3.1 Active Directory服务配置 二、Active Directory目录服务
数据存储：即目录，存储着与Active Directory对象有 关的信息，这些对象包括共享资源，如服务器、文 件、打印机、网络用户和计算机账户 架构：即一套规则，定义了包含在目录中的对象类 和属性以及这些对象实例的约束和限制及其名称的 格式 目录中每个对象信息的全局编录：允许用户和管理 员查找目录信息，而与目录中实际包含数据的域无 关 查询和索引机制：是网络用户或应用程序能够发布 并查找这些对象及其属性
活动目录用户账户：用于验证用户身份、指派 用户的访问权限；用户必须使用特定帐户登录 到特定的计算机和域；登录到网络的每个用户 应有自己的唯一账户和密码；用户帐户也可用 作某些应用程序的服务账户 添加用户帐户：为获得用户验证和授权的安全 性，通过[活动目录用户和计算机]控制台为加 入网络的每个用户帐户创建单独的用户帐户， 每个用户帐户又可以添加到Windows 2000组， 以控制指派给账户的权限
3.1 Active Directory服务配置 二、Active Directory目录服务
通过网络发布目录数据的复制服务：对目录数 据所作的任何修改都被复制到域中的所有域控 制器（同步机制） Active Directory目录服务与网络安全登录过程 的安全子系统集成 对目录数据查询和数据修改的访问控制 Active Directory特性
添加组和组的成员：类似于添加用户帐户
3.2 Active Directory管理 四、管理组织单位
组网技术 目录服务与证书服务
第三章 目录服务和证书服务
Active Directory及其配置
Active Directory目录服务 Active Directory结构 Active Directory管理工具及其安装配置
Active Directory的基本管理 通过组策略集中配置Windows 2000网络 Windows 2000证书服务
3.1 Active Directory服务配置 六、设置Active Directory客户
活动目录客户：是连接到活动目录网络的计算 机所用的网络客户软件，使用活动目录客户配 置的计算机可以通过定位域控制器登录到网络
Win 9x+附加的活动目录客户软件 Win 2000系列、Windows XP Windows 2000 Server安装光盘上client目录中包含 dsclient.exe的活动目录客户软件 要登录到活动目录网络，活动目录客户必须首先 为它们所在的域定位活动目录域控制器，活动目 录客户要将DNS名称查询发送到相应的DNS服务 器
3.2 Active Directory管理 二、管理活动目录用户和计算机账户
添加用户帐户
打开[活动目录用户和计算机]控制台 右击要添加用户的域或组织单元，选择[新建] [用户] 在打开的对话框中设置帐户基本信息 输入用户的姓名信息 在[登录用户名]中输入用户用户登录的名称 如果用户使用不同的名称从运行Windows NT/9X的计算机 登录，则把显示在[用户登录名（Windows 2000以前版本）] 中的用户登录名称改为不同的名称 单击[下一步]设置密码及其它账户选项




3.1 Active Directory服务配置 三、Active Directory目录结构
域树林：包括多个域树；树林中的域树不连成相互邻接的名 字空间；树林也有根域，它是树林中创建的第一个域；树林 中所有域树的根域与树林的根域能够建立可传递的信任关系
添加计算机账户：基本同上
3.2 Active Directory管理 三、管理组
组：是可以包含用户、联系人、计算机和其它组的 活动目录对象或本机对象；与组相反，组织单元用 于在单个域中创建对象集，但是不授予成员身份； 组织单元及其所包含的对象的管理可委派给单独的 管理员或组 安全（Security）组：用于将用户、计算机和其它组 收集到可管理的单位中，为资源指派权限时，管理 员应将权限指派给安全组而不是个别用户 发布（Distribute）组：只能用作电子邮件的通信组， 不能用于筛选组策略设置，不具备安全功能
信息安全性：安全性完全与活动目录集成。不仅 可以在目录中的每个对象上而且可以在每个对象 的属性上定义访问控制。
3.1 Active Directory服务配置 二、Active Directory目录服务
Active Directory特性
基于组策略的管理 可扩展性 可伸缩性：活动目录包含一个或多个域，每个域具有一个 或多个域控制器，可以调整目录的规模以满足任何网络的 需要；多个域可以合并为域树，多个域树可以合并为树林 信息的复制：复制目录提供了信息的可用性、容错、负载 平衡和性能优势 与DNS集成：活动目录具有与DNS相同的层次结构，DNS 区域可存储在活动目录中，而活动目录客户则可以利用 DNS来定位域控制器 与其他目录服务的互操作性 灵活的查询
3.1 Active Directory服务配置 五、Active Directory的规划和安装
安装域控制器：使用活动目录向导可以在独立 服务器上安装域控制器，或者将成员服务器升 级为域控制器，也可以把域控制器降级为成员 服务器
创建新的域 创建现有域的额外域控制器 创建一个新的域目录树 在现有域目录树中创建一个新的子域 创建新的域目录树林 把新的域目录树放入现有的目录树林中
3.2 Active Directory管理 一、主要Active Directory对象
计算机：Windows NT/2000/XP计算机的账户 联系人：个人信息记录，姓名、电子邮件等 组（Group）：某些用户、联系人和计算机的 分组 组织单元：把域细分的活动目录容器 打印机 共享文件夹
3.2 Active Directory管理 二、管理活动目录用户和计算机账户
3.1 Active Directory服务配置 三、Active Directory目录结构
典型的树状结构，自上而下，依次为域树林 域树 域 组 织单元，设计时一般自上而下设计 域：是活动目录的基本单位，每个域都是一个安全界限，安 全策略及其设置不能跨越不同的域；每个域仅存处该域中各 个对象的相关信息；域中所有对象存储在多个域控制器下； 目录中的每个域用DNS域名标识，并需要一个或多个域控制 器
活动目录管理工具只能在可访问Win2000域的计算机 中使用；在Win2000域控制器上可以使用的管理工具 有三种，如果希望在非域控制器的计算机远程使用 活动目录管理工具，必须安装管理工具
活动目录用户和计算机 活动目录域和信任 活动目录站点和服务
可通过管理控制台（MMC-Microsoft Management Console）自定义管理工具
3.1 Active Directory服务配置 一、目录服务
目录是存储有关网络上对象信息的一种层次结 构；而目录服务提供了存储和管理目录数据的 方法 利用目录服务集中管理网络资源，从而减轻网 络管理元的负担，提高管理效率 Windows 2000的Active Directory（活动目录） 就是一种超级目录服务 基于Active Directory的组策略是实现集中管理 和配置Windows2000系统的管理工具
3.1 Active Directory服务配置 五、Active Directory的规划和安装
域控制器的删除和降级：如果该域包含子域不能将 其删除；如果该域控制器是域中的最后一个域控制 器，那么降级这个域控制器将会使该域从树林中删 除；如果这个域控制器是树林中的最后一个域，那 么降级这个域控制器也将删除树林 更改模式：Win2000域控制器默认为混合模式，允许 Win NT和Win2000备份域控制器存在于同一个域中， 只有从域中删除所有的Win NT域控制器时，与模式 才能更改为本地模式；在本地模式下，所有的域控 制器都升级到Win2000，而且域控制器已启用本机模 式操作；只能把模式从混合模式改为本机模式
3.1 Active Directory服务配置 六、设置Active Directory客户
让计算机加入域：以Windows 2000Professional为例
确认能够连接到活动目录域控制器所在计算机 把DNS服务器设置为能够解析活动目录域控制器域名的 DNS服务器IP地址（在单域网中通常就是域控制器本身） 右击[我的电脑] [属性] [网络标识] [属性] 在[隶属于] 区域中选择[域] 输入域名 [其它]按钮 输入此计算机的 DNS后缀（本机域名）并选中[在域成员身份变化时，更改 主DNS后缀] 连接确定后，输入与用户名和密码，单击[确定] 重新启动 如果要退出活动目录域，只需将该域成ectory服务配置 三、Active Directory目录结构
组织单元：是可以把用户、组、计算机和其它单位放入其中 的活动目录容器，但是不能包含来自其它域的对象；组织单 元是指派组策略设置或委派管理权限的最小单位 域树：可以把多个域合成为一个域树；其中第一个域称作根 域，同一域树中的其它域称为子域
从控制台中选择[添加/删除管理单元] 可以把控制台设置保存到文件中，以便下次使用
3.1 Active Directory服务配置 五、Active Directory的规划和安装
服务器角色
域控制器：存储目录数据并管理用户域的交互，其中包括 用户登录过程、身份验证和目录搜索；为获得高可用性和 容错能力，使用单个局域网的小单位可能只需要一个具有 两个域控制器的域，具有多个网络位置的大型企业在每个 位置都需要一个或多个域控制器；域控制器是整个域的核 心，承担主要的管理任务，负责处理用户和计算机的登录 成员服务器：是域中非域控制器的Win2000服务器，一般 用作文件服务器、应用服务器、数据库服务器、Web服务 器、证书服务器、防火墙和远程访问服务器；它不负责处 理账户登录过程，不参与活动目录复制，不存储安全策略 信息，与其它域成员一样，成员服务器服从站点、域或组 织单元定义的组策略，同时也包含本地安全账户数据库 独立服务器：作为工作组成员安装