【精編推薦】Windows活動(dòng)目錄詳解綜合知識(shí)

1、【精編推薦】Windows活動(dòng)目錄詳解綜合知識(shí)Windows 2000活動(dòng)目錄詳解Windows 2000活動(dòng)t|錄詳解之基礎(chǔ)篇我們知道WIN2K系統(tǒng)最大的突破性和成功之一就在于它全新引入的“活動(dòng) U錄（Active Directory）服務(wù)X使得WIN2K系統(tǒng)與Internet上的各項(xiàng)服務(wù)和協(xié) 議更加聯(lián)系緊密，因?yàn)樗鼘?duì)U錄的命名方式成功地與,，域名“的命名方式一致，然后通過DNS進(jìn)行解 析，使得與在Internet上通過WINS解析取得一致的效果。活動(dòng)U錄也說明了 Microsoft在網(wǎng)絡(luò)結(jié)構(gòu)方面的策略轉(zhuǎn)移，雖然在以前NT時(shí)代也有部分產(chǎn)品（如EXCHANGE SERVER> ns等）提

2、供過類似于活動(dòng)U錄的服務(wù)，然而活動(dòng)U錄作為一個(gè)全新的綜合服務(wù) 方式是在WIN2K的誕生后隨之而來的?；顒?dòng)U錄的身影似乎在整個(gè)WIN2K系統(tǒng)中無處不在。然而要真正 了解“活動(dòng)U錄"的方方面面乂談何容易，下面就想通過一些通俗的講解花兒個(gè)篇 章對(duì)活動(dòng)U錄的各主要方面作一詳盡的分析，希望對(duì)那些對(duì)WIN2K的活動(dòng)U錄還存有畏懼心理的 新手一個(gè)全面認(rèn)識(shí)的機(jī)會(huì)。一. 活動(dòng)U錄的山來談到活動(dòng)U錄最使人容易想起的就是DOS下的“U錄”、“路徑”和 Windows9X/ME下“文件夾"，那個(gè)時(shí)候的“U錄"或“文件夾F又代表一個(gè)文件存在 磁盤上的位置和層次關(guān)系，一個(gè)文件生成之后相對(duì)來說

3、這個(gè)文件的所在U錄也就固定了（當(dāng)然可以刪 除、轉(zhuǎn)移等，現(xiàn)在不考慮這些人也就是說它的屬性也就相對(duì)固定了，是靜態(tài)的。 這個(gè)U錄所能代表的僅是這個(gè)U錄下所有文件的存放位置和所有文件總的大小，并不能得出其它 有關(guān)信息，這樣就影響到了整體使用U錄的效率廠也就是影響了系統(tǒng)的整體效率, 使系統(tǒng)的整個(gè)管理云得復(fù)雜。因?yàn)闆]有相互關(guān)聯(lián)，所以在不同應(yīng)用程序中同一對(duì)象要進(jìn)行多次配 置，管理起來相當(dāng)繁鎖，影響了系統(tǒng)資源的使用效率。為了改變這種效率低下的 關(guān)系和加強(qiáng)與Internet上有關(guān)協(xié)議的關(guān)聯(lián)，Microsoft公司決定在WIN2K中全面改革，也就是 引入活動(dòng)U錄的概念。理解活動(dòng)U錄的關(guān)鍵就在于“活動(dòng)”兩個(gè)字，千萬

4、不要將“活 動(dòng)"兩個(gè)字去掉而僅僅從“LI錄"兩個(gè)字去理解，那你我理來理去一定還是不能脫離原來在DOS 下U錄或Windows9x下的文件夾，正因?yàn)檫@個(gè)U錄是活動(dòng)的，所以它是動(dòng)態(tài)的， 它是一種包含服務(wù)功能的U錄，它可以做到“山此及彼，啲聯(lián)想、映射，如找到了一個(gè)用戶名，就可聯(lián) 想到它的賬號(hào)、出生信息、E-maiK電話等所有基本信息，雖然組成這些信息的 文件可能不在一塊。同時(shí)不同應(yīng)用程序之間還可以對(duì)這些信息進(jìn)行共學(xué)，減少了系統(tǒng)開發(fā)資源的 浪費(fèi)，提高了系統(tǒng)資源的利用效率。活動(dòng)U錄包括兩個(gè)方面：tl錄和與tl錄相關(guān)的服務(wù)。U錄是存儲(chǔ)各種對(duì)象的 一個(gè)物理上的容器，從靜態(tài)的角度來理解這活

5、動(dòng)U錄與我們以前所結(jié)識(shí)的“口錄"和“文件夾”沒有本質(zhì)區(qū)別，僅僅是一個(gè)對(duì)象，是一實(shí)體；而U錄服務(wù)是使U錄中所有信息和資 源發(fā)揮作用的服務(wù)，活動(dòng)目錄是一個(gè)分布式的目錄服務(wù)，信息可以分散在多臺(tái)不 同的計(jì)算機(jī)上，保證用戶能夠快速訪問，因?yàn)槎嗯_(tái)機(jī)上有相同的信息，所以在信息容氏方面具有很 強(qiáng)的控制能力，正因如此，不管用戶從何處訪問或信息處在何處，都對(duì)用戶提供 統(tǒng)一的視圖。二. 相關(guān)名詞術(shù)語雖然活動(dòng)U錄中用到的許多技術(shù)在其他軟件產(chǎn)品中也已經(jīng)出現(xiàn)過，但作為全 面的整體網(wǎng)絡(luò)方案還是首次亮相，其中有許多名詞或術(shù)語或許是聞所未聞的，所 以有必要詳細(xì)了解一下活動(dòng)U錄的有關(guān)名詞或術(shù)語。1、名字空間：從本質(zhì)上講

6、，活動(dòng)U錄就是一個(gè)名字空間，我們可以把名字 空間理解為任何給定名字的解析邊界，這個(gè)邊界就是指這個(gè)名字所能提供或關(guān) 聯(lián)、映射的所有信息范通俗地說蠹戈們?cè)诜?wù)器上通過查找一個(gè)對(duì)象可以查到的所有關(guān)聯(lián)信息 總和，如一個(gè)用戶，如果我們?cè)诜?wù)器已給這個(gè)用戶定義了講如：用戶名、用戶 密碼.工作單位、聯(lián)系電話、家庭住址等，那上面所說的總和廣義上理解就是“用戶"這個(gè)名字的名 字空間，因?yàn)槲覀冎惠斎胍粋€(gè)用戶名即可找到上面我所列的一切信息。名字解析 是把一個(gè)名字翻譯成該名字所代表的對(duì)象或者信息的處理過程。舉例來說，在一個(gè)電話U錄形成 一個(gè)名字空間中，我們可以從每一個(gè)電話戶頭的名字可以被解析到相應(yīng)的電話號(hào)

7、碼，而不是象現(xiàn)在一樣名字是名字，號(hào)碼歸號(hào)碼，根本不能橫向聯(lián)系。Windows操作系統(tǒng)的文件 系統(tǒng)也形成了一個(gè)名字空間，每一個(gè)文件名都可以被解析到文件本身（包含它應(yīng) 有的所有信息九2、對(duì)象：對(duì)象是活動(dòng)U錄中的信息實(shí)體，也即我們通常所見的“屬性，3但 它是一組屬性的集合，往往代表了有形的實(shí)體，比如用戶賬戶、文件名等。對(duì) 象通過屬性描述它的基本特征，比如，一個(gè)用戶賬號(hào)的屬性中可能包括用戶姓名、電話號(hào)碼、電 子郵件地址和家庭住址等。3、容器：容器是活動(dòng)U錄名字空間的一部分，與U錄對(duì)象一樣，它也有屬 性，但與U錄對(duì)象不同的是，它不代表有形的實(shí)體，而是代表存放對(duì)象的空間， 因?yàn)樗鼉H代表存放一個(gè)對(duì)象的空間，

8、所以它比名字空間小。比如一個(gè)用戶，它是一個(gè)對(duì)象，但這個(gè) 對(duì)象的容器就僅限于從這個(gè)對(duì)象本身所能提供的信息空間，如它僅能提供用戶 名、用戶密碼。其它的如：工常單位、聯(lián)系電話、家庭住址等就不屬于這個(gè)對(duì)象的容器范W了。4、U錄樹：在任何一個(gè)名字空間中，U錄樹是指山容器和對(duì)象構(gòu)成的層次 結(jié)構(gòu)。樹的葉子、節(jié)點(diǎn)往往是對(duì)象，樹的非葉子節(jié)點(diǎn)是容器。U錄樹表達(dá)了對(duì)象 的連接方式，也顯示了從一個(gè)對(duì)象到另一個(gè)對(duì)象的路徑。在活動(dòng)U錄中，日錄樹是基本的結(jié)構(gòu)，從 每一個(gè)容器作為起點(diǎn)，層層深入，都可以構(gòu)成一棵子樹。一個(gè)簡單的U錄可以 構(gòu)成一棵樹，一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)或者一個(gè)域也可以構(gòu)成一棵樹。這也很容易理解，我們最初學(xué)電腦時(shí) 不就

9、是在全面理解DOS下的路徑概念基礎(chǔ)之上開始的嗎，其實(shí)這“口錄樹"也就 是一種“路徑關(guān)系如果你理解了 DOS下的“路徑,，相信理解這“口錄樹,，是沒什么問題的！5、域：域是WIN2K網(wǎng)絡(luò)系統(tǒng)的安全性邊界。我們知道一個(gè)計(jì)算機(jī)網(wǎng)最基 本的單元就是“域這一點(diǎn)不是WIN2K所獨(dú)有的，但活動(dòng)U錄可以貫穿一個(gè)或 多個(gè)域。在獨(dú)立的計(jì)算機(jī)上，域即指訃算機(jī)本身，一個(gè)域可以分布在多個(gè)物理位置上，同時(shí)一個(gè)物理位 置乂可以劃分不同網(wǎng)段為不同的域，每個(gè)域都有自己的安全策略以及它與其他域 的信任關(guān)系。當(dāng)多個(gè)域通過信任關(guān)系連接起來之后，活動(dòng)U錄可以被多個(gè)信任域域共享6、組織單元：包禽在域中特別有用的U錄對(duì)象類型就是

10、組織單元。組織單 元是可將用戶、組、計(jì)算機(jī)和其他單元放入活動(dòng)日錄的容器中，組織單元不能包 括來自其他域的對(duì)象。組織單元是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用單位。使用組織 單元，您可在組織單元中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器，這樣您就可以根據(jù) 您的組織模型管理帳戶、資源的配置和使用，可使用組織單元?jiǎng)?chuàng)建可縮放到任意規(guī)模的管理模型。 可授予用戶對(duì)域中所有組織單元或?qū)蝹€(gè)組織單元的管理權(quán)限，組織單元的管理 員不需要具有域中任何其他組織單元的管理權(quán)，組織單元有點(diǎn)象我們?cè)贜T時(shí)代的工作組，我們從 管理權(quán)限上來講可以這么理解。7、域樹：域樹山多個(gè)域組成，這些域共學(xué)同一表結(jié)構(gòu)和配置，形成一個(gè)連 續(xù)的名

11、字空間。樹中的域通過信任關(guān)系連接起來，活動(dòng)U錄包含一個(gè)或多個(gè)域樹。 域樹中的域?qū)哟卧缴罴?jí)別越低，一個(gè)“*”代表一個(gè)層次，如域child.M就比 M這個(gè)域級(jí)別低，因?yàn)樗袃蓚€(gè)層次關(guān)系，而M只有一 個(gè)層次。而域Grandchild.Child.Microsoftxom 雙比 Child.M 級(jí)別低，道理一樣。域樹中的域是通過雙向可傳遞信任關(guān)系連接在一起。山于這些信任關(guān)系是雙 向的而且是可傳遞的，因此在域樹或樹林中新創(chuàng)建的域可以立即與域樹或樹林中 每個(gè)其他的域建立信任關(guān)系。這些信任關(guān)系允許單一登錄過程，在域樹或樹林中的所有域上對(duì)用戶 進(jìn)行身份驗(yàn)證，但這不一定意味著經(jīng)過身份驗(yàn)證的用戶在域樹的所有域中都

12、擁有 相同的權(quán)利和權(quán)限。因?yàn)橛蚴前踩缦?，所以必須在每個(gè)域的基礎(chǔ)上為用戶指派相應(yīng)的權(quán)利和權(quán)限。8、域林：域林是指山一個(gè)或多個(gè)沒有形成連續(xù)名字空間的域樹組成，它與 上面所講的域樹最明顯的區(qū)別就在于這些域樹之間沒有形成連續(xù)的名字空間，而 域樹則是山一些具有連續(xù)名字空間的域組成。但域林中的所有域樹仍共學(xué)同一個(gè)表結(jié)構(gòu)、配置和全 局U錄。域林中的所有域樹通過Kerberos信任關(guān)系建立起來，所以每個(gè)域樹都 知道Kerberos信任關(guān)系，不同域樹可以交義引用其他域樹中的對(duì)象。域林都有根域，域林的根域是 域林中創(chuàng)建的第一個(gè)域，域林中所有域樹的根域與域林的根域建立可傳遞的信任 關(guān)系O1、站點(diǎn)：站點(diǎn)是指包括活動(dòng)

13、U錄域服務(wù)器的一個(gè)網(wǎng)絡(luò)位置，通常是一個(gè)或 多個(gè)通過TCP/IP連接起來的子網(wǎng)。站點(diǎn)內(nèi)部的子網(wǎng)通過可靠、快速的網(wǎng)絡(luò)連接 起來。站點(diǎn)的劃分使得管理員可以很方便地配置活動(dòng)U錄的復(fù)雜結(jié)構(gòu)，更好地利用物理網(wǎng)絡(luò)特性，使 網(wǎng)絡(luò)通信處于最優(yōu)狀態(tài)。當(dāng)用戶登錄到網(wǎng)絡(luò)時(shí)，活動(dòng)U錄客戶機(jī)在同一個(gè)站點(diǎn)內(nèi) 找到活動(dòng)U錄域服務(wù)器，山于同一個(gè)站點(diǎn)內(nèi)的網(wǎng)絡(luò)通信是可鼎、快速和高效的，所以對(duì)于用戶來說, 他可以在最快的時(shí)間內(nèi)登錄到網(wǎng)絡(luò)系統(tǒng)中。因?yàn)檎军c(diǎn)是以子網(wǎng)為邊界的，所以活 動(dòng)U錄在登錄時(shí)很容易找到用戶所在的站點(diǎn)，進(jìn)而找到活動(dòng)U錄域服務(wù)器完成登錄工作。10、域控制器：域控制器是使用活動(dòng)U錄安裝向?qū)渲玫腤IN2K Server的

14、計(jì)算機(jī)。活動(dòng)U錄安裝向?qū)О惭b和配置為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供活動(dòng)U錄服務(wù)的 組件供用戶選擇使用。域控制器存儲(chǔ)著U錄數(shù)據(jù)并管理用戶域的交互關(guān)系，其中包括用戶登錄過程、 身份驗(yàn)證和U錄搜索，一個(gè)域可有一個(gè)或多個(gè)域控制器。為了獲得高可用性和容 錯(cuò)能力，使用單個(gè)局域網(wǎng)（LAN）的小單位可能只需要一個(gè)具有兩個(gè)域控制器的域。具有多個(gè)網(wǎng) 絡(luò)位置的大公司在每個(gè)位置都需要一個(gè)或多個(gè)域控制器以提供高可用性和容錯(cuò) 能力。WIN2K Server域控制器擴(kuò)展了 WINNT Server 4.0的域控制器所提供的能 力和特性，WIN2K Server多宿主復(fù)制使每個(gè)域控制器上的U錄數(shù)據(jù)同步，以確 保隨著時(shí)間的推移這些信息仍

15、能保持一致，也就是說是動(dòng)態(tài)的，這就是活動(dòng)日錄的作用。多宿主復(fù)制 是WINNT Server 4.0中使用的主域控制器和備份域控制器模型的發(fā)展，在 WINNT Server 4.0 中只有一個(gè)服務(wù)器，即主域控制器，擁有該U錄的可讀寫副本。三、安裝活動(dòng)U錄的意義我們說WIN2K的成功和創(chuàng)造性之一就是成功的全面引入了活動(dòng)U錄服務(wù)， 那么到底安裝活動(dòng)U錄有什么意義呢？這是我們所有初學(xué)WIN2K的人首要要問 的一個(gè)問題。因?yàn)榛顒?dòng)U錄并不是WIN2K系統(tǒng)必需安裝的一種服務(wù)，要全面理解它乂杲非常的不容易， 那么安裝活動(dòng)U錄的童義在哪里呢？它主要體現(xiàn)在以下兒個(gè)方面：1、信息的安全性大大增強(qiáng)安裝活動(dòng)U錄后信息的

16、安全性完全與活動(dòng)U錄集成，用戶授權(quán)管理和U錄進(jìn) 入控制已經(jīng)整合在活動(dòng)U錄當(dāng)中了（包括用戶的訪問和登錄權(quán)限等），而它們都 是WIN2K操作系統(tǒng)的關(guān)鍵安全措施?；顒?dòng)日錄集中控制用戶授權(quán)，U錄進(jìn)入控制不只能在每一個(gè)U 錄中的對(duì)象上定義，而且還能在每一個(gè)對(duì)象的每個(gè)屬性上定義，這一點(diǎn)是以前任 何系統(tǒng)所不能達(dá)到的，包括WINNT4.0O除此之外，活動(dòng)U錄還可以提供存儲(chǔ)和應(yīng)用程序作用域的 安全策略，提供安全策略的存儲(chǔ)和應(yīng)用范用。安全策略可包含帳戶信息，如域范B內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問權(quán)等。所以從一定程序上可以這么說WIN2K的安全性就是 活動(dòng)U錄所體現(xiàn)的安全性，山此可見對(duì)于網(wǎng)管來說如何配置好活動(dòng)U錄

17、中對(duì)象及 屬性的安全性是一個(gè)網(wǎng)管配置好WIN2K系統(tǒng)的關(guān)鍵。2、引入基于策略的管理，使系統(tǒng)的管理更加明朗活動(dòng)U錄服務(wù)包括U錄對(duì)象數(shù)據(jù)存儲(chǔ)和邏輯分層結(jié)構(gòu)(指上面所講的U錄、 U錄樹、域、域樹、域林等所組成的層次結(jié)構(gòu))，作為U錄，它存儲(chǔ)著分配給特 定環(huán)境的策略，稱為組策略對(duì)象。作為邏輯結(jié)構(gòu)，它為策略應(yīng)用程丿芋提供分層的環(huán)境。組策略對(duì)象 表示了一套商務(wù)規(guī)則，它包括與要應(yīng)用的環(huán)境有關(guān)的設(shè)置，組策略是用戶或計(jì)算 機(jī)初始化時(shí)用到的配置設(shè)置。所有的組策略設(shè)置都包含在應(yīng)用到活動(dòng)U錄，域，或組織單元的組策 略對(duì)象(GPOs)中。GPOs設(shè)置決定U錄對(duì)象和域資源的進(jìn)入權(quán)限，什么樣的域 資源可以被用戶使用,以及這些

18、域資源怎樣使用等。例如，組策略對(duì)象可以決定當(dāng)用戶登錄時(shí)用戶在 他們的計(jì)算機(jī)上看到什么應(yīng)用程序，當(dāng)它在服務(wù)器上啟動(dòng)時(shí)有多少用戶可連接至 Serverr以及當(dāng)用戶轉(zhuǎn)移到不同的部門或組時(shí)他們可訪問什么文件或服務(wù)。組策略對(duì)象使您可以 管理少量的策略而不是大量的用戶和計(jì)算機(jī)。通過活動(dòng)目錄，您可將組策略設(shè)置 應(yīng)用于適當(dāng)?shù)沫h(huán)境中，不管它是您的整個(gè)單位還是您單位中的特定部門。3、具有很強(qiáng)的可擴(kuò)展性WIN2K的活動(dòng)U錄具有很強(qiáng)的可擴(kuò)展性，管理員可以在計(jì)劃中增加新的對(duì) 象類，或者給現(xiàn)有的對(duì)象類增加新的屬性。計(jì)劃包括可以存儲(chǔ)在U錄中的每一個(gè) 對(duì)象類的定義和對(duì)象類的屬性。例如，在電子商務(wù)上你可以給每一個(gè)用戶對(duì)象增加一

19、個(gè)購物授權(quán)屬性, 然后存儲(chǔ)每一個(gè)用戶購買權(quán)限作為用戶帳號(hào)的一部分。4、具有很強(qiáng)的可伸縮性活動(dòng)U錄可包含在一個(gè)或多個(gè)域，每個(gè)域具有一個(gè)或多個(gè)域控制器，以便您 可以調(diào)整U錄的規(guī)模以滿足任何網(wǎng)絡(luò)的需要。多個(gè)域可組成為域樹，多個(gè)域樹乂 可組成為樹林，活動(dòng)U錄也就隨著域的伸縮而伸縮，較好地適應(yīng)了單位網(wǎng)絡(luò)的變化。U錄將其架構(gòu) 和配置信息分發(fā)給U錄中所有的域控制器，該信息存儲(chǔ)在域的第一個(gè)域控制器 中，并且復(fù)制到域中任何其他域控制器。當(dāng)該U錄配置為單個(gè)域時(shí)，添加域控制器將改變U錄的規(guī)模, 而不影響其他域的管理開銷。將域添加到U錄使您可以針對(duì)不同策略環(huán)境劃分U 錄，并調(diào)整U錄的規(guī)模以容納大量的資源和對(duì)象。5、智

20、能的信息復(fù)制能力信息復(fù)制為U錄提供了信息可用性、容錯(cuò)、負(fù)載平衡和性能優(yōu)勢，活動(dòng)U錄 使用多主機(jī)復(fù)制，允許您在任何域控制器上而不是單個(gè)主域控制器上同步更新U 錄。多主機(jī)模式具有更大容錯(cuò)的優(yōu)點(diǎn)，因?yàn)槭褂枚嘤蚩刂破?，即使任何單?dú)的域控制器停止工作， 也可繼續(xù)復(fù)制。山于進(jìn)行了多主機(jī)復(fù)制，它們將更新目錄的單個(gè)副本，在域控制 器上創(chuàng)建或修改U錄信息后，新創(chuàng)建或更改的信息將發(fā)送到域中的所有其他域控制器，所以其U錄 信息是最新的。域控制器需要最新的U錄信息，但是要做到奇效率，必須把自身 的更新限制在只有新建或更改U錄信息的時(shí)候，以免在網(wǎng)絡(luò)高峰期進(jìn)行同步而影響網(wǎng)絡(luò)速度。在域 控制器之間不加選擇地交換U錄信息能夠

21、迅速搞垮任何網(wǎng)絡(luò)。通過活動(dòng)U錄就能 達(dá)到只復(fù)制更改的U錄信息，而不至于大量增加域控制器的負(fù)荷。6、與DNS集成緊密活動(dòng)U錄使用域名系統(tǒng)（DNS）來為服務(wù)器U錄命名，DNS是將更容易理解 的主機(jī)名（如Mike.M）轉(zhuǎn)換為數(shù)字IP地址的Internet標(biāo)準(zhǔn)服務(wù), 利于在TCP/IP網(wǎng)絡(luò)中計(jì)算機(jī)之間的相互識(shí)別和通訊。DNS的域名基于DNS分層命名結(jié)構(gòu)，這 是一種倒置的樹狀結(jié)構(gòu)，單個(gè)根域，在它下面可以是父域和子域（分支和葉子）。 關(guān)于這一點(diǎn)我會(huì)在后面以專門的篇章加以詳細(xì)講述，在此就僅作簡單介紹。7、與其他U錄服務(wù)具有互操性山于活動(dòng)U錄是基于標(biāo)準(zhǔn)的U錄訪問協(xié)議，許多應(yīng)用程序界面（API）都允 許開發(fā)者進(jìn)

22、入這些協(xié)議，例如活動(dòng)U錄服務(wù)界面（ADSI）、輕型U錄訪問協(xié)議 （LDAP）第三版和名稱服務(wù)提供程序接口（NSPI）,因此它可與使用這些協(xié)議的其他目錄服務(wù)相互操 作。LDAP是用于在活動(dòng)U錄中査詢和檢索信息的U錄訪問協(xié)議。因?yàn)樗且环N 工業(yè)標(biāo)準(zhǔn)服務(wù)協(xié)議，所以可使用LDAP開發(fā)程序，與同時(shí)支持LDAP的其他U錄服務(wù)共學(xué)活動(dòng)U 錄信息。活動(dòng)U錄支持Microsoft Exchange 4.0和5.x客戶程丿了:所用的NSPI協(xié) 議，以提供與Exchange U錄的兼容性。8、具有靈活的查詢?nèi)魏斡脩艨墒褂谩伴_始"菜單、“網(wǎng)上鄰居，或“活動(dòng)U錄用戶和計(jì)算機(jī)h的“搜 索”命令，通過對(duì)象屬性快速

23、査找網(wǎng)絡(luò)上的對(duì)象。如您可通過名字、姓氏、電子 郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶，反之亦然。Windows 2000活動(dòng)日錄詳解之結(jié)構(gòu)篇在上一篇對(duì)活動(dòng)日錄有個(gè)基本了解之后下面我就來接觸一下活動(dòng)日錄實(shí)質(zhì) 上的一面活動(dòng)U錄的結(jié)構(gòu)。上篇我們講到活動(dòng)目錄是包括兩方面：U錄和U 錄相關(guān)的服務(wù)。U錄是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器，與我們平常所說的日錄沒什么區(qū)別，U錄 管理的基本對(duì)象是用戶、計(jì)算機(jī)、文件以及打印機(jī)等資源。而U錄服務(wù)是使U錄 中所有信息和倂源發(fā)揮作總服塚，如用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管 理，它才是WIN2K活動(dòng)目錄的關(guān)鍵和精髓所在。目錄服務(wù)是WIN2K網(wǎng)

24、絡(luò)操作 系統(tǒng)的核心支柱，也是中心管理機(jī)構(gòu)，所以tl錄服務(wù)的引入對(duì)整個(gè)操作系統(tǒng)帶來了革命性的變化，不僅系 統(tǒng)平臺(tái)上的各基礎(chǔ)模塊，比如網(wǎng)絡(luò)安全機(jī)制、用戶管理模塊等發(fā)生了變化，而且 上層應(yīng)用的運(yùn)作方式以及開發(fā)模式也有了相應(yīng)的變化。這樣來理解“活動(dòng)U錄”是不是覺得更加容 易？同時(shí)活動(dòng)U錄是一個(gè)分布式的U錄服務(wù)，因?yàn)樾畔⒖梢苑稚⒃诙嗯_(tái)不同的計(jì) 算機(jī)上，保證各訃算機(jī)用戶快速訪問和容錯(cuò)；同時(shí)不管用戶從何處訪問或信息處 在何處，對(duì)用戶都提供統(tǒng)一的視圖，使用戶覺得更加容易理解和掌握WIN2K系統(tǒng)的使用?；顒?dòng)U 錄集成了 WIN2K服務(wù)器的關(guān)鍵服務(wù)，如域名服務(wù)（DNS）,消息隊(duì)列服務(wù)（MSMQ）,事務(wù)服務(wù)（MTS

25、）等。在應(yīng)用方面活動(dòng)U錄集成了關(guān)鍵應(yīng)用，如電子郵件、網(wǎng)絡(luò)管理、ERP等。要理解 活動(dòng)U錄，我們必須從它的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)入手。一.活動(dòng)U錄的邏輯結(jié)構(gòu)“邏輯"兩個(gè)字相信大家平時(shí)見的比較多，如我們常說的“邏輯思維、邏輯分 析,，等，也許大家一講到“邏輯"兩個(gè)字就覺得十分抽象，難以理解。其實(shí)我們?cè)?這里所講的“邏輯結(jié)構(gòu)S我覺得還是很好理解的，“邏輯，一般與“物理"是對(duì)等的，我們知道“物 理上的"是指實(shí)實(shí)在在的，那么“邏輯上的,就是指非物理上的，非實(shí)體的東西, 它是一種抽象的東西，比如講一種“關(guān)系=一個(gè)“空間、范等。在第一篇我們講過 活動(dòng)U錄的邏輯結(jié)構(gòu)非常靈活

26、，有U錄樹、域、域樹、域林等，這些名字都不是 實(shí)實(shí)在在的一種實(shí)體，只是代表了一種關(guān)系，一種范圉，如U錄樹就是山同一名字空間上的U 錄組成，而域乂是山不同的U錄樹組成，同理域樹是山不同的域組成，域林是山 多個(gè)域樹組成。它們是一種完全的樹狀、層次結(jié)構(gòu)視圖，這種關(guān)系我們可以看成是一種動(dòng)態(tài)關(guān)系。 邏輯結(jié)構(gòu)還與前面討論過的名字空間有直接關(guān)系，邏輯結(jié)構(gòu)為用戶和管理員在一 定的名字空間中查找、定位對(duì)象提供了極大方便?；顒?dòng)U錄中的邏輯單元主要包括：1、域、域樹、域林域既是WIN2K網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，是對(duì)象（如計(jì)算機(jī)、用戶等）的 容器，這些對(duì)象有相同的安全需求、復(fù)制過程和管理9這一點(diǎn)對(duì)于網(wǎng)管人員應(yīng)是 相當(dāng)

27、容易理解的。在WIN2K中域中所有的域控制器都是平等的（這一點(diǎn)與WINNT4.0不一樣，沒有 主.副之分），域是安全邊界，域管理員只能管理域的內(nèi)部，除非其他的域顯式 地賦予他管理權(quán)限，他才能夠訪問或管理其他的域。每個(gè)域都有自己的安全策略，以及它與其他域的安 全信任關(guān)系。在這里就涉及到了不同域之間的信任關(guān)系及傳遞關(guān)系，下面就具體 講一下WIN2K中的域信任關(guān)系©"域與域之間具有一定的信任關(guān)系，域信任關(guān)系使得一個(gè)域中的用戶可曲另一 域中的域控制器進(jìn)行驗(yàn)證，才能使一個(gè)域中的用戶訪問51個(gè)域中的資源。所有 域信任關(guān)系中只有兩種域：宿任關(guān)系域和被信任關(guān)系域。信任關(guān)系就是域A信任域B,

28、則域B中 的用戶可以通過域A中的域控制器進(jìn)行身份驗(yàn)證后訪問域A中的資源，則域A 與域B之間的關(guān)系就是信任關(guān)系。被信任關(guān)系就是被一個(gè)域信任的關(guān)系，在上面的例子中域B就是被域A信 任，域B與域A的關(guān)系就是被宿任關(guān)系。信任與被信任關(guān)系可以是單向的，也 可以是雙向的，即域A與域B之間可以單方面的信任關(guān)系，也可以是雙方面的信任關(guān)系。而在域中傳遞信任關(guān)系不受關(guān)系中兩個(gè)域的約束，是經(jīng)父域向上傳遞給域U 錄樹中的下一個(gè)域，也就是說如果域A信任域B,則域A也就信任域B下面的 子域域B1、域E2 遞信任關(guān)系總是雙向的：關(guān)系中的兩個(gè)域互相信任（是指父域與子域之間）。默 認(rèn)情況下，域U錄樹或U錄林（U錄林可以看做是同

29、一域中的多個(gè)U錄樹組成） 中的所有WiIN2K宿任關(guān)系都是傳遞的。通過大大減少需管理的委托關(guān)系數(shù)量，這將在很大程度上 簡化域的管理。WIN2K中的域傳遞宿任關(guān)系一般是系統(tǒng)自動(dòng)的，但對(duì)于相同域U錄樹或林 中的WiIN2K域，也可以顯式（手工）地創(chuàng)建傳遞信任關(guān)系。這對(duì)于形成交義鏈 接信任關(guān)系是非常磴要的。不傳遞信任關(guān)系受關(guān)系中兩個(gè)域的約束9并且不經(jīng)父域向上傳遞到域U錄樹 中的下一個(gè)域。必須顯式地創(chuàng)建不傳遞信任關(guān)系。默認(rèn)情況下，不傳遞信任關(guān)系 是單向的，盡管也可以通過創(chuàng)建兩個(gè)單向信任關(guān)系創(chuàng)建一個(gè)雙向關(guān)系。所有不屬于相同域U錄樹或 林中WiIN2K域間建立的委托關(guān)系都是不傳遞的。所有WiIN2K域和W

30、INNT域 之間的委托關(guān)系都是不傳遞的，這一點(diǎn)對(duì)于一個(gè)企業(yè)同時(shí)使用WIN2K和WINNT域控制器時(shí)應(yīng)特別注意, 當(dāng)從WindowsNT升級(jí)到WiIN2K時(shí)，所有已現(xiàn)有的WindowsNT信任關(guān)系都將 保持不變。在混合模式的網(wǎng)絡(luò)中，所有WindowsNT信任關(guān)系都是不傳遞的。WiIN2K域和WINNT域U錄林 中的WIN2K域和另一 tl錄林中的WIIN2K域WIN2K域和MITKerberosV5領(lǐng)域 單向單向信任關(guān)系是單獨(dú)的委托關(guān)系。雙向信任關(guān)系包括一對(duì)單向委托關(guān)系，所有傳遞信任關(guān)系都是雙向的。為使不 傳遞信任關(guān)系成為雙向，必須在所涉及的域間創(chuàng)建兩個(gè)單向信任關(guān)系。2、組織單元（OU）組織單元

31、（OU）是一個(gè)容器對(duì)象，它也是活動(dòng)U錄的邏輯結(jié)構(gòu)的一部分， 我們可以把域中的對(duì)象組織成邏輯組，它可以幫助我們簡化管理工作。OU可以 包含各種對(duì)彖，比如用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)等，其至可以包括其他的OU,所以我們可以 利用OU把域中的對(duì)象形成一個(gè)完全邏輯上的層次結(jié)構(gòu)。對(duì)于企 業(yè)來講，可以 按部門把所有的用戶和設(shè)備組成一個(gè)OU層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和 權(quán)限分成多個(gè)OU層次結(jié)構(gòu)。很明顯，通過組織單元的包容，組織單元具有很清 楚的層次結(jié)構(gòu)，這種包容結(jié)構(gòu)可以使管理者把組織單元切入到域中以反應(yīng)出企業(yè)的組織結(jié)構(gòu)并且可以 委派任務(wù)與授權(quán)。建立包容結(jié)構(gòu)的組織模型能夠幫助我們

32、解決許多問題，同時(shí)仍然可以使用大型的域、域樹中每個(gè)對(duì)象都可以顯示在全局目錄，從而用戶就可以利用一個(gè)服務(wù)功能輕 易地找到某個(gè)對(duì)象而不管它在域樹結(jié)構(gòu)中的位置。山于OU層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個(gè)域中的OU層次結(jié)構(gòu)與另一個(gè) 域中的0U層次結(jié)構(gòu)沒有任何關(guān)系。因?yàn)榛顒?dòng)U錄中的域可以比NT4的域容納 更多對(duì)象，所以一個(gè)企業(yè)有可能只用一個(gè)域來構(gòu)造企業(yè)網(wǎng)絡(luò)，這時(shí)候我們就可以使用OU來對(duì)對(duì)象進(jìn)行分 組，形成多種管理層次結(jié)構(gòu)，從而極大地簡化網(wǎng)絡(luò)管理工作。組織中的不同部門 可以成為不同的域，或者一個(gè)組織單元，從而采用層次化的命名方法來反映組織結(jié)構(gòu)和進(jìn)行管理授 權(quán)。順著組織結(jié)構(gòu)進(jìn)行顆?；墓芾硎跈?quán)可以解決很多管理

33、上的頭疼問題，在加 強(qiáng)中央管理的同時(shí),乂不失機(jī)動(dòng)靈活性。WINNT4.0中的很多域都可以成為OU,建立起更大的域和更簡化的域關(guān)系, 借助全局U錄(GlobalCatalog),用戶和管理員仍然能夠迅速地找到對(duì)象和管理對(duì) 象。WIN2K可以在 現(xiàn)存的WINNT4.0的環(huán)境中丄作，保護(hù)現(xiàn)有的投資。二.活動(dòng)U錄的物理結(jié)構(gòu)進(jìn)制活動(dòng)U錄中，物理結(jié)構(gòu)與邏輯結(jié)構(gòu)有很大的不同，它們是彼此獨(dú)立的 兩個(gè)概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)資源的管理，而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和 優(yōu)化?；顒?dòng)U錄的物理結(jié)構(gòu)主要著眼于活動(dòng)U錄信息的復(fù)制和用戶登錄網(wǎng)絡(luò)時(shí)的性能優(yōu)化。物理結(jié) 構(gòu)的兩個(gè)重要概念是站點(diǎn)和 域控制器。1、站點(diǎn)站點(diǎn)111-個(gè)

34、或多個(gè)IP子網(wǎng)組成，這些子網(wǎng)通過高速網(wǎng)絡(luò)設(shè)備連接在一起。 站點(diǎn)往往山企業(yè)的物理位置分布悄況決定，可以依據(jù)站點(diǎn)結(jié)構(gòu)配置活動(dòng)U錄的訪 問和復(fù)制拓?fù)潢P(guān)系,這樣能使得網(wǎng)絡(luò)更有效地連接，并且可使復(fù)制策略更合理，用戶登錄更快速， 活動(dòng)U錄中的站點(diǎn)與域是兩個(gè)完全獨(dú)立的概念，一個(gè)站點(diǎn)中可以有多個(gè)域，多個(gè) 站點(diǎn)也可以位于同_域中?；顒?dòng)U錄站點(diǎn)和服務(wù)可以通過使用站點(diǎn)提高大多數(shù)配置U錄服務(wù)的效率。可 以通過使用活動(dòng)U錄站點(diǎn)和服務(wù)向活動(dòng)U錄發(fā)布站點(diǎn)的方法提供有關(guān)網(wǎng)絡(luò)物理 結(jié)構(gòu)的信息，活動(dòng)U錄使用該信息確定如何復(fù)制U錄信息和處理服務(wù)的請(qǐng)求。計(jì)算機(jī)站點(diǎn)是根據(jù)其在 子網(wǎng)或一組已連接好子網(wǎng)中的位置指定的，子網(wǎng)提供一種表示網(wǎng)絡(luò)

35、分組的簡單方 法，這與我們常見的郵政編碼將地址分組類似。將子網(wǎng)格式化成可方便發(fā)送有關(guān)網(wǎng)絡(luò)與U錄連接物 理信息的形式，將計(jì)算機(jī)置于一個(gè)或多個(gè)連接好的子網(wǎng)中充分體現(xiàn)了站點(diǎn)所有計(jì) 算機(jī)必須連接a好這一標(biāo)準(zhǔn)，原因是同一子網(wǎng)中il算機(jī)的連接請(qǐng)況通常優(yōu)于網(wǎng)絡(luò)中任意選取的計(jì)算 機(jī)。使用站點(diǎn)的童義主要在于：(I) .提高了驗(yàn)證過程的效率當(dāng)客戶使用域帳戶登錄時(shí)，登錄機(jī)制首先搜索與客戶處于同一站點(diǎn)內(nèi)的域控 制器，使用客戶站點(diǎn)內(nèi)的域控制器首先可以使網(wǎng)絡(luò)傳輸本地化，加快了身份驗(yàn)證 的速度，提高了驗(yàn)證過程的效率。(2) 、平衡了復(fù)制頻率活動(dòng)U錄信息可在站點(diǎn)內(nèi)部或站點(diǎn)與站點(diǎn)之間進(jìn)行信息復(fù)制，但山于網(wǎng)絡(luò)的 原因，活動(dòng)目錄在

36、站點(diǎn)內(nèi)部復(fù)制信息的頻率高于站點(diǎn)間的復(fù)制頻率。這樣做可以 平衡對(duì)最新U錄信息需求和可用網(wǎng)絡(luò)帶寬帶來的限制。您可通過站點(diǎn)鏈接來定制活動(dòng)U錄如何復(fù)制 信息以指定站點(diǎn)的連接方法，活動(dòng)U錄使用有關(guān)站點(diǎn)如何連接的信息生成連接對(duì) 象以便提供有效的復(fù)制和容錯(cuò)。(3) 、可提供有關(guān)站點(diǎn)鏈接信息活動(dòng)U錄可使用站點(diǎn)鏈接信息費(fèi)用，鏈接使用次數(shù)，鏈接何時(shí)可用以及鏈接 使用頻度等信息確定應(yīng)使用哪個(gè)站點(diǎn)來復(fù)制信息，以及何時(shí)使用該站點(diǎn)。定制復(fù) 制計(jì)劃使復(fù)制在特定時(shí)間(諸如網(wǎng)絡(luò)傳輸空閑時(shí))進(jìn)行會(huì)使復(fù)制更為有效。通常，所有域控制器都 可用于站點(diǎn)間信息的交換，但也可以通過指定橋頭堡服務(wù)器優(yōu)先發(fā)送和接收站間 復(fù)制信息的方法進(jìn)一步控制

37、復(fù)制行為。當(dāng)擁有希望用于站間復(fù)制的特定服務(wù)器時(shí)，宇愿建立一個(gè)橋 頭堡服務(wù)器而不使用其他可用服務(wù)器?；蛟谂渲檬褂么矸?wù)器時(shí)建立一個(gè)橋頭 堡服務(wù)器，用于通過防火墻發(fā)送和接收信息。2、域控制器域控制器是指運(yùn)行WIN2KServer版本的服務(wù)器，它保存了活動(dòng)U錄信息的 副本。域控制器管理日錄信息的變化，并把這些變化復(fù)制到同一個(gè)域中的其他域 控制器上，使各域控制器上的U錄信息處于同步。域控制器也負(fù)責(zé)用戶的登錄過程以及其他與域有關(guān) 的操作，比如身份鑒定、目錄信息査找等一個(gè)域可以有多個(gè)域控制器。規(guī)模較小 的域可以只需要兩個(gè)域控制器，一個(gè)實(shí)際使用，另一個(gè)用于 容錯(cuò)性檢查。規(guī)模較大的域可以使用 多個(gè)域控制器。

38、WIN2K的域結(jié)構(gòu)與WINNT的域結(jié)構(gòu)不同的是，活動(dòng)U錄中的域控制器沒 有主次之分，活動(dòng)目錄采用了多主機(jī)復(fù)制方案，每一個(gè)域控制器都有一個(gè)可寫入 的U錄副本，這為U錄信息容錯(cuò)帶來了無盡的好處。盡管在某一個(gè)時(shí)刻，不同的域控制器中的日錄信息 可能有所不同，但一旦 活動(dòng)U錄中的所有域控制器執(zhí)行同步操作之后，最新的 變化信息就會(huì)一致。盡管活動(dòng)U錄支持多主機(jī)復(fù)制方案，然而山于復(fù)制引起的通信流量以及網(wǎng)絡(luò) 潛在的沖突，變化的傳播并不一定能夠順利進(jìn)行。因此有必要在域控制器中指 定全局U錄服務(wù)器以及操 作主機(jī)全局U錄是一個(gè)信息倉庫，包含活動(dòng)U錄中所有對(duì)象的一部 分屬性，往往是在査詢過程中訪問最為頻繁的屬性。利用這

39、些信息，可以定位 到任何一個(gè)對(duì)象實(shí)際所在的位置，而全局目錄服務(wù)器是一個(gè)域控制器，它保存了全局目錄的一份副 本，并執(zhí)行對(duì)全局日錄的査詢操作。全局U錄服務(wù)器可以提高活動(dòng)U錄中大范 w內(nèi)對(duì)象檢索的性能,比如在域林中査詢所有的打印機(jī)操 作。如果沒有一個(gè)全局tl錄服務(wù)器，那么 這樣的查詢操作必須要調(diào)動(dòng)域林中每一個(gè)域的查詢過程。如果域中只有一個(gè)域 控制器，那么它就是全局U錄服務(wù)器如果有多個(gè)域控制器，那么管理員必須把一個(gè)域控制器配置為 全局U錄控制器。Windows 2000活動(dòng)日錄詳解之安裝配置篇理解了活動(dòng)U錄的原理之后，現(xiàn)在我們就可以進(jìn)行活動(dòng)U錄的安裝與配置 了，活動(dòng)U錄的安裝配置過程并不是很復(fù)雜，因?yàn)?/p>

40、WIN2K中提供了安裝向?qū)?，只需按照提示一步步按系統(tǒng)要求設(shè)定即可。但安裝前的準(zhǔn)備工作顯 得比較復(fù)雜，只有充分理解了活動(dòng)U錄的前提下才能正確地安裝配置活動(dòng)U錄。下面我就詳細(xì)地介紹一下活動(dòng)U錄的安裝與配置及其準(zhǔn)備了。 一、活動(dòng)U錄的安裝前的準(zhǔn)備在前面我們知道“活動(dòng)U錄"是整個(gè)WIN2K系統(tǒng)中的一個(gè)關(guān)鍵服務(wù)，它不是 孤立的，它與許多協(xié)議和服務(wù)有著非常緊密和關(guān)系，還涉及到整個(gè)WIN2K系統(tǒng)的系統(tǒng)結(jié)構(gòu)和安全。安裝“活動(dòng)U錄,還是安裝一般Windows組 件那么簡單，在安裝前要進(jìn)行一系列的策劃和準(zhǔn)備。否則輕則根本無法享受到活動(dòng)U錄所帶來的優(yōu)越性，重則不能正確安裝“活動(dòng)U錄，這項(xiàng)服 務(wù)。K首先在

41、安裝活動(dòng)U錄之前，必須保證已經(jīng)有一臺(tái)機(jī)器安裝了 WIN2K Server或者Advanced Server»且至少有一個(gè)NTFS分區(qū)，而且已經(jīng)為TCP/IP配置了 DNS協(xié)議，并且DNS服務(wù)支持SRV記錄和動(dòng)態(tài)更新協(xié)議。2、其次是要規(guī)劃好整個(gè)系統(tǒng)的域結(jié)構(gòu)，活動(dòng)U錄它可包含一個(gè)或多個(gè)域， 如果整個(gè)系統(tǒng)的U錄結(jié)構(gòu)規(guī)劃得不好，層次不清就不能很好地發(fā)揮活動(dòng)U錄的優(yōu)越性。在這里選擇根域（就是一個(gè)系統(tǒng)的基本域）是一個(gè)關(guān)鍵, 根域名字的選擇可以有以下兒種方案：1）可以使用一個(gè)己經(jīng)注冊(cè)的DNS域名作為活動(dòng)日的根域名，這樣的好處 在于企業(yè)的公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)使用同樣的DNS名字。2）我們還可使用一個(gè)已

42、經(jīng)注冊(cè)的DNS域名的子域名作為活動(dòng)U錄的根域 名。3）為活動(dòng)U錄選擇一個(gè)與已經(jīng)注冊(cè)的DNS域名完全不同的域名。這樣可 以使企業(yè)網(wǎng)絡(luò)在內(nèi)部和互聯(lián)網(wǎng)上呈現(xiàn)出兩種完全不同的命名結(jié)構(gòu)4）把企業(yè)網(wǎng)絡(luò)的公共部分用一個(gè)已經(jīng)注冊(cè)的DNS域名進(jìn)行命名，而私有網(wǎng) 絡(luò)用另一個(gè)內(nèi)部域名，從名字空間上把兩部分分開，這樣做就使 得每一部分要訪問另部時(shí)必須使用對(duì)方的名字空間來標(biāo)識(shí)對(duì)象。3、再一個(gè)就是要進(jìn)行域和帳戶命名策劃，因?yàn)槭褂没顒?dòng)tl錄的意義之一就 在于使內(nèi)、外部網(wǎng)絡(luò)使用統(tǒng)一的U錄服務(wù)，采用統(tǒng)一的命名方案，以方便網(wǎng)絡(luò)管理和商務(wù)往來?；顒?dòng)U錄域名通常是該域的完整DNS名稱， 但是為確保向下兼容，每個(gè)域最好還有一個(gè)WIN2

43、K以前版本的名稱，以便在運(yùn)行WIN2K以前版本的操作系統(tǒng)的i|算機(jī)上使用。用戶帳戶在活動(dòng)U 錄中，每個(gè)用戶帳戶都有一個(gè)用戶登錄名、一個(gè)WIN2K以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個(gè)用戶主要名稱后綴。在創(chuàng)建用戶 帳戶時(shí)，管理員輸入其登錄名并選擇用戶主要名稱，活動(dòng)U錄建議WIN2K以前版本的用戶登錄名使用此用戶登錄名的前20個(gè)字節(jié)。活動(dòng) U錄命名策略是企業(yè)規(guī)劃網(wǎng)絡(luò)系統(tǒng)的第一個(gè)步驟，命名策略直接影響到網(wǎng)絡(luò)的基本結(jié)構(gòu)，至影響網(wǎng)絡(luò)的性能和可擴(kuò)展性?；顒?dòng)目錄為現(xiàn)代企 業(yè)提供了很好的參考模型，既考慮到了企業(yè)的多層次結(jié)構(gòu)，也考慮到了企業(yè)的分布式特性，其至為直接接入Internet提供完全一致的命名模型。 所謂用戶主要名稱是指山用戶賬戶名稱和表示用戶賬戶所在的域的域名組 成。這是登錄到WIN2K域的標(biāo)準(zhǔn)用法。標(biāo)準(zhǔn)格式為：user （象個(gè)人的電子郵件地址）。但不要在用戶登錄名或用戶主要名 稱中加入號(hào)?；顒?dòng)U錄 在創(chuàng)建用戶主要名稱時(shí)自動(dòng)添加此符號(hào)。包含多個(gè)號(hào)的用戶主要名稱是無效的。在活動(dòng)U錄中，默認(rèn)的用戶主要名稱后綴是域樹中根域的DNS名。如果用 戶的單位使用山部門和區(qū)域組成的多層域樹，則對(duì)于底層用戶的域名可能很長。對(duì)于該域中的用戶，默認(rèn)的用戶主要名稱可能是 。該域中用戶默認(rèn)的登錄名可能是user。這要一來用