挑戰(zhàn)活動(dòng)目錄故障
    當(dāng)您管理的網(wǎng)絡(luò)不斷擴(kuò)大，軟件、硬件和網(wǎng)絡(luò)服務(wù)不斷增多，這些資源如何有效管理？不同應(yīng)用系統(tǒng)的令人頭痛的用戶安全驗(yàn)證如何統(tǒng)一？微軟的活動(dòng)目錄（AD，Active Directory）是的解決方案。
    活動(dòng)目錄的由來
    活動(dòng)目錄，是Windows 2000服務(wù)器版操作系統(tǒng)的一種新的目錄服務(wù)。它提供了單一登錄的能力，并且為您的整個(gè)網(wǎng)絡(luò)架構(gòu)提供了一個(gè)集中的信息知識(shí)庫。它大大簡(jiǎn)化了用戶和計(jì)算機(jī)的管理，并且提供了網(wǎng)絡(luò)資源的更便捷的訪問方式。
    活動(dòng)目錄的相關(guān)術(shù)語
    活動(dòng)目錄是一項(xiàng)較新的技術(shù)，有許多術(shù)語或許是不曾聽說過的，所以有必要了解活動(dòng)目錄相關(guān)術(shù)語。
    1．層次化的目錄結(jié)構(gòu)
    活動(dòng)目錄是由對(duì)象（Object）、組織單元（OU）、域（Domain）、域樹（Tree）、森林（Forest）構(gòu)成的層次結(jié)構(gòu)?；顒?dòng)目錄為每個(gè)域建立一個(gè)目錄數(shù)據(jù)庫的副本，這個(gè)副本只存儲(chǔ)用于這個(gè)域的對(duì)象。如果多個(gè)域之間有相互關(guān)系，它們可以構(gòu)成一個(gè)域樹。在每個(gè)域樹中，每個(gè)域都擁有自己的目錄數(shù)據(jù)庫副本存儲(chǔ)自己的對(duì)象，并且可以查找域樹中其他目錄數(shù)據(jù)庫的副本。多個(gè)域樹構(gòu)成森林。這種層次結(jié)構(gòu)使得企業(yè)網(wǎng)絡(luò)具有很強(qiáng)的擴(kuò)展性，便于組織、管理及目錄定位。
    2．對(duì)象、組織單位
    對(duì)象可以是一個(gè)用戶、一臺(tái)打印機(jī)或一個(gè)網(wǎng)絡(luò)共享。它有描述它們的屬性。組織單元可以是組織的任何部分，組織單位也稱為容器（OU，Organizational Units）。組織單位是可以將對(duì)象和其他單位放入活動(dòng)目錄的容器中的，組織單位的主要用途是委派管理權(quán)。
    3．域、域控制器
    域是活動(dòng)目錄的核心單元，是對(duì)象（如計(jì)算機(jī)、用戶等）的容器，這些對(duì)象有相同的安全需求、復(fù)制過程和管理。域名是基于通常的Internet“域名系統(tǒng)”結(jié)構(gòu)。一個(gè)域可以有多個(gè)服務(wù)器，每個(gè)服務(wù)器存儲(chǔ)域中的所有對(duì)象，沒有主服務(wù)器，所有服務(wù)器都是同等的。這是一個(gè)多主機(jī)模型，對(duì)象可以在域的多個(gè)服務(wù)器之間復(fù)制。
    4．域樹、森林
    一個(gè)域可以是其他域的子域或父域，這些子域、父域構(gòu)成了一棵樹—域樹。域樹實(shí)現(xiàn)了連續(xù)的域名空間，域樹中的域?qū)哟卧缴罴?jí)別越低，一個(gè)“.”代表一個(gè)層次，如域child.china.com 就比 china.com這個(gè)域級(jí)別低，因?yàn)樗袃蓚€(gè)層次關(guān)系，而china.com只有一個(gè)層次。多棵域樹構(gòu)成了森林，森林中的每一棵域樹都有自己的命名空間。
    5．組策略
    組策略是用戶或計(jì)算機(jī)初始化時(shí)用到的配置設(shè)置。組策略設(shè)置定義了系統(tǒng)管理的用戶的桌面環(huán)境的多個(gè)組件，實(shí)現(xiàn)軟件自動(dòng)分發(fā)和升級(jí)。組策略的實(shí)施限制了用戶對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的更改權(quán)限，提高了管理員管理網(wǎng)絡(luò)結(jié)構(gòu)的能力。
    6．AD服務(wù)接口（ADSI）
    ADSI是一個(gè)目錄服務(wù)接口，它可用于編寫應(yīng)用程序以訪問和管理AD和基于LDAP（輕型目錄訪問協(xié)議）的不同目錄，簡(jiǎn)化了開發(fā)和管理跨平臺(tái)多個(gè)目錄系統(tǒng)的分布式應(yīng)用程序，是實(shí)現(xiàn)單點(diǎn)登錄的有效手段。
    活動(dòng)目錄的意義
    Windows是PC機(jī)的大腦，那么“目錄服務(wù)”就是網(wǎng)絡(luò)的靈魂。微軟活動(dòng)目錄的作用主要體現(xiàn)在以下幾方面。
    1．單點(diǎn)登錄
    由于活動(dòng)目錄是以LDAP協(xié)議為基礎(chǔ)的，各應(yīng)用程序可通過ADSI調(diào)用AD的用戶驗(yàn)證，這樣統(tǒng)一了各應(yīng)用系統(tǒng)的用戶和密碼，實(shí)現(xiàn)單點(diǎn)登錄。
    2．信息的安全性高
    集成了關(guān)鍵的安全性，如Kerberos第五版本和公開密鑰基礎(chǔ)設(shè)施等，用戶授權(quán)管理和目錄進(jìn)入控制已經(jīng)整合在活動(dòng)目錄當(dāng)中了，而它們都是Windows 2000操作系統(tǒng)的關(guān)鍵安全措施。
    3．以策略為基礎(chǔ)，管理更加簡(jiǎn)化
    通過組策略您可以決定目錄對(duì)象和域資源的進(jìn)入權(quán)限，什么樣的域資源可以被用戶使用，以及這些域資源怎樣使用等，從而幫助您更加經(jīng)濟(jì)高效地管理企業(yè)。
    4．信息的復(fù)制性
    活動(dòng)目錄使用多主機(jī)復(fù)制，使您能在任何域控制器上同步更新目錄。多主機(jī)模式提供容錯(cuò)和負(fù)載平衡。
    5．與DNS緊密結(jié)合
    活動(dòng)目錄使用域名系統(tǒng)（DNS）來為服務(wù)器目錄命名，AD將Internet的名稱空間的概念和操作系統(tǒng)的目錄服務(wù)融合在一起，這有利于在TCP/IP網(wǎng)絡(luò)中計(jì)算機(jī)之間的相互識(shí)別和通信。
    6．具有很強(qiáng)的可伸縮性和可擴(kuò)展性
    活動(dòng)目錄可包含在一個(gè)或多個(gè)域中，每個(gè)域具有一個(gè)或多個(gè)域控制器，以便您調(diào)整目錄的規(guī)模以滿足任何網(wǎng)絡(luò)的要求。多個(gè)域可以合并為一棵域樹，多個(gè)域樹又可合并為樹林，活動(dòng)目錄也就隨著域的伸縮而伸縮，較好地適應(yīng)了單位網(wǎng)絡(luò)的變化。管理員可以在計(jì)劃中增加新的對(duì)象類，或者給現(xiàn)有的對(duì)象類增加新的屬性。