活動目錄：網絡作業系統的核心技術(ICE)

進入到1999年，網絡管理的目錄服務逐漸深入人心。與傳統的大型主機的模式相比，客戶機/伺服器的模式更加優越，因為在這一模式下，網絡管理者和使用者具有了更大的靈活性，有了更好的擴充性，和更加廣泛的應用軟體選擇性。但是客戶機/伺服器模式的靈活性，也有一定的弊病，比如使用者經常性地在網絡中迷失自己，找不到諸如列印機之類的網絡資源；網絡管理者也沒有一個統一的網絡資源管理方法，往往充當救火員的角色，宏觀的疏導和配置能力不夠。

微軟在Windows NT Server 4.0中就已經貫徹了目錄服務的思想。NT的"域，domain"的概念是目錄服務的一個基本單元。"一次登入，Single London"在Windows NT Server的環境下有了具體的應用，比如Internet Information Server、Exchange Server、SQL Server等都可以與Windows NT Server的賬号驗證內建起來，使用者一次登入就可以獲得Web、Email和資料庫等多種多樣的網絡服務。

Windows 2000 Server在Windows NT Server 4.0的基礎上，進一步發展了"活動目錄（Active Directory）"。

活動目錄的特征

Microsoft Windows 2000把現在的Windows NT目錄發展為一個完全可擴充，可伸縮的目錄服務，既能滿足商業ISP的需要，又能滿足企業内聯網和外聯網的需要。

目錄服務的六大關鍵特征是：

• 分層次和可伸縮的名字空間
• 多主複制
• 線上備份和恢複
• 動态可擴充結構
• 基于Internet的命名協定(DNS)
• 以輕量目錄通路協定 （LDAP） 作為互操作性的核心協定
• 分層次和可伸縮的名字空間

Windows NT 4.0 的存儲能力最大可以達到每域40兆位元組（MB）的對象，這一存儲能力允許在安全帳目管理器 （SAM）中最大達到每域40,000 個使用者。由于Windows NT 4.0 為名字空間使用一個平鋪清單結構，它管理一個巨大的域比較困難。管理工具，例如域的使用者管理器，不能迅速地啟動和顯示所有對象。而且， 因為平鋪清單的資料形式，難以從中尋找一個特定的對象。

為了使得管理更簡單靈活， Windows 2000 目錄使用了一個結構化資料庫，這一資料庫基于Microsoft Exchange目錄存儲庫作為其資料存儲庫。可擴充存儲引擎 （ESE） 的使用使得目錄可以在一個單一資料存儲中攀升到1千萬個對象，克服了Windows NT 4.0中基于系統資料庫的SAM 資料庫的限制。目錄服務代理 （DSA） 運作于平鋪資料庫之上，實作了一個分層次的名字空間。有了這樣的分層次名字空間，活動目錄從現有的域模型向前發展為一種新的 "樹和森林" 模型。 通過把名字空間分裂為層次結構， 再也不需要在一個平鋪清單上觀察上萬個使用者了。 在一個Windows 2000 域中可以建立組織機關（OU），它們是活動目錄中裝對象的容器。OU 中包含使用者、組、列印機等對象，這些對象能夠被組織成一種邏輯結構， 這種邏輯結構與你運轉群組織業務的方式相适應。另外，你可以利用組織機關來設定管理權。

活動目錄為通路控制許可提供了豐富的模式，這些模式在許多方面類似于檔案和目錄的許可管理。你可以通過随意設定ACL（通路控制清單）來設定對任何組織機關中的對象的管理。例如，你可以授權一個電腦管理者重新設定密碼，但不把增加或删除帳号的權力授給他。

通過給一個管理人員僅隻在一個容器中建立或修改對象的權力， 就把他限制那個容器中。這種許可的顆粒化管理允許你提供對管理職責和邊界的很精細的控制。目錄層次中組織機關的使用減少了域的數量，同時能夠達到需要的管理層次。

除了可以在一個域中構成組織機關的樹之外，還可以構成一棵域的樹。這些域被連入一棵使用Kerberos 可傳遞信任的層次樹。可傳遞信任僅僅通過一個簡單的對樹的"連接配接"，就能進行域的管理。基于Windows NT的使用者帳号在樹的任何地方都是有效的，并為單個的使用者提供了登入，這種登入對管理網絡應用軟體非常重要，是以它在分布式環境中需要被證明和認可。

多主複制

Windows NT 4.0 實作了一個單主複制模型。根域控制器 （PDC）是唯一具有域資料庫讀寫複制的域控制器。所有其它的域控制器都是備份域控制器 （BDC）。PDC把域資料庫中的所有變化複制給BDC。

在Windows NT 4.0中， 為了能夠對使用者帳号、組等進行修改，PDC 必須總處于可用狀态。如果PDC 伺服器壞了或網絡不通，目錄就難以被修改。

Windows 2000 和活動目錄實作了一個多主複制模型。使用多主複制，可以在域中的任何一個域控制器上對目錄進行修改。然後，這個域控制器把修改複制給它的複制夥伴。這樣，即使個别域控制器不能使用，目錄還是百分之百可以被修改。

線上備份和恢複

為了使域控制器實作很高的可用性，活動目錄允許線上的域控制器備份。Windows 2000也提供了一系列的手段，來進行域控制器的恢複。

動态可擴充結構

目錄的結構定義了該目錄中可以被建立的對象和屬性。在活動目錄中，結構由三張表組成，每張表對應下面的一項：

• 對象
• 屬性
• 文法對象

活動目錄允許你擴充結構，建立新的屬性和對象。開發者可以利用這一可擴充性（ADSI）在應用軟體目錄下建立他們自己的資料結構，進而把目錄作為一個資料存儲來使用。例如，一個人力資源應用軟體已經在目錄中找到了關于一個職員的大量資訊，這些資訊包括這個職員的姓名、電話号碼、辦公室号和家庭住址。在活動目錄下，這個應用 軟體可以通過擴充結構來增加一些必要的屬性，例如這個職員的薪水屬性。

此外，活動目錄的擴充安全模型允許你非常精細地定義安全度。在剛才提到的人力資源應用軟體的例子中，主管人力資源的職員能夠通路使用者對象，因為這對他們的工作非常重要，而管理人員盡管可以建立或删除使用者，卻不能夠通路對象的薪水屬性。

LDAP 作為互操作性的核心協定

為了確定Windows 2000 能夠支援多個作業系統和目錄下的目錄同步和互操作性，活動目錄使用輕量目錄通路協定 （LDAP）作為客戶通路協定。 微軟公司正在實施這一目錄通路的标準協定，同時也是IETF内部的LDAP 标準化程序的推動者之一。微軟還推出了許多建議，包括一些有關目錄複制的建議。這證明了微軟對基于标準的協定和與其他目錄提供商協同工作的承諾。

在活動目錄中實施了用于客戶通路 的LDAP 版本2 和版本3 。因為複制的标準化程序還沒有最後定稿，活動目錄在第一個版本中實施了一個獨有的複制協定。一旦有了可以使用的标準複制協定，後面的版本将馬上使用用于目錄複制的LDAP。

遷移到活動目錄的三大優點：

許多公司現今在Windows NT上有巨大的投資。是以，所有遷移的最主要目的都是讓顧客的現有投資平緩地，逐漸地從Windows NT 4.0遷移到活動目錄，以此保護顧客的現有投資。 遷移的三大優點是：

• 支援混合環境

  Windows NT 支援Windows 2000 活動目錄域控制器與Windows NT 4.0 域控制器組成的混合環境。顧客可以基于業務的需要，以自己的步調來進行遷移。低版本的客戶可以認為他們在通路Windows NT 4.0 的域控制器。還沒有安裝活動目錄通路軟體的Windows NT 工作站和Windows 95 的客戶，可以通過使用Windows NT LAN 管理器 （NTLM） 詢問/答複鑒定，登入到活動目錄控制器上去。

  因為活動目錄具有百分之百的向後相容性，是以企業可以先遷移它們的域控制器，再遷移它們的客戶，或混合遷移伺服器與客戶。在遷移過程中決不需要同時把大量的伺服器或客戶遷移到新的作業系統中。也決沒有必要為了遷移域控制器或客戶而讓整個域離線。單個的域控制器僅隻在它們的作業系統更新的時候才不可使用。這樣就確定了公司可以在不打斷它們業務的情況下遷移到活動目錄。

• 域模型的簡化

  活動目錄既允許對集中化的Windows NT 4.0 域模型進行簡單遷移，又允許對分散化的Windows NT 4.0 域模型進行簡單遷移。典型的主域或多主域模型可以被容易地遷移進一個活動目錄樹或活動目錄森林。

  活動目錄與改進的安全模型相結合，顧客就可以減少企業中域的數目。企業選擇一個主域模型的主要原因是，這樣可以允許地方職員管理地方資源域，同時不用把地方資源域的使用者管理權給予主域中的使用者帳号。這既對中心資訊技術（99v） 部門有益，又對地方使用者有益。中心99v 職員不必再去遙遠的地區，或在緩慢的廣域網線路上實作管理操作。同時，地方使用者可以更快地從地方支援職員那裡得到支援。而且，地方支援職員往往對他們當地使用者的日常工作有一個更好的了解。

• 複制流量的控制

  活動目錄的改進的複制引擎允許你區分兩種複制：使用區域網路線路的複制與發生在緩慢的廣域網線路上的複制。它允許你建立站點，這些站點是IP 子網的聚集，具有很好的連通性。在同一個站點中，複制在一段延時之後開始，這段延時是可配置的。站點之間的複制被預先安排，隻能在標明時間内使用廣域網帶寬。

  一般而言，在對象數目相同的情況下，活動目錄中的複制流量比Windows NT 4.0中的複制流量要小。盡管活動目錄定義了更多的對象，每個對象有更多的屬性，但因為活動目錄中的複制在單個屬性的層次上發生，是以複制變得更精細了。如果你僅僅改變了一個對象中的一個屬性，将隻有這個屬性被複制給它的複制夥伴，而不是把這個對象作為一個整體複制給它的複制夥伴。

進入到1999年，網絡系統中的目錄服務逐漸深入人心。與傳統的大型主機的模式相比，客戶機/伺服器的模式更加優越，因為在這一模式下，網絡管理者和使用者具有了更大的靈活性，有了更好的擴充性，和更加廣泛的應用軟體選擇性。但是客戶機/伺服器模式的靈活性，也有一定的弊病，比如使用者經常性地在網絡中迷失自己，找不到諸如列印機之類的網絡資源；網絡管理者也沒有一個統一的網絡資源管理方法，往往充當救火員的角色，宏觀的疏導和配置能力不夠。

微軟在Windows NT Server 4.0中就已經貫徹了目錄服務的思想。NT的"域（domain）"的概念是目錄服務的一個基本單元。"一次登入，Single Logon"在Windows NT Server的環境下有了具體的應用，比如Internet Information Server、Exchange Server、SQL Server等都可以與Windows NT Server的賬号驗證內建起來，使用者一次登入就可以獲得Web、Email和資料庫等多種多樣的網絡服務。

Windows 2000 Server在Windows NT Server 4.0的基礎上，進一步發展了"活動目錄（Active Directory）"。活動目錄充分展現了微軟産品的"ICE"，即內建性（Integration），深入性(Comprehensive)，和易用性(Ease of Use)等優點。活動目錄是一個完全可擴充，可伸縮的目錄服務，既能滿足商業ISP的需要，又能滿足企業内部網和外聯網的需要。

活動目錄的由來

活動目錄是從一個資料存儲開始的。它采用的是Exchange Server的資料存儲，稱為：Extensible Storage Service （ESS）。其特點是不需要事先定義資料庫的參數，可以做到動态地增長，性能非常優良。這個資料存儲之上已建立索引的，可以友善快速地搜尋和定位。活動目錄的分區是"域（Domain）"，一個域可以存儲上百萬的對象。域之間還有層次關系，可以建立域樹和域森林，無限地擴充。

在資料存儲之上，微軟建立了一個對象模型，以構成活動目錄。這一對象模型對LDAP有純粹的支援，還可以管理和修改Schema。Schema包括了在活動目錄中的計算機、使用者和列印機等所有對象的定義，其本身也是活動目錄的内容之一，在整個域森林中是唯一的。通過修改Schema的工具，使用者或開發人員可以自己定義特殊的類和屬性，來建立所需要的對象和對象屬性。

活動目錄包括兩個方面：一個目錄和與目錄相關的服務。目錄是存儲各種對象的一個實體上的容器；而目錄服務是使目錄中所有資訊和資源發揮作用的服務。活動目錄是一個分布式的目錄服務。資訊可以分散在多台不同的計算機上，保證快速通路和容錯；同時不管使用者從何處通路或資訊處在何處，都對使用者提供統一的視圖。

活動目錄的內建性(Integration)

微軟的活動目錄生動了結合了三個方面的管理内容：使用者和資源管理、基于目錄的網絡服務，和基于網絡的應用管理。而且活動目錄廣泛地采納了Internet标準，把衆多的Internet服務都內建在一起，提供了革命性的價值。

目錄管理的基本對象是使用者和計算機，還包括檔案、列印機等資源。舉例來說，使用者對象的屬性非常豐富，不但有常見的賬号名、密碼等，還包括郵件信箱和個人首頁位址、在公司中的職位關系等，可以在活動目錄中右鍵點選使用者對象發送郵件和通路其個人首頁等。其職位關系可以在公司的内部網上有Web組織結構圖的方式動态地顯示出來，也可以為内部采購、費用報帳等應用程式利用來實施業務邏輯。在活動目錄中，支援全局性的查找，比如查找在整個網絡中的雙面列印的彩色列印機等。

活動目錄徹底地采用了Internet标準協定，比如使用者賬号可以用[email protected]或[email protected]的快捷方式來表征，來登入網絡等。在此bj.yourcom.com和yourcom.com就是兩個不同的域。但是這兩個域之間有信任關系，因為yourcom.com是一個根域，bj.yourcom.com是一個子域。子域之下還可以有子域，比如sales.bj.yourcom.com，互相之間都是可傳遞的信任關系，構成一棵域樹。如果你的公司兼并了一家其他的公司，你的域樹可以和它們的域樹hiscom.com建立起整個的域森林來。DNS (domain name service)在此充當了名字解析的功能，我們建議使用與活動目錄內建的DNS Server，來保證動态更新域名和更好的複制能力。整個域森林的所有對象，隻要安全性管理許可，都可以用LDAP協定通路到。

在當今的Internet時代，微軟活動目錄這種基于Internet标準的做法，給使用者帶來了幾乎無窮盡的益處。活動目錄內建了關鍵服務，如DNS、MSMQ（消息隊列服務）；內建了關鍵應用，如電子郵件、網管、ERP等；內建了關鍵資料通路，如ADSI、OLE DB等；還內建了關鍵的安全性，如Kerberos第五版本和公開密鑰基礎設施等。

基于活動目錄的網絡基礎設施服務(Directory-Enabled Networking, DEN)是微軟和思科公司共同提出來的，旨在提高網絡可管理性和提高網絡服務品質的倡議。在Windows 2000活動目錄中，可以做到根據不同的使用者或應用配置設定網絡帶寬等進階的網絡管理任務，以及支援ATM網絡和QoS協定等。

基于活動目錄的應用服務(Directory-Enabled Application)是在Windows 2000平台上的新一代的應用程式。應用開發員可以擴充活動目錄的Schema 和 UI，通過ADSI/ADO程式設計，在活動目錄中釋出service 綁定資訊，通過Group Policy配置應用程式，進行Just In Time應用下載下傳和應用改變的自動通知等。比較典型的一個基于目錄的應用的例子，是NetMeeting。在活動目錄的環境中，你隻要在NetMeeting中敲入同僚的Email别名，就可以通過活動目錄中的定位服務，與其進行對話和桌面協作等，非常友善。 活動目錄的深入性(Comprehensive)

活動目錄的深入性展現在企業級的可伸縮性，安全性，互操作性，程式設計能力和更新能力上。活動目錄既可以存儲極少的幾個對象，也可以存儲上億萬的對象。活動目錄通過為每個域建立一個目錄存儲的方法來獲得伸縮性。這一個目錄存儲中僅僅包括了這個域中的所有對象。當域樹建立起來之後，每個域有能力搜尋整個域樹中所有的目錄存儲。這種劃分整個域樹的方法，使使用者所需要的資訊離使用者最近，響應最好。域的目錄存儲還可以有很多的副本，副本之間自動地做同步，進一步提高響應速度和服務可獲得性。

這種域樹和域森林的方法，幫助活動目錄使用容器層次來模拟一個企業的組織結構。組織中的不同部門可以成為不同的域，或者一個域中有層次結構的組織單元（Organizational Unit, OU），進而采用階層化的命名方法來反映組織結構和進行管理授權。順着組織結構進行顆粒化的管理授權可以解決很多管理上的頭疼問題，在加強中央管理的同時，又不失機動靈活性。

Windows NT 4.0中的很多域都可以成為OU，建立起更大的域和更簡化的域關系，借助全局目錄(Global Catalog) ，使用者和管理者仍然能夠迅速地找到對象和管理對象。Windows 2000可以在現存的Windows NT 4.0的環境中工作，保護現有的投資；微軟也提供一系列的工具幫助4.0的使用者遷移到Windows 2000的目錄環境中。微軟提供Directory Connector使活動目錄與Exchange Server 5.5、NDS的目錄服務同步，并且Exchange 6.0幹脆就采用了Windows 2000作其目錄服務。

在活動目錄中，目錄存儲隻有一種形式，即域控制器（Domain Controller），包括了完整的域目錄的資訊，不再有主域控制器和備份域控制器的差別。所有的域控制器在使用者通路和提供服務方面都是相同的。它們之間的同步是采用了一種先進的多主複制的技術，稱為Update Sequence Numbers (USN)。每個伺服器跟蹤其複制夥伴的最新USN清單，保證及時更新并且更新不會有沖突或互相覆寫等。

Windows 2000的安全性服務（如Kerberos，PKI和智能卡等）和活動目錄緊密結合。活動目錄存儲了域安全政策的資訊，比如域密碼的限制政策、系統通路權限等，實施了基于對象的安全模型和通路控制機制。在活動目錄中的每個對象都有一個獨有的安全性描述，定義了浏覽或更新對象屬性所需要的通路權限。但是，當LDAP用戶端通路活動目錄時，作業系統會實施通路安全控制，而不是由活動目錄來決定通路控制的。Windows 2000 安全性和活動目錄相輔相成，可以共同完成任務和協同管理。

活動目錄的易用性(Ease of Use)

一個功能強大的目錄服務如果不能易于使用，也不是一個好的目錄服務。活動目錄的易用性，也是Windows 2000整體Simplicity的一個展現。微軟始終抱着這樣的信仰：必須是大家樂于使用易于使用的技術，才是真正的好技術。是以，微軟的活動目錄也在此下了很大的功夫。

先說一下活動目錄的安裝。Windows NT Server 4.0的使用者可能不習慣Windows 2000 Server的做法：所有的新安裝都是安裝成為Member Server，目錄服務都需要事後用Dcpromo的指令特别安裝。目錄服務還可以解除安裝，而不用象在安裝Windows NT 4.0那樣，一開始就要定終身：區分域控制器還是Member Server，兩者之間不可轉換。

Dcpromo是一個圖形化的向導程式，引導使用者一步一步地建立域控制器，可以建立一個域森林，一棵域樹，或者僅僅是域控制器的另一個備份，非常友善。很多其他的網絡服務，比如DNS Server、DHCP Server和Certificate Server等，都可以在以後與活動目錄內建安裝，便于實施政策管理等。

在活動目錄安裝之後，主要有三個活動目錄的微軟管理界面（MMC），一個是活動目錄使用者和計算機管理，主要用于實施對域的管理；一個是活動目錄的域和域信任關系的管理，主要用于管理多域的關系；還有一個是活動目錄的站點管理，可以把域控制器置于不同的站點。一般區域網路的範圍内，為一個站點，站點内的域控制器之間的複制是自動進行的；站點間的域控制器之間的複制，需要管理者設定，以優化複制流量，提高可伸縮性。從活動目錄管理界面，還可以對SDOU(站點、域群組織單元的統稱)右鍵點選，啟動組政策（Group Policy）的管理界面，實施對對象的細緻管理。

對于SDOU，管理者還可以友善地進行管理授權。右鍵點選SDOU就可以啟動"管理授權向導"，一步一步地設定哪些管理者對于哪些對象有什麼樣的管理權限。比如說企業内部技術支援中心的管理者，隻有複位使用者密碼的權限，沒有建立和删除使用者賬号的權限。這種更細緻的管理方法，成為"顆粒化"。

另外，活動目錄還充分地考慮到了備份和恢複目錄服務的需要。Windows 2000備份工具中有專門備份活動目錄的選項，在出現意外事故的時候，可以在機器啟動時按F8進入安全模式，來進行目錄服務的恢複，保證減少災難的惡性影響。

結束語：尋找中國企業的大型網絡

通過我上述的介紹，相信您對于活動目錄的出色之處已經有了一個初步的了解。作為産品經理，我們目前的一個工作是在找尋我國企業使用者的大型網絡。因為要發揮活動目錄的企業級性能，需要有使用大型網絡進行關鍵業務的使用者，隻有他們才能在實踐中體會活動目錄的優勢。

也經常有人向我詢問活動目錄和NDS的比較情況。活動目錄的內建性、深入性和易用性(ICE)，是NDS整體上不能望其項背，比如NDS缺乏對DNS命名、純粹LDAP通路、新的安全性機制的支援，有全局目錄過于分離等設計缺陷。正如古人所說：一片冰心（ICE）在玉壺，使用者自然有判斷。