体系结构

只要安装了 Active Directory 域控制器，也就同时创建了初始的 Windows 2000 域，或已在原有域中添加了新的域控制器。域控制器和域是如何适应整个网络体系结构的?

本节介绍基于 Active Directory 的网络组件，以及这些组件的组织方式。此外，还阐述了如何将对部门 (OU)、域或站点的管理责任委派给适当的个体，以及如何将配置设置分配给相同的三个 Active Directory 容器。其中包括以下主题：

• 对象（包括架构）。
• 对象命名规则（包括安全主管名称、SID、与 LDAP 相关的名称、对象 GUID 以及登录名）。
• 对象发布。
• 域（包括目录树、目录林、信任以及部门）。
• 站点（包括复制）。
• 如何将委派和组策略应用于 OU、域和站点。

对象

Active Directory 对象是组成网络的实体。对象是代表用户、打印机或应用程序等一些具体事物的一组不同的、已命名的属性集。当您创建一个 Active Directory 对象时，Active Directory 会生成一些对象属性的值，其他属性值则由您提供。例如，当您创建用户对象时，Active Directory 会指定全球唯一标识符 (GUID)，而您则提供其他一些属性（如用户的姓、名、登录标识符等等）的值。

架构

“架构”是对“对象类别”（不同类型的对象）及这些对象类别的“属性”的说明。对于每个对象类别，架构定义了对象类别必须具有的属性，它可能具有的其他属性，以及可以成为其父对象的对象类别。每个 Active Directory 对象都是一个对象类别的实例。每一属性只定义一次，但可用在多个类别中。例如，属性 Description 只定义了一次，却已用在许多不同类别中。

架构保存于 Active Directory 中。架构定义本身也作为对象保存--即 Class Schema 对象和 Attribute Schema 对象。这使 Active Directory 可以用管理其他目录对象的同种方法来管理类别和属性对象。

创建或修改 Active Directory 对象的应用程序使用架构来确定以下内容：对象一定或可能有哪些属性；如何依据数据结构和语法限制来描述属性。

对象不是容器对象就是叶对象（又称非容器对象）。容器对象存储其他对象，而叶对象却没有该功能。例如，文件夹是文件的容器对象，而文件则是叶对象。

Active Directory 架构中每一类别的对象都有这样一些属性，它们确保：

• 目录数据存储区中的每一对象都具有唯一的标识。
• 对于安全主管（用户、计算机或组），与 Windows NT 4.0 操作系统和早期版本中所用安全标识符 (SID) 的兼容性。
• 与目录对象名称的 LDAP 标准的兼容性。

架构属性与查询

使用 Active Directory 架构工具能够将属性标记为有索引。这样做的结果是，将该属性的所有实例都添至索引，而不仅仅是添加特定类别成员的实例。为属性建立索引有助于查询能够更加快速地找到具有该属性的对象。

您也可以将一些属性加入全局编录。全局编录包含了目录林中每个对象的一组默认属性，而您可以将自己的选项添加进去。用户和应用程序都使用全局编录在整个目录林中定位对象。只有具有以下特征的属性才可包含在全局编录中：

• 全局通用。 属性应是查找处于目录林任意位置的对象（即使仅用于读取访问）时需要的属性。
• 相对稳定。属性应是不变或极少改变的。某一全局编录中的属性会复制到目录林中所有其他全局编录中。如果属性经常变化，则会导致复制通信量骤增。
• 小型。全局编录中的属性会复制到目录林的每个全局编录中。属性越小，对复制过程的影响程度越低。

架构对象名称

如上文所述，类别和属性都是架构对象。任何架构对象都可以使用下列名称类型中的一种进行引用：

• LDAP 显示名。 对于每一架构对象来说，LDAP 显示名是全局唯一的。LDAP 显示名由一个或多个词组合而成，第一个词后面的词的词首字母大写。例如，mailAddress 和 machinePasswordChangeInterval 是两个架构属性的 LDAP 显示名。Active Directory 架构和其他 Windows 2000 管理工具显示对象的 LDAP 显示名；程序员和管理员可使用该名称以编程方式引用对象。关于以编程方式扩展架构的信息请参阅下一小节；关于 LDAP 的详细信息，请参阅“轻型目录访问协议”一节。
• 公用名。架构对象的公用名也是全局唯一的。可在架构中创建新对象类别或新属性时指定公用名；公用名是在架构中代表对象类别的、对象的相对可分辨名称 (RDN)。关于 RDN 的详细信息，请参阅“LDAP DN