2017.3.14下午

活動目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。活動目錄服務是Windows Server 2000操做系統平臺的中心組件之一。理解活動目錄對於理解Windows Server 2000的總體價值是很是重要的。這篇關於活動目錄服務所涉及概念和技術的介紹文章描述了活動目錄的用途，提供了對其工做原理的概述，並歸納了該服務爲不一樣組織和機構提供的關鍵性商務及技術便利。

人們常常將數據存儲做爲目錄的代名詞。目錄包含了有關各類對象 [例如用戶、用戶組、計算機、域、組織單位（OU）以及安全策略] 的信息。這些信息能夠被髮布出來，以供 用戶和管理員的使用。

目錄存儲在被稱爲 域控制器的服務器上，而且能夠被網絡應用程序或者服務所訪問。一個域可能擁有一臺以上的域控制器。每一臺域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改均可以從源域控制器複製到域、 域樹或者森林中的其它域控制器上。因爲目錄能夠被複制，並且全部的域控制器都擁有目錄的一個可寫副本，因此用戶和管理員即可以在域的任何位置方便地得到所需的目錄信息。

目錄 數據存儲在域控制器上的Ntds.dit文件中。咱們建議將該文件存儲在一個 NTFS分區上。有些數據保存在目錄 數據庫文件中，而有些數據則保存在一個被複制的文件系統上，例如登陸腳本和 組策略。

有三種類型的目錄數據會在各臺 域控制器之間進行復制：

·域數據。域數據包含了與域中的對象有關的信息。通常來講，這些信息能夠是諸如電子郵件聯繫人、用戶和計算機賬戶屬性以及已發佈資源這樣的目錄信息，管理員和用戶可能都會對這些信息感興趣。

例如，在向網絡中添加了一個用戶賬戶的時候，用戶賬戶對象以及 屬性數據便被保存在域數據中。若是您修改了組織的目錄對象，例如建立、刪除對象或者修改了某個對象的屬性，相關的數據都會被保存在域數據中。

·配置數據。 配置數據描述了目錄的拓撲結構。配置數據包括一個包含了全部域、 域樹和森林的列表，而且指出了 域控制器和 全局編錄所處的位置。

·架構數據。架構是對目錄中存儲的全部對象和屬性數據的正式定義。Windows Server 2003提供了一個默認架構，該架構定義了衆多的對象類型，例如用戶和計算機賬戶、組、域、組織單位以及安全策略。管理員和程序開發人員能夠經過定義新的對象類型和屬性，或者爲現有對象添加新的屬性，從而對該架構進行擴展。架構對象受 訪問控制列表（ACL）的保護，這確保了只有通過受權的用戶纔可以改變架構。

原則1、域設計原則

一、在管理任務明顯由區域劃分的環境中能夠獨立設置域，如某公司的亞洲分部和歐洲分部等，能夠設立域對各自獨立的資源進行統一管理。

二、 特殊狀況下，若是域數據庫中的對象（包括被管理的用戶、計算機、打印機等）過多，超過100萬時（對於中小型企業很難達到），須要考慮增長域。

原則2、 林設計原則

公司因爲業務等需求須要設定多個名字空間，如須要xxxx.xxx和xxxx.xx兩個名字空間，則必須創建林，該林中包含以xxxx.xxx爲根域和以xxxx.xx爲根域的兩棵樹。而且，需根據實際狀況爲這2棵樹之間肯定好信任關係

原則3、OU設計原則

一、對於域安全準則一致的域，若是須要突出其中的某些業務和組織職能，則能夠爲域建立組織單元（OU），而沒有必要從新建立單獨的域。好比，對一個xxxx.xxx，底下劃分爲銷售、人力等部門，能夠建立sales、hr等等OU。

二、 在具體的OU設計中，微軟給出了地理模型、對象模型、成本中心模型等7個基本模型供參考。

原則4、站點設計原則

站點設置的目的是控制網絡產生的登陸通訊量和複製通訊量。

（1）登陸通訊量：每次當用戶登陸網絡時，Windows 2000/Windows Server 2003/Windows Server 2008都會試圖查找與用戶在同一站點的DC，產生登陸通訊量。

（2）複製通訊量：將目錄數據庫的變更更新到多個DC，站點將控制該通訊量如何以及什麼時候產生。

原則5、GC設計原則

GC存儲林中每一個對象的必定數量的信息，這些信息一般是被頻繁查詢或者搜索的屬性，當用戶在域外查找對象時，使用GC能夠避免調用目的地的DC，從而加快查詢速度和減小網絡流量。建議，每一個site都配備一個GC。