举例介绍活动目录的优势

Active Directory服务为所有基础设施相关信息提供了单点登录能力和集中存储机制，这大大简化了用户和计算机的管理，同时提供了对网络资源的高级访问。在这篇文章中，我主要谈谈微软Windows Server 2003中活动目录的优点、新功能和改进的概述。
微软首次在Windows Server 2000中引入了AD技术。经过几年的发展，AD技术已经成为微软网络架构的核心，几乎所有的产品和技术都围绕着AD这个核心。可以说，网络中没有AD，就无法实现基于微软产品和技术的基础网络管理，也无法适应未来的技术发展！

那么安装Active Directory有什么意义呢？这是所有Windows Server 2003初学者的第一个问题。因为Active Directory并不是Windows系统必须安装的服务，要完全理解它是非常困难的，那么安装Active Directory的意义是什么呢？主要体现在以下几个方面:

1.信息的安全性大大增强。

安装Active Directory后，信息安全完全与Active Directory集成在一起。用户授权管理和目录访问控制已经集成到Active Directory中(包括用户的访问和登录权限等。)，它们是WIN2K33系统的关键安全措施。Active Directory集中控制用户授权。控件不仅定义在每个目录下的每个对象上，还定义在每个对象的每个属性上，这是任何以前的系统都无法企及的，包括WINNT 4.0。此外，Active Directory还可以提供存储和应用范围的安全策略，并提供安全策略的存储和应用范围。安全策略可以包含帐户信息，例如域范围的密码限制或对特定域资源的访问权限。所以从某个程序可以说WIN2K3的安全性就是体现在Active Directory中的安全性，说明如何配置Active Directory中对象和属性的安全性是一个网管配置WIN2K3系统的关键。

具体应用:比如工作组下面有三台电脑，分别是A、B、C，每台电脑都有一个账号A、B、C，如果B上有一个文档要被某个用户访问，B会在B电脑上创建一个账号a' for A '，或者B会把自己的账号密码告诉A，让A访问。同样，其他资源也将以同样的方式处理。导致每个用户都要记住几个账号密码才能访问不同的资源，或者网络中有很多多余的账号密码，或者很多人的密码都告诉了别人，最后网络安全就变成了空一句话。

但是，如果实现了域，就不一样了。b只需要设置A对资源的访问权限，不需要创建额外的帐户或者告诉别人他的帐户密码。A来访问，权限合适的话可以直接操作。用户也不需要记录额外的帐户密码。

比如经理M有一台电脑M，为了保证安全，电脑M只能由M登录，可以简单的在AD中设置。还有一台打印机。如果有这样的安全要求，每个人都可以在工作时间使用，但是不能在下班后打印。当有一个大文档要打印时，如果M经理想打印该文档，他可以在中间插入它。M完成打印后，将继续打印原始的大文档。在AD中可以非常方便地设置这样的设置。

2.引入基于策略的管理，使系统管理更加清晰。

活动目录服务包括目录对象数据存储和逻辑层次结构(由目录、目录树、域、域树、域林等组成的层次结构。我上次在杭州讲过)。作为一个目录，它存储分配给特定环境的策略，称为组策略对象。作为一个逻辑结构，它为策略应用提供了一个分层的环境。组策略对象代表一组业务规则，包括与要应用的环境相关的设置。组策略是初始化用户或计算机时使用的配置设置。的所有组策略设置都包含在应用于active directory、域或组织单位的组策略对象(GPO)中。GPOs设置决定了目录对象和域资源的访问权限，用户可以使用哪种域资源，以及如何使用这些域资源。例如，组策略对象可以确定用户登录时在计算机上看到的应用程序，在服务器上启动时有多少用户可以连接到服务器，以及当用户移动到不同的部门或组时可以访问哪些文件或服务。对象使您能够管理少量策略，而不是大量用户和计算机。通过Active Directory，您可以将组策略设置应用于适当的环境，无论是整个组织还是组织中的特定部门。

具体应用:比如为了在单位放置病毒感染和信息安全，要求所有电脑只能使用USB鼠标和键盘，不能使用u盘和移动硬盘。为了控制USB接口的使用类型，工作组下只有一台电脑设置组策略，而AD下只能完成一个组策略，不到10秒！

比如为了防止员工修改系统配置导致系统崩溃，或者禁止员工在工作时间玩游戏，就需要禁止使用某些组件。使用AD自带的组策略功能也非常方便。至于日常管理任务，如向所有员工发送消息或安装软件，AD的组策略也可以轻松实现。而且这些策略的设置可以根据单位的部门或者职称结构来实现。非常方便！

3.它具有很强的可扩展性。

WIN2K3的Active Directory具有很强的可扩展性，管理员可以在他们的计划中添加新的对象类或向现有的对象类添加新的属性。包括可以存储在目录中的每个对象类的定义和对象类的属性。例如，在电子商务中，您可以为每个用户对象添加一个购物授权属性，然后将每个用户的购买权限存储为用户帐户的一部分。

具体应用:比如未来公司将实现邮件系统和企业内部通信系统，实现文件、信息、语音等的沟通。在基于网络的企业内部，这可以大大节约企业的运行成本。利用Active Directory的扩展性，只是用户账号上多了邮箱属性或者MSN属性。用户甚至可以使用IE安全地发送和接收电子邮件，即使没有Outlook！

4.它具有很强的可扩展性。

Active Directory可以包含在一个或多个域中，每个域都有一个或多个域控制器，因此您可以调整目录的大小以满足任何网络的需要。多个域可以由域树组成，多个域树可以由林组成，所以active directory会随着域的扩展而伸缩，可以更好地适应单位网络的变化。它的目录体系结构和配置信息分发到目录中的所有域控制器，这些信息存储在域的第一个域控制器中，并复制到域中的任何其他域控制器。当目录配置为单个域时，添加域控制器将更改目录的大小，而不会影响其他域的管理开销。将域添加到目录允许您为不同的策略环境划分目录，并调整目录的大小以容纳大量的资源和对象。

5.智能信息复制能力。

信息复制为目录提供了信息可用性、容错、负载平衡和性能优势。Active Directory使用多主机复制，这允许您在任何域控制器上同步更新目录，而不是在单个主域控制器上。多主机模式具有容错能力更强的优势，因为有了多域控制器，即使任何一个域控制器停止工作，复制也可以继续。由于多主机复制，他们将更新目录的单个拷贝。在域控制器上创建或修改目录信息后，新创建或更改的信息将被发送到域中的所有其他域控制器，因此其目录信息是最新的。域控制器需要最新的目录信息，但要达到高效率，必须限制自己只在目录信息新建或变更时更新，避免在网络高峰时段同步，影响网速。域控制器之间不加选择地交换目录信息会迅速摧毁任何网络。通过Active Directory，只能复制更改的目录信息，而不会大大增加域控制器的负载。

6.与DNS紧密集成

Active Directory使用域名系统(DNS)来命名服务器目录。DNS是一种互联网标准服务，它将更容易理解的主机名(如Mike.Mycompany.com)转换为数字IP地址，这有助于TCP/IP网络中计算机之间的相互识别和通信。DNS的域名基于DNS分层命名结构，这是一个单根域的倒树形结构，根域下可以有父域和子域(枝叶)。

应用程序:任何计算机加入域后，它会获得一个限定名(FQDN)。因为域名是分等级的，所以在整个企业内名称都是一样的，所以我们需要查找任何一台电脑的时候都可以使用。

而且由于名称是通过AD在DNS中注册的，所以完全符合当前的网络状态(所有计算机都是在AD中注册的)，这在动态地址分配的情况下非常有优势。而且，由于DNS不受地理和网络基础设施的影响，任何地方的任何用户都可以方便地访问所需的资源。

此外，在AD中，每个用户都有一个用户的主名(UPN)，用户的主名类似于电子邮件地址，不仅有利于用户的记忆(在多域环境中尤其有用)，还可以链接到电子邮件系统，进一步简化了最终用户的使用。

7.与其他目录服务的互连

由于Active Directory基于标准目录访问协议，许多应用程序接口(API)允许开发人员访问这些协议，如Active Directory服务接口(ADSI)、轻量级目录访问协议(LDAP)第3版和名称服务提供商接口(NSPI)，因此它可以使用这些协议与其他目录服务进行交互。LDAP是一种目录访问协议，用于在Active Directory中查询和检索信息。因为它是一个行业标准服务协议，所以您可以使用LDAP开发人员与其他也支持LDAP的目录服务共享Active Directory信息。Active Directory支持Microsoft Exchange 2003客户端使用的NSPI协议，以提供与Exchange目录的兼容性。

8、具有灵活的查询功能。

任何用户都可以使用开始菜单、网上邻居或Active Directory用户和计算机上的搜索命令，通过对象属性快速查找网络上的对象。例如，您可以通过名字、姓氏、电子邮件名称、办公地点或用户帐户的其他属性来查找用户，反之亦然。

应用:比如A的员工要给B的员工发一份文件，不需要打印出来，用快递邮寄。他可以在AD中搜索B中员工办公室(或附近办公室)的打印机，然后将文档直接发送到那个打印机，这样B中的用户就可以直接获取文档。而且A的用户不知道B的打印机也没关系，可以根据地名、楼层、办公室等信息快速定位到正确的打印机！