Active Directory 结构

<meta content="Active Directory 结构" name="description"> <meta content="Active Directory,结构" name="keywords"> Active Directory 结构

操作系统

白皮书

摘要

要发挥 Microsoft® Windows® 2000 Server 操作系统的最大作用，必须首先了解 Active Directory™ 目录服务。Active Directory 是 Windows 2000 操作系统的新内容，它在实施组织的网络、进而实现组织的商业目标中占有重要地位。本文向网络管理员介绍 Active Directory，解释其结构，阐述其如何与应用程序及其他目录服务进行交互操作。

本文以 Windows 2000 Beta 3 发行时有效的信息为基础。在 Windows 2000 Server 的最终版本发行之前，本文提供的信息可能会随时更改。

简介

要想了解 Windows 2000 操作系统如何实现其功能，及其对完成企业目标能够提供哪些帮助，就必须先了解 Active Directory™ 目录服务。本文从以下三个方面介绍 Active Directory：

• 存储。 Active Directory，即 Windows® 2000 Server 目录服务，可分层存储网络对象的信息，并向管理员、用户和应用程序提供这些信息。本文首先解释目录服务的概念、Active Directory 服务与 Internet 域名系统 (DNS) 的集成，以及当您将服务器指定为域控制器 ¹ 时，Active Directory 是如何实现的。
• 结构。使用 Active Directory，可以根据结构组织网络及其对象，这些结构包括域、目录树、目录林、信任关系、部门 (OU) 和站点。本文第二节阐述这些 Active Directory 组件的结构和功能，以及管理员采用该体系结构对网络实施管理的方式，从而有助于用户实现其商业目标。
• 相互通信。Active Directory 以标准目录访问协议为基础，因此能够与其他目录服务进行交互操作，并可接受遵守这些协议的第三方应用程序的访问。最后一节阐述 Active Directory 与其他各种技术进行通信的方式。

Active Directory 的优点

在 Windows 2000 操作系统中引入 Active Directory 有以下优点：

• 与 DNS 集成。 Active Directory 使用域名系统 (DNS)。DNS 是一种 Internet 标准服务，它将用户能够读取的计算机名称（例如 mycomputer.microsoft.com）翻译成计算机能够读取的数字 Internet 协议 (IP) 地址（由英文句号分隔的四组数字）。这样，在 TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。
• 灵活的查询。 用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是 Active Directory 用户和计算机管理单元。例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。而且,使用全局编录优化了查找信息的操作。
• 可扩展性。 Active Directory 是可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在原有的对象类别中添加新属性。架构包含每个对象类别的定义，以及能够存储于目录中的每个对象类别的属性。例如，您可能会为 User 对象添加 Purchase Authority 属性，然后将每个用户的购买权限额保存为用户帐户的一部分。
• 基于策略的管理。 组策略是在初始化时应用于计算机或用户的配置设置。所有组策略设置都包含在应用于 Active Directory 站点、域或部门的组策略对象 (GPO) 中。GPO 设置决定了对目录对象和域资源的访问权限、用户可使用的域资源（如应用程序），以及这些域资源针对其用途的配置方式。
• 可伸缩性。 Active Directory 包括一个或多个域，每个域均有一个或多个域控制器，由此，您能够对目录进行自由扩展，从而满足所有网络的需求。多个域可合并成一个域目录树，多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中，该域既是一个目录树，又是一个目录林。
• 信息复制。 Active Directory 使用多主机复制，使您可以更新任何域控制器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控制器包含同样的目录数据，所以，如果域内的一个域控制器速度变慢、停止或出现故障，同一域内的其他域控制器即可提供必要的目录访问功能。
• 信息安全。在 Windows 2000 操作系统中，用户身份验证和访问控制的管理都与 Active Directory 完全结合在一起，这是该系统的一项关键性安全功能。Active Directory 将身份验证集中进行。不仅可以定义对目录中每个对象的访问控制，还可定义对每个对象的每个属性的访问控制。此外，Active Directory 还为安全策略提供了存储区和应用范围。（关于 Active Directory 登录身份验证和访问控制的详细信息，请参阅本文结尾外的“其它信息”。）
• 互操作性。由于 Active Directory 以标准目录访问协议（例如轻型目录访问协议 (LDAP)）为基础，因此它能够与其他采用这些协议的目录服务进行交互操作。有些应用程序编程接口 (API)--例如 Active Directory 服务接口 (ADSI)--允许开发者访问这些协议。

在本文结尾，“附录 A：工具”提供了一些软件工具的简要概述，您可以使用这些工具执行与 Active Directory 有关的任务。

Active Directory 目录服务

在进入本文主要部分--Active Directory 结构与互操作性--之前，此节作为预备内容，从两个区别很大的角度简单介绍 Active Directory：

• 第一个角度是从 Active Directory 的最抽象意义上介绍，即：Active Directory 是一个与 Internet 域名系统 (DNS) 集成的名称空间。
• 第二个角度是从 Active Directory 的最普通意义上介绍，即：它是将服务器转换成域控制器的软件。

在计算机网络上下文环境中，目录（又称数据存储区）是存储网络对象信息的分层结构。对象包括共享资源，如服务器、共享卷和打印机；网络用户和计算机帐户以；域、应用程序、服务、安全策略，以及网络上的其他所有内容。以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例：一般情况下，目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。

目录服务与目录的不同之处在于：它既是目录信息源，又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。理想情况下，目录服务会使物理拓扑和协议（两个服务间传输数据所用的格式）透明化；这样，即使用户不知道资源的物理连接位置和连接方法，也能够访问资源。我们可以继续以用户帐户为例：正是目录服务使同一网络中的其他授权用户能够访问针对用户帐户对象所保存的目录信息（如电子邮件地址）。

目录服务可支持多种不同的功能。有些目录服务与操作系统集成，有些则是一些应用程序，如电子邮件目录。Active Directory 等操作系统目录服务可提供对用户、计算机和共享资源的管理。Microsoft Exchange 等处理电子邮件的目录服务使用户能够查找其他用户并发送电子邮件。

Active Directory 是一种新型的目录服务，是 Windows 2000 Server 操作系统的核心，它只在域控制器中运行。Active Directory 不但为数据提供了存储区以及使该数据有效的服务，而且还保护了网络对象，使其免受未经授权的访问，并防止跨网络复制对象，这样，即使一个域控制器出现故障，也不会导致数据丢失。

Active Directory 合并了 DNS

Active Directory 和 DNS 都是名称空间。名称空间是任一有界区域，在其中对给定的名称进行解析。名称解析是把名称转换成该名称代表的某一对象或信息的过程。例如，电话号码簿组成了一个名称空间，其中的电话用户名可解析成电话号码。Windows NTFS 文件系统组成了一个名称空间，其中的文件名可解析为文件本身。

DNS 与 Internet

要理解 Windows 2000 处理 Active Directory 和 DNS 名称空间的方式，需要先了解有关 DNS 自身及其与 Internet 和 TCP/IP 之间关系的一些基本知识。Internet 是一种 TCP/IP 网络。TCP/IP 通讯协议连接计算机，并使计算机可通过网络传输数据。Internet 或任何其他 TCP/IP 网络（如许多 Windows 网络）上的每台计算机都有一个 IP 地址。DNS 定位 TCP/IP 主机（计算机）的方法是：将最终用户能理解的计算机名称解析成计算机能读懂的 IP 地址。可用分布到全球的 DNS 数据库来管理 Internet 上的 IP 地址，也可以在本地实施 DNS，用于管理专用 TCP/IP 网络中的地址。

DNS 组织成不同层次的域，使整个 Internet 成为一个名称空间。DNS 有几个顶级域，可进一步划分为第二级域。Internet 域名空间的根由 Internet 职权部门（目前是 Internet 网络信息中心，简称 InterNIC）管理，该部门负责代理对 DNS 名称空间顶级域名的管理职责，并负责注册第二级域名。顶级域名是一些大家熟悉的域类别，如商业组织 (.com)、教育组织 (.edu)、政府组织 (.gov) 等等。对于美国以外的国家和地区，则用两个字母的国家/地区代码来表示，如英国用 .uk 表示。第二级域名代表了以前在机构（和个体）中注册的名称空间，他们曾以这种方式实现了在 Internet 上的存在。图 1 显示了公司网络连接到 Internet DNS 名称空间的方式。

图 1. Microsoft 如何适应 Internet DNS 名称空间。

DNS 与 Active Directory 名称空间的集成

DNS 与 Active Directory 的集成是 Windows 2000 Server 操作系统的核心功能。DNS 域和 Active Directory 域对不同的名称空间使用相同的域名。因为两个名称空间共享一个相同的域结构，所以必须了解它们不是同一个名称空间。每个名称空间保存了不同的数据，因而管理不同的对象。DNS 保存区域² 以及资源记录；Active Directory 保存域和域对象。

DNS 的域名以 DNS 分层命名结构为基础，这是一个反向树结构：最上方是一个根域，下面是父域和子域（枝和叶）。例如，有个 Windows 2000 域名是：child.parent.microsoft.com；这表明域名 child 是域名 parent 的子域，而 parent 本身也是域 microsoft.com 的一个子域。

DNS 域的每台计算机都可依据其完全合格的域名 (FQDN) 加以唯一识别。位于域 child.parent.microsoft.com 的计算机的 FQDN 是 computername.child.parent.microsoft.com。

每个 Windows 2000 域都有一个 DNS 名称（如 OrgName.com），并且每台基于 Windows 2000 的计算机都有一个 DNS 名称（如 AcctServer.OrgName.com）。因而，域和计算机都用 Active Directory 对象和 DNS 节点来表示（DNS 分层结构中的一个节点代表一个域或一台计算机）。

DNS 和 Active Directory 均用数据库来解析名称：

• DNS 是一种名称解析服务。 通过将 DNS 服务器接收的请求视为对 DNS 数据库的 DNS 查询，DNS 将域名和计算机名解析成 IP 地址。具体地说，DNS 客户机把 DNS 名称查询发送到已配置的 DNS 服务器。DNS 服务器先接收名称查询，然后通过本地保存的文件解析该名称查询，或咨询另一台 DNS 服务器进行解析。DNS 不需要系统启动 Active Directory。
• Active Directory 是一种目录服务。通过将域控制器接收的请求视为轻型目录访问协议 (LDAP)³ 搜索，或改成对 Active Directory 数据库的请求，Active Directory 将域对象名称解析成对象记录。具体而言，Active Directory 客户机使用 LDAP 向 Active Directory 服务器发送查询。Active Directory 客户机通过查询 DNS 来定位 Active Directory 服务器。即，Active Directory 将 DNS 用作定位器服务，把 Active Directory 域、站点及服务名称解析成 IP 地址。例如，要登录到 Active Directory 域，Active Directory 客户机会查询已配置的 DNS 服务器，请求 LDAP 服务的 IP 地址（LDAP 服务在指定域的域控制器中运行）。Active Directory 不需要系统启动 DNS。

实际上，理解 Windows 2000 环境中 DNS 与 Active Directory 名称空间之间的差异，就是理解：代表 DNS 区域中指定计算机的 DNS 主机记录，与 Active Directory 域中代表“同一台计算机”的计算机帐户对象处于不同的名称空间中。

总之，Active Directory 用以下两种方式与 DNS 集成：

• Active Directory 域和 DNS 域有相同的分层结构。尽管因目的不同，DNS 和 Active Directory 域的组织名称空间各自独立，实施方法也有所不同，但它们却有相同的结构。例如，microsoft.com 既是一个 DNS 域又是一个 Active Directory 域。
• DNS 区域可保存在 Active Directory 中。 如果使用 Windows 2000 DNS 服务，主区域就可以保存在 Active Directory 中，以便复制到其他 Active Directory 域控制器，为 DNS 服务提供增强的安全性。
• Active Directory 客户机使用 DNS 来定位域控制器。 为了定位指定域的域控制器，Active Directory 客户机会查询已配置的 DNS 服务器，以查找指定的资源记录。

Active Directory 与全局 DNS 名称空间

Active Directory 被设计成可处于 Internet 全局 DNS 名称空间的范围之内。如果组织使用 Windows 2000 Server 作为其网络操作系统，当该组织需要存在于 Internet 上时，Active Directory 名称空间会作为一个或多个分层的 Windows 2000 域，保留在已注册为 DNS 名称空间的根域名之下。（组织可选择不成为全局 Internet DNS 名称空间的一部分；但即使它这样做，仍要求 DNS 服务定位基于 Windows-2000 的计算机。)

根据 DNS 命名规则，以英文句号 (.) 分隔的 DNS 名称的每部分都代表 DNS 分层树结构的一个节点，以及 Windows 2000 域分层树结构的一个可能的 Active Directory 域名。如图 2 所示，DNS 分层结构的根是一个有空标签 (" ") 的节点。Active Directory 名称空间的根（目录林根）无父根，它提供了指向 Active Directory 的 LDAP 进入点。

<iframe marginwidth="1" marginheight="0" src="ADARCH02.GIF" frameborder="0" width="95%" height="368" img="" alt="adarch02"></iframe>

图 2. 比较 DNS 与 Active Directory 名称空间的根

SRV 资源记录与动态更新

DNS 独立于 Active Directory，而 Active Directory 却专门设计成与 DNS 协同工作。为了保证 Active Directory 正常运行，DNS 服务器必须支持服务位置 (SRV) 资源记录⁴。SRV 资源记录把服务名称映射成提供该服务的服务器名称。Active Directory 客户机和域控制器使用 SRV 资源记录确定域控制器的 IP 地址。

备注 关于规划 DNS 服务器的部署过程以便支持 Active Directory 域的详细信息，以及其他部署问题，请参阅本文“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning Guide。

除了要求 Windows 2000 网络的 DNS 服务器支持 SRV 资源记录外，Microsoft 还建议 DNS 服务器为 DNS 动态更新⁵ 提供支持。DNS 动态更新定义了一种协议，以便使用新值或变更值动态更新 DNS 服务器。如果没有 DNS 动态更新协议，管理员必须手动配置由域控制器创建、DNS 服务器保存的记录。

新的 Windows 2000 DNS 服务既支持 SRV 资源记录，又支持动态更新。如果选用不是基于 Windows 2000 的 DNS 服务器，则必须保证该服务器支持 SRV 资源记录，否则应将其升级为支持这些记录的版本。有些旧的 DNS 服务器虽支持 SRV 资源记录，但不支持动态更新，因此，当您将 Windows 2000 Server 提升为域控制器时，必须手动更新这些服务器的资源记录。该过程可使用 Netlogon.dns 文件（位于 %systemroot%\System32\config 文件夹）完成，该文件由 Active Directory 安装向导创建。

Active Directory 创建域控制器

实施和管理网络是一些实际操作。要理解 Active Directory 是如何与实际情况相结合的，就必须先了解：在运行 Windows 2000 Server 操作系统的计算机上安装 Active Directory，实际是一种把服务器转换成域控制器的操作。一个域控制器只能完全主持一个域。

具体而言，域控制器是一台运行 Windows 2000 Server 的计算机，它已使用 Active Directory 安装向导进行了配置；该向导可安装并配置向网络用户和计算机提供 Active Directory 目录服务的组件。域控制器会存储整个域的目录数据（如系统安全策略和用户身份验证数据），并管理用户和域的交互过程，包括用户登录进程、身份验证以及目录搜索。

使用 Active Directory 安装向导将服务器提升为域控制器的过程，同样或者是创建一个 Windows 2000 域，或者在原有域中添加新的域控制器。

本节阐述了 Active Directory 域控制器的概念，以及它在网络中所扮演的某些重要角色。

由于引入了 Active Directory，Windows 2000 域控制器的功能与“对等”类似。这与 Windows NT Server 主域控制器 (PDC) 和备份域控制器 (BDC) 扮演的主/从角色有所不同。对等域控制器支持“多主机复制”，可在所有域控制器之间复制 Active Directory 信息。多主机复制的引入意味着管理员可以更新域中任何 Windows 2000 域控制器的 Active Directory。在 Windows NT Server 操作系统中，只有 PDC 有目录的可读写副本，PDC 会把目录信息的只读副本复制到 BDC。（关于多主机复制的详细信息，请参阅“多主机复制”一节的内容。）

如果准备由原有域升级到 Windows 2000 操作系统，则可在方便时分阶段完成升级。如果正在为新的安装创建第一个域控制器，则会在加载 Active Directory 的同时自动形成几个实体。接下来的两小节解释了在新的网络中安装 Active Directory 域控制器的以下几个方面：

• 第一个域控制器是一个全局编录服务器。
• 第一个域控制器扮演操作主机角色。

全局编录

Windows 2000 操作系统引入了全局编录概念，这是一个保存在一个或多个域控制器中的数据库。全局编录在登录用户和查询中扮演重要角色。

默认情况下，全局编录由 Windows 2000 目录林中的初始域控制器自动创建，并且每个目录林必须有至少一个全局编录。如果使用多个站点，您可能希望在每个站点都将一个域控制器指定为全局编录，因为需要全局编录（决定了帐户的组成员身份）完成登录身份验证进程。这是指本机模式域。混合模式域不需要查询用于登录的全局编录。

在目录林中安装了其他域控制器后，就可以用 Active Directory 站点和服务工具将全局编录的默认位置更改为另一个域控制器。您还可根据组织对服务登录请求和搜索查询的要求，选择将任一域控制器配置成主持全局编录。全局编录服务器越多，对用户查询的响应就越快；但启用很多域控制器作为全局编录服务器会增加网络中的复制通信量，因而影响了响应速度。

全局编录执行两个关键的 Active Directory 角色--登录和查询：

• 登录。 在本机模式域中，全局编录通过为帐户提供通用组成员身份信息⁶（该帐户将登录请求发送到域控制器），启用 Active Directory 客户机的网络登录。实际上，不但对 Active Directory 的用户验证，而且对每个对象的身份验证，甚至包括每台计算机的启动，都必须引用全局编录服务器。在多域安装中，为了完成用户登录过程，必须至少有一台包含全局编录的域控制器正在运行，并且有效。当用户以非默认的用户主要名称 (UPN) 登录时，全局编录服务器也必须是有效的。(关于登录的详细信息，请参阅“登录名：UPN 与 SAM 帐户名称”一节的内容)。

  如果在用户启动网络登录进程时，全局编录是无效的，则用户将只能登录到本地计算机，而无法登录到网络中。唯一的例外是，如果用户是域管理员 (Domain Admin) 组的成员，就能够在全局编录无效的情况下登录到网络中。

• 查询。 在包含多个域的目录林中，全局编录使客户机能够方便快捷地执行跨所有域的搜索，而不必逐个搜索每个域。全局编录使目录林中的目录结构对查找信息的最终用户透明。绝大多数 Active Directory 网络通信是与查询有关的： 用户、管理员和程序都会请求有关目录对象的信息。查询过程要比目录更新过程的发生频度高得多。如果把不止一个域控制器指定为全局编录服务器，这样虽然会减少对查找目录信息的用户的响应时间，但同时也会导致网络的复制通信量增加；因此，必须平衡好它们之间的关系。

操作主机角色

对有些类型的更改，在对等域控制器之间执行多主机复制是不切实际的；因此，只有一个被称为“操作主机”的域控制器会接受这种更改请求。由于多主机复制在基于 Active Directory 的网络中占有重要地位，因此理解这些例外情况非常重要。在任一 Active Directory 目录林中，安装期间至少会将五个不同的操作主机角色分配给初始域控制器。

当您在新目录林中创建第一个域时，全部五个独立的主机操作角色都会自动分配给该域中的第一个域控制器。在只有一个域和一个域控制器的小规模 Active Directory 目录林中，这个唯一的域控制器仍担当起所有的操作主机角色。在一个较大的网络中，无论它有一个域还是多个域，您都可以重新将这些角色分配给其他的一个或多个域控制器。有些角色必须在每个目录林中出现。有些角色则必须在目录林的每个域中出现。

以下跨整个目录林的两种操作主机角色在目录林中必须是唯一的，即整个目录林中一种操作角色只能有一个：

• 架构主机。 拥有架构主机角色的域控制器控制对架构的所有更新和修改。架构定义了可在目录中保存的每个对象（及其属性）。要更新目录林的架构，必须拥有架构主机的访问权。
• 域命名主机。 拥有域命名主机角色的域控制器控制目录林中域的添加或删除。

以下整个域的三个操作主机角色在每个域内都必须是唯一的： 即在目录林的每个域中都只能有一个：

• 相对标识符 (RID) 主机。 RID 主机为域内的每个域控制器分配 RID 序列。只要域控制器创建了用户、组或计算机对象，该主机就会为对象指定一个唯一的安全 ID (SID)。安全 ID 由域安全 ID（对域中创建的所有安全 ID 都是相同的)和相对 ID (在域中创建的每个安全 ID 都是唯一的)组成。当域控制器用完自己的 RID 池后，会向 RID 主机请求另一个 RID 池。
• 主域控制器 (PDC) 模拟器。如果域包含未安装 Windows 2000 客户机软件的计算机，或者如果包含 Windows NT 备份域控制器 (BDC)，PDC 模拟器就会充当 Windows NT 主域控制器 (PDC)。它可以处理客户机的密码更改过程，并将更新情况复制到 BDC。对由域中其他域控制器执行的密码更改过程，PDC 模拟器可优先接收到对这些更改情况的复制。如果由于密码错误而导致在另一个域控制器的登录身份验证失败，域控制器会在拒绝登录尝试之前，将验证请求转发给 PDC 模拟器。
• 基础结构主机。当一个由其他对象引用的对象移动时，基础结构主机负责更新域间的所有引用。例如，只要组成员重新命名或有所更改，基础结构主机就会更新组与用户间的引用。当您重新命名或移动组中的成员（并且成员与组不在同一域中），暂时看起来组中就像没有包含该成员。组所在域的基础结构主机负责更新组，使组能够了解成员的新名称或新位置。

  基础结构主机使用多主机复制来对更新情况进行分发。除非域中只有一个域控制器，否则不应把基础结构主机的角色分配给主持全局编录的域控制器。如果这样做，基础结构主机将无法行使其功能。如果域中的所有域控制器都主持全局编录（包括只有一个域控制器的情况），那么所有域控制器都会有当前的最新数据，因而就不需要基础结构主机这一角色了。

体系结构

只要安装了 Active Directory 域控制器，也就同时创建了初始的 Windows 2000 域，或已在原有域中添加了新的域控制器。域控制器和域是如何适应整个网络体系结构的?

本节介绍基于 Active Directory 的网络组件，以及这些组件的组织方式。此外，还阐述了如何将对部门 (OU)、域或站点的管理责任委派给适当的个体，以及如何将配置设置分配给相同的三个 Active Directory 容器。其中包括以下主题：

• 对象（包括架构）。
• 对象命名规则（包括安全主管名称、SID、与 LDAP 相关的名称、对象 GUID 以及登录名）。
• 对象发布。
• 域（包括目录树、目录林、信任以及部门）。
• 站点（包括复制）。
• 如何将委派和组策略应用于 OU、域和站点。

对象

Active Directory 对象是组成网络的实体。对象是代表用户、打印机或应用程序等一些具体事物的一组不同的、已命名的属性集。当您创建一个 Active Directory 对象时，Active Directory 会生成一些对象属性的值，其他属性值则由您提供。例如，当您创建用户对象时，Active Directory 会指定全球唯一标识符 (GUID)，而您则提供其他一些属性（如用户的姓、名、登录标识符等等）的值。

架构

“架构”是对“对象类别”（不同类型的对象）及这些对象类别的“属性”的说明。对于每个对象类别，架构定义了对象类别必须具有的属性，它可能具有的其他属性，以及可以成为其父对象的对象类别。每个 Active Directory 对象都是一个对象类别的实例。每一属性只定义一次，但可用在多个类别中。例如，属性 Description 只定义了一次，却已用在许多不同类别中。

架构保存于 Active Directory 中。架构定义本身也作为对象保存--即 Class Schema 对象和 Attribute Schema 对象。这使 Active Directory 可以用管理其他目录对象的同种方法来管理类别和属性对象。

创建或修改 Active Directory 对象的应用程序使用架构来确定以下内容：对象一定或可能有哪些属性；如何依据数据结构和语法限制来描述属性。

对象不是容器对象就是叶对象（又称非容器对象）。容器对象存储其他对象，而叶对象却没有该功能。例如，文件夹是文件的容器对象，而文件则是叶对象。

Active Directory 架构中每一类别的对象都有这样一些属性，它们确保：

• 目录数据存储区中的每一对象都具有唯一的标识。
• 对于安全主管（用户、计算机或组），与 Windows NT 4.0 操作系统和早期版本中所用安全标识符 (SID) 的兼容性。
• 与目录对象名称的 LDAP 标准的兼容性。

架构属性与查询

使用 Active Directory 架构工具能够将属性标记为有索引。这样做的结果是，将该属性的所有实例都添至索引，而不仅仅是添加特定类别成员的实例。为属性建立索引有助于查询能够更加快速地找到具有该属性的对象。

您也可以将一些属性加入全局编录。全局编录包含了目录林中每个对象的一组默认属性，而您可以将自己的选项添加进去。用户和应用程序都使用全局编录在整个目录林中定位对象。只有具有以下特征的属性才可包含在全局编录中：

• 全局通用。 属性应是查找处于目录林任意位置的对象（即使仅用于读取访问）时需要的属性。
• 相对稳定。属性应是不变或极少改变的。某一全局编录中的属性会复制到目录林中所有其他全局编录中。如果属性经常变化，则会导致复制通信量骤增。
• 小型。全局编录中的属性会复制到目录林的每个全局编录中。属性越小，对复制过程的影响程度越低。

架构对象名称

如上文所述，类别和属性都是架构对象。任何架构对象都可以使用下列名称类型中的一种进行引用：

• LDAP 显示名。 对于每一架构对象来说，LDAP 显示名是全局唯一的。LDAP 显示名由一个或多个词组合而成，第一个词后面的词的词首字母大写。例如，mailAddress 和 machinePasswordChangeInterval 是两个架构属性的 LDAP 显示名。Active Directory 架构和其他 Windows 2000 管理工具显示对象的 LDAP 显示名；程序员和管理员可使用该名称以编程方式引用对象。关于以编程方式扩展架构的信息请参阅下一小节；关于 LDAP 的详细信息，请参阅“轻型目录访问协议”一节。
• 公用名。架构对象的公用名也是全局唯一的。可在架构中创建新对象类别或新属性时指定公用名；公用名是在架构中代表对象类别的、对象的相对可分辨名称 (RDN)。关于 RDN 的详细信息，请参阅“LDAP DN 与 RDN 名”一节的内容。例如，上段提及的两个属性的公用名是 SMTP-Mail-Address 和 Machine-Password-Change-Interval。
• 对象标识符 (OID)。 架构对象的标识符是由颁发机构（如国际标准化组织 (ISO) 和美国国家标准学会 (ANSI)）颁发的数字。例如，SMTP-Mail-Address 属性的 OID 是 1.2.840.113556.1.4.786。OID 在整个全球网络中确保是唯一的。从颁发机构获得根 OID 后，即可用它来分配其他 OID。OID 是一种分层结构。例如，颁发给 Microsoft 的根 OID 是 1.2.840.113556。Microsoft 内部管理由这个根产生的进一步的分支。其中一个分支用来为 Active Directory 架构类别分配 OID，另一个用于 Active Directory 属性。继续以此为例：Active Directory 中的 OID 是 1.2.840.113556.1.5.4，表示 Builtin Domain 类，能够按下表 1 所示进行分析。

表 1. 对象标识符

对象 ID 号
表示

1	ISO（“根”颁发机构）将 1.2 颁发给 ANSI，然后
2	ANSI 将 1.2.840 颁发给 USA，然后
840	USA 将 1.2.840.113556 颁发给 Microsoft，然后
113556	Microsoft 内部管理 1.2.840.113556 下的几个对象标识符分支，其中包括
1	一个名为 Active Directory 的分支，它又包括
5	一个名为类的分支，它又包括
4	一个名为 Builtin Domain 的分支

关于 OID 以及 OID 获取方式的详细信息，请参阅本文档结尾处的“其它信息”。

扩展架构

Windows 2000 Server 操作系统提供了一组默认的对象类别和属性，对许多组织来说这些已足够使用。尽管您无法删除架构对象，但可将其标记为不活动。

有经验的开发者和网络管理员可以定义新类，或定义原有类的新属性，以此来动态扩展架构。我们推荐通过 Active Directory 服务接口 (ADSI) 以编程方式对 Active Directory 架构进行扩展。您也可用 LDAP 数据交换格式 (LDIFDE) 工具。（关于 ADSI 和 LDIFDE 的详细信息，请参阅“Active Directory 服务接口”和“Active Directory 与 LDIFDE”一节的内容。）

如果是为了开发和测试，您也可以使用 Active Directory 架构工具查看并修改 Active Directory 架构。

在考虑改变架构时，应切记以下要点：

• 架构更改是涉及整个目录林的全局过程。
• 架构扩展是不可逆的（尽管可修改一些属性）。
• Microsoft 要求扩展架构的任何人都要遵守 LDAP 显示名和公用名的命名规则（上面的小节已讨论过）。如果要获得“Windows 认证”徽标⁷，则必须保证这一一致性；详细信息，请参阅 Microsoft Developer Network Web 站点。
• 架构中的所有类别都是由特殊类 Top 衍生的。除 Top 外，所有类都是由另一个类衍生的子类。属性 inheritance 允许您由原有类构建新类。新的子类继承了上一级类（父类）的全部属性。

扩展架构是一种高级操作。关于如何以编程方式扩展架构的详细信息，请参阅本文结尾处“其它信息”一节的内容。

对象命名规则

Active Directory 支持对象名称的几种不同格式，用以适应名称可能会采用的不同形式；采用何种形式取决于名称的使用环境（有些名称是数字形式）。下面的子节说明 Active Directory 对象命名规则的这些类型：

• 安全主管名称。
• 安全标识符（又称 安全 ID 或 SID）。
• 与 LDAP 相关的名称（包括 DN、RDN、URL 以及规范名称）。
• 对象 GUID。
• 登录名（包括 UPN 和 SAM 帐户名）。

如果单位有几个域，有可能会在不同域中使用相同的用户名或计算机名。由 Active Directory 生成的安全 ID、GUID、LDAP 可分辨的名称以及规范名称都可唯一地标识目录中的每个用户或计算机。如果用户或计算机对象被重新命名或移至另一个域，虽则安全 ID、LDAP 相对可分辨的名称、可分辨名称和规范名称会发生变化，但由 Active Directory 生成的 GUID 却并未改变。

安全主管名称。

安全主管是由 Active Directory 管理的 Windows 2000 对象，拥有自动分配的安全标识符 (SID)，用于登录身份验证和访问资源。安全主管可以是用户帐户、计算机帐户或组；因此，安全主管名称是用来唯一标识一个域内的用户、计算机或组的名称。安全主管对象必须由所在域的域控制器进行身份验证，并且可授予或剥夺其对网络资源的访问权。

安全主管名称在跨域时并不要求是唯一的，但是，为了实现后向兼容性，该名称在自己的域内必须是唯一的。可以对安全主管对象进行重命名或删除操作，或将其置于嵌套的域分层结构中。

安全主管对象的名称必须符合以下规则：

• 名称不得与同一域内的任何其他用户、计算机或组名称相同。名称最多可包含 20 个大写或小写字符，但以下字符除外： " / \ [ ] : ; | = , + * ? <>
• 用户名、计算机名或组名不可只包含英文句号 (.) 或空格。

安全 ID (SID)

安全标识符 (SID) 是 Windows 2000 操作系统安全子系统创建的唯一数字，分配给安全主管对象，即分配给用户、组和计算机帐户。网络上的每个帐户都会在首次创建时获得唯一的一个 SID。Windows 2000 操作系统的内部进程引用帐户的 SID，而不是帐户的用户或组名。

每个 Active Directory 对象都由访问控制项 (ACE) 保护，访问控制项能够识别哪些用户或组可以访问该对象。每个 ACE 都包含有权访问该对象的每个用户或组的 SID，并定义了允许进行的访问的级别。例如，一个用户可能对某些文件有只读权限，对另一些文件有读写权限，而对其他的文件则没有访问权限。

假设您先创建了一个帐户，而后又将其删除；然后又以相同用户名创建了一个帐户，此时，新帐户没有旧帐户以前所具有的权限或许可，因为新旧帐户的 SID 号码不同。

与 LDAP 相关的名称-{}-

Active Directory 是一种服从轻型目录访问协议 (LDAP) 的目录服务。在 Windows 2000 操作系统中，所有对 Active Directory 对象的访问都通过 LDAP 进行。LDAP 定义了在目录中查询和修改信息时将执行的操作以及安全访问目录中信息的方式。因此可以说，您正是使用 LDAP 查找或列举目录对象，并查询或管理 Active Directory。（关于 LDAP 的详细信息，请参阅“轻型目录访问协议”一节。）

虽然可按照 LDAP 可分辨名称（本身是对象的一个属性）进行查询，但因为这些名称很难记忆，所以 LDAP 还支持按照其他属性进行查询（例如，按照颜色查找彩色打印机）。这样，即使您不知道可分辨名称，也仍然可以查找对象。

以下三个小节说明 Active Directory 支持的对象命名格式，这些格式都以 LDAP 可分辨名称为基础：

• LDAP DN 和 RDN 名称。
• LDAP URL。
• 基于 LDAP 的规范名称。

LDAP DN 与 RDN 名称。

LDAP 为对象⁸ 提供了“可分辨名称”(DN) 和“相对可分辨名称”(RDN)。Active Directory 执行这些 LDAP 命名规则时会有所变化，如表 2 所示。

表 2. LDAP 命名规则及其 Active Directory 对应规则

LDAP DN & RDN
命名规则
相应的 Active Directory 命名规则
命名规则

cn=公用名	cn=公用名
ou=部门	ou=部门
o=单位	dc=域组件
c=国家	（不支持）

备注 cn=、ou= 等均是“属性类型”。用于描述对象的 RDN 的属性类型称之为“命名属性”。如右上角所示，Active Directory 命名属性用于以下 Active Directory 对象类：

• cn 用于 user 对象类
• ou 用于 organizational unit (OU) 对象类
• dc 用于 domainDns 对象类

每个 Active Directory 对象均有一个 LDAP DN。可根据分层“路径”定位 Active Directory 域内的对象，分层路径包括 Active Directory 域名标签和容器对象每个级别的标签。由 DN 定义到对象的完整路径。对象自身的名称由 RDN 定义。RDN 是对象 DN 的一部分（DN 是对象自身的一个属性）。

通过使用到对象的完整路径(包括对象名称和到域根目录的所有父对象)，DN 可唯一识别域分层结构中的对象。每个 RDN 都保存于 Active Directory 数据库中，并包含到其父层的引用。在一次 LDAP 操作中，通过跟踪各级引用，最后达到根目录，从而建立了整个 DN 结构。在一个完整的 LDAP DN 中，待识别对象的 RDN 在左侧出现的是叶名称；在结束的右侧出现的是根目录名称，如下例所示：

cn=JDoe,ou=Widgets,ou=Manufacturing,dc=USRegion,dcOrgName.dc=com

JDoe 用户对象的 RDN 是 cn=Jdoe；Widget（Jdoe 的父对象）的 RDN 是 ou=Widgets，依此类推。

Active Directory 工具不显示命名属性的 LDAP 缩写（dc=、ou=、或 cn=）。在此显示这些缩写仅用于说明 LDAP 是怎样识别 DN 的各部分的。大多数 Active Directory 工具以规范格式（稍后介绍）显示对象名。Windows 2000 操作系统通过 DN 使 LDAP 客户机能够检索目录中的对象信息，但非 Windows 2000 的用户界面需要输入 DN。只有编写遵守 LDAP 的程序或脚本时，才需要明确区分 DN、RDN 和命名属性的用法。

LDAP URL 名称

Active Directory 支持使用 LDAP 协议，由任一启用了 LDAP 的客户机进行访问。RFC 1959 中说明了 LDAP 统一资源定位符 (URL) 的格式；URL 使 Internet 客户机可以直接访问 LDAP 协议。LDAP URL 也用于脚本。LDAP URL 以前缀“LDAP”开头，接着命名提供 Active Directory 服务的服务器，然后是对象的属性名称（可分辨的名称）。例如：

LDAP://server1.USRegion.OrgName.com/cn=JDoe,ou=Widgets,ou=Manufacturing,dc=USRegion,dcOrgName,dc=com

基于 LDAP 的 Active Directory 规范名称

默认情况下，Active Directory 管理工具以“规范名称”的格式显示对象名称，此格式从根依次向下列出 RDN，并且不带 RFC 1779 命名属性描述符（dc=、ou= 或 cn=）。规范名称用 DNS 域名格式，即，名称的各段域标签是用英文句号分隔的，如 USRegion.OrgName.com；表 3 将 LDAP DN 与同名的规范名称格式进行了比较。

表 3. LDAP DN 格式与规范名称格式的比较

同一名称的两种格式

LDAP DN 名称：	cn=JDoe,ou=Widgets,ou=Manufacturing,dc=USRegion,dcOrgName.dc=com
规范名称：	USRegion.OrgName.com/Manufacturing/Widgets/JDoe

对象 GUID

除了 LDAP DN，Active Directory 中的每个对象都有一个全局唯一标识符 (GUID)；这是一个在对象创建时由目录系统代理分配的 128 位数字。GUID 不能被更改或删除，它保存在属性 objectGUID 中，该属性是每个对象的必有属性。与 DN 或 RDN 的可更改性有所不同，GUID 永不改变。

要在外部存储区（例如 Microsoft SQL Server™ 数据库）保存对 Active Directory 对象的引用，就应该使用 objectGUID 值。

登录名： UPN 和 SAM 帐户名

正如前文所述，安全主管是在登录身份验证和资源访问授权两方面均应用基于 Windows 的安全措施的对象。用户即是一种类型的安全主管。在 Windows 2000 操作系统中，用户安全主管需要唯一的登录名，以获取对域及其资源的访问权。以下两小节说明了两种类型的登录名--UPN 和 SAM 帐户名。

用户主管名称

在 Active Directory 中，每个用户帐户都有一个“用户主管名 (UPN)”，格式为：<user>@<DNS-domain-name>。 UPN 是由管理员指定的友好名，它比系统使用的 LDAP 可分辨名称要短，因此更易于记忆。UPN 独立于用户对象的 DN，所以移动或重新命名用户对象时不会影响用户登录名。使用 UPN 登录时，用户就不必再由登录对话框的列表中选择域了。

UPN 的三部分是：UPN 前缀（用户登录名），@ 字符以及 UPN 后缀（通常是一个域名）。用户帐户的默认 UPN 后缀是 Active Directory 域的 DNS 名，该域是用户帐户所处的位置⁹。例如，用户 John Doe 在 OrgName.com 域（如果 OrgName.com 是目录树中唯一的域）中有一个用户帐户，其 UPN 为 JDoe@OrgName.com；UPN 是安全主管对象的属性 (userPrincipalName)。如果用户对象的 userPrincipalName 属性没有值，则用户对象会有一个默认 UPN：userName@DnsDomainName。

如果所在单位有多个域，形成了按部门和区域组织的大型域树，则默认的 UPN 名称可能会变得过于繁杂。例如，用户的默认 UPN 可能是 sales.westcoast.microsoft.com。在该域中的用户登录名是 user@sales.westcoast.microsoft.com。如果不想把默认的 DNS 域名作为 UPN 后缀，则可为所有用户统一提供一个 UPN 后缀，以简化管理和用户登录进程。（UPN 后缀只用于 Windows 2000 域，并且不必是有效的 DNS 域名。）您也可选用自己的电子邮件域名作为 UPN 后缀：userName@companyName.com。此处给出了用户 UPN 名称示例：user@microsoft.com。

如果是基于 UPN 的登录，可能会需要全局编录，这要取决于用户登录以及用户计算机的域成员资格。如果用户以非默认的 UPN 登录，并且用户的计算机帐户与其用户帐户处于不同域中，则会需要全局编录。即，如果未接受默认的 DNS 域名作为 UPN 后缀（正如刚才的示例：user@sales.westcoast.microsoft.com），而是给所有用户提供了一个统一的 UPN 后缀（结果用户会使用简单的 UPN 后缀，如 user@ microsoft.com），则需要全局编录来登录。

使用 Active Directory 域和信任工具来管理域的 UPN 后缀。在创建用户时分配 UPN。如果已为域创建其他后缀，创建用户或组帐户时就可以从有效的后缀列表中进行选择。列表中的后缀按如下顺序显示：

• 可选的后缀（如果有，最后创建的会显示在最前面）。
• 根域。
• 当前域。

SAM 帐户名

考虑到与 Windows NT 3.x和 Windows NT 4.0 域的兼容性，需要引入安全帐户管理器 (SAM) 帐户名。Windows 2000 用户界面将 SAM 帐户名称之为“用户登录名（Windows 2000 以前版本）”。

SAM 帐户名有时也称为无层次名，因为与 DNS 名不同，SAM 帐户名不使用分层命名方式。由于 SAM 名是无层次的，因此每个名称在域中都必须是唯一的。

对象发布

“发布”是在目录中创建特定对象的过程，这种对象或者包含您希望使之生效的信息，或者对此类信息提供一个引用。例如，用户对象包括关于用户的有用信息，比如他们的电话号码和电子邮件地址，而卷对象包括对共享文件系统卷的一个引用。

以下是两个实例：在 Active Directory 中发布文件和打印对象：

• 共享发布。 可用 Active Directory 用户和组管理单元，将共享文件夹发布为 Active Directory 中的一个卷对象（又称共享文件夹对象）；这样，用户就可以方便快捷地在 Active Directory 中查询该共享文件夹了。
• 打印机发布。 在 Windows 2000 域中，管理、定位及连接打印机最简单的方式就是通过 Active Directory。默认情况下¹⁰，当您用“添加打印机”向导添加了一台打印机，并选择共享这台打印机时，Windows 2000 Server 会将其作为 Active Directory 中的对象在域中发布。在 Active Directory 中发布（列出）打印机使用户能够找到最方便的打印机。现在用户可按照类型（如 PostScript、颜色、纸张大小是否适合法律文件等等）和位置等打印机属性进行搜索，轻而易举地查询 Active Directory 中的任何一台打印机。打印机从服务器中删除后，服务器将取消对该打印机的发布。

  也可在 Active Directory 中发布非 Windows 2000 平台的打印机（即打印机位于非 Windows 2000 平台的打印服务器上）。要达到此目的，可用 Active Directory 用户和计算机工具输入打印机的通用命名规则 (UNC) 路径。或者，用 System32 文件夹提供的 Pubprn.vbs 脚本。Group Policy Downlevel Printer Pruning 决定了打印机无法使用时，修剪服务（自动删除打印机）将如何处理非 Windows 2000 平台的打印服务器上的打印机。

发布时间

如果信息对用户群的很大一部分有用或者能够引起他们的兴趣，并且对这些信息的访问程序要求很高，就应该在 Active Directory 中发布这些信息。

Active Directory 中发布的信息有两个主要特征：

• 相对静止。 只发布更改不频繁的信息。电话号码和电子邮件地址就是适于发布的、相对静止信息的例子。用户目前选用的电子邮件信件是变动程度很高的信息的例子。
• 结构化。所发布的信息应是结构化的，并可以表示为一组离散的属性。用户的商务地址是适于发布的、结构化信息的一个例子。用户嗓音的音频剪辑是更适合归于文件系统的、非结构化信息的一个例子。

应用程序使用的运作信息非常适合于在 Active Directory 中进行发布。这些信息包括应用于特定应用程序所有实例的全局配置信息。例如，关系数据库产品可以将数据库服务器的默认配置作为一个对象存储在 Active Directory 中。此后，该产品的新安装即可从对象中收集默认配置，从而简化了安装过程并提高了企业中所安装产品的一致性。

应用程序还可以在 Active Directory 中发布其连接点。客户/服务器结构中会使用这些连接点。Active Directory 使用 Service Administration Point 对象为集成的服务管理定义了体系结构，并为基于远程过程调用 (RPC)、Winsock 和组件对象模型 (COM) 的应用程序提供了标准连接点。有些应用程序不使用 RPC 或 Winsock 接口发布其连接点，它们可以在 Active Directory 中显式发布 Service Connection Point。

还可用应用程序特有的对象在目录中发布应用程序数据。应用程序特有的数据应该满足上面讨论的条件。即数据应该是能够引起大家的兴趣、相对稳定和结构化的。

发布方法

发布信息的方式根据应用程序和服务的不同而变化：

• 远程过程调用 (RPC)。RPC 应用程序应用 API 的 RpcNs* 族在目录中发布它们的连接点，并查询已发布其连接点的服务的连接点。
• Windows 套接字。Windows 套接字应用程序使用 Winsock 2.0 中有效的 API 注册和解析族发布它们的连接点，并查询已经发布其连接点的服务的连接点。
• 分布式组件对象模型 (DCOM)。 DCOM 服务使用驻留于 Active Directory 的 DCOM 类存储 (DCOM Class Store) 来发布它们的连接点。DCOM 是 Microsoft 组件对象模型 (COM) 的规范，用于定义组件在基于 Windows 的网络中的通信方式。使用 DCOM 配置工具集成跨多台计算机的客户/服务器应用程序。DCOM 也可以用于集成可靠的 Web 浏览器应用程序。

域：目录树、目录林、信任和部门

Active Directory 由一个或多个域组成。在网络中创建初始域控制器的同时也就创建了域--您不可能创建没有一个域控制器的域。目录中的每个域都按 DNS 域名标识。使用 Active Directory 域和信任工具管理域。

使用域完成以下网络管理目标：

• 界定安全区域。Windows 2000 域可定义安全界限。安全策略和设置（如管理权和访问控制列表）不会从一个域跨至另一个域。Active Directory 可能包括一个或多个域，每个域都有其自己的安全策略。
• 复制信息。域是 Windows 2000 目录分区（又称命名环境)。这些目录分区就是复制的单元。每个域只存储位于该域中的对象的相关信息。域的所有域控制器均可接收对对象的更改情况，并可将这些更改复制到该域的其他所有域控制器中。
• 应用组策略。 域为策略定义了一个可能的范围（组策略设置也可应用于各部门或站点）。针对域应用组策略对象 (GPO) 会建立配置和使用域资源所需的方法。例如，您可以使用组策略控制桌面设置，如桌面锁闭和应用程序部署。这些策略只应用于该域，而不会跨域使用。
• 设计网络结构。既然一个 Active Directory 域就可跨多个站点，且能够包含数百万个对象¹¹，大多数公司不需要再单独创建域来反映公司的分支机构和部门。完全没必要为处理其他对象而创建更多的域。但是，有些单位的确需要不止一个域才能满足要求；例如，那些独立的或完全自治的业务部门可能不希望让部门外的任何人对其对象拥有权限。这样的单位可以创建更多的域，并将这些域组织成一个 Active Directory 目录林。此外，如果网络的两部分由一个链路分开，且链接速度之慢使您根本没法指望通过该链路来完成复制通信，这时也可将网络分成独立的域。（对于那些复制过程的发生频率较低、因此仍能处理这些复制通信量的低速链路，可以将多个站点配置成一个域。）
• 委派管理权限。在运行 Windows 2000 的网络中，可将单个部门和独立域的管理权限彻底委派给别人，这样即可减少需要具有较高管理权限的管理员的数量。因为域是一个安全界限，所以默认情况下，对域的管理权限受域的限制。例如，虽然管理员在一个域中有权设置安全策略，但并未自动授予他在目录的任何其他域中设置安全策略的权限。

要理解域，则要理解目录树、目录林、信任以及部门，还要理解每个结构与域的关系如何。每个域组件均在以下各小节中加以说明：

• 目录树
• 目录林
• 信任关系
• 部门

Windows 2000 操作系统还引入了站点的相关概念，这样可提供灵活的管理，但站点结构与域结构是分开的，因此在以后的章节中再介绍站点。本文对基于 Windows 2000 的域和站点的基本知识加以说明。关于如何规划它们的结构以及如何部署的详细信息，请参阅本文结尾处“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning Guide。

当您阅读以下阐述各种可能的域结构的小节时，请切记，在许多单位中，是由一个域组成结构，而域同时是只包含一个目录树的一个目录林，这种结构不仅是可能的，而且也许还是组织网络的最理想方式。应始终由最简单的结构开始；只有确实需要添加复杂结构时，才可这样做。

目录树

在 Windows 2000 操作系统中，“目录树”是具有连续名称的一个或多个域的集合。如果存在多个域，则可将这多个域合并为分层的树结构。在目录林中有不止一个树的原因可能是，单位的某一分支机构有自己的注册 DNS 名称，并运行自己的 DNS 服务器。

所创建的第一个域是第一个树的根域。同一域树中的其他域是子域。同一域树中，与一个域紧密相连的上面的域是该域的父域。

有同一根域的所有域组成了一个“连续名称空间”。在连续名称空间中（即在一个树中）的域有连续的 DNS 域名，这些名称以下列方式形成：子域的域名显示在左边，与其右侧的父域名用英文句号分隔开。当有两个以上的域时，每个域的父域都在其域名的右侧，如图 3 所示。基于 Windows 2000 的域形成了一棵树，这些域通过双向、可传递的信任关系链接。信任关系将在后文说明。

图 3. 域树中的父域和子域。双向箭头表示双向可传递的信任关系

域树中域之间的父-子关系只是命名关系，和信任关系。父域中的管理员不会自动成为子域的管理员，父域中的策略设置也不会自动应用于子域。

目录林

Active Directory 目录林是一个“分布式数据库”，它是由跨多台计算机的许多局部数据库组成的数据库。对数据库进行的分布过程通过将数据定位到最常用的地方，来提高网络效率。目录林的数据库分区按域来定义，即一个目录林由一个或多个域组成。

除域数据库外，目录林的所有域控制器还保管目录林配置和架构容器的一个副本。域数据库是目录林数据库的一部分。每个域数据库都包含目录对象，如安全主管对象（用户、计算机和组），您可授予或剥夺这些对象对网络资源的访问权。

一个