网络基础架构公司现用的网络结构如下Internet所有客户端都处于工作组状态根据现有环境状况来看存在以下危害：●不能对外提供Web、FTP之类的服务●账号管理困难●安全性差，易受攻击或入侵●可管理、可维护性差需求分析域环境可以解决存在系统危害问题1、权限管理比较集中，管理成本大大下降。

. 域环境，所有网络资源，包括用户，均是在域控制器上维护，便于集中管理。

所有用户只要登入到域，在域内均能进行身份验证，管理人员可以较好的管理计算机资源，管理网络的成本大大降低。

防止公司员工在客户端乱装软件, 能够增强客户端安全性、减少客户端故障，降低维护成本。

2、安全性加强。

有利于企业的一些保密资料的管理,比如说某个盘某个人可以进，但另一个人就不可以进；哪一个文件只让哪个人看；或者让某些人可以看,但不可以删/改/移等，可以封掉客户端的USB端口，防止公司机密资料的外泄。

使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。

当客户机故障时，只需使用其他客户机安装相应软件以用户帐号登录即可，用户会发现自己的文件仍然在“原来的位置”（比如，我的文档），没有丢失，从而可以更快地进行故障修复。

卷影副本技术可以让用户自行找回文件以前的版本或者误删除的文件（限保存过的32个版本）。

在服务器离线时（故障或其他情况），“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作，并在注销或登录系统时与服务器上的文件同步，保证用户的工作不会被打断。

方便用户使用各种资源。

可由管理员指派登录脚本映射分布式文件系统根目录，统一管理。

用户登录后就可以像使用本地盘符一样，使用网络上的资源，且不需再次输入密码，用户也只需记住一对用户名/密码即可。

并且各种资源的访问、读取、修改权限均可设置，不同的账户可以有不同的访问权限。

即使资源位置改变，用户也不需任何操作，只需管理员修改链接指向并设置相关权限即可，用户甚至不会意识到资源位置的改变，不用像从前那样，必须记住哪些资源在哪台服务器上。

SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。

并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。

Active Directory工作原理和优点活动目录Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。

Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

Active Directory使用目录形式的数据存储目录包含了有关各种对象(用户、用户组、计算机、域、组织单位（OU）以及安全策略) 的信息。

这些信息可以被发布出来，以供用户和管理员的使用。

目录存储在被称为域控制器的服务器上，并且可以被网络应用程序或者服务所访问。

一个域可能拥有一台以上的域控制器。

每一台域控制器都拥有它所在域的目录的一个可写副本。

对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。

由于目录可以被复制，而且所有的域控制器都拥有目录的一个可写副本，所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。

-这样就可以解决了用户资源安全有三种类型的目录数据会在各台域控制器之间进行复制：●域数据域数据包含了与域中的对象有关的信息。

一般来说，这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息，管理员和用户可能都会对这些信息感兴趣。

例如，在向网络中添加了一个用户帐户的时候，用户帐户对象以及属性数据便被保存在域数据中。

如果您修改了组织的目录对象，例如创建、删除对象或者修改了某个对象的属性，相关的数据都会被保存在域数据中。

●配置数据配置数据描述了目录的拓扑结构。

配置数据包括一个包含了所有域、域树和森林的列表，并且指出了域控制器和全局编录所处的位置。

●架构数据架构是对目录中存储的所有对象和属性数据的正式定义。

Windows Server 2003提供了一个默认架构，该架构定义了众多的对象类型(用户和计算机帐户、组、域、组织单位以及安全策略)。

管理员和程序开发人员可以通过定义新的对象类型和属性，或者为现有对象添加新的属性，从而对该架构进行扩展。

架构对象受访问控制列表（ACL）的保护，这确保了只有经过授权的用户才能够改变架构。

Active Directory和安全性安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。

通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。

基于策略的管理则简化了网络的管理，即便是那些最复杂的网络也是如此。

Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。

因为Active Directory不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需的权限。

例如，在用户登录到网络上的时候，安全系统首先利用存储在Active Directory中的信息验证用户的身份。

然后，在用户试图访问网络服务的时候，系统会检查在服务的自由访问控制列表（DCAL）中所定义的属性。

因为Active Directory允许管理员创建组帐户，管理员得以更加有效地管理系统的安全性。

Active Directory 的架构Active Directory的架构（Schema）是一组定义，它对能够存储在Active Directory中的各种对象——以及有关这些对象的各种信息——进行了定义。

因为这些定义本身也作为对象进行存储，Active Directory可以像管理目录中的其它对象一样对架构对象加以管理。

架构中包括了两种类型的定义：属性和分类架构的扩展网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。

架构的内容由充当架构操作主控角色的域控制器进行控制。

架构的副本被复制到森林中的所有域控制器上。

这种共用架构的使用方式确保了森林范围内的数据完整性和一致性。

此外，您还可以使用“Active Directory架构”管理单元对架构加以扩展。

为了修改架构，您必须满足以下三个要求：成为“Schema Administrators”（架构管理员）组的成员，在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元，拥有修改主控架构所需的管理员权限，在考虑对架构进行修改时，必须注意以下三个要点：●架构扩展是全局性的在您对架构进行扩展的时候，您实际上扩展了整个森林的架构，因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。

●与系统有关的架构分类不能被修改您不能修改Active Directory架构中的默认系统分类；但是，用来修改架构的应用程序可能会添加可选的系统分类，您可以对这些分类进行修改。

●对架构的扩展不可撤销某些属性或者分类的属性可以在创建后修改。

在新的分类或者属性被添加到架构中之后，您可以将它置于非激活状态，但是不能删除它。

但是，您可以废除相关定义并且重新使用对象标识符（OID）或者显示名称，您可以通过这种方式撤销一个架构定义。

Active Directory不支持架构对象的删除；但是，对象可以被标记为“非激活”，以便实现与删除同等的诸多益处。

五种角色的作用1、森林级别(即一个森林只存在一台DC有这个角色):(1)、Schema Master中文翻译成:架构主控作用：修改活动目录的源数据。

(2)、Domain Naming Master中文翻译成:域命名主控作用：这也是一个森林级别的角色，它的主要作用是管理森林中域的添加或者删除2、域级别(即一个域里面只存一台DC有这个角色):(1)、PDC Emulator 中文翻译成:PDC仿真器作用：处理密码验证要求，统一域内的时间，向域内的NT4 BDC提供复制数据源，统一修改组策略的模板，对Winodws 2000以前的操作系统，如WIN98之类的计算机提供支持(2)、RID Master 中文翻译成:RID主控作用：分配可用RID池给域内的DC和防止安全主体的SID重复(3)、Infrastructure Master 中文翻译成:基础架构主控作用：用来更新组的成员列表全局编录的角色全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。

此外，全局编录还存储了每个对象最常用的一些可搜索的属性。

全局编录存储了它所在域的所有目录对象的完整副本，以及森林中其它域中所有目录对象的部分副本，所以您不必咨询域控制器即可实施有效的搜索操作。

全局编录在森林中最初的一台域控制器上自动创建。

您可以为任何一台域控制器添加全局编录功能，或者将全局编录的默认位置修改到另一台域控制器上。

全局编录担当了以下目录角色：查找对象全局编录允许用户搜索森林所有域的目录信息，而不管数据存储在何处。

森林内部的搜索可以利用最快的速度和最小的网络流量得以执行。

在您从“开始”菜单搜索人员或打印机，或者在某个查询的内部选择了“整个目录”选项的时候，您就是在对全局编录进行搜索。

在您输入搜索请求之后，请求便会被路由到默认的全局编录端口3268，以便发送到一个全局编录进行解析。

提供了根据用户主名的身份验证。

在进行身份验证的域控制器不知道某个账户是否合法时，全局编录便可以对用户的主名进行解析。

在多域环境下提供通用组的成员身份信息。

和存储在每个域的全局组成员身份不同，通用组成员身份仅仅保存在全局编录之中（在属于一个通用组的用户登录到一个被设置为Windows 2000本机域功能级别或者更高功能级别的域的时候，全局组将为用户账户提供通用组的成员身份信息）。

如果在用户登录到运行在Windows 2000本机或者更高级别中的域的时候，某个全局编录不可用并且用户先前曾经登录到该域，计算机将使用缓存下来的凭据让用户登录。

如果用户以前没有在该域登录过，用户将仅仅能够登录到本地计算机。

查找目录信息Active Directory的主要益处就在于它能够存储有关网络对象的丰富信息。

在Active Directory中发布的有关的用户、计算机、文件和打印机的信息可以被网络用户所使用。

这种可用性能够通过查看信息所需的安全权限加以控制。

网络上的日常工作涉及用户彼此之间的通信，以及对已发布资源的连接和访问。

这些工作需要查找名称和地址，以便发送邮件或者连接到共享资源。