Active Directory 是一種企業(yè)級目錄服務(wù)，該服務(wù)可伸縮、使用 Internet 標(biāo)準(zhǔn)技術(shù)從基礎(chǔ)建立，并完全在操作系統(tǒng)級別上集成。Active Directory 簡化了管理，使用戶很容易找到各種資源。Active Directory 提供了非常廣泛的特性和功能。

本主題簡要概述了 Windows Server 2003 家族中 Active Directory 目錄服務(wù)的功能。它分為三部分：自 Windows Server 2003（不帶 SP1）以來的新增功能與更新功能、自 Windows NT 4.0 以來的新增功能與更新功能以及自 Windows 2000 以來的新增功能與更新功能。

注意

運(yùn)行 Windows Server 2003, Web Edition 操作系統(tǒng)的計(jì)算機(jī)不能用作域控制器。

1、自 Windows Server 2003（不帶 SP1）以來的新增功能與更新功能

與 Windows Server 2003（不帶 SP1）相比，Windows Server 2003 操作系統(tǒng)（帶有 Service Pack 1 [SP1]）新增了許多改善功能，可以更好地支持 Active Directory：

復(fù)制能力與 DNS 診斷測試能力均得以改善

Active Directory® 中也有許多更新功能，例如目錄服務(wù)自動(dòng)備份提醒，增強(qiáng)的保護(hù)措施從而避免復(fù)制錯(cuò)誤，“從媒體安裝”中的增強(qiáng)功能（對于既是域控制器又是 DNS 服務(wù)器的計(jì)算機(jī)來說，其添加過程更為簡便），增強(qiáng)的 DNS 診斷測試能力，以及對全新平臺(tái)（在 Microsoft® Virtual Server 2005 虛擬機(jī)器上運(yùn)行的域控制器）的訪問權(quán)限。

2、自 Windows NT 4.0 以后的新增功能和更新功能

Windows Server 2003 家族進(jìn)行了以下改進(jìn)（與 Windows NT 4.0 相比），有助于提供更高級別的 Active Directory 支持：

（1）簡化了用戶和網(wǎng)絡(luò)資源管理

使用 Active Directory 可以構(gòu)建分層的信息結(jié)構(gòu)，從而可以更輕松地控制管理憑據(jù)和其他安全設(shè)置，使您的用戶可以更加方便地查找本地網(wǎng)絡(luò)資源，如文件和打印機(jī)。

（2）安全靈活的身份驗(yàn)證和授權(quán)

安全靈活的身份驗(yàn)證和授權(quán)服務(wù)可提供數(shù)據(jù)保護(hù)功能，同時(shí)最大限度地降低了通過 Internet 運(yùn)作業(yè)務(wù)的難度。Active Directory 支持多種身份驗(yàn)證協(xié)議，如 Kerberos V5 協(xié)議、安全套接字層 (SSL) v3 和使用了 X.509 v3 證書的傳輸層安全性 (TLS)，并支持有效跨越域的安全組。

（3）目錄合并

可以整理并簡化對用戶、計(jì)算機(jī)、應(yīng)用程序和設(shè)備的管理，且能使用戶方便地查找到所需的信息。可以通過基于輕型目錄訪問協(xié)議 (LDAP) 的界面利用同步支持功能，還可以處理特定應(yīng)用程序的目錄合并需求。

（4）啟用目錄的應(yīng)用程序和基礎(chǔ)結(jié)構(gòu)

Active Directory 功能便于用戶配置和管理應(yīng)用程序以及其他啟用目錄的網(wǎng)絡(luò)組件。

（5）容易實(shí)現(xiàn)的可伸縮性

Active Directory 支持在每個(gè)域中容納數(shù)百萬的對象，并使用索引技術(shù)和高級復(fù)制技術(shù)來提高性能。

（6）Internet 標(biāo)準(zhǔn)的使用

Active Directory 可通過 LDAP 進(jìn)行訪問并使用基于域名系統(tǒng) (DNS) 的命名空間。

(7)功能強(qiáng)大的開發(fā)環(huán)境

Active Directory 通過“Active Directory 服務(wù)界面 (ADSI)”（它為 Active Directory 提供了一種面向?qū)ο蟮慕缑妫┨峁┝艘粋€(gè)功能強(qiáng)大的開發(fā)環(huán)境。ADSI 使程序員和管理員不必?fù)?dān)心不同命名空間之間的潛在差異，就可以用高級工具（如 Microsoft Visual Basic、Java、C 或 Visual C++）輕松創(chuàng)建目錄程序。

(8)復(fù)制和信任監(jiān)視

Active Directory 提供了“Windows Management Instrumentation (WMI)”類，用來監(jiān)視域控制器是否在成功復(fù)制 Active Directory 信息，以及信任是否在正常運(yùn)行。

（9）消息隊(duì)列通訊組列表

消息隊(duì)列（也稱為 MSMQ）使您可以向駐留在 Active Directory 中的通訊組列表發(fā)送消息。

3、自 Windows 2000 以后的新增功能和更新功能

Windows Server 2003 家族進(jìn)行了多處改進(jìn)（與 Windows 2000 相比），有助于提供更高級別的支持并更好地管理 Active Directory。