挑战活动目录故障
    当您管理的网络不断扩大，软件、硬件和网络服务不断增多，这些资源如何有效管理？不同应用系统的令人头痛的用户验证如何统一？微软的活动目录（AD，Active Directory）是最好的解决方案。
    活动目录的由来
    活动目录，是 2000版操作系统的一种新的目录服务。它提供了单一登录的能力，并且为您的整个网络架构提供了一个集中的信息知识库。它大大简化了用户和计算机的管理，并且提供了网络资源的更便捷的访问方式。
    活动目录的相关术语
    活动目录是一项较新的技术，有许多术语或许是不曾听说过的，所以有必要了解活动目录相关术语。
    1．层次化的目录结构
    活动目录是由对象（Object）、组织单元（OU）、域（Domain）、域树（Tree）、森林（Forest）构成的层次结构。活动目录为每个域建立一个目录数据库的副本，这个副本只用于这个域的对象。如果多个域之间有相互关系，它们可以构成一个域树。在每个域树中，每个域都拥有自己的目录数据库副本自己的对象，并且可以查找域树中其他目录数据库的副本。多个域树构成森林。这种层次结构使得企业网络具有很强的扩展性，便于组织、管理及目录定位。
    2．对象、组织单位
    对象可以是一个用户、一台打印机或一个网络共享。它有描述它们的属性。组织单元可以是组织的任何部分，组织单位也称为容器（OU，Organizational Units）。组织单位是可以将对象和其他单位放入活动目录的容器中的，组织单位的主要用途是委派管理权。
    3．域、域控制器
    域是活动目录的核心单元，是对象（如计算机、用户等）的容器，这些对象有相同的需求、复制过程和管理。域名是基于通常的Internet“域名系统”结构。一个域可以有多个，每个服务器存储域中的所有对象，没有主服务器，所有服务器都是同等的。这是一个多主机模型，对象可以在域的多个服务器之间复制。
    4．域树、森林
    一个域可以是其他域的子域或父域，这些子域、父域构成了一棵树—域树。域树实现了连续的域名空间，域树中的域层次越深级别越低，一个“.”代表一个层次，如域child.china.com 就比 china.com这个域级别低，因为它有两个层次关系，而china.com只有一个层次。多棵域树构成了森林，森林中的每一棵域树都有自己的唯一命名空间。
    5．组策略
    组策略是用户或计算机初始化时用到的配置设置。组策略设置定义了系统管理的用户的桌面环境的多个组件，实现软件自动分发和升级。组策略的实施限制了用户对计算机和网络的更改权限，提高了管理员管理网络结构的能力。
    6．AD服务接口（ADSI）
    ADSI是一个目录服务接口，它可用于编写应用程序以访问和管理AD和基于LDAP（轻型目录访问）的不同目录，简化了开发和管理跨平台多个目录系统的分布式应用程序，是实现单点登录的有效手段。
    活动目录的意义
    是PC机的大脑，那么“目录服务”就是网络的灵魂。微软活动目录的作用主要体现在以下几方面。
    1．单点登录
    由于活动目录是以LDAP为基础的，各应用程序可通过ADSI调用AD的用户验证，这样统一了各应用系统的用户和密码，实现单点登录。
    2．信息的安全性高
    集成了关键的安全性，如Kerberos第五版本和公开密钥基础设施等，用户授权管理和目录进入控制已经整合在活动目录当中了，而它们都是Windows 2000操作系统的关键安全措施。
    3．以策略为基础，管理更加简化
    通过组策略您可以决定目录对象和域资源的进入权限，什么样的域资源可以被用户使用，以及这些域资源怎样使用等，从而帮助您更加经济高效地管理企业。
    4．信息的复制性
    活动目录使用多主机复制，使您能在任何域控制器上同步更新目录。多主机模式提供容错和负载平衡。
    5．与DNS紧密结合
    活动目录使用域名系统（DNS）来为服务器目录命名，AD将Internet的名称空间的概念和操作系统的目录服务融合在一起，这有利于在TCP/IP网络中计算机之间的相互识别和通信。
    6．具有很强的可伸缩性和可扩展性
    活动目录可包含在一个或多个域中，每个域具有一个或多个域控制器，以便您调整目录的规模以满足任何网络的要求。多个域可以合并为一棵域树，多个域树又可合并为树林，活动目录也就随着域的伸缩而伸缩，较好地适应了单位网络的变化。管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。

[1]