活动目录术语表整理：A访问控制（access control）--登录计算机或网络权限的管理。

ACE--参见"访问控制条目"。

访问控制条目(access control entry，简称ACE) --每一个ACE包括一个安全标识符(SID)，这个标识符标识这个ACE的应用对象（用户或小组）以及允许或者拒绝访问的ACE信息的类型。

访问控制表(access control list，简称ACL) --用来定义用户/工作组与文件、目录或其他资源相关的访问权限的一组数据。

在活动目录服务中，一个ACL是一个存储访问权限与被保护对象相互之间关系的列表。

在Windows NT?操作系统中，一个ACL作为一个二进制值保存，称之为安全描述符。

ACL--参见"访问控制列表"。

活动目录-- Windows? 2000支持的一种结构，这种结构可以跟踪和定位网络上任意一个对象。

活动目录是Windows 2000服务器中使用的目录服务，为Windows 2000分布式网络提供基础。

活动目录服务接口(Active Directory Service Interface，简称ADSI)--基于组件对象模型（COM）的客户端软件。

ADSI定义了一个目录服务模型和一组COM接口，通过这些接口可以使Windows NT 和Windows 95客户端应用程序访问一些网络目录服务，包括活动目录服务。

ADSI允许应用程序与活动目录进行通信。

ADSI提供目录服务客户端通过使用一组接口与任何提供ADSI实现的名字空间进行交流的方法。

ADSI客户端通过使用ADSI替代与网络相关的应用程序编程接口（API）调用，从而获得访问名字空间服务的更简单的方法。

ADSI 遵守并且支持标准的COM特征。

ADSI也定义了可以从自动兼容软件，例如Java、Visual Basic、Visual Basic Scripting Edition（VBScript），来访问的接口和对象，这同样可以应用到非自动兼容语言，例如C和C++，通过这个特性可以增强性能。

此外，ADSI提供它自己的OLE数据库提供者，并且可以完全支持任何客户端已经使用的OLE数据库，包括那些使用ActiveX? 技术的。

ADSI--参见活动目录服务接口"。

属性（attribute）--对象的单一属性。

对象通过它们的属性值进行描述。

例如，可以用属性这样来定义一辆车：制造商、模型、颜色等等。

属性这个术语和特性这个词可以相互使用，它们使完全一样的。

属性也是用来描述对象的数据项，这些对象通过模式中定义的类来表现的。

在模式中，属性和类使分开定义的；这样使得一个属性可以在多个类中使用。

参见"对象"。

授权（authentication）--确定用户的身份，即确定究竟是谁登录到计算机系统中的，或确定事物的完整性。

B备份域控制器(backup domain controller，简称BDC) --在Windows NT Server 4.0或早期的域中，运行Windows NT Server的计算机接受包括域中所有帐户和安全策略信息的目录的拷贝。

这份拷贝信息周期性并且自动的与主域控制器中的主备份进行同步。

备份域控制器也可以确认用户并且配置成为象PDC类似的功能。

一个域上可以有多个备用域控制器。

在Windows 2000域中，备份域控制器是不需要；所有域控制器是对等的，都可以维护目录。

当Windows NT 4.0和Windows NT 3.51备份域控制器运行在混合模式下时，可以与Windows 2000域进行交流。

参见"域控制器和主域控制器"。

C容器（container）--一种特殊的活动目录对象类型。

容器与其他的活动目录对象一样具有属性，并且它是活动目录名字空间中的一部分。

但是，与其他对象不同的是，它没有具体的表现形式。

容器中可以包括一组对象和其他容器。

参见"对象"。

D数据库层（database layer）--一种活动目录的体系结构层次，通过将应用程序编程接口提供给目录系统代理（Directory System Agent，简称DSA）层防止对扩展存储引擎（Extensible Storage Engine，简称ESE）直接的访问，它可以将活动目录服务的上层与低层的数据库系统隔离开来。

委托（delegation）--允许更高层的管理机构将对容器和子树特定的管理权利授予给个人和组织。

这样可以更加有利于域名管理员进行管理。

访问控制条目（Access control entry，简称ACE）可以将容器中对象的管理权利授予给用户或小组。

通过容器的访问控制列表（Access Control List，简称ACL）可以在特定的对象类上给予特定的操作。

例如，为了允许用户"James Smith"成为"公司帐户"的管理员，您将在ACL中增加如下的ACE："James Smith"; Grant; Create, Modify, Delete; Object-Class User"James Smith"; Grant; Create, Modify, Delete; Object-Class Group"James Smith"; Grant; Write; Object-Class User; Attribute Password现在James Smith可以在公司帐户中创建新的用户和小组，同时还可以已有用户设置密码，但是他不能创建任何对象类，也不能操作其他容器（除非他被授予了对其他容器管理的权利）中的用户。

目录（directory）--一种存储网络信息的层次结构。

目录服务（directory service）--例如活动目录，提供存储目录数据并且使它可以被网络用户和管理员访问的方法。

例如，活动目录存储有关用户帐号的信息，例如姓名、密码、电话号码等等，同时还可以使同一网络中的其他授权用户访问这些信息。

参见"活动目录，目录分区"。

目录激活网络（directory-enabled networking，简称DEN）--从存储有关用户、应用程序和网络资源的中心管理网络元素，例如路由器、应用程序和用户。

目录分区（directoy partition）--目录的相邻子树，它形成目录的一个复制单元。

一个指定的复制经常使一些目录分区的拷贝。

活动目录由一个或多个目录分区组成。

在活动目录中，一个服务器经常有至少三个目录分区。

模式配置（拓扑结构和相关元数据的拷贝）一个或多个每域目录分区（子树包括目录中的实际对象）有关模式和配置被拷贝到指定森林中的每一个域控制器中。

而域目录分区只拷贝到相应的域控制器中。

可分辨的名称（distinguished name）--确定包含对象的域以及通过这个对象可以到达的完整路径。

活动目录中每一个对象有唯一的可分辨的名称(DN)，一个典型的可分辨的名称(DN)可以是：CN=JamesSmith,CN=Users,DC=Microsoft,DC=Com. 这个名字确定了域中的"James Smith" 的用户对象。

DNS --参见"域名系统（Domain Name System）"。

域（domain）--基于Windows NT的计算机网络的安全边界。

活动目录由一个或多个域组成。

在一个独立的工作站上，域就是计算机自身。

域可以跨越多个物理区域。

每一个域都有自己的安全策略和与其他域的安全关系。

当多个域通过信任关系连接起来，并且共享一个模式、配置和全局目录的时候，它们组成一个域树。

多个域树可以组成一个森林。

参见"域控制器，局部域小组"。

域控制器(domain controller)--一个基于Windows NT的服务器拥有一个活动目录分区。

参见"域"。

局部域小组(domain local group)--可以包含森林、通用小组和本域中的其他局部小组中的用户和全局小组。

一个局部域小组只能在本域的ACL中使用。

参见"域、森林"。

域名系统（Domain Name System，简称DNS）--一种层次分布式数据库，用来进行域名/地址转换。

域名系统是Internet上使用的名字空间，用来将计算机和服务名称转换成为TCP/IP 地址。

活动目录在它的定位服务中使用DNS，以便客户端可以通过DNS查询找到域控制器。

E可扩充存储引擎（Extensible Storage Engine，简称ESE）--活动目录数据库引擎。

ESE （Esent.dll）是Jet数据库的改进版本，在Microsoft Exchange 服务器4.x和5.5版本中使用。

它实现一种事务处理数据库系统，也就是说它使用日志文件来确保提交的事务是安全的。

F森林（forest）--相互信任的一个或多个活动目录树形成的小组。

森林中的所有树共享一个模式、配置和全局目录。

当一个森林包括多个树的时候，所有的树不是形成连续的名字空间。

给定森林中的所有树通过信任关系的双向传递相互彼此信任。

与树不同的是，森林不需要一个可分辨的名称(DN)。

森林作为一组交叉引用的对象和成员树之间的信任关系而存在。

森林中的树形成一层次信任关系。

参见"树，全局目录"。

G全局目录（global catalog，简称GC）--全局目录包括目录中每一个Windows 2000域的复制。

全局目录允许用户和应用程序在活动目录域树中寻找给定一个或多个属性的目标对象。

它还包括目录分区的模式和配置。

这就是说全局目录拥有活动目录中每一个对象的复制，但是只包括每一个对象的一部分属性。

活动目录中的属性都是一些在查询中经常使用的（例如用户的姓、名、登录名称等等）和那些在定位对象的完全复制时需要使用的。

GC允许用户在不知道对象属于哪个域以及不需要连续扩展名字空间时对它们进行查找。

全局目录通过活动目录复制系统自动创建。

GC --参见"全局目录"。

全局目录服务器--是一个Windows 2000域控制器，它包括一份森林全局目录的拷贝。

参见"全局目录"。

全局小组(global group)--可以出现在任何森林中的ACL中，并且可以包括来自本域中的用户和其他全局小组。

小组--参见"全局小组，局部域小组，通用小组和组策略"。

组策略(Group Policy)--指将策略应用到活动目录容器中的计算机组和/或用户。