更強大的Active Directory目錄服務

在Windows環境中，Active Directory（AD）提供在網路環境下，確認使用者及群組身份、交換電腦資訊與資源的功能。AD首見於Windows 2000 Server中，改進了Windows NT4.0的網域架構，並且提供分散式網路的目錄服務，讓企業組織能夠有效的管理及共用網路資源與使用者。

從Windows NT系列到Windows Server 2003，在目錄服務部分具有相當大的演進，設定越來越簡便。管理者能夠輕易地控管龐大且複雜的網路環境，並且設定使用者、群組身分與電腦資訊。AD提供的服務也日漸多樣，更能發揮出網路的特性，卻不因此喪失最重要的安全性。新推出的Windows Server 2003中，除了增強AD原有特色之外，也增加了許多新功能。我們能從五項基本分類：工具與公用程式、結構性、安全性與操作性中，發現AD的新特點。

AD的網域功能等級可以分為Windows 2000混合模式、Windows 2000 純粹模式與Windows Server 2003模式三種。而樹系的等級則可以分為Windows 2000環境與Windows Server 2003環境兩種。各種不同的功能等級有其不同的特點，但是有許多的特色及功能只能使用在較高的功能等級上，在Windows Server 2003功能等級能使用到全部的功能。

Windows Server 2003的AD提供兩個新的工具與公用程式：Active Directory移植工具（ADMT）2.0與新的群組原則管理主控臺（GPMC）。ADMT 2.0是讓原本建立在NT 4.0環境之中的目錄服務，能夠以最簡易便捷的方式轉移到Windows Server 2003環境之下，不需要管理者花太多時間建立帳號及群組原則。

與ADMT 1.0比較，新的特色是能夠在轉移帳號的過程中同時轉移密碼，並且不論是Windows Server 2000網域或是Windows NT網域的設定都能轉移。在單純的網路環境中，不必倚賴其他系統整合廠商即可自行轉移。新的GPMC介面則是與現有的AD管理工具整合在一起，可直接管理AD裡的使用者、電腦、網站與服務。

AD的管理上則增強了數種較常使用的管理元件，包括管理工具的增強，以及能夠變更過去無法更改的網域名稱。管理工具的增強上，包括了四項特點：拖放的方式設定、顯示有效權限、顯示繼承的源頭、及多重選擇。拖放的方式設定，讓管理者更快速、更方便且更直覺的進行管理；顯示有效權限，讓管理者可以檢視物件上設定的安全原則。

特別是有安全問題需要解決的時候，管理者能夠在龐大複雜的權限設定中，快速找到使用者或群組所擁有的權限問題；在Windows Server 2000網域中，AD僅能夠顯示繼承哪些權限，而不能顯示出是繼承哪些設定。在Windows Server 2003中，則很容易得知繼承原則的來源，並且能輕易地修正錯誤。AD能夠多重選擇的特點，讓管理者需要同時針對多個物件修改特定屬性時，不再需要花許多時間設定。

另一個新增的特點，則是使用原則結果組（Resultant Set of Policy，RSOP）。RSOP分為計畫（Planning）模式與記錄（Logging）模式兩部分。管理者可以使用計畫模式模擬套用原則之後的結果，或是從記錄模式了解已登入網域的電腦和使用者的原則設定。

當網域以Windows Server 2003模式運作時，管理者就能夠更改網域控制器的名稱，過去這是相當繁瑣且幾乎是不可能的任務。另外也能夠藉由改變網域名稱重新架構樹系中的網域。但是更改網域或網域控制器名稱還是存在著網路環境以及操作上的風險，使用上仍需要注意。

Windows Server 2003的AD不但提升管理工具的能力，同時也加強網域的安全性。在不同樹系之間，能夠經由跨樹系的驗證與授權，讓使用者透過自己樹系的驗證，讀取其他授權樹系中電腦的資料。

或是管理者將被信任樹系中的使用者或群組，納入本機群組或存取控制清單。這項功能可以維持各樹系的安全界限，又能夠讓彼此信賴的樹系共享資源，讓使用網路更加便利。文⊙羅健豪