Active Directory 结构 (四)

部门

部门（又称 OU）是 Windows 2000 操作系统的新内容，它是一种类型的目录对象，可在其中放置用户、组、计算机、打印机、共享文件夹以及一个域内的其他部门。部门（在 Active Directory 用户和计算机界面中用文件夹表示）允许按逻辑关系组织并存储域中的对象。如果有多个域，则每个域均可实现各自独立的部门层次。

如图 8 所示，部门中也可包含其他部门。

图 8. 一个域内部的部门层次

部门主要用来委派对用户、组及资源集合的管理权限。例如，您可能会创建一个部门，其中包含整个公司的所有用户帐户。创建了委派管理功能的部门之后，即可对部门应用组策略设置，来定义用户和计算机的桌面配置。因为部门是用来委派管理功能的，所以，您创建的结构可能会反映管理模型，而不是反映业务组织。

尽管用户在查找资源时，可能会浏览域的部门结构，但通过查询全局编录来查找资源才是更有效的方法。因而，创建的部门结构不必考虑吸引最终用户。当然，也可创建一个能够反映业务组织的部门结构，但这样做不但比较困难，还会增加管理费用。创建部门结构不是为了反映资源位置或单位各部门的组织情况，在设计部门时要考虑到管理委派过程和组策略设置。

关于使用部门建立委派和组策略的详细信息，请参阅“在 OU、域和站点中使用委派和组策略”。关于在规划 Windows 2000 的实施方式时，应如何设计部门结构的详细信息，请参见本文结尾处“其它信息”中的 Microsoft Windows 2000 Server Deployment Planning Guide。

站点：服务客户机和复制数据

可以将基于 Windows 2000 的“站点”看作是：用局域网 (LAN) 技术连接的一个或多个 IP 子网上的一组计算机，或由高速主干网连接的一组 LAN。一个站点内的计算机需要良好的连接，这通常也是子网上计算机的一个特征。相反，独立的站点之间可用速度比 LAN 慢的链接相连。可用 Active Directory 站点和服务工具，配置站点内（在一个 LAN 中或一组连接较好的 LAN 中）的连接以及站点之间的连接（在一个 WAN 内）。

在 Windows 2000 操作系统中，站点提供以下服务：

• 客户机可以向同一站点的域控制器（如果有一个域控制器）请求服务。
• Active Directory 会尽量将站内复制的复制延迟降至最小。
• Active Directory 会尽量将站间复制的带宽消耗降至最小。
• 站点允许您安排站间复制的进程

用户和服务应该能够随时通过目录林的任何计算机访问目录信息。为此，必须把目录数据的添加、修改和删除等操作由起始域控制器中继（复制）到目录林的其他域控制器中。但是，必须保持广泛分发目录信息的需求与优化网络性能的需求之间的平衡。Active Directory 站点有助于保持这种平衡。

了解站点独立于域这一概念，是很重要的。站点映射网络的物理结构，而域（如果使用不止一个域）一般映射单位的逻辑结构。逻辑结构和物理结构彼此独立，并因此产生以下结果：

• 站点和域名称空间之间没有必然的联系。
• 网络的物理结构和域结构之间也没有必然的关联。但是，在很多单位中，创建的域反映了物理网络结构。这是因为，域是分区，而分区可影响复制--通过将目录林分成多个更小的域，可减少复制通信量。
• Active Directory 允许在一个站点出现多个域，以及一个域出现在多个站点中。

Active Directory 如何使用站点信息

可先用 Active Directory 站点和服务指定站点信息；然后，Active Directory 就可用此信息来确定如何以最佳方式使用可用的网络资源。使用站点可提高以下类型操作的效率：

• 处理客户机请求。 当客户机向域控制器请求服务时，它会直接把请求发送给同一站点的域控制器（如有一个可用的域控制器）。选择与发出请求的客户机连接良好的域控制器，将会提高处理此类请求的效率。例如，当客户机使用域帐户登录时，登录机制会首先查找与客户机在同一站点的域控制器。因为先使用了客户机所在站点的域控制器，使网络通信能在本地进行，从而提高了身份验证过程的效率。
• 复制目录数据。 站点可启用站点内和站点间的目录数据复制。Active Directory 在站点内复制信息要比站点间复制频繁得多，这意味着，连接最好的域控制器（可能是最需要特定目录信息的域控制器）会最先收到复制。其他站点的域控制器接收目录更改的所有信息（但不频繁），这样就减少了网络带宽消耗。在域控制器之间复制 Active Directory 数据，提供了数据的可用性、容错能力、负载平衡，并提高了性能。（有关 Windows 2000 操作系统如何实现复制的详细信息，请参阅本节“站