第8章组建Windows2000域模式网络本章学习目标8.1安装Windows2000的准备与流程（1）8.1安装Windows2000的准备与流程（2）8.1安装Windows2000的准备与流程（3）8.1安装Windows2000的准备与流程（4）8.1安装Windows2000的准备与流程（5）8.1安装Windows2000的准备与流程（6）Windows2000的活动目录一概述(1)一概述(2)Windows2000活动目录的优点二、扩展性 ●活动目录是可扩展的，这意味着管理员可以将对象的新类添加到规划中，而且还可以将新属性添加到已有的对象类中。例如，可以将“定期访问权限”属性添加到用户对象类型中，而后将每个用户的定期访问权限制作为用户账户进行存储。 ●可以使用活动目录规划插件或通过创建基于ADSI、LDIFDE或CSVDE命令行实用程序的脚本将对象和属性添加到目录中。三、可调整性 ●活动目录可包括一个或多个域，每个域都带有一个或多个域控制器，这使得管理员可调整目录以便满足任何网络的要求。多个域可组合成域目录树或目录森林。 ●活动目录将规划和配置信息分配给目录中的所有域控制器。该信息存储在初始域控制器中，而且可复制到目录中任何其他域控制器中。当目录配置成单域时，添加域控制器可在上部管理不涉及其他域的情况下调整目录。 ●将目录配置成域目录树或森林，使得管理员可以针对不同上下文策略对目录的名称空间进行分区，并调整目录使其容纳大量资源和对象。四、信息复制 ●活动目录使用多主复制。目录存储在初始域控制器中并可复制到域、域目录树或域森林的每个域中。对目录数据所做的更改将复制到所有域控制器中。每个域控制器存储和保留一个目录的完整副本。 ●信息复制提供了有效性、容错和加载平衡等优点。在一个域中分派多个域控制器可提供容错和加载平衡。如果域中的某个域控制器减慢、停止或失败，同一域中的其他域控制器可提供必要的目录访问，其原因是它们包含着相同的目录数据。域中的多个节点可提高目录的性能。在广域网(WAN)中，目录访问可由与每个网络客户机最近的域控制器执行。五、与DNS的集成 ●活动目录使用DNS可以很容易地将可读主机名称，诸如beijing.kangbo.com翻译成数字式TCP/IP地址。这样就可以在TCP/IP网络上直接使用计算机和用户的名称进行网络连接。 ●DNS域和计算机使用分层结构的“友好”名称。例如，lwh.kangbo.com既是DNS也是Windows2000域名。域名是以DNS分层命名结构为基础的，这是一个颠倒的目录树结构：首先是单个根域，以下可以是父域和子域(枝和叶)。例如，诸如wj.lwh.kangbo.com的Windows2000域名识别名为wj的域，此域是名为lwh域的一个子域，而lwh域自身又是根域kangbo.com的一个子域。 ●域中的每台计算机以其完整的合格域名识别。例如，位于wj.lwh.kangbo.com域中计算机的完整合格域名应是computername.wj.lwh.kangbo.com。 ●与其他目录服务的内部操作。 ●由于活动目录是基于工业标准的目录访问协议，它可以和使用诸如LightweightDirectoryAccessProtocol(LDAP)和NameServiceProviderInterface(NSPI)协议的其他目录服务实现内部操作。 ●LDAP是用于查询和检索活动目录信息的目录访问协议，由于它是基于工业标准的目录服务协议，使用LDAP的程序可以与其他目录服务共享活动目录信息，这些目录服务同样支持LDAP。 ●NSPI协议用于MicrosoftExchangeServer和客户机，活动目录对其进行支持以便为交换目录提供兼容性。六、灵活的查询 用户和管理员可使用搜索工具快速查找网络上的对象并设置对象属性，例如，名、姓、Email地址、办公室位置或用户账户的其他属性。也可通过使用活动目录生成的全局目录优化查找信息。七、信息安全性 安全性与活动目录完全集成在一起，不仅可以针对目录中的每个对象定义访问控制，还可对其每种属性进行操作。权限指定哪些组用户可以查看或使用对象，以及可针对对象进行何种操作。例如，某个人可能具有更改对象属性的权限，另一个人则可能只具有查看权限，而第3个人则可能根本没有查找对象的权限。可以授予对对象的单个属性进行选择性访问的权限。例如，可以授予所有用户查看网络中用户姓名和电话号码的权限，而与此同时却限制对用户对象所有其他属性的访问。默认情况下，权限是可继承的。指定给某特定对象的权限会自动应用于该对象的所有子对象。 活动目录为安全策略提供应用程序的存储和范围。安全策略可以包括账户信息，诸如域的密码限制或对某特定域资源的权利。安全策略通过组策略来执行。管理员可将