模板
　　
　　對(duì)能在AD數(shù)據(jù)庫中存在的全部對(duì)象、屬性和值進(jìn)行定義的實(shí)體是模板(Schema)。模板還指定了特定對(duì)象的必需屬性(比如我們剛剛建立的用戶的登錄名)和可選的屬性(如用戶的電話電話)。
　　
　　微軟隨AD包括了一個(gè)缺省的模板，它可以滿足多數(shù)用戶初始的需求。但是，AD是可以擴(kuò)展的，這意味著，可以通過增加新的對(duì)象或?qū)傩灶愋停烟囟▽傩孕薷某杀匦璧幕蚴强蛇x的，從而對(duì)AD進(jìn)行自定義。
　　
　　在AD中利用組織單元
　　
　　可以在AD中建立組織單元(OU)，對(duì)企業(yè)中的資源進(jìn)行邏輯上的分組，例如用銷售部、市場部這樣的OU可以體現(xiàn)出業(yè)務(wù)的層次結(jié)構(gòu)或者組織結(jié)構(gòu)，而用紐約、波士頓來反映系統(tǒng)管理模式，以便做信息系統(tǒng)支持。微軟建議在下列情況下，應(yīng)當(dāng)使用OU把企業(yè)的資源分組：如果想讓AD結(jié)構(gòu)反映公司結(jié)構(gòu)或組織的細(xì)節(jié)；如果想把管理控制權(quán)委托到較小的用戶組、組和資源上；或者如果公司組織結(jié)構(gòu)日后會(huì)變化。
　　
　　在活動(dòng)目錄用戶和計(jì)算機(jī)管理器(Active Directory Users And Computers)中， OU用文件夾的方式表示，前面有一個(gè)書本的圖標(biāo)。缺省的域控制器容器有相同的圖標(biāo)。這個(gè)區(qū)別讓你可以把組策略施加到這個(gè)對(duì)象類型上(組策略是Windows NT 4.0的系統(tǒng)策略在Windows 2000中超集。簡要地說，它們被用來定義計(jì)算機(jī)和用戶的配置，管理用戶桌面上的應(yīng)用程序，指定安全選項(xiàng)，分配腳本，控制注冊(cè)表的設(shè)置。)
　　
　　移動(dòng)AD對(duì)象
　　
　　在已經(jīng)建立了OU之后，你會(huì)想把資源從缺省的容器對(duì)象中移動(dòng)到能夠反映資源在你的組織結(jié)構(gòu)中邏輯位置或者反映對(duì)資源的控制的OU中。在AD中移動(dòng)對(duì)象 相當(dāng)簡單，你在對(duì)象上單擊右鍵，然后選擇移動(dòng)(Move)即可。你現(xiàn)在面對(duì)一個(gè)對(duì)話框，顯示了你域的AD中的容器對(duì)象的層次結(jié)構(gòu)。 你從中選擇要把對(duì)象移動(dòng)到其中的容器對(duì)象，然后單擊OK。就是這么簡單，對(duì)象就被移動(dòng)到AD中不同的容器里。你可能注意到一件事，就是你只能在你的域的AD里移動(dòng)對(duì)象。不幸的是，你不能在你的森林的不同域之間移動(dòng)AD對(duì)象。
　　
　　建立組對(duì)象
　　
　　在Windows NT里，組被用來管理訪問共享資源的用戶和計(jì)算機(jī)，或者來建立電子郵件發(fā)送列表。在Windows 2000里，這種訪問擺脫了只能訪問建立組所在域的限制！組可以被用來在你的森林的任何域里應(yīng)用權(quán)限。這與OU不同，OU只能用來為管理的目的建立AD對(duì)象集合，而且被限制在建立OU所在的域里。
　　
　　在你從新建(New)菜單里選擇組(Group)時(shí)，新對(duì)象－組(New Object — Group)向?qū)?huì)提示你輸入建立新組所需要的信息。這是向?qū)У牡谝粋€(gè)也是唯一的屏幕，它會(huì)問你組名稱，組類型和組的范圍。
　　
　　我們首先來看組類型。Windows 2000 有兩種類型的組：安全組和發(fā)布組。Windows 2000 操作系統(tǒng)只使用安全組。你要使用這些安全組在共享資源和AD對(duì)象上分配權(quán)限。發(fā)布組只被應(yīng)用程序使用，而應(yīng)用程序只能把發(fā)布組用于非安全方面的功能。
　　
　　例如，一個(gè)Exchange 用戶可能使用發(fā)布組給一組用戶發(fā)送電子郵件。但是，你應(yīng)該知道，雖然發(fā)布組不能用于安全用途，可是你的安全組可以被應(yīng)用程序作為電子郵件發(fā)布列表使用。如果你的域操作在純(Native)模式，你可以把組類型從安全組切換成發(fā)布組，反之亦然。下面，我們來看看組的范圍。每個(gè)安全組和發(fā)布組都有一個(gè)范圍屬性，它定義了你在森林里能怎么樣使用該組。有三種組的范圍：域本地(Domain local)，全局(Global)，和宇宙(Universal)。請(qǐng)參閱表 C 中各個(gè)組范圍的說明：
　　
　　表c: 組范圍
　　
　　
　　　　
　　
　　

到了現(xiàn)在，你可能在想“為什么我要用其它組類型，而不用宇宙組？它給了我要的一切!”答案是，因?yàn)橛钪娼M和它的成員被列在全局編目里 (GC)。
　　
　　每次GC在你的森林的域之間復(fù)制時(shí)，都包括宇宙組的成員。與宇宙組類似，全局組和域本地組也被列在GC里，但是，它們的成員并不列在GC中。通過在合適的位置使用全局組和域本地組，你能夠減小你的AD DC的尺寸，這樣就會(huì)明顯地降低保持GC最新所產(chǎn)生的復(fù)制流量。
　　
　　在選擇組范圍時(shí)，應(yīng)當(dāng)仔細(xì)選擇。在你的域運(yùn)行在混合模式下時(shí)，你不能改變組的范圍。如果你運(yùn)行在純(Native)模式，就允許你把全局組轉(zhuǎn)變宇宙組，前題是全局組不是另外一個(gè)全局的成員，也可以把域本地組轉(zhuǎn)變成宇宙組，前提是域本地組中不包括另一個(gè)域本地組作為它的成員。
　　
　　現(xiàn)在知道了組的范圍，再讓我們簡略地談?wù)劷⑿陆M最簡單的部分－組的名稱。在你為組起名時(shí)，全局組和域本地組在你創(chuàng)建它們的域里必須是唯一的。而宇宙組，則必須在整個(gè)森林里是唯一的。
　　
　　向你的組加入成員
　　
　　在2000里，組中最多可以包含5,000個(gè)成員。但是，在域操作在純(Native)模式時(shí)，你可以對(duì)組進(jìn)行嵌套(使一個(gè)組成為另一個(gè)組的成員)，這樣，就有效地增加了組能擁有的用戶數(shù)量。包含在另一個(gè)組中的組，在它的父組中只算一個(gè)成員，但是這個(gè)組自己又可以包含另外5,000個(gè)用戶。
　　
　　就象在以前的Windows NT版本里一樣，在Windows 2000里也有兩種方法把成員加到組里。你以本文前面的部分已經(jīng)看到，你可以使用每個(gè)用戶屬性對(duì)話框里的組成員(Member Of)頁一次把用戶加到多個(gè)組里，或者，你可以使用組的屬性對(duì)話框里的成員(Member)頁一次把多個(gè)用戶加到這個(gè)組里。那么怎么才能打開組的屬性對(duì)話框呢？方法是在組上單擊右鍵，然后從彈出菜單中選擇屬性(Properties)菜單項(xiàng)。
　　
　　在AD中發(fā)布文件夾
　　
　　在AD里包括一個(gè)共享文件夾需要兩步。首先，你必須建立一個(gè)文件夾并共享它，然后再在AD里發(fā)布它。把共享文件夾發(fā)布在AD里是可選的。如果你沒有在AD里發(fā)布共享文件夾，客戶仍可以在資源瀏覽器窗口（如我的網(wǎng)絡(luò)位置(My Network Places)）里訪問到它。
　　
　　通過把共享文件夾發(fā)布到AD里，你就使得在你森林里任何位置的客戶，都可以使用共享文件夾的RDN或?qū)傩圆檎宜?duì)于這些客戶，沒有必要知道共享的物理位置。既然第一步處理－共享一個(gè)文件夾并不是什么新東西，那么就讓我們直接來談?wù)勌幚淼牡诙剑贏D里發(fā)布文件夾。在你的AD里選擇任意一個(gè)容器對(duì)象，選擇新建 | 共享文件夾(New | Shared Folder)。新建對(duì)象(New Object)向?qū)е挥幸粋€(gè)屏幕。在這，你要輸入共享在AD中使用的名稱(這個(gè)名稱可以與文件夾的共享名不同)以及到共享的UNC路徑。單擊OK，你現(xiàn)在就有了一個(gè)在AD中發(fā)布的共享了。
　　
　　在AD中發(fā)布打印機(jī)
　　
　　在Windows 2000里建立打印機(jī)的操作與在以前的Windows NT版本里類似：使用增加打印機(jī)(Add Printer)向?qū)нM(jìn)行（增加打印機(jī)向?qū)耘f位于 開始 | 設(shè)置 | 打印機(jī)(Start | Settings | Printers)）當(dāng)中。在共享一臺(tái)打印機(jī)時(shí)，它自動(dòng)地被發(fā)布到AD里，使用的名稱是 服務(wù)器名－打印機(jī)名 的格式。與發(fā)布共享文件夾不同，不用獨(dú)立的步驟就把共享打印機(jī)發(fā)布到AD中。
　　
　　在活動(dòng)目錄用戶和計(jì)算機(jī)管理器(Active Directory Users And Computers )里，打印機(jī)顯示在它所建立的計(jì)算機(jī)之下。但是，前提是你改變了查看(View)菜單，把用戶、組和計(jì)算機(jī)當(dāng)作容器。您可以把打印機(jī)對(duì)象移動(dòng)到任何AD容器對(duì)象里，就象對(duì)其它AD對(duì)象的操作一樣－單擊右鍵，選擇移動(dòng)(Move)。打印機(jī)沒有必要一定呆在它建立的計(jì)算機(jī)下面。
　　
　　與多數(shù)其它AD對(duì)象不同，打印機(jī)作為一個(gè)實(shí)體存在于AD的外面。在AD里的打印機(jī)對(duì)象的屬性對(duì)話框只能控制打印機(jī)在AD里的屬性(主要是用戶用戶來查找特定打印機(jī)的那些屬性)。您要使用打印機(jī)文件夾里的打印機(jī)屬性對(duì)話框，來控制打印機(jī)的全部配置和安全設(shè)置。
　　
　　建立聯(lián)系人
　　
　　建立聯(lián)系人對(duì)象相當(dāng)簡單。新建對(duì)象向?qū)?huì)提示你輸入名稱(First Name)、姓氏(Last Name)，顯示名稱(Display name)。Windows 2000 把你輸入的姓氏和名稱組合起，自動(dòng)填充全稱(Full Name)字段。但是，全稱字段是可以編輯的，這樣您可以修改默認(rèn)的全稱。你可以使用聯(lián)系人的屬性對(duì)話框輸入相關(guān)信息，就象用戶對(duì)象類型的屬性對(duì)話一樣，聯(lián)系人屬性對(duì)話框也有通用(General)、地址(Address)、電話(Telephones)、公司(Organization)、組成員(Member Of)這些頁面。
　　
　　現(xiàn)在你已經(jīng)可以用計(jì)算機(jī)、聯(lián)系人、組、組織單元、打印機(jī)、用戶、共享文件夾這些對(duì)象充實(shí)你的AD數(shù)據(jù)庫了!新建對(duì)象向?qū)г谳斎虢⒚總€(gè)對(duì)象類型所需要的信息的過程中，可以指導(dǎo)操作，所以在建立每個(gè)對(duì)象類型時(shí)，沒有什么東西你必須要記住。在建立對(duì)象之后，你可以使用它們的快捷菜單里的選項(xiàng)管理它們，或者在每個(gè)對(duì)象的屬性對(duì)話框里管理。您把對(duì)象移動(dòng)到代表你的公司結(jié)構(gòu)或管理模式的組織單元里，這樣來管理對(duì)象。