组合可为邻近和脱开的命名约定提供相当的灵活性

目录树中的域通过双向、传递的委托关系联接在一起

站点有助于：

验证
网络

组织单位

域中包含的一类目录对象是组织单位

组织单位是可指定组策略或代表管理权限的最小领域或单位

要使域或域目录树中的资源得到广泛应用，只需将域加入目录树中或创建额外的与目录林相关联的域目录树
Windows 2000 中的委托关系基于 Kerberos 协议
一个子域的域名就是将该子域的名称添加到父域的名称中
不共享公用根域的目录树被认为是脱开的
为使不传递信任关系成为双向，必须在所涉及的域间创建两个单向信任关系
网络 于是，传递委托关系将在其形成时经域目录树向上流动，并随后在域目录树中的所有域间创建传递信任关系
于是，传递委托关系将在目录林形成时流经域目录树，并随后在目录林的所有域间创建传递信任关系
www.orchn.com 以下图表将说明这一点：

必须显式地创建不传递信任关系
任何对目录数据的更改都将复制到域中的所有域控制器
网络 传递信任关系总是双向的：关系中的两个域互相信任
使用单个网络登录，活动目录管理员可以通过自身的网络管理目录数据和组织，并且授权网络用户可以访问网络中各处的资源
使用单个域可以大大简化上级管理
使用活动目录安装向导将域加入目录树中并将两域相联组成目录林将创建双向、传递的 Kerberos 信任关系
使用组织单位可在域中创建容器，该域表示组织中的等级和逻辑结构
使用组织单位将有助于把网络所需的域的数量减至最小
例如， headquarters.com 和 sales.com 域之间无明显的关系
例如， headquarters.mycompany.com 是 mycompany.com 域的子域
例如，活动目录存储诸如姓名、口令和电话号码等有关用户帐户的信息，并使同一网络中的其他授权用户可以访问这些信息
共享公用根域的域被认为共享邻近的名称空间
服务器 可以通过限制域管理权的范围添加额外的安全层
可授予用户对域中所有组织单位或单个组织单位的管理权限
同一目录树中的其他域则称为子域
在混合模式的网络中，所有 Windows NT 信任关系都是不传递的
www.orchn.com 域中的所有控制器都参加复制并且包含域中所有目录信息的完整副本
域提供以下便利：

两个不同域的安全策略和设置（诸如管理权限和访问控制列表）不能相互交叉
基于策略的管理可以使即便是最复杂的网络管理变得轻而易举
www.orchn.com 基本信任关系是透明的，对其无须进一步的管理
委托关系是由以下特性表征的：

传递

传递信任关系不受关系中两个域的约束，而是经父域向上传递给域目录树中的下一个域
子网提供一种表示网络分组的简单方法，这与邮政编码将地址分组类似
它存储有关网络对象的信息并使管理员和用户可以方便地查找和使用该信息
www.orchn.com 将子网格式化成可方便发送有关网络与目录连接物理信息的形式
将计算机置于一个或多个连接好的子网中充分体现了站点所有计算机必须连接良好这一标准，原因是同一子网中计算机的连接情况通常优于网络中任意选取的计算机
当从 Windows NT 升级到 Windows 2000 时，所有已现有的 Windows NT 信任关系都将保持不变
当在目录林中创建新目录树时，将在每个目录树的根域间创建信任关系
当域加入目录树后，将在加入域和父域间创建信任关系
当客户使用

[1] [2] [3] 下一页

恰位于某域之上的另一个域被认为是子域的父类
所有不属于相同域目录树或林中 Windows 2000 域间建立的委托关系都是不传递的
www.orchn.com 所有传递信任关系都是双向的
所有单向关系都是不传递的
所有域信任关系中只有两种域：信任关系域和被信任关系域
新的域目录树将信任所有目录林根节点信任的域目录树
www.orchn.com 未运行活动目录客户软件的计算机，显示的目录类似于 Windows NT 目录
某特定域中的所有域控制器均可接收更改并通过域将这些更改复制到域中的所有域控制器
每个域均拥有与其他域相关的安全策略和安全关系
活动目录使用多主复制模型
活动目录使用该信息确定如何复制目录信息和处理服务的请求
活动目录可通过拆分目录信息的存储扩展至数量庞大的对象
活动目录由一个或多个域组成
活动目录的目录服务将结构化数据存储作为目录信息逻辑和分层组织的基础
活动目录站点和服务可以通过使用站点提高大多数配置目录服务的效率
www.orchn.com 然而，如果悉尼的用户尝试使用拨号连接验证纽约的域控制器，则配置中虽包含广域网 (WAN) ，但会显得严重不足
www.orchn.com 由于活动目录使用多主管复制，故网络中的任何 Windows 2000 域控制器均可为所有请求提供服务，这包括域控制器域中用户对目录进行的修改
由于这些委托关系是双向和传递的，因此加入目录树的域会立即与目录树中的每个域建立委托关系
目录林中的目录树不共享公用根域
组织单位不能包含其他域中的对象
组织单位是活动目录容器，在其中可放置用户、组、计算机和其他组织单位
组织单位的管理员无须具有对域中任何其他组织单位的管理权限
诸如活动目录的目录服务则提供存储目录数据和网络用户和管理员使用这些数据的方法
这一点在某些情况下会非常有用，例如，公司中各独立部门必须保持各自的 DNS 名称
这些委托关系允许单个用户登录以验证用户并授权验证用户访问整个网络
这些对象通常包括诸如服务器、文件、打印机、网络用户和计算机帐户等共享资源
这使得可以在组织模型基础上管理帐户和资源的配置及使用
网络 这使得用户和管理员可以在不管究竟目录中哪个域包含数据的情况下查找目录信息
这使得目录树中所有其他域中具有适当凭据的用户和计算机可以使用目录树所有域中的所有对象
这对于形成交叉链接信任关系是非常重要的
网络 通过大大减少需管理的委托关系数量，这将在很大程度上简化域的管理
网络 默认情况下，不传递信任关系是单向的，尽管也可以通过创建两个单向信任关系创建一个双向关系
默认情况下，域目录树或林中的所有 Windows 2000 信任关系都是传递的
默认情况下，所有不传递信任关系都是单向的