雖然活動(dòng)目錄中用到的許多技術(shù)在其他軟件產(chǎn)品中也已經(jīng)出現(xiàn)過(guò)，但作為全面的整體網(wǎng)絡(luò)方案還是首次亮相，其中有許多名詞或術(shù)語(yǔ)或許是聞所未聞的，所以有必要詳細(xì)了解一下活動(dòng)目錄的有關(guān)名詞或術(shù)語(yǔ)。

　　 1、名字空間：從本質(zhì)上講，活動(dòng)目錄就是一個(gè)名字空間，我們可以把名字空間理解為任何給定名字的解析邊界，這個(gè)邊界就是指這個(gè)名字所能提供或關(guān)聯(lián)、映射的所有信息范圍。通俗地說(shuō)就是我們?cè)诜?wù)器上通過(guò)查找一個(gè)對(duì)象可以查到的所有關(guān)聯(lián)信息總和，如一個(gè)用戶，如果我們?cè)诜?wù)器 已給這個(gè)用戶定義了講如：用戶名、用戶密碼、工作單位、聯(lián)系電話、家庭住址等，那上面所說(shuō)的總和廣義上理解就是“用戶”這個(gè)名字的名字空間，因?yàn)槲覀冎惠?入一個(gè)用戶名即可找到上面我所列的一切信息。名字解析是把一個(gè)名字翻譯成該名字所代表的對(duì)象或者信息的處理過(guò)程。舉例來(lái)說(shuō)，在一個(gè)電話目錄形成一個(gè)名字空 間中，我們可以從每一個(gè)電話戶頭的名字可以被解析到相應(yīng)的電話號(hào)碼，而不是象現(xiàn)在一樣名字是名字，號(hào)碼歸號(hào)碼，根本不能橫向聯(lián)系。Windows 操作系統(tǒng)的文件系統(tǒng)也形成了一個(gè)名字空間，每一個(gè)文件名都可以被解析到文件本身（包含它應(yīng)有的所有信息）。

　　 2、對(duì)象： 對(duì)象是活動(dòng)目錄中的信息實(shí)體，也即我們通常所見(jiàn)的“屬性”，但它是一組屬性的集合，往往代表了有形的實(shí)體，比如用戶賬戶、 文 件名等。對(duì)象通過(guò)屬性描述它的基本特征，比如，一個(gè)用戶賬號(hào)的屬性中可能包括用戶姓名、 電話號(hào)碼、 電子郵件地址和家庭住址等。

　　 3、容器：容器是活動(dòng)目錄名字空間的一部分，與目錄對(duì)象一樣，它也有屬性，但與目錄對(duì)象不同的是，它不代表有形的實(shí)體，而是代表存放對(duì)象的空間，因?yàn)樗鼉H 代表存放一個(gè)對(duì)象的空間，所以它比名字空間小。比如一個(gè)用戶，它是一個(gè)對(duì)象，但這個(gè)對(duì)象的容器就僅限于從這個(gè)對(duì)象本身所能提供的信息空間，如它僅能提供用 戶名、用戶密碼。其它的如：工作單位、聯(lián)系電話、家庭住址等就不屬于這個(gè)對(duì)象的容器范圍了。

　　 4、目錄樹(shù)：在任何一個(gè)名字空間中，目錄樹(shù)是指由容器和對(duì)象構(gòu)成的層次結(jié)構(gòu)。樹(shù)的葉子、節(jié)點(diǎn)往往是對(duì)象，樹(shù)的非葉子節(jié)點(diǎn)是容器。目錄樹(shù)表達(dá)了對(duì)象的連接方 式，也顯示了從一個(gè)對(duì)象到另一個(gè)對(duì)象的路徑。在活動(dòng)目錄中，目錄樹(shù)是基本的結(jié)構(gòu)，從每一個(gè)容器作為起點(diǎn)，層層深入， 都可以構(gòu)成一棵子樹(shù)。一個(gè)簡(jiǎn)單的目錄可以構(gòu)成一棵樹(shù)，一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)或者一個(gè)域也可以構(gòu)成一棵樹(shù)。這也很容易理解，我們最初學(xué)電腦時(shí)不就是在全面理解DOS下的路徑概念基礎(chǔ)之上開(kāi)始的嗎，其實(shí)這“目錄樹(shù)”也就是一種“路徑關(guān)系”，如果你理解了DOS下的“路徑”相信理解這“目錄樹(shù)”是沒(méi)什么問(wèn)題的！

　　 5、域： 域是WIN2K網(wǎng)絡(luò)系 統(tǒng)的安全性邊界。我們知道一個(gè)計(jì)算機(jī)網(wǎng)最基本的單元就是“域”，這一點(diǎn)不是WIN2K所獨(dú)有的，但活動(dòng)目錄可以貫穿一個(gè)或多個(gè)域。在獨(dú)立的計(jì)算機(jī)上，域即 指計(jì)算機(jī)本身，一個(gè)域可以分布在多個(gè)物理位置上，同時(shí)一個(gè)物理位置又可以劃分不同網(wǎng)段為不同的域，每個(gè)域都有自己的安全策略以及它與其他域的信任關(guān)系。當(dāng) 多個(gè)域通過(guò)信任關(guān)系連接起來(lái)之后，活動(dòng)目錄可以被多個(gè)信任域域共享

　　 6、組織單元：包含在域中特別有用的目錄對(duì)象類型就是組織單元。組織單元是可將用戶、組、計(jì)算機(jī)和其他單元放入活動(dòng)目錄的容器中，組織單元不能包括來(lái)自其 他域的對(duì)象。組織單元是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用單位。使用組織單元，您可在組織單元中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器，這樣您就可以 根據(jù)您的組織模型管理帳戶、資源的配置和使用，可使用組織單元?jiǎng)?chuàng)建可縮放到任意規(guī)模的管理模型。可授予用戶對(duì)域中所有組織單元或?qū)蝹€(gè)組織單元的管理權(quán) 限，組織單元的管理員不需要具有域中任何其他組織單元的管理權(quán)，組織單元有點(diǎn)象我們?cè)贜T時(shí)代的工作組，我們從管理權(quán)限上來(lái)講可以這么理解。

　　 7、域樹(shù)：域樹(shù)由多個(gè)域組成，這些域共享同一表結(jié)構(gòu)和配置，形成一個(gè)連續(xù)的名字空間。樹(shù)中的域通過(guò)信任關(guān)系連接起來(lái)，活動(dòng)目錄包含一個(gè)或多個(gè)域樹(shù)。域樹(shù)中 的域?qū)哟卧缴罴?jí)別越低，一個(gè)“.”代表一個(gè)層次，如域child.Microsoft.com 就比 Microsoft.com這個(gè)域級(jí)別低，因?yàn)樗袃蓚€(gè)層次關(guān)系，而Microsoft.com只有一個(gè)層次。而域 Grandchild.Child.Microsoft.com雙比 Child.Microsoft.com級(jí)別低，道理一樣。

　　 域樹(shù)中的域是通過(guò)雙向可傳遞信任關(guān)系連接在一起。由于這些信任關(guān)系是雙向的而且是可傳遞的，因此在域樹(shù)或樹(shù)林中新創(chuàng)建的域可以立即與域樹(shù)或樹(shù)林中每個(gè)其他 的域建立信任關(guān)系。這些信任關(guān)系允許單一登錄過(guò)程，在域樹(shù)或樹(shù)林中的所有域上對(duì)用戶進(jìn)行身份驗(yàn)證，但這不一定意味著經(jīng)過(guò)身份驗(yàn)證的用戶在域樹(shù)的所有域中都 擁有相同的權(quán)利和權(quán)限。因?yàn)橛蚴前踩缦?，所以必須在每個(gè)域的基礎(chǔ)上為用戶指派相應(yīng)的權(quán)利和權(quán)限。

　　 8、域林：域林是指由一個(gè)或多個(gè)沒(méi)有形成連續(xù)名字空間的域樹(shù)組成，它與上面所講的域樹(shù)最明顯的區(qū)別就在于這些域樹(shù)之間沒(méi)有形成連續(xù)的名字空間，而域樹(shù)則是 由一些具有連續(xù)名字空間的域組成。但域林中的所有域樹(shù)仍共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹(shù)通過(guò)Kerberos 信任關(guān)系建立起來(lái)，所以每個(gè)域樹(shù)都知道Kerberos信任關(guān)系，不同域樹(shù)可以交叉引用其他域樹(shù)中的對(duì)象。域林都有根域，域林的根域是域林中創(chuàng)建的第一個(gè) 域，域林中所有域樹(shù)的根域與域林的根域建立可傳遞的信任關(guān)系。

　　 9、站點(diǎn)：站點(diǎn)是指包括活動(dòng)目錄域服務(wù)器的一個(gè)網(wǎng)絡(luò)位置，通常是一個(gè)或多個(gè)通過(guò)TCP/IP連接起來(lái)的子網(wǎng)。站點(diǎn)內(nèi)部的子網(wǎng)通過(guò)可靠、快速的網(wǎng)絡(luò)連接起來(lái)。站點(diǎn)的劃分使得管理員可以很方便地配置活動(dòng)目錄的復(fù)雜結(jié)構(gòu)，更好地利用物理網(wǎng)絡(luò)特性，使網(wǎng)絡(luò)通信處于最優(yōu)狀態(tài)。當(dāng)用戶登錄到網(wǎng)絡(luò)時(shí)，活動(dòng)目錄客戶機(jī)在同一個(gè)站點(diǎn)內(nèi)找到活動(dòng)目錄域服務(wù)器，由于同一個(gè)站點(diǎn)內(nèi)的網(wǎng)絡(luò)通信是可靠、快速和高效的，所以對(duì)于用戶來(lái)說(shuō)，他可以在最快的時(shí)間內(nèi)登錄到網(wǎng)絡(luò)系統(tǒng)中。因?yàn)檎军c(diǎn)是以子網(wǎng)為邊界的，所以活動(dòng)目錄在登錄時(shí)很容易找到用戶所在的站點(diǎn)，進(jìn)而找到活動(dòng)目錄域服務(wù)器完成登錄工作。

　　 10、域控制器：域控制器是使用活動(dòng)目錄安裝向?qū)渲玫腤IN2K Server 的計(jì)算機(jī)?；顒?dòng)目錄安裝向?qū)О惭b和配置為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供活動(dòng)目錄服務(wù)的組件供用戶選擇使用。域控制器存儲(chǔ)著目錄數(shù)據(jù)并管理用戶域的交互關(guān)系，其中包括用戶登錄過(guò)程、身份驗(yàn)證和目錄搜索，一個(gè)域可有一個(gè)或多個(gè)域控制器。為了獲得高可用性和容錯(cuò)能力，使用單個(gè)局域網(wǎng) (LAN) 的小單位可能只需要一個(gè)具有兩個(gè)域控制器的域。具有多個(gè)網(wǎng)絡(luò)位置的大公司在每個(gè)位置都需要一個(gè)或多個(gè)域控制器以提供高可用性和容錯(cuò)能力。