Windows 2000中的AD数据库被分为三个独立的分区：网域（Domain）、配置（Configuration）和结构描述（Schema）。

　　 1、网域分区：保存所有在AD中创建的对象（用户、计算机、组、组织单位等）以及和每个对象相关的属性。

　　 2、配置分区：保存所有和“站点配置”（Site Configuration）或其他网络上的应用程序，如Exchange Server等的相关设置。

　　 3、结构描述分区：包括了用户所登录的特定网络的活动目录类别（登录脚本和组策略并不包含在目录中，但却被复制到文件系统中）。如果你不清楚什么是“类别”（Class），那请允许我作出如下解释：

　　 联想Microsoft Outlook中的联系人（这是一个表单而不是一个类别，但这有助于你理解）。如果你曾使用过Outlook 2000，当你创建一个新联系人时你可以看到所有对你生效的区域。请把新的联系人想象成一个类别，对你生效的区域就是属性。当你升级到Outlook 2003时，你至少可以看到一个新的区域——图片区域。把它想象为联系人类别的一个附加属性。当该属性在进行升级的同时被添加到Outlook中后，并不只是新的联系人才具有该区域，旧的联系人也将一并拥有。

　　 而Windows 2003中的活动目录已被分为四个部分：

　　 1、网域：保存创建于其中的网域的具体的、特殊的对象。此中创建的信息将只会被复制到该网域内的其他“网域控制器”。

　　 2、配置：该分区包括了一些配置信息，会被复制到所有网域控制器中。

　　 3、结构描述：你可以在树形结构中查找到所有潜在对象的类别。这一分区的内容同样会被复制到每一个网域控制器中。
　　 4、应用程序：这是Windows Server 2003中一个新的分区。保存在这个分区里的信息将会被复制到该网域里的所有“网域控制器”以及系统中被选定的“网域控制器”。

　　 2003里面还有很多改进。比如，你现在可以选择多用户对象并同时修改它们的属性。你可以将活动目录查询保存为XML文件。另外，AD的新属性还允许用户将“AD用户对象”映射到一个认证账户中。这同Windows XP中将用户的认证捆绑到XP账户的方法相类似。唯一的问题是，由于http请求的原因需要安装IIS 6.0。

　　 Windows Server 2003的“Forest Native模式”是2003系统中将会改变集团中小组成员工作方式的另一个新的选项。小组的成员已从一个独立单位的“用户集合”的身份上升到“成员”的级别。“Forest Native模式”也提高了使用应用于Server 2003中的增强型算法来进行复制的能力。就像在Windows 2000中一样，只要你提升到“功能”（Functionality）等级，任何前Windows Server 2003就再也不会成为一个目录服务了。

　　 由于具有了多方面的改善，比如从媒体中安装复本（Replica）的能力，部署Windows Server 2003已变得更加容易。也就是说，你可以将Windows 2003活动目录的一个拷贝烧录到一张光盘中，用该光盘部署该系统就可以了。

　　 DNS区域已被移到活动目录的应用程序分区中，以此来缓解“全域数据库目录服务器”（Global Catalog Server）的装载负担。以前，全域数据库目录会保存整个数据库的信息目录子集，包括DNS记录等。现在由于DNS区域是保存在应用程序分区的，其记录会被复制到网域中的每一个目录服务以及源域之外的所有选定的目录服务中。

　　 网域重命名：Windows 2003允许用户重命名一个网域。没错！你可以改变你网域中的DNS或NetBIOS的名称，尽管操作起来并不方便（比如，必须重新启动该网域的每一台服务器、两次重新启动网域中的成员等）。你还可以创建“Forest Trust”，但你不能改变属于“Forest启动网域”的名称。ADMT也得到了增强，使得在两个网域中移动用户账户的操作进程变得更加方便。

　　 在“用户账户管理”（User Account Management）中有两处增强。一是在AD的容器之间实现用户账户拖放，二是可以选择多用户并同时对它们的账户进行修改。以下是一些相关截图：

　　 如果你正在计划将2000目录服务升级到2003目录服务的话，你首先必须运行一个叫做“adprep.exe”的公用程序。Adrep扩展了2003的结构描述，可以在Windows Server 2003的CD中找得到。Adrep必须在现有的Windows 2000网域中运行，用户必须作为一个“企业管理人员”（Enterprise Administrator）登录，并且必须有修改活动目录结构描述的权限。AdPrep可以转换Windows 2000活动目录，但如果你想将NT 4升级到2003就没有必要使用它了——因为NT 4中并不存在目录。在Server 2003创建出一个网域控制器之前，Adrep必须分两个阶段运行于2000网域控制器上。第一阶段：/ForestPrep切换、用户进行猜测，准备结构描述；第二阶段：/DomainPrep切换并且运行得更加快速。

　　 2003中还带有一个“复制信任监视”（Replication Trust Monitoring）程序，可以让用户监视网络DC之间的复制状态。

　　 组策略管理主控台（Group Policy Management Console,GPMC）：

　　 GPMC在管理人员进行组策略管理时提供给他更加精确的控制数值。从这个主控台界面中，管理员可以管理一个组织中的GPO，打印包含有设置、结果和模块数据的详细HTML报告。这个工具并不随Windows Server 2003同时发行，但可以从MSDN下载得到。GPMC可以运行于Windows Server 2003或带有SP1的Windows XP客户端上。

　　 微软声称Windows Server 2003中的活动目录带有超过150个新的策略设置，还提供了一个修订版的MMC，显示GPO中任何设置的描述信息。另外微软还提供了两个全新的公用程序帮助管理员查看特定组策略的影响。其一是“Group Policy Results”，其二是“Group Policy Modeling”。它们所进行的工作根本上是一致的，不同的是它们提供的报告。“Group Policy Results”可以用来查看某一特定用户登录到网络上时将会收到的信息，显示基于对影响到用户的当前GPO的当前设置。“Group Policy Modeling”对组策略对象具有辅助作用。

六、安全性：

　　 我想我首先必须强调微软究竟想从Windows Server 2003上向世人证明什么。正如我们中有些人所知的那样，微软系统缺省状态以“充分开放”著称。我这么说是想表达什么意思呢？嗯，如果有人想要分析Windows 2000的话，他会发觉这个网络操作系统（NOS）在缺省状态下已安装了一些非必要但却很方便的特性。比如说，IIS、一个毫不安全的文件系统以及一个不安全的网页浏览器等等。

　　 进入到2002年1月份。大家请注意，比尔·盖茨说话了！他说了什么呢？请允许我归纳一下：我们的软件是不安全的。我们必须创建一种新的运算类型——让我们将它称之为“可信任计算”（Trustworthy Computing）。

　　 那么“可信任计算”确切指的什么呢？好吧，你可以简单地用微软提出的一个公式来理解：SD3+C。具体就是：设计成就安全（Secure by Design）、缺省巩固安全（Secure by Default）、部署实现安全（Secure in Deployment）和通信（Communication）。

　　 “设计成就安全”基本上可以这么理解：软件在发布之前力求不带有任何安全隐患。“缺省巩固安全”也就是说在产品发布时尽量减少许可权限。“部署实现安全”是当系统运行于公司网络期间采取一切有效的办法确保它的安全性。“通信”——实现网络间必要的数据通信。微软所说的通信是指关于补丁和安全漏洞的信息是如何发送给用户的以及修复行动的信息如何才能被更好地理解。

　　 让我们看一看2亿美元的投资给安全性能带来了什么样的改善！Windows 2003就是将会看到投资所带来的收获的第一个微软服务器产品。

　　 你可以从Windows 2003中看到众多十分超前的初步安全性。在使用这个网络操作系统的过程中，你经常会体会到微软今天的首要目标：安全。当你打开一些程序，比如IE浏览器时，你都会收到一些安全警告和建议：

　　 每当你安装一项新的服务时，系统会静待你运行一个向导来启用该功能。对！微软最终关闭了系统中的所有服务，你必须在需要时启动它。但别担心，它还不至于像Linux那样复杂。尽管每项功能都被关得死死的，但伴随新安全架构应运而生的新向导对用户十分有帮助，详细得可以明确地了解用户所需的操作。如此一来，在对系统进行安全设置时，你可以减少很多顾虑。我记得当年在操练Windows 2000新的安全特性时，要参考很多资料才下得了手。而Windows 2000已经算好了，Windows NT 4中的“信息VOID”更令人不敢恭维。但当你使用2003之后，你就轻松许多了！

　　 下面就介绍一个简单而好用的新特性——有效权限（Effective Permission）。

　　 “有效权限”将总结出用户在某一对象上具有什么样的权限。该对象建立在所有和它的ACL（当用户及所有的用户组成员设置被应用时）相适应的安全设置的基础上。简单点说，当你进入2003中一个对象的的属性时，选择“安全”标签并点击“高级”按钮。你将会看到三个标签：权限（Permissions）、所有人（Owner）和“有效权限”。前两个是通用的，它们会被暂时选定。如果你进入“有效权限”标签，你可以对用户或组进行选择。当你选择了一个组或用户时，Windows将会分析对象可能被放置的所有次级组，并提供“有效权限”信息的一个精确摘要。

　　 信任机制（Trust）：

　　 Windows Server 2003的“信任”同Windows 2000很相似。就如在Windows 2000中一样，2003中所有网域的信任具有传递性的特点。假如你的网络中有三个网域：网域A、B和C。如果A信任B，而B信任C，那么A也信任C。

　　 Windows Server 2003中新添加的功能有“Forest Trust”，它允许Forest与Forest之间的相互信任。这有什么作用呢？有了Forest Trust，你就再也不必在不同Forest的网域中建立信任，可以大大减少网络混乱以及人为错误所带来的潜在危险。另外，如果在网域的后端节点上添加一个网域时，该网域无需进一步设置就可以访问其他Forset中的资源。但Windows 2003中的Forest Trust在不同的Forest中并不具备传递性。

　　 Windows 2003同时还带有一个经过完全重新编写的IIS。IIS 6.0具有一系列全新特性，这将在本文的第七部分进行探讨。Windows 2003还建立了Common Language Runtime（CLR）。你可以要求CLR做什么呢？它可以核实软件是否可以在无错状态下运行，也可以核实是否具有适当的安全权限。“系统策略”（System Policies）也同样经过了重写，减少了Windows缺省安装下所运行的服务项目（共19个），同时还有多顶服务以更低的权限运行。
　　 “文件系统安全”（File System Security）被大幅度降低，用户再也不能向驱动器的根目录写入数据。微软还计划在今年底之前陆续发布几个新的公用程序，给管理员提供对其网络的更多控制权。比如，MACS。MACS是Microsoft Audit Collection Services——“微软稽核集合服务”的简称。据我的了解，这个程序预计可以通过一些加密方法将“安全信息”导入一个SQL数据库中，信息也可以从多台服务器中被收集到该位置。

　　 让我们来了解一下Windows Server 2003中在“稽核”所作的增强。首先来看一看基于作业的“稽核”。Windows Server 2003支持一种新稽核类型，它不只告知用户什么人访问了什么文件，同时还显示某人在访问文件时所作的操作。Windows Server 2003还可以对各个用户有选择性地进行稽核。用户可以稽核特定用户的行为，而不再是简单的系统级别的稽核。

　　 接着来看看“文件加密”（File Encryption）。还记得人们对2000加密问题的抱怨吗？如果有一位用户试图加密2000中的一个文件，那么它就是可以访问该文件的唯一用户。现在，2003支持文件的多用户加密。同时，离线文件夹可以以离线状态加密。

　　 微软在相关主题的白皮书中提到了一些策略改变。以下是一些摘要：

　　 1、改变策略以巩固默认安全性：

　　 ·创建安全根ACL：增强型的ACL防止对根目录（c:\）的访问；

　　 ·把默认的共享ACL从“Everyone:F”更改为“Everyone:R”；

　　 ·更改DLL搜索顺序：从系统文件夹开始；

　　 ·巩固Internet Explorer；

　　 ·增加对匿名用户的限制：匿名用户在缺省状态下不再是“Everyone”成员，禁用在服务器上生成匿名SID和名称；

　　 ·对空白密码进行限制：远程机器不能连接使用空白密码的本地账户；

　　 ·在服务器或目录服务中缺省设置LanManCompatibilityLevel=2：在默认情况下Windows Sever 2003将不会发出不安全的LanMan回应；

　　 ·需要SMB Packet登录目录服务：提供客户端DC SMB通信的自动检测；

　　 ·安全通道通：信必须经过签名或加密；

　　 ·修改LDAP签名；

　　 ·对象大小写不敏感：防止Canonicalization型攻击；

　　 ·不允许路径泄漏：消除透露和系统配置相关的多余信息；

　　 ·限制远程执行主控台程序——只有管理员有权限；

　　 ·增强网域控制器的稽核功能；

　　 ·增强转换情景。
　　 2、缺省关闭的服务：

　　 ·不安装IIS；

　　 ·报警器（Alerter）；

　　 ·剪贴簿（Clipbook）；

　　 ·跟踪服务器链接；

　　 ·Human Interface设备访问；

　　 ·Imapi CDROM刻录服务；

　　 ·ICF\ICS；

　　 ·点间通信（Intersite Messenging）；

　　 ·许可日志记录（License Logging）；

　　 ·Messenger；

　　 ·NetMeeting远程桌共享；

　　 ·Network DDE；

　　 ·Network DDE DSDM；

　　 ·寻址和远程访问；

　　 ·Telnet；

　　 ·终端服务进程探索（Terminal Service Session Discovery）；

　　 ·主题；

　　 ·WebClient；

　　 ·Windows图象捕获（WIA）；

　　 ·Kerberos KDC缺省状态下禁用，在DCPromo自动启用。

(责任编辑：admin)