活动目录(2)

7. 灵活的查询

用户和管理员可使用搜索工具快速查找网络上的对象并设置对象属性，例如，名、姓、Email地址、办公室位置或用户账户的其他属性。也可通过使用活动目录生成的全局目录优化查找信息。

8. 信息安全性

安全性与活动目录完全集成在一起，不仅可以针对目录中的每个对象定义访问控制，还可对其每种属性进行操作。权限指定哪些组用户可以查看或使用对象，以及可针对对象进行何种操作。例如，某个人可能具有更改对象属性的权限，另一个人则可能只具有查看权限，而第3个人则可能根本没有查找对象的权限。可以授予对对象的单个属性进行选择性访问的权限。例如，可以授予所有用户查看网络中用户姓名和电话号码的权限，而与此同时却限制对用户对象所有其他属性的访问。默认情况下，权限是可继承的。指定给某特定对象的权限会自动应用于该对象的所有子对象。

活动目录为安全策略提供应用程序的存储和范围。安全策略可以包括账户信息，诸如域的密码限制或对某特定域资源的权利。安全策略通过组策略来执行。管理员可将某些特殊管理权利分派到其他个人或组。这种权限分派允许明确谁具有管理部分网络的权限。可以将特殊部分的管理分派给单个管理员，而不必拥有对大部分网络具有广泛权限的管理员。

Windows 2000 Server 支持多种网络安全协议，这些协议提供更强大、更有效的安全性，对Internet 安全协议的支持，以及与早期 Windows 协议的兼容性。Windows 2000 支持的安全协议包括：

● Kerberos v5 协议，它是 Windows 2000 中网络验证的默认协议。Kerberos 协议是一个已经成熟的安全标准。它包括客户机和服务器的相互验证以及与非Windows 平台的内部可操作性。

● SSL(Secure Sockets Layer，安全套接字层)，Windows 2000 支持基于公用密钥的协议，提供基于Internet的保密性和可靠性。它包括对 SSL 3.0 的支持以及 Internet 浏览器和网络服务器间连接的标准。

● DPA(Distributed Password Authentication，分布式密码验证)，它由诸如 Microsoft Network (MSN) 等最大的 Internet 成员组织使用。

● Windows NT NTLM，是Windows NT 4.0 和早期版本使用的NTLM 协议，这是为确保与运行Windows NT 和 Windows NT 网络的客户机软件的计算机做到完全可内部操作。3.3.3 安装活动目录

管理员要将自己的服务器用作域控制器，必须安装活动目录。活动目录可用于存储网络对象和共享打印机信息，并提供访问上述资源的信息。活动目录安装向导可将管理员的服务器配置为域控制器或附加域控制器，并可以在未连好网络时设置DNS。如果网络中没有其他域控制器，可将服务器配置为域控制器；如果网络中有其他域控制器，可将服务器设置为附加域控制器，并新建子域、域目录树或目录林。

安装活动目录的具体操作步骤如下:

(1) 执行“开始”→“程序”→“管理工具”→“配置服务器”命令，打开“Windows 2000配置服务器”对话框，如图3-9所示。

注释：

安装完Windows 2000 Server后，每次启动计算机，系统都会自动打开“Windows 2000配置服务器”对话框。

图3-9 “Windows 2000配置服务器”对话框

(2) 在左边的列表中单击Active Directory(活动目录)选项，并将右边的滚动条拖动到底部，使对话框如图3-10所示。

图3-10 显示活动目录选项

(3) 单击“开始Active Directory向导”选项，打开“欢迎使用Active Directory安装向导”对话框，如图3-11所示。该对话框显示了Active Directory安装向导的简单欢迎信息。

图3-11 “欢迎使用Active Directory安装向导”对话框