在上一篇對(duì)活動(dòng)目錄有個(gè)基本了解之后下面我就來接觸一下活動(dòng)目錄實(shí)質(zhì)上的一面——活動(dòng)目錄的結(jié)構(gòu)。上篇我們講到活動(dòng)目錄是包括兩方面：目錄和目錄相關(guān)的服務(wù)。目錄是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器，與我們平常所說的目錄沒什么區(qū)別，目錄管理的基本對(duì)象是用戶、計(jì)算機(jī)、文件以及打印機(jī)等資源。而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，如用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理，它才是WIN2K活動(dòng)目錄的關(guān)鍵和精髓所在。目錄服務(wù)是WIN2K網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心管理機(jī)構(gòu)，所以目錄服務(wù)的引入對(duì)整個(gè)操作系統(tǒng)帶來了革命性的變化，不僅系統(tǒng)平臺(tái)上的各基礎(chǔ)模塊，比如網(wǎng)絡(luò)安全機(jī)制、用戶管理模塊等發(fā)生了變化，而且上層應(yīng)用的運(yùn)作方式以及開發(fā)模式也有了相應(yīng)的變化。這樣來理解“活動(dòng)目錄”是不是覺得更加容易？
　　同時(shí)活動(dòng)目錄是一個(gè)分布式的目錄服務(wù)，因?yàn)樾畔⒖梢苑稚⒃诙嗯_(tái)不同的計(jì)算機(jī)上，保證各計(jì)算機(jī)用戶快速訪問和容錯(cuò)；同時(shí)不管用戶從何處訪問或信息處在何處，對(duì)用戶都提供統(tǒng)一的視圖，使用戶覺得更加容易理解和掌握WIN2K系統(tǒng)的使用�；顒�(dòng)目錄集成了WIN2K服務(wù)器的關(guān)鍵服務(wù)，如域名服務(wù)(DNS)，消息隊(duì)列服務(wù)（MSMQ），事務(wù)服務(wù)（MTS）等。在應(yīng)用方面活動(dòng)目錄集成了關(guān)鍵應(yīng)用，如電子郵件、網(wǎng)絡(luò)管理、ERP等。要理解活動(dòng)目錄，我們必須從它的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)入手。
　　一、活動(dòng)目錄的邏輯結(jié)構(gòu)
　　“邏輯”兩個(gè)字相信大家平時(shí)見的比較多，如我們常說的“邏輯思維、邏輯分析”等，也許大家一講到“邏輯”兩個(gè)字就覺得十分抽象，難以理解。其實(shí)我們?cè)谶@里所講的“邏輯結(jié)構(gòu)”，我覺得還是很好理解的，“邏輯”一般與“物理”是對(duì)等的，我們知道“物理上的”是指實(shí)實(shí)在在的，那么“邏輯上的”不就是指非物理上的，非實(shí)體的東西，它是一種抽象的東西，比如講一種“關(guān)系”、一個(gè)“空間、范圍”等。在第一篇我們講過活動(dòng)目錄的邏輯結(jié)構(gòu)非常靈活，有目錄樹、域、域樹、域林等，這些名字都不是實(shí)實(shí)在在的一種實(shí)體，只是代表了一種關(guān)系，一種范圍，如目錄樹就是由同一名字空間上的目錄組成，而域又是由不同的目錄樹組成，同理域樹是由不同的域組成，域林是由多個(gè)域樹組成。它們是一種完全的樹狀、層次結(jié)構(gòu)視圖，這種關(guān)系我們可以看成是一種動(dòng)態(tài)關(guān)系。邏輯結(jié)構(gòu)還與前面討論過的名字空間有直接關(guān)系，邏輯結(jié)構(gòu)為用戶和管理員在一定的名字空間中查找、定位對(duì)象提供了極大方便。活動(dòng)目錄中的邏輯單元主要包括：
　　1、域、域樹、域林
　　域既是WIN2K網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，是對(duì)象（如計(jì)算機(jī)、用戶等）的容器，這些對(duì)象有相同的安全需求、復(fù)制過程和管理，這一點(diǎn)對(duì)于網(wǎng)管人員應(yīng)是相當(dāng)容易理解的。在WIN2K中域中所有的域控制器都是平等的（這一點(diǎn)與WINNT4.0不一樣，沒有主、副之分），域是安全邊界，域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或管理其他的域。每個(gè)域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。在這里就涉及到了不同域之間的信任關(guān)系及傳遞關(guān)系，下面就具體講一下WIN2K中的域信任關(guān)系。
　　域與域之間具有一定的信任關(guān)系，域信任關(guān)系使得一個(gè)域中的用戶可由另一域中的域控制器進(jìn)行驗(yàn)證，才能使一個(gè)域中的用戶訪問另一個(gè)域中的資源。所有域信任關(guān)系中只有兩種域：信任關(guān)系域和被信任關(guān)系域。信任關(guān)系就是域A信任域B，則域B中的用戶可以通過域A中的域控制器進(jìn)行身份驗(yàn)證后訪問域A中的資源，則域A與域B之間的關(guān)系就是信任關(guān)系。被信任關(guān)系就是被一個(gè)域信任的關(guān)系，在上面的例子中域B就是被域A信任，域B與域A的關(guān)系就是被信任關(guān)系。信任與被信任關(guān)系可以是單向的，也可以是雙向的，即域A與域B之間可以單方面的信任關(guān)系，也可以是雙方面的信任關(guān)系。
而在域中傳遞信任關(guān)系不受關(guān)系中兩個(gè)域的約束，是經(jīng)父域向上傳遞給域目錄樹中的下一個(gè)域，也就是說如果域A信任域B，則域A也就信任域B下面的子域域B1、域B2……，傳遞信任關(guān)系總是雙向的：關(guān)系中的兩個(gè)域互相信任（是指父域與子域之間）。默認(rèn)情況下，域目錄樹或目錄林（目錄林可以看做是同一域中的多個(gè)目錄樹組成）中的所有WiIN2K 信任關(guān)系都是傳遞的。通過大大減少需管理的委托關(guān)系數(shù)量，這將在很大程度上簡(jiǎn)化域的管理。
　　WIN2K中的域傳遞信任關(guān)系一般是系統(tǒng)自動(dòng)的，但對(duì)于相同域目錄樹或林中的WiIN2K域，也可以顯式（手工）地創(chuàng)建傳遞信任關(guān)系。這對(duì)于形成交叉鏈接信任關(guān)系是非常重要的。不傳遞信任關(guān)系受關(guān)系中兩個(gè)域的約束，并且不經(jīng)父域向上傳遞到域目錄樹中的下一個(gè)域。必須顯式地創(chuàng)建不傳遞信任關(guān)系。默認(rèn)情況下，不傳遞信任關(guān)系是單向的，盡管也可以通過創(chuàng)建兩個(gè)單向信任關(guān)系創(chuàng)建一個(gè)雙向關(guān)系。所有不屬于相同域目錄樹或林中WiIN2K 域間建立的委托關(guān)系都是不傳遞的。所有WiIN2K域和WINNT域之間的委托關(guān)系都是不傳遞的，這一點(diǎn)對(duì)于一個(gè)企業(yè)同時(shí)使用WIN2K和WINNT域控制器時(shí)應(yīng)特別注意，當(dāng)從 WindowsNT升級(jí)到WiIN2K時(shí)，所有已現(xiàn)有的WindowsNT信任關(guān)系都將保持不變。在混合模式的網(wǎng)絡(luò)中，所有WindowsNT信任關(guān)系都是不傳遞的。WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和MITKerberosV5領(lǐng)域單向單向信任關(guān)系是單獨(dú)的委托關(guān)系。雙向信任關(guān)系包括一對(duì)單向委托關(guān)系，所有傳遞信任關(guān)系都是雙向的。為使不傳遞信任關(guān)系成為雙向，必須在所涉及的域間創(chuàng)建兩個(gè)單向信任關(guān)系。
　　2、組織單元（OU）
　　組織單元（OU）是一個(gè)容器對(duì)象，它也是活動(dòng)目錄的邏輯結(jié)構(gòu)的一部分，我們可以把域中的對(duì)象組織成邏輯組，它可以幫助我們簡(jiǎn)化管理工作。OU可以包含各種對(duì)象，比如用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)等，甚至可以包括其他的OU，所以我們可以利用OU把域中的對(duì)象形成一個(gè)完全邏輯上的層次結(jié)構(gòu)。對(duì)于企 業(yè)來講，可以按部門把所有的用戶和設(shè)備組成一個(gè)OU層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個(gè)OU層次結(jié)構(gòu)。很明顯，通過組織單元的包容，組織單元具有很清楚的層次結(jié)構(gòu)，這種包容結(jié)構(gòu)可以使管理者把組織單元切入到域中以反應(yīng)出企業(yè)的組織結(jié)構(gòu)并且可以委派任務(wù)與授權(quán)。建立包容結(jié)構(gòu)的組織模型能夠幫助我們解決許多問題，同時(shí)仍然可以使用大型的域、域樹中每個(gè)對(duì)象都可以顯示在全局目錄，從而用戶就可以利用一個(gè)服務(wù)功能輕易地找到某個(gè)對(duì)象而不管它在域樹結(jié)構(gòu)中的位置。
　　由于OU層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個(gè)域中的OU層次結(jié)構(gòu)與另一個(gè)域中的OU層次結(jié)構(gòu)沒有任何關(guān)系。因?yàn)榛顒?dòng)目錄中的域可以比NT4的域容納更多對(duì)象，所以一個(gè)企業(yè)有可能只用一個(gè)域來構(gòu)造企業(yè)網(wǎng)絡(luò)，這時(shí)候我們就可以使用OU 來對(duì)對(duì)象進(jìn)行分組，形成多種管理層次結(jié)構(gòu)，從而極大地簡(jiǎn)化網(wǎng)絡(luò)管理工作。組織中的不同部門可以成為不同的域，或者一個(gè)組織單元，從而采用層次化的命名方法來反映組織結(jié)構(gòu)和進(jìn)行管理授 權(quán)。順著組織結(jié)構(gòu)進(jìn)行顆�；�的管理授權(quán)可以解決很多管理上的頭疼問題，在加強(qiáng)中央管理的同時(shí)，又不失機(jī)動(dòng)靈活性。
　　WINNT4.0中的很多域都可以成為OU，建立起更大的域和更簡(jiǎn)化的域關(guān)系，借助全局目錄(GlobalCatalog)，用戶和管理員仍然能夠迅速地找到對(duì)象和管理對(duì)象。 WIN2K可以在現(xiàn)存的WINNT4.0的環(huán)境中工作，保護(hù)現(xiàn)有的投資。
　　二、活動(dòng)目錄的物理結(jié)構(gòu)
　　進(jìn)制-活動(dòng)目錄中，物理結(jié)構(gòu)與邏輯結(jié)構(gòu)有很大的不同，它們是彼此獨(dú)立的兩個(gè)概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)資源的管理，而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化。活動(dòng)目錄的物理結(jié)構(gòu)主要著眼于活動(dòng)目錄信息的復(fù)制和用戶登錄網(wǎng)絡(luò)時(shí)的性能優(yōu)化。物理結(jié)構(gòu)的兩個(gè)重要概念是站點(diǎn)和 域控制器。
　　1、站點(diǎn)
　　站點(diǎn)是由一個(gè)或多個(gè)IP子網(wǎng)組成，這些子網(wǎng)通過高速網(wǎng)絡(luò)設(shè)備連接在一起。站點(diǎn)往往由企業(yè)的物理位置分布情況決定，可以依據(jù)站點(diǎn)結(jié)構(gòu)配置活動(dòng)目錄的訪問和復(fù)制拓?fù)潢P(guān)系，這樣能使得網(wǎng)絡(luò)更有效地連接，并且可使復(fù)制策略更合理，用戶登錄更快速， 活動(dòng)目錄中的站點(diǎn)與域是兩個(gè)完全獨(dú)立的概念，一個(gè)站點(diǎn)中可以有多個(gè)域，多個(gè)站點(diǎn)也可以位于
同一域中。
　　活動(dòng)目錄站點(diǎn)和服務(wù)可以通過使用站點(diǎn)提高大多數(shù)配置目錄服務(wù)的效率。可以通過使用活動(dòng)目錄站點(diǎn)和服務(wù)向活動(dòng)目錄發(fā)布站點(diǎn)的方法提供有關(guān)網(wǎng)絡(luò)物理結(jié)構(gòu)的信息，活動(dòng)目錄使用該信息確定如何復(fù)制目錄信息和處理服務(wù)的請(qǐng)求。計(jì)算機(jī)站點(diǎn)是根據(jù)其在子網(wǎng)或一組已連接好子網(wǎng)中的位置指定的，子網(wǎng)提供一種表示網(wǎng)絡(luò)分組的簡(jiǎn)單方法，這與我們常見的郵政編碼將地址分組類似。將子網(wǎng)格式化成可方便發(fā)送有關(guān)網(wǎng)絡(luò)與目錄連接物理信息的形式，將計(jì)算機(jī)置于一個(gè)或多個(gè)連接好的子網(wǎng)中充分體現(xiàn)了站點(diǎn)所有計(jì)算機(jī)必須連接良好這一標(biāo)準(zhǔn)，原因是同一子網(wǎng)中計(jì)算機(jī)的連接情況通常優(yōu)于網(wǎng)絡(luò)中任意選取的計(jì)算機(jī)。使用站點(diǎn)的意義主要在于：
　　（1）、提高了驗(yàn)證過程的效率
　　當(dāng)客戶使用域帳戶登錄時(shí)，登錄機(jī)制首先搜索與客戶處于同一站點(diǎn)內(nèi)的域控制器，使用客戶站點(diǎn)內(nèi)的域控制器首先可以使網(wǎng)絡(luò)傳輸本地化，加快了身份驗(yàn)證的速度，提高了驗(yàn)證過程的效率。
　�。�2）、平衡了復(fù)制頻率
　　活動(dòng)目錄信息可在站點(diǎn)內(nèi)部或站點(diǎn)與站點(diǎn)之間進(jìn)行信息復(fù)制，但由于網(wǎng)絡(luò)的原因，活動(dòng)目錄在站點(diǎn)內(nèi)部復(fù)制信息的頻率高于站點(diǎn)間的復(fù)制頻率。這樣做可以平衡對(duì)最新目錄信息需求和可用網(wǎng)絡(luò)帶寬帶來的限制。您可通過站點(diǎn)鏈接來定制活動(dòng)目錄如何復(fù)制信息以指定站點(diǎn)的連接方法，活動(dòng)目錄使用有關(guān)站點(diǎn)如何連接的信息生成連接對(duì)象以便提供有效的復(fù)制和容錯(cuò)。
　　（3）、可提供有關(guān)站點(diǎn)鏈接信息
　　活動(dòng)目錄可使用站點(diǎn)鏈接信息費(fèi)用，鏈接使用次數(shù)，鏈接何時(shí)可用以及鏈接使用頻度等信息確定應(yīng)使用哪個(gè)站點(diǎn)來復(fù)制信息，以及何時(shí)使用該站點(diǎn)。定制復(fù)制計(jì)劃使復(fù)制在特定時(shí)間（諸如網(wǎng)絡(luò)傳輸空閑時(shí)）進(jìn)行會(huì)使復(fù)制更為有效。通常，所有域控制器都可用于站點(diǎn)間信息的交換，但也可以通過指定橋頭堡服務(wù)器優(yōu)先發(fā)送和接收站間復(fù)制信息的方法進(jìn)一步控制復(fù)制行為。當(dāng)擁有希望用于站間復(fù)制的特定服務(wù)器時(shí)，寧愿建立一個(gè)橋頭堡服務(wù)器而不使用其他可用服務(wù)器�；蛟谂渲檬褂么�理服務(wù)器時(shí)建立一個(gè)橋頭堡服務(wù)器，用于通過防火墻發(fā)送和接收信息。
　　2、域控制器
　　域控制器是指運(yùn)行WIN2KServer版本的服務(wù)器，它保存了活動(dòng)目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個(gè)域中的其他域控制器上，使各域控制器上的目錄信息處于同步。域控制器也負(fù)責(zé)用戶的登錄過程以及其他與域有關(guān)的操作，比如身份鑒定、目錄信息查找等一個(gè)域可以有多個(gè)域控制器。規(guī)模較小的域可以只需要兩個(gè)域控制器，一個(gè)實(shí)際使用，另一個(gè)用于 容錯(cuò)性檢查。規(guī)模較大的域可以使用多個(gè)域控制器。
　　WIN2K的域結(jié)構(gòu)與WINNT的域結(jié)構(gòu)不同的是，活動(dòng)目錄中的域控制器沒有主次之分，活動(dòng)目錄采用了多主機(jī)復(fù)制方案，每一個(gè)域控制器都有一個(gè)可寫入的目錄副本，這為目錄信息 容錯(cuò)帶來了無(wú)盡的好處。盡管在某一個(gè)時(shí)刻，不同的域控制器中的目錄信息可能有所不同，但一旦 活動(dòng)目錄中的所有域控制器執(zhí)行同步操作之后，最新的變化信息就會(huì)一致。
　　盡管活動(dòng)目錄支持多主機(jī)復(fù)制方案，然而由于復(fù)制引起的通信流量以及網(wǎng)絡(luò)潛在的沖 突，變化的傳播并不一定能夠順利進(jìn)行。因此有必要在域控制器中指定全局目錄服務(wù)器以及操 作主機(jī)。--全局目錄是一個(gè)信息倉(cāng)庫(kù)，包含活動(dòng)目錄中所有對(duì)象的一部分屬性，往往是在查詢過 程中訪問最為頻繁的屬性。利用這些信息，可以定位到任何一個(gè)對(duì)象實(shí)際所在的位置，而全局目 錄服務(wù)器是一個(gè)域控制器，它保存了全局目錄的一份副本，并執(zhí)行對(duì)全局目錄的查詢操作。全局 目錄服務(wù)器可以提高活動(dòng)目錄中大范圍內(nèi)對(duì)象檢索的性能，比如在域林中查詢所有的打印機(jī)操 作。如果沒有一個(gè)全局目錄服務(wù)器，那么這樣的查詢操作必須要調(diào)動(dòng)域林中每一個(gè)域的查詢過 程。如果域中只有一個(gè)域控制器，那么它就是全局目錄服務(wù)器如果有多個(gè)域控制器，那么管理員 必須把一個(gè)域控制器配置為全局目錄控制器.