2017.3.14下午

活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。活动目录服务是Windows Server 2000操做系统平台的中心组件之一。理解活动目录对于理解Windows Server 2000的总体价值是很是重要的。这篇关于活动目录服务所涉及概念和技术的介绍文章描述了活动目录的用途，提供了对其工做原理的概述，并归纳了该服务为不一样组织和机构提供的关键性商务及技术便利。

人们常常将数据存储做为目录的代名词。目录包含了有关各类对象 [例如用户、用户组、计算机、域、组织单位（OU）以及安全策略] 的信息。这些信息能够被发布出来，以供 用户和管理员的使用。

目录存储在被称为 域控制器的服务器上，而且能够被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改均可以从源域控制器复制到域、 域树或者森林中的其它域控制器上。因为目录能够被复制，并且全部的域控制器都拥有目录的一个可写副本，因此用户和管理员即可以在域的任何位置方便地得到所需的目录信息。

目录 数据存储在域控制器上的Ntds.dit文件中。咱们建议将该文件存储在一个 NTFS分区上。有些数据保存在目录 数据库文件中，而有些数据则保存在一个被复制的文件系统上，例如登陆脚本和 组策略。

有三种类型的目录数据会在各台 域控制器之间进行复制：

·域数据。域数据包含了与域中的对象有关的信息。通常来讲，这些信息能够是诸如电子邮件联系人、用户和计算机账户属性以及已发布资源这样的目录信息，管理员和用户可能都会对这些信息感兴趣。

例如，在向网络中添加了一个用户账户的时候，用户账户对象以及 属性数据便被保存在域数据中。若是您修改了组织的目录对象，例如建立、删除对象或者修改了某个对象的属性，相关的数据都会被保存在域数据中。

·配置数据。 配置数据描述了目录的拓扑结构。配置数据包括一个包含了全部域、 域树和森林的列表，而且指出了 域控制器和 全局编录所处的位置。

·架构数据。架构是对目录中存储的全部对象和属性数据的正式定义。Windows Server 2003提供了一个默认架构，该架构定义了众多的对象类型，例如用户和计算机账户、组、域、组织单位以及安全策略。管理员和程序开发人员能够经过定义新的对象类型和属性，或者为现有对象添加新的属性，从而对该架构进行扩展。架构对象受 访问控制列表（ACL）的保护，这确保了只有通过受权的用户才可以改变架构。

原则1、域设计原则

一、在管理任务明显由区域划分的环境中能够独立设置域，如某公司的亚洲分部和欧洲分部等，能够设立域对各自独立的资源进行统一管理。

二、 特殊状况下，若是域数据库中的对象（包括被管理的用户、计算机、打印机等）过多，超过100万时（对于中小型企业很难达到），须要考虑增长域。

原则2、 林设计原则

公司因为业务等需求须要设定多个名字空间，如须要xxxx.xxx和xxxx.xx两个名字空间，则必须创建林，该林中包含以xxxx.xxx为根域和以xxxx.xx为根域的两棵树。而且，需根据实际状况为这2棵树之间肯定好信任关系

原则3、OU设计原则

一、对于域安全准则一致的域，若是须要突出其中的某些业务和组织职能，则能够为域建立组织单元（OU），而没有必要从新建立单独的域。好比，对一个xxxx.xxx，底下划分为销售、人力等部门，能够建立sales、hr等等OU。

二、 在具体的OU设计中，微软给出了地理模型、对象模型、成本中心模型等7个基本模型供参考。

原则4、站点设计原则

站点设置的目的是控制网络产生的登陆通讯量和复制通讯量。

（1）登陆通讯量：每次当用户登陆网络时，Windows 2000/Windows Server 2003/Windows Server 2008都会试图查找与用户在同一站点的DC，产生登陆通讯量。

（2）复制通讯量：将目录数据库的变更更新到多个DC，站点将控制该通讯量如何以及什么时候产生。

原则5、GC设计原则

GC存储林中每一个对象的必定数量的信息，这些信息一般是被频繁查询或者搜索的属性，当用户在域外查找对象时，使用GC能够避免调用目的地的DC，从而加快查询速度和减小网络流量。建议，每一个site都配备一个GC。