Windows 2000活動目錄的功能簡述

微軟在Windows NT Server 4.0中就已經貫徹了目錄服務的思想。NT的"域（domain ）"的概念是目錄服務的一個基本單元。"一次登入，Single Logon"在Windows NT Server 的環境下有了具體的應用，比如Internet Information Server、Exchange Serv er、SQL Server等都可以與Windows NT Server的帳號驗證整合起來，使用者一次登入就可以獲得Web、Email和資料庫等多種多樣的網路服務。

Windows 2000 Server在Windows NT Server 4.0的基礎上，進一步發展了"活動目錄（Active Directory）"。活動目錄充分體現了微軟產品的"ICE"，即整合性（Inte gration），深入性(Comprehensive)，和易用性(Ease of Use)等優點。活動目錄是一個完全可擴充，可伸縮的目錄服務，既能滿足商業ISP的需要，又能滿足企業內部網和外連網的需要。

活動目錄的由來

活動目錄是從一個資料存放區開始的。它採用的是Exchange Server的資料存放區，稱為：Extens ible Storage Service （ESS）。其特點是不需要事先定義資料庫的參數，可以做到動態地增長，效能非常優良。這個資料存放區之上已建立索引的，可以方便快速地搜尋和定位。活動目錄的分區是"域（Domain）"，一個域可以儲存上百萬的對象。域之間還有層次關係，可以建立域樹和域森林，無限地擴充。

在資料存放區之上，微軟建立了一個物件模型，以構成活動目錄。這一物件模型對LDAP有純粹的支援，還可以管理和修改Schema。Schema包括了在活動目錄中的電腦、使用者和印表機等所有對象的定義，其本身也是活動目錄的內容之一，在整個域森林中是唯一的。通過修改Schema的工具，使用者或開發人員可以自己定義特殊的類和屬性，來建立所需要的對象和對象屬性。

活動目錄包括兩個方面：一個目錄和與目錄相關的服務。目錄是儲存各種對象的一個物理上的容器；而目錄服務是使目錄中所有資訊和資源發揮作用的服務。活動目錄是一個分布式的目錄服務。資訊可以分散在多台不同的電腦上，保證快速存取和容錯；同時不管使用者從何處訪問或資訊處在何處，都對使用者提供統一的視圖。

活動目錄的整合性(Integration)

微軟的活動目錄生動了結合了三個方面的管理內容：使用者和資源管理、基於目錄的網路服務，和基於網路的應用管理。而且活動目錄廣泛地採納了Internet標準，把眾多的Internet服務都整合在一起，提供了革命性的價值。

目錄管理的基本對象是使用者和電腦，還包括檔案、印表機等資源。舉例來說，使用者物件的屬性非常豐富，不但有常見的帳號名、口令等，還包括郵件信箱和個人首頁地址、在公司中的職位關係等，可以在活動目錄中右鍵點擊使用者物件發送郵件和訪問其個人首頁等。其職位關係可以在公司的內部網上有Web組織圖的方式動態地顯示出來，也可以為內部採購、費用報銷等應用程式利用來實施商務邏輯。在活動目錄中，支援全域性的尋找，比如尋找在整個網路中的雙面列印的彩色印表機等。

活動目錄徹底地採用了Internet標準協議，比如使用者帳號可以用User@bj.yourcom.com或User@yourcom.com的捷徑來表徵，來登入網路等。在此bj.yourcom.com和yourcom.com就是兩個不同的域。但是這兩個域之間有信任關係，因為y ourcom.com是一個根域，bj.yourcom.com是一個子域。子域之下還可以有子域，比如sales. bj.yourcom.com，相互之間都是可傳遞的信任關係，構成一棵域樹。如果你的公司兼并了一家其他的公司，你的域樹可以和它們的域樹hiscom.com建立起整個的域森林來。DNS (domain name servic e)在此充當了名字解析的功能，我們建議使用與活動目錄集成的DNS Server，來保證動態更新網域名稱和更好的複製能力。整個域森林的所有對象，只要安全性管理許可，都可以用LDAP協議訪問到。

在當今的Internet時代，微軟活動目錄這種基於Internet標準的做法，給使用者帶來了幾乎無窮盡的益處。活動目錄集成了關鍵服務，如DNS、MSMQ（訊息佇列服務）；整合了關鍵應用，如電子郵件、網管、ERP等；整合了關鍵資料訪問，如ADSI、OLE DB等；還整合了關鍵的安全性，如Kerberos第五版本和公開密鑰基礎設施等。

基於活動目錄的網路基礎設施服務(Directory-Enabled Networking, DEN)是微軟和思科公司共同提出來的，旨在提高網路可管理性和提高網路服務品質的倡議。在Windows 2000活動目錄中，可以做到根據不同的使用者或應用程式指派網路頻寬等進階的網路管理工作，以及支援ATM網路和QoS協議等。

基於活動目錄的應用服務(Directory-Enabled Application)是在Windows 2000平台上的新一代的應用程式。應用開發員可以擴充活動目錄的Schema 和 UI，通過ADSI/ADO編程，在活動目錄中發布service 綁定資訊，通過Group Policy配置應用程式，進行Just In Ti me應用下載和應用改變的自動通知等。比較典型的一個基於目錄的應用的例子，是NetMeeting。在活動目錄的環境中，你只要在NetMeeting中敲入同事的Email別名，就可以通過活動目錄中的定位服務，與其進行對話和案頭協作等，非常方便。