目录服务是一种分布式数据库，用于存储与网络资源有关的信息，以便于查找和管理。Microsoft Active Directory 是用于 Windows 2000 的最新目录服务实现。涉及目录服务的基本问题围绕着可以将哪些信息存储在数据库中，存储的方式是什么，如何查询特定的信息，以及如何对结果进行处理。Active Directory 包含目录服务本身，以及允许访问支持 X.500 命名规则的数据库的从属服务。

可以使用某个用户名来查询目录，以获取相关信息，如用户的电话号码或者电子邮件地址。目录服务也是非常灵活的，可以进行归纳查询（“打印机在什么位置？或“服务器的名称是什么？），以查看可用打印机或服务器的归纳列表。

目录服务还具有给用户提供到整个企业网络的单个入口点的优点。用户可以查找和使用整个网络资源，而无需了解资源的确切名称或位置。也可以使用统一的网络组织及其资源逻辑视图来管理整个网络。

为确保设计出最有效、最可靠的 Active Directory，必须了解网络的逻辑结构和物理结构。研究和了解组织的业务结构和*作也是非常重要的。Active Directory 将域的逻辑结构从实际物理结构中独立出来。

逻辑结构

网络的逻辑结构是由无形的项目组成的，如对象、域、目录树和目录林。

Active Directory 的基本结构块是对象，这是一个代表网络资源的已命名特定属性集。对象属性是目录中对象的特征。对象也可以按类进行分组，类是对象的逻辑分组。用户、组和计算机是不同对象类的例子。

在最低一层，某些对象代表网络上的单个实体，如用户或计算机。这些实体称为叶对象，它们不能包含其它对象。但是，为了简化目录的管理和组织，可以将叶对象放在其它对象（称为容器对象）内部。容器对象也可以采用嵌套（或层次）形式包含其它容器。

容器对象最常用的类型是组织单元 (OU)。可以使用 OU 将对象进行分类，并将域变成某种类型的逻辑管理分组。尤其要注意的是，域中 OU 的结构和层次与任何其它域的结构无关。

所有网络对象只能在一个域中存在（无论是叶对象还是容器对象）。为反映组织网络的特点，可以使用域将相关对象分成一组。每个创建的域仅存储所包含对象的信息，而不存储其它对象的信息。目前，在域中可维护的对象数量的上限为一百万。

每个域表示一个安全边界。对每个域中对象的访问是由访问控制项 (ACE) 控制的，后者包含在访问控制列表 (ACL) 中。这些安全设置并不跨越域边界。在 Active Directory 中，域也可以称为“分区。因为域是 Active Directory 数据库的物理分区，所以您既可以按照业务功能（人力资源、销售或财务），也可以按照位置（地理或相对）建立其结构。

当将相关域分成一组以便共享全局资源时，您就创建了“目录树。尽管目录树可以只包含一个域，但是您可以将层次结构中相同名称空间的多个域合并在一起。可以使用基于 Kerberos 的安全功能，通过双向信任关系将目录树中的域透明地连接在一起。这些信任关系可以是永久性的（不能被删除），也可以是暂时的。换句话说，如果域 A 信任域 B，而域 B 信任域 C，则域 A 信任域 C。

目录树中的所有域共享所有对象类型的正式定义（称为“架构）。此外，任何给定目录树中的所有域还共享全局编录 (GC)。GC 是目录树中对象的中央储存库。

每个目录树也可以由邻接的名称空间表示。例如，如果公司的根域为“company.com，则可以给销售和技术支持部门创建单独的域，它们的域名分别为“sales.company.com和“support.company.com。这些域称为子域。与 Windows NT 4.0 不同，每个域自动生成信任关系。

在最高一级，可以将单独的目录树分成一组形成“目录林。可使用目录林，将组织中的不同部门，甚至不同组织组合到一起。这些部门不必共享相同的命名架构并且独立运作，但彼此之间可以进行通信。目录林中的所有目录树共享相同的架构、全局编录和配置容器。再者，基于 Kerberos 的安全功能在目录树之间提供了信任关系。

Windows 2000 目录服务的另一个优点是，无需重新安装整个服务器*作系统，即可卸载 Active Directory。要想使一个成员服务器成为 DC，您只需运行 DCPROMO 工具来添加 Active Directory 服务器即可。要想删除 Active Directory 服务器，您同样只需运行 DCPROMO 工具即可。

物理结构

域控制器和站点是处理局域网配置物理结构的两个基本组件。

与 Windows NT 4.0 不同，仅由运行 Windows 2000 的计算机组成的网络没有主域控制器 (PDC) 和备份域控制器 (BDC)。在 Windows 2000 环境中，将所有参与网络管理的服务器均看作是域控制器。域控制器 (DC) 存储目录数据库的复制副本，并且域中控制器之间的复制是自动完成的。

对于跨多个地理位置的企业网络，要了解目录数据库复制对域控制器和网络性能的影响，了解广域网设计和结构的含义是非常重要的。

名称空间

名称空间是有特定边界的指定区域，可以在此处解析分配给计算机的逻辑名称。名称空间的主要用途是组织资源的说明，使用户按其特性或属性来查找资源。可以使用给定名称空间的目录数据库找到某个对象，而无需知道它的名称。如果用户知道某个资源的名称，就可以查询有关该对象的有用信息。

尤其要注意的是，名称空间的设计最终决定了：随着目录数据库的增长，它对用户到底有多大用处。排序和搜索算法不能解决逻辑目录设计中的缺陷

在逻辑层次上，Windows 2000 Active Directory 只不过是另一个名称空间。在 Active Directory 中，两个主要信息类型存储：

• 对象的逻辑位置。

• 有关该对象的属性列表。