活动目录服务是Windows 2000 Server最重要的新功能之一，它可将网络中各种对象组合起来进行管理，方便了网络对象的查找，加强了网络的安全性，并有利于用户对网络的管理。活动目录是一种目录服务，它存储有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等信息，并使管理员和用户可以方便的查找和使用这些网络信息。通过Windows 2000 Server的活动目录，用户可以对用户与计算机、域、信任关系，以及站点与服务进行管理。活动目录具有可扩展性与可调整性。

域仍然是Windows 2000 Server的基本管理单位，域模式的最大好处就是单一的网络登录能力，用户只要在域中有一个账户，就可以在整个网络中漫游。活动目录服务增强了信任关系，扩展了域目录树的灵活性。活动目录把一个域作为一个完整的目录，域之间能够通过一种基于Kerberos认证的可传递的信任关系建立起树状连接，从而使单一账户在该树状结构中的任何地方都有效，这样在网络管理和扩展时就比较轻松。

同时，活动目录服务把域又详细划分成组织单元。组织单元是一个逻辑单元，它是域中一些用户和组、文件与打印机等资源对象的集合。组织单元中还可以再划分下级组织单元，下级组织单元能够继承父单元的访问许可权。每一个组织单元可以有自己单独的管理员并指定其管理权限，它们都管理着不同的任务，从而实现了对资源和用户的分级管理。活动目录服务通过这种域内的组织单元树和域之间的可传递信任树来组织其信任对象，为动态活动目录的管理和扩展带来了极大的方便。

另外，在Windows 2000网络中，所有的域控制器之间都是平等的关系，不再区分主域控制器与备份域控制器。Windows 2000 Server在进行目录复制时，不是沿用一般目录服务的主从方式，而是采用多主复制方式。Windows 2000 Server在复制目录库时，对各个对象的修改顺序数进行比较，判断它们被修改的先后顺序，结果最新修改的对象属性被保留，旧的属性就被新的属性所取代，这就保证每个域控制器上的目录服务数据库都是最新的。

以在运行Windows Server 2003系统的服务器中安装活动目录服务为例介绍方法：

第1步，在开始菜单中依次单击“管理工具”→“配置您的服务器向导”菜单项，打开“配置您的服务器向导”对话框。在欢迎对话框中单击依次单击“下一步”→“下一步”按钮。

第2步，配置向导检测网络设置和网络连接是否正常，如果没有发现问题则打开“服务器角色”对话框。在“服务器角色”列表中选中“域控制器（Active Directory）”选项，并单击“下一步”按钮。

第3步，在打开的“选择总结”对话框中直接单击“下一步”按钮。如果在当前服务器中安装了终端服务，则会提示用户安装Active Directory将改变终端服务器的安全策略。单击“确定”按钮即可。

第4步，打开“Active Directory安装向导”对话框，在欢迎对话框中单击“下一步”按钮。 　小提示：用户也可以在“运行”对话框中输入Dcpromo命令并按回车键来打开Active Directory安装向导。

第5步，在打开的“操作系统兼容性”对话框中，提示用户运行旧版本Windows 系统的客户端将无法登录到Windows Server 2003（SP1）系统域中。单击“下一步”按钮。

第6步，打开“域控制器类型”对话框，在该对话框中需要指定这台Windows Server 2003（SP1）系统服务器担任的角色。如果要创建一个全新的域，则必须选中“新域的域控制器”单选框，并单击“下一步”按钮。

第7步，在打开的“创建一个新域”对话框中，AD可以把域组织成域树，然后把域树组织成森林。如果要创建新域树中的第一个域（也是新森林中的第一个域树），则需要选中“在新林中的域”单选框，并单击“下一步”按钮。

第8步，打开“新的域名”对话框，在“新域的DNS全名”编辑框中输入要使用的域名，并单击“下一步”按钮。

第9步，在打开的“NetBIOS域名”对话框中，需要为新域指定一个NetBIOS域名。因为在企业的局域网中可能运行着Windows 2000系统以前的版本（如Windows 9X系统），这些系统无法识别这样的域名。因此AD域为这些系统准备了一个它们能够识别的域名，即“NetBIOS域名”。默认情况下，安装向导会将域名中分隔符最左边的部分作为NetBIOS域名。用户可以保留默认值，并单击“下一步”按钮。

如果默认设置的NetBIOS域名与网络中其他计算机的名称相同，会提示计算机名称冲突，并自动重新设置NetBIOS域名。

第10步，打开“数据库和日志文件文件夹”对话框，在这里需要设置两个文件夹的路径。AD域把AD数据库存储为两部分，一部分是AD数据库文件本身，另一部分是事务日志。如果将AD数据库文件存储在NTFS分区中，可以获得明显优于FAT分区的性能。而如果将事务日志文件存储在跟AD数据文件不同的物理硬盘上（且使用不同的IDE通道），则可以实现AD数据库和日志的同时更新，所获得的性能提高同样非常明显。如果计算机中只安装一块硬盘系统，则可以保持默认路径，并单击“下一步”按钮。

第11步，在打开的“共享的系统卷”对话框中，需要为Sysvol文件夹选择一个NTFS格式的分区路径。Sysvol文件夹中存储有AD域中重要的用户配置和控制信息文件（如“系统策略文件”、“默认配置文件”和“登录脚本”等），并且该文件夹会自动地被复制到其他的DC中，实现域信息的同步更新。但是系统对Sysvol文件夹的自动复制需要NTFS分区的支持，这也是在表8-1中所提到的需要一个NTFS分区的原因。本例中硬盘的C区是一个NTFS分区，因此保持默认路径并单击“下一步”按钮。

第12步，稍等一段时间会打开“DNS注册诊断”对话框，在列出的诊断结果中可以看到出错提示。这是因为这台服务器未正确配置DNS服务，因此这里选中“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器”单选框。单击“下一步”按钮。

DNS是AD域的基础，AD会把域控制器和全局目录服务器列表存储在DNS中，因此在网络中存在一台DNS服务器是必需的。当然也可以在安装AD的过程中让安装向导在DC上自动设置DNS服务器，这种方式比较适合对DNS和AD域不熟悉者使用。

第13步，在打开的“权限”对话框中，需要设定用户和组对象的默认权限。其实这里所说的权限主要涉及到RAS（Remote Access Server，远程访问能服务器）的匿名登录问题。因为在NT4域中，RAS在没有匿名登录的域中是无法工作的。如果确信企业网络中的服务器系统均在Windows 2000 Server以上，则建议选中“只与Windows 2000或Windows Server 2003系统操作系统兼容的权限”复选框。因为该选项将关闭RAS服务器的匿名登录，从而提高安全性。单击“下一步”按钮。

第14步，打开“目录服务还原模式的管理员密码”对话框，设置一组还原密码。在Windows 2000 Server和Windows Server 2003（SP1）系统的启动过程中，有一个选项可以用来重建被损坏的AD数据库，并把它恢复到内部一致的一个较早期版本。然而这是一把双刃剑，因为重建数据库与破坏数据库在破坏者眼中是一个道理，因此设置还原密码很有必要。单击“下一步”按钮。

设置的还原密码应该符合密码策略，在用户更改或创建密码时会被强制执行该策略。密码策略主要包括以下两个方面：

★不包含全部或部分的用户账户名；

★长度至少为六个字符，必须同时包含英文大写字母（从A到Z）、英文小写字母（从a到z）、10个基本数字（从0到9）和非字母字符（例如，!、$、#、%）四个类别中的三个字母。

第15步，在“摘要”对话框中确认所做的设置正确无误，单击“下一步”按钮开始安装AD。在安装过程中会打开“Windows安装程序”对话框安装DNS服务器，并要求插入Windows Server 2003（SP1）系统安装光盘或指定系统安装源文件。AD的安装过程较漫长，一般需要20～30分钟的时间。

第16步，安装结束后单击“完成”按钮，并根据提示重新启动计算机即可。