Trước khi cài Windows 2000 Server, bạn cần phải nghiên cứu cấu trúc kinh doanh hiện tại và tương lai cũng như hoạt động của tổ chức để bạn có thể thiết lập cấu trúc mạng thích hợp nhất cho nhu cầu của công ty. Vấn đề an ninh, việc kiểm soát tài nguyên, và việc quản lý môi trường điện toán trải rộng là sự quan trọng chính yếu trong doanh nghiệp. Một cấu trúc directory có hệ thống cấp bậc được hoạch định tốt có thể giúp giải quyết các vấn đề trên. Với Active Directory, bạn có thể tổ chức các tài nguyên mạng thành một cấu trúc hiệu quả nhất cho các nhu cầu riêng biệt cuả bạn.
Cơ cấu căn bản nhất để thiết lập và quản lý là lãnh vực đơn (single domain). Với Active Directory, bạn sử dụng organizational units (OUs) như là một loại Active Directory container trong một domain để biểu hiện cấu trúc kinh doanh của bạn và giảm thiểu số lượng domain cần thiết cho sự thiết lập hệ thống quản lý của công ty. Bạn cũng có thể dùng OUs để phản ánh sự hợp lý hoặc sự tổ chức quản trị của công ty.
Ngoài cấu trúc domain, bạn cũng phải hoạch định một cấu trúc khu vực (site). Site là các tập hợp của IP subnets, được sắp xếp sao cho việc liên kết mạng có hiệu quả nhất. Site biểu hiện tổ chức thực tế của mạng.
Các đối tượng cuả Active Directory được kê khai trong Global Catalog, giúp việc tìm tài nguyên mạng một cách hiệu quả. Global Catalog có thể đáp ứng nhanh chóng các truy nguyên về đối tượng trong Active Directory bằng cách chứa bản sao của mỗi đối tượng trong Active Directory .
a. Domains:
Domain là đơn vị căn bản cuả tổ chức và sự an ninh trong Active Directory. Domain là một tập hợp của clients, servers và các tài nguyên mạng khác cùng dùng chung một directory database.
Nhiều domain lập thành một domain tree. Domain tree có hệ thống cấp bậc như tên gọi của nó. Domain đầu tiên gọi là Root Domain. Nó trở thành domain mẹ đối với domain con được thêm vào ngay bên dưới nó, tạo thành một hệ thống cấp bậc. Domain con cũng có thể là domain mẹ đối với những domain con khác.
Sau khi Windows 2000 Server được cài, bạn tạo ra một domain bằng cách dùng Dcpromo.exe để cài Active Directory và nâng máy điện toán đó lên thành một domain controller. Khi Active Directory được cài lần đầu thì bạn đã tạo ra một domain controller thứ nhứt ở trong forest, dẫn đến việc thiết lập forest root domain.
Tài nguyên thuộc về domain có thể được sử dụng bởi các domain khác nhờ việc thiết lập các quan hệ tin cậy.
b. Trust Relationships:
Một quan hệ tin cậy là sự gạch nối giữa hai domain mà trong đó trusting domain xác nhận giá trị của một trusted domain. Chi tiết cá nhân và nhóm cuả user thuộc về một trusted domain có thể sở hữu các quyền hạn, các tài nguyên trong một trusting domain, ngay cả các chi tiết đó không được lưu giữ trong trusting domain's directory database.
Quan Hệ tin cậy xác định một chiều
Với Windows NT phiên bản 4.0 và các phiên bản trước, quan hệ tin cậy interdomain được qui định bởi quan hệ tin cậy xác định một chiều giữa các domain controllers. Mỗi sự tin cậy phải được thiết lập và quản lý một cách riêng biệt. Việc quản lý quan hệ tin cậy xác định một chiều giữa những domain đối với một mạng lớn là một công việc hết sức phức tạp.
Quan Hệ tin cậy hỗ tương
Windows 2000 đơn giản hóa việc quản lý các tin cậy bằng cách dùng sự tin cậy hỗtương giữa các Active Directory domains. Khi một domain được kết hợp với một Windows 2000 domain tree thì sự quan hệ tin cậy hỗ tương sẽ được tự động thiết lập giữa domain mới và domain mẹ của nó.
Với các quan hệ tin cậy hỗ tương này, mỗi domain có một quan hệ tin cậy hai chiều với domain mẹ của chúng trong tree, và tất cả những domain tin cậy một cách tuyệt đối đối với những domain khác trong cùng một tree. Ví dụ, nếu domain A tin cậy domain B, và domain A tin cậy domain C, thì domain B tin cậy domain C. Tin cậy hỗ tương giữa những domain làm đơn giản hóa việc quản lý của các quan hệ tin cậy giữa các domain với nhau.
Windows 2000 Active Directory cũng yểm trợ các quan hệ tin cậy xác định một chiều đối với những clients không sử dụng Active Directory directory service.
c. Organizational Units:
Trong phạm vi ảnh hưởng cuả Windows 2000, bạn có thể tạo nên các ban ngành (OUs) như là thùng chứa đựng đối tượng (objects) trong Active Directory chẳng hạn như user accounts, groups, printers cũng như các thùng chứa các ban ngành (OUs) khác. Bạn cũng có thể sắp xếp hay lồng vào nhau các ban ngành (OUs) để tạo nên các cấu trúc hợp lý, vẽ ra được phương cách làm việc cũng như cách tổ chức kinh doanh của công ty. Hơn nữa, bạn có thể ủy thác công việc quản lý nhân viên cho các ban ngành (OUs) liên hệ.
Khi bạn sắp xếp các user accounts và các tài nguyên theo hệ thống cấp bậc, bạn có thể hình dung một cách rõ ràng và sát thực tế cấu trúc kinh doanh trong phạm vi của công ty. Và cũng nhờ sự ủy thác công việc hết sức đặc trưng như vậy, các người sử dụng và nhóm người đó có thể hoàn thành một vài công việc quản lý giới hạn thí dụ như đặt lại mật lệnh (password) hay làm cho việc ấn loát được thông suốt.
Ðể ủy thác hạn chế việc quản lý cho các ban ngành và các vật thể liên hệ. Ðể đơn giản hoá sự áp dụng các chính sách chung (Group Policy).
Ðể tạo ra các cấu trúc quản lý một cách hợp lý và đầy đủ ý nghĩa.
Các ban ngành có thể được xếp đặt theo hệ thống cấp bậc trong một phạm vi nào đó của công ty. Và hệ thống ban ngành đó hoàn toàn độc lập đối với các hệ thống ban ngành khác.
d. Replication:
Khi bản hướng dẫn (a directory) được sửa đổi thì sự thay đổi đó được sao chép ra cho tất cả các domain controllers khác trong vòng và giữa các sites với nhau. Và khi một domain controller mới được cài trong phạm vi của mình thì domain directory lập tức được sao ra và gởi đến cho domain controller mới đó một cách tự động.
Chính Active Directory thực hiện kiểu mẫu multi-master replication. Với kiểu mẫu đó, các sự thay đổi sẽ được thi hành trong bất cứ một domain controller nào trong phạm vi của mình. Sau đó, các domain controller tiếp tục truyền đi sự thay đổi đó tới các thành viên khác có cùng chung phận sự.
Khi việc sao chép đang xảy ra thì một phần bản sao của domain directory sẽ gởi đến bản liệt kê toàn bộ (Global Catalog).
e. Sites:
Hệ thống mạng vật chất được tổ chức thành sites. Chính các Sites đó biểu hiện hệ thống vật chất trong mạng của bạn. Site là một khu vực bao gồm hệ thống các máy điện toán nối lại với nhau. Cách nối đó có ảnh hưởng đến khả năng lưu thông trong việc trao đổi các bản sao với nhau. Ðiển hình là một khu vực hệ thống mạng cục bộ hay các mạng khác nhanh hơn gồm một hoặc nhiều IP subnets.
Các khu vực (Sites) có hai chức năng chính:
Ðể tạo điều kiện thuận lợi cho việc trao đổi qua lại các bản sao.
Ðể cho phép người dùng được nối vào domain controller gần nhất trong cùng một khu vực. Khi đặt ra kế hoạch cho từng khu vực thì sự quan tâm chính của bạn là vấn đề bandwidth có sẳn sàng cho việc trao đổ các bản sao trong phạm vi của công ty. Thí dụ như bạn có văn phòng ở cả hai nơi - Dallas và Austin trong cùng một phạm vi. Nếu như bạn không thể thiết lập mỗi văn phòng ở khác khu vực, thì các servers ở mỗi khu vực đó phải trao đổ bản sao của directories một cách thường xuyên hơn. Nhờ thiết lập mỗi văn phòng ở các khu vực khác nhau, bạn có thể kiểm soát thời biểu trao đổi các bản sao trong các giờ giấc thuận tiện những lúc ít có nhu cầu sử dụng các tài nguyên hay khi náo các cầu nối sẵn sàng hơn, và ngay cả việc sử dụng dial-up connections để gaỉm thiểu việc chi tiêu.
f. Global Catalog:
Một trong số các yêu cầu thiết yếu khi làm việc trong môi trường to lớn và mở rộng là xác nhận được lý lịch và vị trí các tài nguyên thí dụ như users, hàng loạt việc ấn loát và các tập tin. Trong Active
Directory, Global Catalog cho phép users truy nguyên đối tượng cần dùng mà không cần phải biết vị trí của đối tượng đó trong domain.
Global Catalog chứa một phần bản sao của mổi đối tượng trong Active Directory. Global Catalog server là một dịch vụ hướng dẩn thông tin tập trung ở một chổ trung ương, nó chứa đựng toàn bộ bản sao các đối tượng trong một domain và một số đặc tính các đối tượng ở các domain khác.
Các đặc tính được dùng nhiều trong Global Catalog là các hoạt động truy tầm (thí dụ như truy tầm tên họ của user, logon name, và ...) và các đặc tính cần thiết để định vị bản sao đầy đủ của một đối tượng. Các đặc tính đó được sao chép lại trong Global Catalog kể cả bộ cơ bản mà Microsoft đã xác định.
Domain đầu tiên được tạo ra với Windows 2000 là Global Catalog server. g. Active Directory Queries:
Windows 2000 làm cho người sử dụng (users) và người quản trị (administrators) dễ dàng tìm kiếm Active Directory. Users có thể chọn lựa Search ở Start menu để tìm kiếm các vật thể (objects) trong bản hướng dẫn (directory). Mệnh lệnh Search trong Windows Explorer và My Network Places cũng cho biết vị trí các vật thể của Active Directory. Administrators có thể dùng mệnh lệnh Find trong Active Directory Manager để tạo ra các cách tìm kiếm riêng biệt (custom searches).
Sự lựa chọn Custom Search trong Active Directory Manager là một đặc tính ưu việt của Windows 2000, chính nó mở đường cho bạn thay đổi các đặc tính chuyên biệt của các đố tượng trong mạng một cách trực tiếp .