1、信息的安全性大大增強(qiáng)

安裝活動(dòng)目錄后信息的安全性完全與活動(dòng)目錄集成，用戶授權(quán)管理和目錄進(jìn)入控制已經(jīng)整合在活動(dòng)目錄當(dāng)中了（包括用戶的訪問和登錄權(quán)限等），而它們都是WIN2K操作系統(tǒng)的關(guān)鍵安全措施，

為什么要使用活動(dòng)目錄？

�；顒�(dòng)目錄集中控制用戶授權(quán)，目錄進(jìn)入控制不只能在每一個(gè)目錄中的對(duì)象上定義，而且還能在每一個(gè)對(duì)象的每個(gè)屬性上定義，這一點(diǎn)是以前任何系統(tǒng)所不能達(dá)到的，包括WINNT 4.0。除此之外，活動(dòng)目錄還可以提供存儲(chǔ)和應(yīng)用程序作用域的安全策略，提供安全策略的存儲(chǔ)和應(yīng)用范圍。安全策略可包含帳戶信息，如域范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問權(quán)等。所以從一定程序上可以這么說WIN2K的安全性就是活動(dòng)目錄所體現(xiàn)的安全性，由此可見對(duì)于網(wǎng)管來說如何配置好活動(dòng)目錄中對(duì)象及屬性的安全性是一個(gè)網(wǎng)管配置好WIN2K系統(tǒng)的關(guān)鍵。

2、引入基于策略的管理，使系統(tǒng)的管理更加明朗

活動(dòng)目錄服務(wù)包括目錄對(duì)象數(shù)據(jù)存儲(chǔ)和邏輯分層結(jié)構(gòu)（指上面所講的目錄、目錄樹、域、域樹、域林等所組成的層次結(jié)構(gòu)），作為目錄，它存儲(chǔ)著分配給特定環(huán)境的策略，稱為組策略對(duì)象。作為邏輯結(jié)構(gòu)，它為策略應(yīng)用程序提供分層的環(huán)境。組策略對(duì)象表示了一套商務(wù)規(guī)則，它包括與要應(yīng)用的環(huán)境有關(guān)的設(shè)置，組策略是用戶或計(jì)算機(jī)初始化時(shí)用到的配置設(shè)置。所有的組策略設(shè)置都包含在應(yīng)用到活動(dòng)目錄，域，或組織單元的組策略對(duì)象（GPOs）中。GPOs設(shè)置決定目錄對(duì)象和域資源的進(jìn)入權(quán)限，什么樣的域資源可以被用戶使用，以及這些域資源怎樣使用等。例如，組策略對(duì)象可以決定當(dāng)用戶登錄時(shí)用戶在他們的計(jì)算機(jī)上看到什么應(yīng)用程序，當(dāng)它在服務(wù)器上啟動(dòng)時(shí)有多少用戶可連接至 Server，以及當(dāng)用戶轉(zhuǎn)移到不同的部門或組時(shí)他們可訪問什么文件或服務(wù)。組策略對(duì)象使您可以管理少量的策略而不是大量的用戶和計(jì)算機(jī)。通過活動(dòng)目錄，您可將組策略設(shè)置應(yīng)用于適當(dāng)?shù)沫h(huán)境中，不管它是您的整個(gè)單位還是您單位中的特定部門。

3、具有很強(qiáng)的可擴(kuò)展性

WIN2K的活動(dòng)目錄具有很強(qiáng)的可擴(kuò)展性，管理員可以在計(jì)劃中增加新的對(duì)象類，或者給現(xiàn)有的對(duì)象類增加新的屬性。計(jì)劃包括可以存儲(chǔ)在目錄中的每一個(gè)對(duì)象類的定義和對(duì)象類的屬性。例如，在電子商務(wù)上你可以給每一個(gè)用戶對(duì)象增加一個(gè)購物授權(quán)屬性，然后存儲(chǔ)每一個(gè)用戶購買權(quán)限作為用戶帳號(hào)的一部分。

4、具有很強(qiáng)的可伸縮性

活動(dòng)目錄可包含在一個(gè)或多個(gè)域，每個(gè)域具有一個(gè)或多個(gè)域控制器，以便您可以調(diào)整目錄的規(guī)模以滿足任何網(wǎng)絡(luò)的需要，

電腦資料

《為什么要使用活動(dòng)目錄？》(http://www.lotusphilosophies.com)。多個(gè)域可組成為域樹，多個(gè)域樹又可組成為樹林，活動(dòng)目錄也就隨著域的伸縮而伸縮，較好地適應(yīng)了單位網(wǎng)絡(luò)的變化。目錄將其架構(gòu)和配置信息分發(fā)給目錄中所有的域控制器，該信息存儲(chǔ)在域的第一個(gè)域控制器中，并且復(fù)制到域中任何其他域控制器。當(dāng)該目錄配置為單個(gè)域時(shí)，添加域控制器將改變目錄的規(guī)模，而不影響其他域的管理開銷。將域添加到目錄使您可以針對(duì)不同策略環(huán)境劃分目錄，并調(diào)整目錄的規(guī)模以容納大量的資源和對(duì)象。

5、智能的信息復(fù)制能力

信息復(fù)制為目錄提供了信息可用性、容錯(cuò)、負(fù)載平衡和性能優(yōu)勢，活動(dòng)目錄使用多主機(jī)復(fù)制，允許您在任何域控制器上而不是單個(gè)主域控制器上同步更新目錄。多主機(jī)模式具有更大容錯(cuò)的優(yōu)點(diǎn)，因?yàn)槭褂枚嘤蚩刂破�，即使任何單�?dú)的域控制器停止工作，也可繼續(xù)復(fù)制。由于進(jìn)行了多主機(jī)復(fù)制，它們將更新目錄的單個(gè)副本，在域控制器上創(chuàng)建或修改目錄信息后，新創(chuàng)建或更改的信息將發(fā)送到域中的所有其他域控制器，所以其目錄信息是最新的。域控制器需要最新的目錄信息，但是要做到高效率，必須把自身的更新限制在只有新建或更改目錄信息的時(shí)候，以免在網(wǎng)絡(luò)高峰期進(jìn)行同步而影響網(wǎng)絡(luò)速度。在域控制器之間不加選擇地交換目錄信息能夠迅速搞垮任何網(wǎng)絡(luò)。通過活動(dòng)目錄就能達(dá)到只復(fù)制更改的目錄信息，而不至于大量增加域控制器的負(fù)荷。

6、與 DNS 集成緊密

活動(dòng)目錄使用域名系統(tǒng) (DNS)來為服務(wù)器目錄命名，DNS 是將更容易理解的主機(jī)名（如 Mike.Mycompany.com）轉(zhuǎn)換為數(shù)字 IP 地址的 Internet 標(biāo)準(zhǔn)服務(wù)，利于在TCP/IP網(wǎng)絡(luò)中計(jì)算機(jī)之間的相互識(shí)別和通訊。DNS 的域名基于 DNS 分層命名結(jié)構(gòu)，這是一種倒置的樹狀結(jié)構(gòu)，單個(gè)根域，在它下面可以是父域和子域（分支和葉子）。關(guān)于這一點(diǎn)我會(huì)在后面以專門的篇章加以詳細(xì)講述，在此就僅作簡單介紹。

7、與其他目錄服務(wù)具有互操性

由于活動(dòng)目錄是基于標(biāo)準(zhǔn)的目錄訪問協(xié)議，許多應(yīng)用程序界面（API）都允許開發(fā)者進(jìn)入這些協(xié)議，例如活動(dòng)目錄服務(wù)界面（ADSI）、輕型目錄訪問協(xié)議 (LDAP) 第三版和名稱服務(wù)提供程序接口 (NSPI)，因此它可與使用這些協(xié)議的其他目錄服務(wù)相互操作。LDAP 是用于在活動(dòng)目錄中查詢和檢索信息的目錄訪問協(xié)議。因?yàn)樗�是一種工業(yè)標(biāo)準(zhǔn)服務(wù)協(xié)議，所以可使用 LDAP 開發(fā)程序，與同時(shí)支持 LDAP 的其他目錄服務(wù)共享活動(dòng)目錄信息�；顒�(dòng)目錄支持 Microsoft Exchange 4.0 和 5.x 客戶程序所用的 NSPI 協(xié)議，以提供與 Exchange 目錄的兼容性。

8、具有靈活的查詢

任何用戶可使用“開始”菜單、“網(wǎng)上鄰居”或“活動(dòng)目錄用戶和計(jì)算機(jī)”上的“搜索”命令，通過對(duì)象屬性快速查找網(wǎng)絡(luò)上的對(duì)象。如您可通過名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶，反之亦然。