活动目录术语表

活动目录术语表

整理：

A

访问控制（access control）--登录计算机或网络权限的管理。

ACE--参见"访问控制条目"。

访问控制条目(access control entry，简称ACE) --每一个ACE包括一个安全标识符(SID)，这个标识符标识这个ACE的应用对象（用户或小组）以及允许或者拒绝访问的ACE信息的类型。

访问控制表(access control list，简称ACL) --用来定义用户/工作组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录服务中，一个ACL是一个存储访问权限与被保护对象相互之间关系的列表。在Windows NT?操作系统中，一个ACL作为一个二进制值保存，称之为安全描述符。

ACL--参见"访问控制列表"。

活动目录-- Windows? 2000支持的一种结构，这种结构可以跟踪和定位网络上任意一个对象。活动目录是Windows 2000服务器中使用的目录服务，为Windows 2000分布式网络提供基础。

活动目录服务接口(Active Directory Service Interface，简称ADSI)--基于组件对象模型（COM）的客户端软件。ADSI定义了一个目录服务模型和一组COM接口，通过这些接口可以使Windows NT 和Windows 95客户端应用程序访问一些网络目录服务，包括活动目录服务。ADSI允许应用程序与活动目录进行通信。

ADSI提供目录服务客户端通过使用一组接口与任何提供ADSI实现的名字空间进行交流

的方法。ADSI客户端通过使用ADSI替代与网络相关的应用程序编程接口（API）调用，从而获得访问名字空间服务的更简单的方法。ADSI 遵守并且支持标准的COM特征。ADSI也定义了可以从自动兼容软件，例如Java、Visual Basic、Visual Basic Scripting Edition（VBScript），来访问的接口和对象，这同样可以应用到非自动兼容语言，例如C和C++，通过这个特性可以增强性能。此外，ADSI提供它自己的OLE数据库提供者，并且可以完全支持任何客户端已经使用的OLE数据库，包括那些使用ActiveX? 技术的。

ADSI--参见活动目录服务接口"。

属性（attribute）--对象的单一属性。对象通过它们的属性值进行描述。例如，可以用属性这样来定义一辆车：制造商、模型、颜色等等。属性这个术语和特性这个词可以相互使用，它们使完全一样的。属性也是用来描述对象的数据项，这些对象通过模式中定义的类来表现的。在模式中，属性和类使分开定义的；这样使得一个属性可以在多个类中使用。参见"对象"。

授权（authentication）--确定用户的身份，即确定究竟是谁登录到计算机系统中的，或确定事物的完整性。

B

备份域控制器(backup domain controller，简称BDC) --在Windows NT Server 4.0或早期的域中，运行Windows NT Server的计算机接受包括域中所有帐户和安全策略信息的目录的拷贝。这份拷贝信息周期性并且自动的与主域控制器中的主备份进行同步。备份域控制器也可以确认用户并且配置成为象PDC类似的功能。一个域上可以有多个备用域控制器。

在Windows 2000域中，备份域控制器是不需要；所有域控制器是对等的，都可以维护目录。当Windows NT 4.0和Windows NT 3.51备份域控制器运行在混合模式下时，可以与Windows 2000域进行交流。参见"域控制器和主域控制器"。

C

容器（container）--一种特殊的活动目录对象类型。容器与其他的活动目录对象一样具有属性，并且它是活动目录名字空间中的一部分。但是，与其他对象不同的是，它没有具体的表现形式。容器中可以包括一组对象和其他容器。参见"对象"。

D

数据库层（database layer）--一种活动目录的体系结构层次，通过将应用程序编程接口提供给目录系统代理（Directory System Agent，简称DSA）层防止对扩展存储引擎（Extensible Storage Engine，简称ESE）直接的访问，它可以将活动目录服务的上层与低层的数据库系统隔离开来。

委托（delegation）--允许更高层的管理机构将对容器和子树特定的管理权利授予给个人和组织。这样可以更加有利于域名管理员进行管理。访问控制条目（Access control entry，简称ACE）可以将容器中对象的管理权利授予给用户或小组。通过容器的访问控制列表（Access Control List，简称ACL）可以在特定的对象类上给予特定的操作。

例如，为了允许用户"James Smith"成为"公司帐户"的管理员，您将在ACL中增加如下的ACE：

"James Smith"; Grant; Create, Modify, Delete; Object-Class User

"James Smith"; Grant; Create, Modify, Delete; Object-Class Group

"James Smith"; Grant; Write; Object-Class User; Attribute Password

现在James Smith可以在公司帐户中创建新的用户和小组，同时还可以已有用户设置密码，但是他不能创建任何对象类，也不能操作其他容器（除非他被授予了对其他容器管理的权利）中的用户。

目录（directory）--一种存储网络信息的层次结构。

目录服务（directory service）--例如活动目录，提供存储目录数据并且使它可以被网络用户和管理员访问的方法。例如，活动目录存储有关用户帐号的信息，例如姓名、密码、电话号码等等，同时还可以使同一网络中的其他授权用户访问这些信息。参见"活动目录，目录分区"。

目录激活网络（directory-enabled networking，简称DEN）--从存储有关用户、应用程序和网络资源的中心管理网络元素，例如路由器、应用程序和用户。

目录分区（directoy partition）--目录的相邻子树，它形成目录的一个复制单元。一个指定的复制经常使一些目录分区的拷贝。活动目录由一个或多个目录分区组成。

在活动目录中，一个服务器经常有至少三个目录分区。

模式

配置（拓扑结构和相关元数据的拷贝）

一个或多个每域目录分区（子树包括目录中的实际对象）

有关模式和配置被拷贝到指定森林中的每一个域控制器中。而域目录分区只拷贝到相应的域控制器中。

可分辨的名称（distinguished name）--确定包含对象的域以及通过这个对象可以到达的完整路径。活动目录中每一个对象有唯一的可分辨的名称(DN)，一个典型的可分辨的名称(DN)可以是：CN=JamesSmith,CN=Users,DC=Microsoft,DC=Com. 这个名字确定了域中的"James Smith" 的用户对象。

DNS --参见"域名系统（Domain Name System）"。

域（domain）--基于Windows NT的计算机网络的安全边界。活动目录由一个或多个域组成。在一个独立的工作站上，域就是计算机自身。域可以跨越多个物理区域。每一个域都有自己的安全策略和与其他域的安全关系。当多个域通过信任关系连接起来，并且共享一个