（25）繼承

繼承使得一個給定的ACE在可以從它應用的容器傳播到其所有子孫的容器。繼承可以與委托相結合，從而保證對目錄中整個子樹的某一單一操作的管理權。

（26）復制

活動目錄提供多主版本復制。多主版本復制意味著給定分區的所有拷貝都是可寫的。這就使得給定分區的任意拷貝的更新都可以完成。活動目錄復制系統將一個給定拷貝的改變傳遞給所有其他拷貝。復制是自動且透明的。

　　（27）更新傳播

一些目錄服務采用時間標志來檢測和傳播改變。在這些系統中，保持所有目錄服務器的同步是非常重要的。在網絡中保持時間同步是非常困難的。即使在非常好的時間同步網絡中，對某一給定目錄服務器而言，時間設置也有可能是錯誤的。這就可能導致更新的遺失。

Windows2000提供分布式時間同步，但是活動目錄復制系統并不依靠時間來保證更新傳禪。作為替代，活動目錄復制系統采用更新序列數（USN）。USN是一個64位數，由每個活動目錄服務器保持。當服務器向活動目錄寫任意屬性時，USN更新并且與所寫屬性共同存儲。這一過程是自動完成的，即USN的增加與存儲和屬性寫的成功和失敗是作為單一單元工作的。

每一個活動目錄服務器還保持由從復制同伴得到的USN表。從每個同伴得到的最髙USN存儲于這個表中。當一個給定的同伴通知目錄服務器需要復制時。服務器對所有比最近一次收到數值高的USN發出請求。這是一個非常簡單的途徑，而且不依賴于精確的時間標志。由于接收每次更新時表中存儲的USN是自動更新的，所以失敗后的恢復也是很簡單的。要重新啟動復制，服務器只節對其同伴表中比最近一次有效登錄值高的USN發出請求。由于當改變有效時表是自動更新的，被打斷的復制周期通常可以從它打斷的位置重新進行。而不失去任何復制的更新。

（28）沖突檢測--版本號

在一個類似于活動目錄的多主版本復制系統中，同一個屬性更新兩個或多個不同的拷貝是可能的，當第二個（或第三個、第四個等）拷貝的改變在第一個拷貝的改變完全傳播之前進行時，復制沖突就發生了。沖突是通過采用屬性版本號檢測的。與USN是服務器確定值不同，屬性版本號是由活動目錄對象的屬性確定的。在活動目錄對象的屬性第一次寫入時，就進行版本號的初始化。

源寫入（Originatingwrite）可以更新版本號。源寫入是一個在系統初始化改變時向屬性進行的寫過程。由復制引起的屬性寫過程不是源寫入，而且不更新版本號。例如，當用戶更新密碼時，源寫過程就發生了，版本號也更新了。在其他服務器上發生的改變密碼的復制寫過程并不改變飯本號。

在一個復制過程中，接收到的屬性版本號與本地存儲的屬性版本號相對應，如果二者不同，那么在接收到通過該復制引起的改變時，就檢測到了沖突。當這一過程發生時，接收系統會采用具有較遲時間標志的更新。這是在復制過程中采用時間的情況。

當接收到的版本號比本地存儲的版本號低時，就意味著這個更新是過時的，而且是可以放棄的^當接收到的版本號比本地存儲的版本號高時，更新就被接受了。

　　（29）傳播衰減

活動目錄復制系統允許在復制拓撲中的循環。這樣就允許管理員在服務器中配置具有多路徑的復制拓撲，從而提高效果和有效性。活動目錄復制系統采用傳播衰減來避免改變的無限傳播及對已更新拷貝的冗余傳送。

活動目錄復制系統采用最新向最來衰減傳播。最新向竄：是在每個服務器中存儲的Server-USN對列表？在每個服務器中的最新向量表征了從Server-USN對中的服務器得到的定向寫過程的較高USN.在給定地址列表中的服務器的最新向埴所有該位置的其他服務器。

當一個復制周期開始時，請求服務器將它的最新向最發送給傳送服務器。傳送服務器采用最新句煨來過濾發送給請求服務器的改變。如果一個給定定向寫過程的高USN大于等于某一特定更新的定向寫過程的USN,那么傳送服務器就不需要傳送改變：請求服務器相對于定向寫過程已經是最新的了。

（30）樹與森林

Windows2000的域樹是Windows2000域的分層結構組織，每一個都由活動目錄的一個分區構成。樹的形態及樹成員之間的關系由域的DNS名決定。在一個樹中的域一定要組成一個臨近的名字空間，如a.myco.com是myco.com的子代，b.myco.com是a.myco.com的子代，等等。

（31）可傳遞的雙向信任

當一個域加入一個Windows2000域樹中時，在加入域與它樹中父代之間的可傳遞雙向信任關系就自動建立了。由于信任是可傳遞的和雙向的，所以樹成員之間的其他附加信任關系是不需要的。信任分層結構組織作為目錄的元數據存儲于配罝容器中當一個域加入樹時，這些需要的對象都可以在目錄中建立。

　　（32）名字空間

Windows2000域樹中的域必須構成一個臨近的名字空間。缺省值為，每一個域的直接的子代是臨近的，而且已經是它們名字空間的一部分。

這意味著，子代域中的每個對象的顯著名以父代域的名字作為前綴。不相連貫的樹可以結合成森林。父代域和子代域構成的臨近名字空間如圖6-10所示。

例如，父域，0=Intemet/DC=COM/DC=Microsoft;

子域，0=Intemet/DC=COM/DC=Microsoft/DC=PBS,

構成了臨近的命名樹，因為根對象在父代域中。

0=lntemet/DC=COM/DC=Microsoft是子代中根對象（0=Intemet/DC=COM/DC=Microsoft/DC=PBS）的直接圖6-10父代域和子代域構成的臨近名字空間父代。因為父代和子代構成了一個命名樹，所以在父代中進行的深入搜索會自動地搜索子代。

　　（33）什么時候構成域樹

Windows2000的域樹是企業范圍的活動目錄。在給定企業中的所有Windows2000域都應該屬于企業域樹。需要支持具有不相連貫的DNS名稱域的公司，應該建立森林。

（34）如何建立域樹或森林

Windows2000的域在安裝的過程中進入到域樹中。在安裝新的Windows2000服務器時（或者在更新WindowsNT的早期版本時），管理員可以有如下選擇：

在一個新森林屮創建第一個樹

在一個現存森林中創建一個新樹

創建一個現存域的新拷貝

安裝子域

要加入域樹，選擇InstallaChildDomain并且確認新子域的父代域。將來Windows的更新將增加兩個（或更多）現存樹共同加入某單一、較大樹中的功能。在現存樹中的域可以自由地移動，從而改變樹的總體形態。規劃良好的樹是非常重要的，但什么是良好的是非常主觀的，而且建立在組織的特定需要上。像需要的那樣，改造樹的能力降低了事先了解正確設計的重要性。

　　（35）站點

站點是網絡中假定機器間的連接都非常良好的區域。Windows2000定義一個區域為一個或多個IP子M.這建立在具有相同子網地址的計算機都立即在網絡同一部分的假設上，典型地，LAN或其他高帶寬環境如FrameRelay,ATM等。

Windows2000采用站點的信息來定位靠近用戶的活動目錄服務器。當一個用戶工作站連接到網上時，它從DHCP服務器接收一個TCP/IP地址，來確認此工作站附屬于哪個子網。具有靜態配置IP地址的工作站，也具有靜態配置子網信息？在任何一種情況下，Windows2000的域控制器（DC）定位器都將在已知的關于工作站的子網信息的基礎上，嘗試在用戶的同一子網內定位一個活動目錄服務器。

[1]  [2]  [3]  [4]