活动目录（Active Directory，AD）是一种目录服务，它存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息，并将结构化数据存储作为目录信息逻辑和分层组织的基础，使管理员比较方便地查找并使用这些网络信息。

活动目录是在Windows 2000 Server就推出的技术，它最大的突破性和成功就在于它全新引入了活动目录服务（AD Directory Service），使Windows 2000 Server与Internet上的各项服务和协议联系得更加紧密。通过在Windows 2000 Server的基础上进一步扩展，Windows Server 2003提高了活动目录的多功能性、可管理性及可靠性。

而在Windows Server 2008中，活动目录服务有了一个新的名称：Active Directory Domain Service（ADDS）。名称的改变意味着微软公司对Windows Server 2008的活动目录进行了较大的调整，增加了功能强大的新特性，例如，只读域控制器（RODC）的域控制器类型、更新的活动目录域服务安装向导、可重启的活动目录域服务、快照查看以及增强的Ntdsutil命令等，并对以前版本所具有的特性进行了增强。

活动目录并不是Windows Server 2008中必须安装的组件，并且其运行时占用系统资源较多。设置活动目录的主要目的就是为了提供目录服务功能，使网络管理更简便，安全性更高。另外，活动目录的结构比较复杂，适用于用户或者网络资源较多的环境。

提示：活动目录源于“目录服务”的概念，与Windows操作系统中的“文件夹目录”以及DOS下的“目录”在含义上完全不同。活动目录是指网络中用户以及各种资源在网络中的具体位置及调用和管理方式，就是把原来固定的资源存储层次关系与网络管理以及用户调用关联起来，从而提高了网络资源的使用效率。

活动目录结构是指网络中所有用户、计算机以及其他网络资源的层次关系，就像是一个大型仓库中分出若干小的储藏间，每一个小储藏间分别用来存放不同的东西一样。通常情况下，活动目录的结构可以分为逻辑结构和物理结构，了解这些也是用户理解和应用活动目录的重要的一步。

1.活动目录的逻辑结构

在活动目录中，代表网络资源的被明确命名的一组属性集合称为对象。例如，“用户”对象的属性包括用户的姓名、地址等。根据对象本身能否包含其他对象，可以将活动目录中的对象分为容器对象和叶对象两大类。容器并不代表一个实体，容器内可以包含一组对象及其他的容器。在活动目录的逻辑组件中，域、组织单元、域树、域林等都属于容器对象，而域中的用户、组、计算机、共享文件夹、打印机等都属于叶对象。活动目录内的对象类别与属性数据定义在架构内。在一个域目录林中的所有域目录树共享相同的架构。

（1）组织单元

组织单元是一个容器对象，可以把域中的对象组织成逻辑组，以简化管理工作。组织单元可以包含各种对象，如用户账户、用户组、计算机、打印机等，甚至可以包括其他的组织单元，所以可以利用组织单元把域中的对象组成一个完全逻辑上的层次结构，如图4-8所示。对于企业来讲，可以按部门把所有的用户和设备组成一个组织单元层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个组织层次结构。

图4-8 组织单元示意图

由于组织单元层次结构局限于域的内部，所以一个域中的组织单元层次结构，与另一个域中的组织单元层次结构没有任何关系，就像是Windows资源管理器中位于不同目录下的文件，可以重名或重复。

（2）域树

微软公司的网络操作系统是考虑在大型企业中构建网络和扩展网络而设计的。在一个企业中可能会有分布在全世界的分公司，分公司下又有各个部门存在，企业可能有十几万的用户、上千的服务器以及上百个域，资源的访问常常可能跨过许多域。在Windows NT 4.0时，域和域之间的信任关系是不可传递的，考虑在一个网络中如果有多个域的情况，如果要实现多个域中的用户可以跨域访问资源，必须创建多个双向信任关系：n×（n-1）/2，如图4-9所示。之所以会这样，是因为域A、B、C、D、E均被看成独立的域，所以信任关系被看成不可传递的，而实际上域A、B、C、D、E又都在同一企业网络中，很可能域B是域A的主管单位，域C又是域B的主管单位。

从Windows 2000 Server起，域树（Domain Tree）开始出现，如图4-10所示。域树中的域以树的形式出现，最上层的域名为abc.com，是这个域树的根域，根域下有两个子域：asia.abc.com和europe.abc.com，asia.abc.com和europe.abc.com子域下又有自己的子域。

在域树中，父域和子域的信任关系是双向可传递的，因此域树中的一个域隐含地信任域树中所有的域。图4-10中共有7个域，所有域相互信任，也只需要6个信任关系。

图4-9 多个域的资源互访需要多个信任关系(www.daowen.com)

图4-10 域树

（3）域林

在域树的介绍中，可以看到域树中的域的名字和DNS域的名字非常相似，在Windows 2000 Server以后的系统中，域和DNS域的关系非常密切，因为域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务等。实际上，域的名字就是DNS域的名字。

企业向Internet组织申请了一个DNS域名abc.com，所以根域就采用了该名，在abc.com域下的子域也就只能使用abc.com作为域名的后缀了。也就是说，在一个域树中，域的名字是连续的。然而，企业可能同时拥有abc.com和abc.net两个域名，如果某个域用abc.net作为域名，abc.net将无法挂在abc.com域树中，这个时候只能单独创建另一个域树，如图4-11所示，新的域树的根域为abc.net，这两个域树共同构成了域林（Domain Forest）。在同一域林中的域树的信任关系，也是双向可传递的。

图4-11 域林

2.活动目录的物理结构

活动目录的物理结构与逻辑结构有很大不同，它们是彼此独立的两个概念。逻辑结构侧重于网络资源的管理，而物理结构则侧重于网络的配置和优化。活动目录的物理结构，主要着眼于活动目录信息的复制和用户登录网络时的性能优化。物理结构的两个重要概念是站点和域控制器。

（1）站点

站点由一个或多个IP子网组成，这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定，可以依据站点结构配置活动目录的访问和复制拓扑关系，这样能使网络更有效地连接，并且可使复制策略更合理，用户登录更快速。活动目录中的站点与域是两个完全独立的概念，一个站点中可以有多个域，多个站点也可以位于同一域中。

活动目录站点和服务可以通过使用站点提高大多数配置目录服务的效率，也可以通过使用活动目录站点和服务并向活动目录发布站点的方法提供有关网络物理结构的信息，活动目录使用该信息确定如何复制目录信息和处理服务的请求。

计算机站点是根据其在子网或一组已连接好子网中的位置指定的，子网提供一种表示网络分组的简单方法，这与常见的邮政编码将地址分组类似。将子网格式化成可方便发送有关网络与目录连接物理信息的形式，将计算机置于一个或多个连接好的子网中，充分体现了站点所有计算机必须连接良好这一标准，原因是同一子网中计算机的连接情况通常优于网络中任意选取的计算机。

（2）域控制器

域控制器是指运行Windows Server 2008的服务器，它保存了活动目录信息的副本。域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其他域控制器上，使各域控制器上的目录信息同步。域控制器也负责用户的登录过程以及其他与域有关的操作，如身份鉴定、目录信息查找等。一个域可以有多个域控制器。规模较小的域可以只需要两个域控制器，一个实际使用，另一个用于容错性检查，规模较大的域可以使用多个域控制器。

尽管活动目录支持多主机复制方案，然而由于复制引起的通信流量以及网络潜在的冲突，变化的传播并不一定能够顺利进行，因此有必要在域控制器中指定全局目录服务器以及操作主机。全局目录是一个信息仓库，包含活动目录中所有对象的一部分属性，往往是在查询过程中访问最为频繁的属性。利用这些信息，可以定位到任何一个对象实际所在的位置。

全局目录服务器是一个域控制器，它保存了全局目录的一份副本，并执行对全局目录的查询操作。全局目录服务器可以提高活动目录中大范围内对象检索的性能，如在域林中查询所有的打印机操作。如果没有一个全局目录服务器，那么这样的查询操作必须要调动域林中每一个域的查询过程。如果域中只有一个域控制器，那么它就是全局目录服务器；如果有多个域控制器，那么管理员必须把一个域控制器配置为全局目录控制器。