目录数据存储在域控制器上的Ntds.dit文件中。我们建议将该文件存储在一个NTFS分区上。有些数据保存在目录数据库文件中，而有些数据则保存在一个被复制的文件系统上，例如登录脚本和组策略。

有三种类型的目录数据会在各台域控制器之间进行复制：

·域数据。域数据包含了与域中的对象有关的信息。一般来说，这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息，管理员和用户可能都会对这些信息感兴趣。

例如，在向网络中添加了一个用户帐户的时候，用户帐户对象以及属性数据便被保存在域数据中。如果您修改了组织的目录对象，例如创建、删除对象或者修改了某个对象的属性，相关的数据都会被保存在域数据中。

·配置数据。 配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表，并且指出了域控制器和全局编录所处的位置。

·架构数据。架构是对目录中存储的所有对象和属性数据的正式定义。Windows Server 2003提供了一个默认架构，该架构定义了众多的对象类型，例如用户和计算机帐户、组、域、组织单位以及安全策略。管理员和程序开发人员可以通过定义新的对象类型和属性，或者为现有对象添加新的属性，从而对该架构进行扩展。架构对象受访问控制列表（ACL）的保护，这确保了只有经过授权的用户才能够改变架构。

活动目录(Active Directory)主要提供以下功能：

①服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。

②用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。

③资源管理：管理打印机、文件共享服务等网络资源。

④桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

⑤应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

在windows server上启用AD的方法：

1、打开运行对话框

2、在运行对话框里输入dcpromo，进入AD安装向导 （注：Windows Server 2012的版本以后均不支持该命令升级）

安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理，即便是那些最复杂的网络也是如此。

Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为Active Directory不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需的权限。例如，在用户登录到网络上的时候，安全系统首先利用存储在Active Directory中的信息验证用户的身份。然后，在用户试图访问网络服务的时候，系统会检查在服务的自由访问控制列表（DACL）中所定义的属性。

因为Active Directory允许管理员创建组帐户，管理员得以更加有效地管理系统的安全性。例如，通过调整文件的属性，管理员能够允许某个组中的所有用户读取该文件。通过这种办法，系统将根据用户的组成员身份控制其对Active Directory域中对象的访问操作。

分类，又称对象分类，描述了管理员所能够创建的目录对象。每一个分类都是一组对象的集合。在您创建某个对象时，属性便存储了用来描述对象的信息。例如，“用户”分类便由多个属性组成，其中包括网络地址、主目录等等。Active Directory中的所有对象都是某个对象分类的一个实例。

有经验的开发人员和网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。

架构的内容由充当架构操作主控角色的域控制器进行控制。架构的副本被复制到森林中的所有域控制器上。这种共用架构的使用方式确保了森林范围内的数据完整性和一致性。

此外，您还可以使用“Active Directory架构”管理单元对架构加以扩展。为了修改架构，您必须满足以下三个要求：

· 成为“Schema Administrators”（架构管理员）组的成员

· 在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元

· 拥有修改主控架构所需的管理员权限

在考虑对架构进行修改时，必须注意以下三个要点：

· 架构扩展是全局性的。 在您对架构进行扩展的时候，您实际上扩展了整个森林的架构，因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。

· 与系统有关的架构分类不能被修改。您不能修改Active Directory架构中的默认系统分类；但是，用来修改架构的应用程序可能会添加可选的系统分类，您可以对这些分类进行修改。

· 对架构的扩展不可撤销。某些属性或者分类的属性可以在创建后修改。在新的分类或者属性被添加到架构中之后，您可以将它置于非激活状态，但是不能删除它。但是，您可以废除相关定义并且重新使用对象标识符（OID）或者显示名称，您可以通过这种方式撤销一个架构定义。

有关架构修改的更多信息，请通过参阅 Microsoft Windows 资源工具包 。

Active Directory不支持架构对象的删除；但是，对象可以被标记为“非激活”，以便实现与删除同等的诸多益处。

属性和分类单独进行定义。每一个属性仅仅定义一次，但是可以在多个分类中使用。例如，“Description”（描述）属性可以使用在多个分类中，但是只需在架构中定义一次即可，以保持数据的一致性。

属性用来描述对象。每一个属性都拥有它自己的定义，定义则描述了特定于该属性的信息类型。架构中的每一个属性都可以在“Attribute-Schema”分类中指定，该分类决定了每一个属性定义所必须包含的信息。

能够应用到某个特殊对象上的属性列表由分类（对象是该分类的一个实例）以及对象分类的任何超类所决定。属性仅仅定义一次，但是可以多次使用。这确保了共享同一个属性的所有分类能够保持一致性。

属性可以是单值的也可以是多值的。属性的架构定义指定了属性的实例是否必须是多值的。单值属性的实例可以为空，也可以包含一个单值。多值属性的实例可以为空，也可以包含一个单值或多值。多值属性的每一个值都必须是唯一的。

索引应用于属性，而不是分类。对属性进行索引有助于更快地查询到拥有该属性的对象。当您将一个属性标记为“已索引”之后，该属性的所有实例都会被添加到该索引，而不是仅仅将作为某个特定分类成员的实例添加到索引。

添加经过索引的属性会影响Active Directory的复制时间、可用内存以及数据库大小。因为数据库变得更大了，所以需要花费更多的时间进行复制。

多值属性也可以被索引。同单值属性的索引相比，多值属性的索引进一步增加了Active Directory的大小，并且需要更多的时间来创建对象。在选择需要进行索引的属性时，请确信所选择的共用属性，而且能够在开销和性能之间取得平衡。

一个经过索引的架构属性还可以被用来存储属性的容器所搜索，从而避免了对整个Active Directory数据库进行搜索。这样不仅缩短了搜索所需花费的时间，而且减少了在搜索期间需要使用的资源数量。

全局编录在森林中最初的一台域控制器上自动创建。您可以为任何一台域控制器添加全局编录功能，或者将全局编录的默认位置修改到另一台域控制器上。

· 查找对象全局编录允许用户搜索森林所有域的目录信息，而不管数据存储在何处。森林内部的搜索可以利用最快的速度和最小的网络流量得以执行。

在您从“开始”菜单搜索人员或打印机，或者在某个查询的内部选择了“整个目录”选项的时候，您就是在对全局编录进行搜索。在您输入搜索请求之后，请求便会被路由到默认的全局编录端口3268，以便发送到一个全局编录进行解析。

· 提供了根据用户主名的身份验证。在进行身份验证的域控制器不知道某个账户是否合法时，全局编录便可以对用户的主名进行解析。例如，如果用户的账户位于example1.域，而用户决定利用这个用户主名从位于example2的一台计算机上进行登录，那么example2.的域控制器将无法找到该用户的账户，然后，域控制器将于全局编录服务器联系，以完成整个登录过程。

· 在多域环境下提供通用组的成员身份信息。和存储在每个域的全局组成员身份不同，通用组成员身份仅仅保存在全局编录之中。例如，在属于一个通用组的用户登录到一个被设置为Windows 2000本机域功能级别或者更高功能级别的域的时候，全局组将为用户账户提供通用组的成员身份信息。

如果在用户登录到运行在Windows 2000本机或者更高级别中的域的时候，某个全局编录不可用并且用户先前曾经登录到该域，计算机将使用缓存下来的凭据让用户登录。如果用户以前没有在该域登录过，用户将仅仅能够登录到本地计算机。

说明：即便全局编录不可用，“Domain Administrators”（域管理员）组的成员也可以登录到网络中。

正如前面所介绍的，Active Directory的设计目的在于为来自用户或应用程序的查询提供有关目录对象的信息。管理员和用户可以使用“开始”菜单中的“搜索”命令轻松对目录进行搜索和查找。客户端程序也可以使用Active Directory服务接口（ADSI）访问Active Directory中的信息。

Active Directory的主要益处就在于它能够存储有关网络对象的丰富信息。在Active Directory中发布的有关的用户、计算机、文件和打印机的信息可以被网络用户所使用。这种可用性能够通过查看信息所需的安全权限加以控制。

网络上的日常工作涉及用户彼此之间的通信，以及对已发布资源的连接和访问。这些工作需要查找名称和地址，以便发送邮件或者连接到共享资源。在这方面，Active Directory就像是一个在企业中共享的地址簿 。例如，您可以按照姓、名、电子邮件地址、办公室位置或者其它用户账户属性查找用户。如前所述，信息的查找过程由于使用了全局编录而得到了优化。

复制为目录信息提供了可用性、容错能力、负载平衡以及性能优势。Active Directory 使用多主控复制，您可以在任何一台域控制器上更新目录，而不是只能在一台特定的主域控制器上进行更新。多主控模式具有更出色的容错能力，因为使用了多台域控制器，即使在某一台域控制器停止工作的情况下，复制依然能够继续。

域控制器可以存储和复制：

· 架构信息。架构信息定义了可以在目录中创建的对象，以及每个对象所能够拥有的属性。这些信息是森林中所有域的共用信息。架构数据被复制到森林中的所有域控制器上。

· 配置信息。配置信息描述了您的部署的逻辑结构，其中包括诸如域结构或者复制拓扑这样的信息。这些信息是森林中所有域的共用信息。配置数据被复制到森林中的所有域控制器上。

· 域信息。域信息描述了域中所有的对象。数据特定于具体的域，而且不会被分发到其它的任何域中。为了在整个域树或者森林中查找信息，所有域中的所有对象的属性的一个子集被保存在全局编录中。域数据将被复制到域中的所有域控制器上。

·应用程序信息。存储在应用程序目录分区中的信息旨在满足用户对这些信息的复制需要，但是这些信息并不是在任何情况下都需要。应用程序数据可以被明确地重新路由到森林中特定于管理用途的域控制器上，以防止产生不必要的复制流量。或者，您可以进行设置，将这些信息复制到域中的所有域控制器上。

站点在复制过程中的角色

站点提高了目录信息的复制效率。目录架构和配置信息在整个森林范围内进行复制，而域数据则在域的所有域控制器之间进行复制，并且会被部分地复制到全局编录上。通过有策略地减少复制流量，网络的通信压力也会得到相应的减轻。

域控制器使用站点和复制变化控制从以下方面对复制实施优化：

· 通过对所使用的连接不时进行重新评估，Active Directory可以始终使用最有效的网络连接。

· Active Directory使用多条路由复制发生变化的目录数据，从而提供了容错能力。

· 由于仅仅需要复制发生了变化的信息，复制开销降到了最小。

如果某个部署没有按照站点加以组织，域控制器以及客户机之间的信息交换将是混乱和无序的。站点可以改善网络的利用效率。

Active Directory在站点内部复制目录信息的频度比在站点间的复制频度要更高。这样，拥有最佳连接条件的域控制器——它们很可能需要特殊的目录信息——可以首先得到复制。其它站点中的域控制器则可以获得所有发生了变化的目录信息，但是它们进行复制的频率要低一些，以便节省网络带宽。另外，由于数据在站点间进行复制时经过了压缩处理，所以复制操作所占用的带宽进一步得到了降低。为了实现高效复制，只有在添加或修改了目录信息之后才进行目录的更新。

如果目录更新始终被分发到域中的所有其它域控制器上，它们将占用大量的网络资源。虽然您可以手动添加或配置连接，或者强迫通过某条特定的连接进行复制，复制仍然可以根据您在“Active Directory Sites and Services”管理工具中提供的信息，通过Active Directory知识一致性检查程序（Knowledge Consistency Checker，KCC）得到自动优化。KCC负责构建和维护Active Directory的复制拓扑。特别地，KCC可以决定何时进行复制，以及每台服务器必须同哪些服务器开展复制。

利用Active Directory客户端，Windows 2000 Professional 或者 Windows XP Professional所拥有的众多Active Directory特性可以被运行Windows 95、Windows 98以及Windows NT ® 4.0操作系统的计算机所使用：

· 站点感知。您可以登录到网络中距离客户端最近的一台域控制器上。

· Active Directory 服务接口（ADSI）。您可以使用它为Active Directory编写脚本。ADSI还为Active Directory编程人员提供了一个公共的编程API。

·分布式文件系统（DFS）容错客户端。您可以访问Windows 2000 以及运行Windows DFS 容错和故障转移文件共享的服务器，这些文件共享在Active Directory中指定。

· NTLM version 2身份验证。您可以使用NT LanMan (NTLM) version 2中经过改进的身份验证特性。有关启用NTML version 2的更多信息，请参阅Microsoft 知识库文章Q，“如何启用NTLM 2身份验证” ：http://support./.

· Active Directory Windows 地址簿（WAB）属性页。您可以修改用户对象页上的属性，例如电话号码和地址。

· Active Directory的搜索能力。您可以通过“开始”按钮，查找Windows 2000 Server 或者Windows 域中的打印机和人员。有关在Active Directory中发布打印机的更多信息，请参阅Microsoft 知识库文章在 Windows 2000 Active Directory中发布打印机”：http://support..

Windows 2000 Professional 和 Windows XP Professional 提供了Windows 95、Windows 98和Windows NT 4.0上的Active Directory客户端所没有的一些功能，例如：对Kerberos version 5的支持；对组策略或者IntelliMirror ® 管理技术的支持；以及服务主名或者相互验证。通过升级到Windows 2000 Professional或Windows XP Professional，您可以对这些附加特性加以充分利用。

为了安装Active Directory客户端，请参阅Active Directory 客户端页面。

作为管理企业标识、对象和关系的主要手段，Active Directory中的接口（包括编程接口和用户界面）已经得到了改进，以提高管理工作的效率和系统的集成能力。

让Active Directory更加易于使用和管理

Active Directory包含了众多增强特性，例如对MMC管理单元的改进以及对象选择工具组件等，它们让Active Directory变得更加易于使用。MMC插件方便了多个对象的管理。管理员可以：

· 编辑多个用户对象。 一次选择并编辑多个对象属性。

· 保存查询。将针对Active Directory服务的查询保存下载以便今后使用。结果可以用XML格式导出。

· 使用经过改进的对象选择工具组件快速选择对象。该组件经过重新设计并且得到了加强，能够改善工作流和提高在大目录中查找对象的效率，同时还提供了一种更灵活的查询功能。各种用户界面均可以使用该组件，并且可以为第三方开发人员所使用。

更多的集成和生产力特性和改进

特性 描述

ACL 列表用户界面的修改 ACL用户界面已经得到了增强，以改善其易用性以及继承和特定的对象权限。

扩展性增强 那些拥有某个独立软件开发商（ISV）或者原始设备制造商（OEM）所开发的能够利用Active Directory的软件或设备的管理员拥有了更加出色的管理能力，并且可以添加任何对象分类作为组的成员。

来自其它LDAP目录的用户对象 在LDAP目录中定义的用户对象使用了RFC 2798中定义的inetOrgPerson类（例如Novell和Netscape），这些对象可以使用Active Directory用户界面进行定义。这个与Active Directory用户对象配合工作的用户界面可以处理inetOrgPerson对象。现在，任何需要使用inetOrgPerson类的应用程序或者客户都可以轻松实现它们的目的。

Passport 集成（通过IIS） Passport身份验证现在可以通过Internet Information Services (IIS) 6.0进行，而且允许Active Directory用户对象被映射到他们相应的Passport标识符上（如果存在该标识）。本地安全机构（Local Security Authority，LSA）将为用户创建一个令牌，然后IIS 6.0将根据HTTP请求对其加以设置。现在，拥有相应Passport 标识的Internet用户可以使用他们的Passport访问资源，就如同使用他们的Active Directory凭据一样。

利用ADSI使用终端服务器特定于终端服务器用户的属性可以通过使用Active Directory服务接口（ADSI）编写脚本进行设置。除了通过目录手动设置之外，用户属性可以利用脚本加以设定。这样做的一个好处就是：可以通过ADSI容易地实现属性的批量修改或编程修改。

复制和信任监视WMI提供者 Windows管理规范（WMI）类可以监视域控制器之间是否成功地对Active Directory信息进行了复制。因为众多的Windows 2000组件，例如Active Directory复制，都需要依赖于域间的相互信任，本特性还为监视信任关系是否能够正常工作提供了一种手段。管理员或者运营队伍可以通过WMI在发生复制问题时轻松获得报警。

MSMQ 分发列表消息队列（Message Queuing，MSMQ）现在支持向驻留在Active Directory中的分发列表（Distribution Lists）发送消息。MSMQ用户可以通过Active Directory轻松管理分发列表。

Windows Server 2003 增强了管理员有效配置和管理Active Directory的能力，即便是拥有多个森林、域和站点的超大型企业也可以得到轻松的管理。

利用新的安装向导配置Active Directory

新的“配置您的服务器”向导简化了设置Active Directory的过程，并且针对特定的服务器角色提供了经过预先定义的设置，它的优点之一便是：能够帮助管理员对服务器的初始化部署方式实施标准化。

在服务器安装期间，管理员可以获得帮助，通过帮助用户安装他们在Windows安装过程中选择需要的可选组件，服务器的安装过程变得更加便利。他们可以使用该向导执行以下工作：

· 通过使用基本的默认设置自动配置DHCP、DNS和Active Directory，建立网络中的第一台服务器。

· 在用户安装文件服务器、打印服务器、Web和媒体服务器、应用服务器、RAS和路由或者IP地址管理服务器的时候，为用户指出完成安装所需的特性，从而帮助用户在网络中配置成员服务器。

管理员可以使用本特性进行灾难恢复，将服务器配置复制到多台计算机上，完成安装，配置服务器角色，或者在网络中建立第一个配置或主服务器。

其它管理特性和改进

特性 描述

自动创建DNS区域 在运行Windows Server 2003操作系统时，DNS区域和服务器可以自动创建并配置。您可以在企业中创建它们以托管新的区域。本特定可以极大减少手动配置每台DNS服务器所需的时间。

得到改进的站点间复制拓扑生成过程 站点间拓扑生成器（ISTG）已经得到更新，不仅可以利用改进过的算法，而且能够支持比在Windows 2000下拥有更多数量站点的森林。因为森林中的所有运行ISTG角色的域控制器都必须在站点间复制拓扑方面取得一致，新的算法在森林被提升到Windows Server 2003森林本机模式之前不会被激活。新的ISTG算法跨越森林提供了得到改善的复制性能。

DNS 配置增强 本特性简化了DNS错误配置的调试和报告过程，有助于正确配置Active Directory部署所需要的DNS基础结构。

这包括了在一个现有森林中提升某个域控制器的情况，“Active Directory安装向导”会与现有的一台域控制器进行联系，以更新目录并从该域控制器复制必需的目录部分。如果向导由于不正确的DNS配置而无法找到域控制器，或者域控制器发生故障无法使用，它将执行调试过程，报告产生故障的原因，并指出解决该故障的方法。

为了能够找到网络中的域控制器，所有的域控制器都必须登记它的域控制器定位DNS记录。“Active Directory安装向导”会验证DNS基础结构是否得到了正确的配置，以便新的域控制器能够进行域控制器定位DNS记录的动态更新。如果此项检查发现了不正确的DNS基础结构配置，它将报告相关问题，并给出解释，告知修复该问题的方法。

通过媒介安装副本 和通过网络复制Active Directory数据库的完整副本不同，本特性允许管理员通过文件创建初始副本，这些文件是在对现有域控制器或者全局编录服务器进行备份的时候所生成的。任何具有Active Directory意识的备份工具所创建的备份文件都可以使用媒介（例如磁带、CD、VCD或者网络文件复制）传输到候选域控制器上。

迁移工具增强 Active Directory迁移工具（ADMT）在Windows Server 2003中得到了增强，它可以提供：

 口令迁移。ADMT version 2 允许用户将口令从Windows NT 4.0 迁移到 Windows 2000 或 Windows Server 2003 域中，也可以将口令从Windows 2000域迁移到Windows Server 2003 域中。

 新的脚本接口。对于大多数常见的迁移工作，例如用户迁移、组迁移和计算机迁移，我们提供了新的脚本接口。ADMT现在可以通过任何语言驱动，并且支持COM接口，例如Visual Basic ® Script、Visual Basic以及Visual C++ ®开发系统。

 命令行支持。脚本接口已经得到了扩展，以支持命令行。所有可以通过编写脚本来完成的工作都可以直接通过命令行或者批处理文件完成。

 安全性转换改进。安全性转换（例如在ACL内重新调配资源）得到了扩展。现在，源域可以在安全性转换运行的时候被脱离。ADMT还可以指定一个映射文件，并用该文件作为安全性转换的输入。

ADMT version 2 让用户向Active Directory的迁移工作变得简单了，而且提供了能够实现自动化迁移的更多选项。

特性 描述

应用程序目录分区Active Directory服务将允许用户创建新类型的命名上下文环境，或者分区（又称作应用程序分区）。该命名上下文环境可以包含除安全主体（用户、组和计算机）之外的各种类型对象的层次结构，而且能够被配置为复制森林中的任何域控制器集合，而不一定是相同域中的所有域控制器。

通过对复制范围和副本位置加以控制，本特性为用户提供了在Active Directory中托管动态数据的能力，而且不会对网络性能造成不利影响。

存储在应用程序分区中的集成化DNS区域 Active Directory 中的DNS区域可以在应用程序分区中存储和复制。通过使用应用程序分区存储DNS数据，减少了存储在全局编录中的对象数量。除此之外，当您在应用程序分区中存储DNS区域的时候，只有在应用程序分区中指定的部分域控制器会被复制。默认情况下，特定于DNS的应用程序分区仅仅包含那些运行DNS服务器的域控制器。此外，在应用程序分区中存储DNS区域使得DNS区域可以被复制到位于Active Directory森林其它域中充当DNS服务器的域控制器上。通过将DNS区域集成到应用程序分区中，我们可以限制需要复制的信息数量，并且降低复制所需的整体带宽。

得到改进的DirSync 控件 本特性改善了Active Directory对一个名为“DirSync”的LDAP控件的支持，该控件被用来从目录中获得发生了变化的信息。DirSync控件可以用来进行一些检查，这些检查类似于在正常的LDAP搜索上进行的检查。

功能级别 和Windows 2000的本机模式类似，本特性提供了一种版本控制机制，Active Directory的核心组件可以利用该机制确定域和森林中的每台域控制器都拥有那些功能特性。此外，本特性还可以用来防止Windows Server 2003以前的域控制器加入到一个全部使用Windows Server 2003的Active Directory特性的森林中。

取消架构属性和分类的激活状态 Active Directory已经得到了增强，以允许用户停用Active Directory架构中的某些属性和分类。如果原始定义中存在错误，属性和分类可以被重新定义。

在将属性或分类添加到架构中时，如果在设置一个永久性属性的时候发生了错误，停用操作将为用户提供了一种取代该定义的手段。本操作是可逆的，管理员可以撤销某个停用操作而不会产生任何不良的副作用。现在，管理员在管理Active Directory的架构方面拥有了更多的灵活性。

域的重命名本特性允许用户修改森林中现有域的DNS和（或）NetBIOS名称，同时保证经过修改的森林依然保持良好的组织结构。经过重新命名的域由它的域全局唯一ID（GUID）所代表，它的域安全ID（SID）并没有发生改变。此外，计算机的域成员关系也不会因为其所在域的名称发生变化而变化。

本特性没有包括对森林根域的修改。虽然森林的根域也可以被重命名，但是您不能指定一个其它的域来代替现有的根域而变成一个新的森林根。

域的重命名会导致服务中断，因为它要求重新启动所有的域控制器。域的重命名还需要被重命名域中的所有成员计算机都必须重新启动两次。虽然本特性为域的重命名提供了一种受支持的手段，但是它既没有被视作一种例行的IT操作，也没有成为例行操作的意图。

升级森林和域 Active Directory已经在安全性和应用程序支持方面添加了很多改进。在现有域或森林中运行Windows Server 2003操作系统的第一台域控制器得到升级之前，森林和域必须为这些新的功能特性做好准备。Adprep便是一个新的工具，用来帮助用户准备森林和域的升级。如果您是从Windows NT 4.0进行升级，或者在运行Windows Server 2003的服务器上执行Active Directory的全新安装，那么您不需要使用Adprep工具。

复制和信任监视 本功能允许管理员对域控制器之间是否成功地复制了信息加以监视。因为很多Windows组件（例如Active Directory复制）都依赖于域间的相互信任，本特性还为信任关系正确发挥作用提供了一种方法。

组策略的管理

Microsoft组策略管理控制台（GPMC）是针对组策略管理的最新解决方案，它能够帮助您更具成本效益地管理企业。该控制台由一个新的Microsoft 管理控制台（MMC）管理单元和一组编写脚本的组策略管理接口组成。在Windows Server 2003发布之前，GPMC将作为一个单独的组件提供给用户。

GPMC的目的

GPMC的设计目标在于：

· 通过为组策略的核心要素提供一个单一的管理位置，简化组策略的管理过程。您可以将GPMC 视作管理组策略的一个“一站式的购物场所”。

· 满足客户就组策略部署提出的主要要求，这主要通过以下手段得以实现：

· 一个能够让组策略变得更易于使用的用户界面。

·组策略对象（GPO）的备份/恢复

· GPO的导入/导出和复制/粘贴，以及Windows管理规范（WMI）过滤器。

· 基于组策略实现的、更简单的安全性管理

· GPO设置的HTML报告

·组策略结果和组策略建模数据（以前被称作策略结果集）的HTML报告

· 围绕该工具内部所暴露的GPO操作编写脚本——而不是围绕GPO设置编写脚本

在GPMC出现之前，管理员需要使用数个Microsoft工具来管理组策略。GPMC将这些工具所拥有的现有组策略功能以及上面所介绍的新增功能结合到了一个单一、统一的控制台中。

管理Windows 2000 和 Windows Server 2003 域

GPMC可以使用Active Directory 服务管理基于Windows 2000 和 Windows Server 2003的域。在这两种域之中，用来运行工具并且用作管理目的的计算机必须安装以下操作系统和组件之一：

· Windows Server 2003

· Windows XP Professional with Service Pack 1（SP1）；SP1后的其它热修补程序；以及Microsoft .NET Framework。

其它组策略特性和改进

特性 描述

重新定向默认的用户和计算机容器 Windows Server 2003 提供的工具能够自动将新的用户和计算机对象重新定向到应用了组策略的指定组织单位中。

这种做法可以帮助管理员避免出现新添用户和计算机对象出现在域的根级别的默认容器中这种情况。类似这样的容器并不是为保存组策略链接而设计的，而且客户端也不能从这些容器上读取或应用组策略。本特性可以强迫使用这些容器的许多客户引入域级别的组策略，而在很多情况下，这种策略是难于使用的。

实际上，Microsoft建议用户创建一个富有逻辑层次的组织单位，并且使用它保存新近创建的用户和计算机对象。管理员可以使用两个新的资源工具包工具——RedirUsr 和 ReDirComp——为三个遗留的API（NetUserAdd、NetGroupAdd、NetJoinDomain）指定一个备用的默认位置。这允许管理员重新将默认位置定向到更为适合的组织单位，然后直接在这些新的组织单位上应用组策略。

组策略结果 组策略结果（Group Policy Results）允许管理员确定并分析当前应用在某个特殊目标上的策略集合。通过组策略结果，管理员能够查看目标计算机上现有的策略设置。组策略结果以前被称作日志模式的策略结果集（Resultant Set of Policy）。

组策略建模 组策略建模（Group Policy Modeling）意在帮助管理员规划系统的增长和重新组织。它允许管理员挨个查看现有的策略设置、应用程序以及某个假设情境的安全性。在管理员决定必须对现有设置进行修改之后，他们可以进行一系列的测试，以查看在用户或用户组被移动到另一个位置、另一个安全组或者另一台计算机后，究竟会发生何种情况。这包括了在所做的修改生效之后，应该应用哪些策略设置或者自动加载哪些策略设置。

组策略建模为管理员带来了极大的便利，因为在网络中真正实施修改之前，管理员能够通过组策略建模对策略进行全面测试。

新的策略设置

Windows Server 2003 包括了超过150个的新的策略设置。这些策略设置为用户定制和控制操作系统针对特定用户组的行为提供了手段。这些新的策略设置可以影响到诸如错误报告、终端服务器、网络和拨号连接、DNS、网络登录请求、组策略以及漫游配置文件这样的功能。

Web 视图管理模板 该特性加强了“组策略管理模板”扩展管理单元，用户可以通过它查看与不同策略设置有关的详细信息。在选择了某个策略设置之后，有关该设置的行为的详细信息以及该项设置应用在何处的附加信息便显示在“管理”模板用户界面的“Web”视图中。此外，这些信息也可以通过每个设置的“属性”页面上的“解释”选项卡进行查看。

管理DNS客户端管理员可以在Windows Server 2003上使用组策略配置DNS客户端设置。在调整DNS客户端设置时——例如启用和禁用客户端的DNS记录的动态注册，在名称解析时使用主DNS后缀以及填充DNS后缀列表等，这种做法可以大大简化域成员的配置过程。

“我的文档” 文件夹的重定向管理员可以使用本特性将用户从一个主目录形式的旧有部署过渡到“我的文档”模式，同时和现有的主目录环境保持兼容性。

在登录时完全安装指派给用户的应用程序应用程序部署编辑器（Application Deployment Editor）包含了一个新的选项，它允许一个指派给用户的程序在用户登录时进行完全的安装，而不是根据需要进行安装。这样，管理员便可以确保相应的应用程序能够自动安装在用户的计算机上。

Netlogon 本特性能够在基于Windows Server 2003的计算机上使用组策略配置Netlogon设置。在调整Netlogon设置（例如启用和禁用特定于域控制器的定位DNS记录的动态注册，定期刷新这样的记录，启用和禁用自动站点覆盖，以及其它许多Netlogon参数）的时候，它能够简化配置域成员所需的步骤。

网络和拨号连接 Windows Server 2003 网络配置用户界面可以通过组策略被特定的（有限制的）用户所使用。

分布式事件策略 WMI 事件基础结构经过了扩展，可以运行在一个分布式的环境之中。该项增强由数个能够完成WMI事件的订阅配置、筛选、关联、汇集和传输的组件组成。ISV 可以利用更多的用户接口和策略类型定义实现健康状况监视、事件日志、通知、自动恢复以及计费等功能。

禁用凭据管理器作为Windows Server 2003拥有的一项新功能，凭据管理器（Credential Manager）简化了用户凭据的管理过程。组策略允许您禁用凭据管理器。

面向软件部署的支持URL 本特性能够为软件包编辑和添加一个支持URL。在应用程序出现在目标计算机上的“添加/删除程序”中时，用户可以通过这个支持URL前往支持页面。本特性有助于降低支持部门所接听支持电话的数量。

WMI 筛选 Windows管理规范（WMI）能够收集与计算机有关的大量数据，例如硬件和软件清单、设置、和配置信息等。WMI从注册表、驱动程序、文件系统、Active Directory、简单网络管理协议（SNMP）、Windows Installer服务、结构化查询语言（SQL）、网络以及Exchange Server处收集这些信息。Windows Server 2003 中的WMI 筛选（WMI Filtering）允许您根据对WMI数据的查询，动态地确定是否应用某个GPO。这些查询（又称作WMI过滤器）决定了哪些用户和计算机能够获得在您用来创建过滤器的GPO中配置的策略设置。本功能让您能够根据本地计算机的属性动态地应用组策略。

例如，某个GPO可能向特定组织单位中的用户指派了Office XP。但是，管理员不能肯定是否组织中所有的旧桌面计算机都拥有足够的硬盘空间来安装该软件。在这种情况下，管理员便可以结合使用WMI过滤器和GPO，只向拥有超过400MB以上剩余硬盘空间的用户指派Office XP。

终端服务器管理员可以使用组策略管理用户使用终端服务器的方式，例如强制进行重定向，口令访问以及墙纸设置。

在Windows Server 2003产品家族中，Active Directory已经得到了增强，具有了更多的安全特性，从而让管理员管理多个森林和跨域信任的工作变得更轻松。此外，新的凭据管理器为用户凭据和X.509证书提供了一个安全的存储场所。

利用森林信任管理安全性

森林信任是一种新的Windows信任类型，可以对两个森林之间的安全关系加以管理。该特性极大地简化了跨森林的安全管理，并且允许信任森林在它信任的其它森林的安全主体名称上应用约束，以执行身份验证。本特性包括：

森林信任

· 通过在两个森林的根域之间建立一条信任链接，新的信任类型允许一个森林中的所有域（可传递）地信任另一个森林中的所有域。

· 森林信任在森林级别不能跨越三个或者更多的森林进行传递。如果森林A 信任森林B，而且森林B 信任森林C，那么这并不表明森林A和森林C之间能够建立任何信任关系。

· 森林信任可以是单向的，也可以是双向的。

信任管理

· 新的向导简化了所有类型的信任链接的创建过程，特别是森林信任。

· 新的属性页允许您管理与森林信任关联的被信任名称空间。

被信任的名称空间

· 受信任的名称空间用来路由针对特定安全主体的身份验证和授权请求，这些主体的帐户在被信任森林中进行维护。

· 一个森林所发布的域、用户主体名称（UPN）、服务主体名称（SPN）以及安全标识符（SID）的名称空间在森林信任创建之时会被自动收集，并且可以通过“Active Directory域和信任”用户界面得到刷新。

· 森林在受到信任后，在“先到先服务”的基础上，它便对它所发布的名称空间拥有了权威性，只要它们与现有森林信任关系的被信任名称空间不发生冲突。

被信任名称空间的相互重叠现象会自动得到预防。管理员也可以手动禁用某个被信任的名称空间。

其它安全特性和改进

特性 描述

跨森林身份验证当用户帐户属于一个森林，而计算机帐户属于另一个森林时，跨森林的身份验证能够实现对资源的安全访问。本特性允许用户使用Kerberos或NTLM验证，安全地访问其它森林中的资源，而不必牺牲由于只需在用户的主森林中维护一个用户ID和口令所带来的单点登录和其它管理方面的好处。跨森林身份验证包括：

名称解析

 当Kerberos和NTLM 不能在本地域控制器上解析一个主体名称时，它们会调用全局编录。

 当全局编录无法解析该名称时，它将调用一个新的跨森林名称匹配功能。

 该名称匹配功能将安全主体名称与来自所有被信任森林的被信任名称空间进行比较。如果找到匹配的名称空间，它便将被信任森林的名称作为一个路由提示返回。

请求的路由

 Kerberos和NTLM使用路由提示将身份验证请求沿着信任路径从源域发送给可能的目标域。

 对于Kerberos，密钥颁发中心（Key Distribution Centers，KDC）会生成沿着信任路径的引用，客户机以标准的Kerberos方式跟踪这些引用。

 对于NTLM，域控制器使用pass-through身份验证，沿着信任路径穿过安全通道传递该请求。

受支持的身份验证

 Kerberos 和 NTLM 网络登录，用来远程访问另一个森林中的服务器。

 Kerberos 和 NTLM交互式登录，用来进行用户主森林之外的物理登录。

 到另一个森林中的N层应用的Kerberos 委派。

 完全支持用户主体名称（UPN）凭据

跨森林授权 跨森林授权让管理员能够轻松地从被信任森林中选择用户和组，以便将他们包括在本地组或者ACL之中。本特性维护了森林安全边界的完整性，同时允许在森林之间建立信任关系。在来自被信任森林的用户试图访问受保护的资源时，它能让信任森林在它将要接受的安全标识符（SID）上施加某些约束和限制。

组成员关系和ACL管理

 对象选取程序已经得到了增强，以便从被信任森林中选择用户或组。

 名称必须完整输入。不支持枚举和通配符搜索。

名称－SID 转换

 对象选取程序和ACL编辑器使用系统API存储组成员和ACL项目的SID，并且将其转换回友好名称以便于显示。

 名称-SID转换API得到了增强，可以使用跨森林的路由提示，并且能够沿着信任路径充分利用域控制器之间的 NTLM安全通道，以解析来自被信任森林的安全主体名称或SID。

SID过滤

 在授权数据从受信任森林的根域传递到信任森林的根域时，SID将受到过滤。信任森林仅仅接受和它信任的域有关并且接受其它森林管理的SID。其它任何SID都回被自动丢弃。

SID过滤自动应用在Kerberos和NTLM身份验证以及名称-SID转换上。

交叉证书增强 Windows Server 2003客户端的交叉证书特性已经得到了加强，它现在拥有了部门级和全局级的交叉证书能力。例如，WinLogon现在可以执行对交叉证书的查询，并且将它们下载到“企业信任/企业存储”中。随着链条的建立，所有的交叉证书都将被下载。

IAS 和跨森林身份验证 如果Active Directory森林处于“跨森林”模式，并且建立了双向信任，那么Internet身份验证服务/远程身份验证拨入用户服务器（IAS/RADIUS）便可以通过本特性对另一个森林中的用户进行身份验证。这使得管理员可以轻松地将新的森林与森林中现有的IAS/RADIUS服务集成在一起。

凭据管理器凭据管理特性为用户凭据（包括口令和X.509证书）的存储提供了一个安全的场所。它还为包括漫游用户在内的用户提供了连续一致的单点登录体验。例如，在用户访问公司网络内部的某个业务应用的时候，对该应用的首次尝试需要身份验证，用户需要提供一个凭据。在用户提供了该凭据之后，凭据便与被请求的应用程序建立了关联。在用户对该应用的后续访问中，可以重复使用保存下来的凭据，而不会再次提示用户提供凭据。

1、在管理任务明显由区域划分的环境中可以独立设置域，如某公司的亚洲分部和欧洲分部等，可以设立域对各自独立的资源进行统一管理。

2、 特殊情况下，如果域数据库中的对象（包括被管理的用户、计算机、打印机等）过多，超过100万时（对于中小型企业很难达到），需要考虑增加域。

公司由于业务等需求需要设定多个名字空间，如需要xxxx.xxx和xxxx.xx两个名字空间，则必须建立林，该林中包含以xxxx.xxx为根域和以xxxx.xx为根域的两棵树。并且，需根据实际情况为这2棵树之间确定好信任关系

1、对于域安全准则一致的域，如果需要突出其中的某些业务和组织职能，则可以为域创建组织单元（OU），而没有必要重新创建单独的域。比如，对一个xxxx.xxx，底下划分为销售、人力等部门，可以创建sales、hr等等OU。

2、 在具体的OU设计中，微软给出了地理模型、对象模型、成本中心模型等7个基本模型供参考。

站点设置的目的是控制网络产生的登录通信量和复制通信量。

（1）登录通信量：每次当用户登录网络时，Windows 2000/Windows Server 2003/Windows Server 2008都会试图查找与用户在同一站点的DC，产生登录通信量。

（2）复制通信量：将目录数据库的变动更新到多个DC，站点将控制该通信量如何以及何时产生。

GC存储林中每个对象的一定数量的信息，这些信息通常是被频繁查询或者搜索的属性，当用户在域外查找对象时，使用GC可以避免调用目的地的DC，从而加快查询速度和减少网络流量。建议，每个site都配备一个GC。

DC的设计与用户的数量有很大关系，如下表所示：

1、尽可能使用与AD集成的DNS，为客户端登录寻找DC、DC间寻找提供定位服务。

2、DNS服务器应支持SRV资源记录外，并建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器自动升级的协议，如果没有此协议，管理员不得不手动配置域控制器产生的新的记录。

在Windows 2000的原有基础之上，Windows Server 2003中的Active Directory将重心放在了管理工作的简化、通用性以及无可匹敌的可靠性上面。和以往相比，Active Directory已经成为了构建企业网络的坚实基础，因为它可以：

· 充分利用现有投资，以及对目录进行合并管理。

· 扩展管理控制的范围，减少冗余的管理工作。

· 简化远程集成，更有效地使用网络资源。

· 为基于目录的应用提供了一个强大、可靠的开发和部署环境。

· 降低TCO并且改善IT资源的利用效率

活动目录分为目录和目录服务两部分

office添加打印机出现active directory 域服务当前不可用

控制面板——网络和共享中心——文件共享 点启用

停止—— Print Spooler

启动类型：停止

控制面板——添加打印机

添加网络、无线或Bluetooth打印机（W）——选择要共享的打印机

连接打印机的那台电脑的账户要设置密码啊，默认的administrator没有密码可不行哦，防火墙要关的哈，打印机要设置为共享

常见的一个问题是：对于那些并不关心活动目录安全的用户来说，应该如何去实施强化活动目录密码？毫无疑问，在广泛寻求利用不义之财的威胁中，弱活动目录密码是最大的漏洞之一。不幸的是，管理人员或其他员工设置的活动目录密码策略往往让许多人陷入困境。

查看Active Directory中一些长期存在的活动目录组策略对象（Group Policy Objects），很多人的活动目录设置都有问题。他们认为活动目录设置越严格越好，但情况并不总是这样。

对于在IT行业工作了几年的人来说，每个月设置活动目录复杂密码的工作量并不大。归根到底，我们（通常）知道如何创建牢固的活动目录密码并且常常使用活动目录密码管理器来保持活动目录的强度。将我们自己的活动目录个性设置强加给用户，这样的活动目录策略都是很荒谬的。最根本的问题是我们很容易认为用户知道该做什么并且放任他们去做，或者认为他们只能自己处理，毕竟这跟安全有关。

许多跟我交谈过的用户无法领悟有关如何创建复杂活动目录口令培训的第二重意义。没人会教给他们设置活动目录超级容易记住的口令，并且不需要每隔6-12个月进行更改活动目录。Active Directory活动目录密码策略设置和活动目录培训往往是后期才会想到的，因为许多人认为在活动目录基础之上需要更多的安全策略。我一直认为这不符合真实性并且越来越多的研究支持这一活动目录理论。。

当你努力让你的企业活动目录密码更有弹性时，注意不要只关注域活动目录密码。Windows环境里还有其他值得关注的重要活动目录系统，这些系统往往没有强密码活动目录策略，

最后，活动目录密码标准和策略应该全面标准化和策略化的应用。Windows Server或非Windows Server，所设置的较弱活动目录密码会在你的活动目录网络环境中制造麻烦。要制定出更好的活动目录密码。首先，确定风险在哪里，你可能已经知道了活动目录弱点在哪里，因此不必要执行正式的评估或审计。如果不是，你可以使用常用的活动目录漏洞扫描工具。

一旦决定你的活动目录密码标准，立刻调整活动目录标准和活动目录部署策略，使其能够正确按照你的想法来完成工作。最后，记住，在你的密码活动目录标准和活动目录策略的制定完成前，如果开始创建规则外的某个组成员和整个企业系统，那就是麻烦接踵而来的时刻。

活动目录考虑你是否需要活动目录环境的向后兼容性。假设你决定创建一个新的Windows Server 2012 R2域控制器活动目录森林，并且将森林和域控制器功能级别设置在Windows Server 2012 R2级别。这样做的话将无法在森林中加入旧版本的域控制器。在全新部署时可能不是一个大问题，但最终会需要处理功能级别问题。

活动目录在微软发布Windows Server 2016之后，不得不提高活动目录功能级别以便使用新的活动目录功能。在此之前，活动目录组织将不得不升级域或者森林中的域控制器功能级别。活动目录域中同时包含Windows Server 2012 R2和Windows Server 2016域控制器是没有问题的，但是你将无法升级功能级别并且使用新的功能，直到所有遗留的域控制器得倒升级、替换或者退休。

活动目录还要考虑升级到更高功能级别后的好处。活动目录引入了大量的新功能是可以通过Windows 2000域控制器使用的。所以活动目录升级功能级别又有了新动力。

活动目录最近几个版本引入了相对较少的改进，活动目录功能级别并不像以前那样重要了。但这一活动目录趋势可能在下一个Windows Server版本中发生逆转。

为活动目录的域和森林设置功能级别以便与最早的IT人员需要支持的域控制器版本相匹配。如果你所有的域控制器运行的是现代Windows版本，活动目录使用较低的功能级别并没有什么优势。

活动目录的备份和恢复选项

活动目录备份工具支持使用不同的备份方法对数据进行保护，如正常、复制、增量、微分或每日备份。然而，活动目录具有特定的备份需求，活动目录需要一个“标准的”备份类型。

活动目录需要用户精心策划，因为活动目录不是一个单一的文件或文件夹，活动目录是服务器上的数据集合。活动目录包括系统启动文件、系统注册表文件、组件对象模型类注册数据库、覆盖组策略和脚本的系统卷数据，以及所有的活动目录数据库组件。综上所述，这些元素构成了活动目录域控制器的“系统状态”。

后来版本的Windows Server，如2008 R2，能够备份关键卷，活动目录备份所有包含状态文件的卷。活动目录包括卷与引导文件、Windows操作系统和注册表、SYSVOL、AD数据库或AD日志文件。除了活动目录备份系统状态或关键卷，活动目录管理员也可以选择执行一个完整的服务器备份，活动目录备份包括一个完整的图像，活动目录有便于服务器支持其他企业服务。

活动目录恢复有多个备选方案。活动目录最明显的选择是完全恢复——充分利用服务器备份执行域控制器裸机恢复，或活动目录使用系统状态备份恢复早期活动目录系统状态。活动目录管理员也可以决定恢复是否授权或非授权。活动目录对于非授权恢复，活动目录的恢复域控制器将自动查询并同步其他域控制器副本来确保恢复结果能够反映最新的活动目录状态。活动目录对于授权恢复，活动目录恢复的域控制器被认为是最新版本，活动目录将恢复服务器复制到其他域控制器。

活动目录回收站在Windows Server 2008 R2及以后的版本提供，活动目录保留数据对象并且允许快速恢复已删除的数据，活动目录不需要特意从备份进行恢复。

活动目录并不是新的事物，活动目录早在Windows 2000 Server中就被引入了，活动目录是Windows Server OS中的一个主要产品。一些企业已经使用活动目录 长达15年甚至更久。随着活动目录数据库老化，活动目录系统会在局部删除用户账号、安装应用程序失败或者其他管理上的失误后积累乱七八糟的东西，以及出现崩溃现象。

Windows Server OS中自带的活动目录管理工具可以显示这些杂乱和崩溃信息，不过这些活动目录工具不能从活动目录中删除不想要的数据。这可能是因为担心相关联对象的断链，亦或是内部为了保护活动目录数据库所采取的的措施，以防止潜在的活动目录毁灭性的管理操作。

数据库的清理

活动目录数据库创建一个备份非常重要。如果使用不正确，可以摧毁整个Active Directory。

活动目录存储用户身份，活动目录管理访问控制列表，活动目录执行政策和监控应用程序配置。活动目录有广泛的商业使用，因为活动目录是所有的微软应用程序的关键。

活动目录能够很好地与其他Windows产品协同工作。单点登录功能意味着用户登录一次就可获得支持活动目录的应用的许可。

活动目录服务产品还更好地集成了活动目录第三方工具。因为微软的活动目录服务是很早就出现的功能，能够与更多的管理工具集成。