Active Directory提供了一系列集中组织 管理和访问网络资源的目录服务功能。Active Directory使网络拓扑和协议对用户变得透明,从而使网络上的用户可以访问任何资源(例如打印机),而无需知道该资源的位置以及它是如何连接到网络的。
&">nbsp;
Active Directory被划分成区域进行管理,这使其可以存储大量的对象。基于这种结构,Active Directory可以随着企业的成长而进行扩展。从仅拥有一台存储几百个对象的服务器的小型企业,扩展为拥有上千台存储数百万个对象的服务器的大型企业。
如果在查看对象的权限时复选框为灰色,则对象已经继承了父对象的权限。有三种方法可以更改继承的权限:
对父对象进行更改,
然后该子对象将继承这些权限。 选择相反权限(“允许”或“拒绝”)以覆盖所继承的权限。 清除“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目”复选框。这样,就可以更改权限,或者从“权限”列表中删除用户或组。
但是,该对象将不再从其父对象继承权限。
注意
如果对象有显式“允许”权限项,则继承的“拒绝”权限并不会阻止对该对象的访问。 显式权限的优先级高于继承权限,即使继承的是“拒绝”权限。
在“高级”页上,在“权限项目”的“应用于”列中列出了权限所应用的文件夹或子文件夹。“继承于”列则列出已经继承的权限的位置。
可使用“应用于”字段选择希望将权限应用到的文件夹或子文件夹。如果“用户或组的权限”中“特殊权限”项变为灰色,并不表示该权限已经被继承。这意味着特殊的权限已经选中。Active Directory 对象的继承
对于 Active Directory 对象来说,使用“应用于”选项控制继承时,切记不仅在“应用于”字段中指定的对象将继承该访问控制项 (ACE),而且所有子对象也接收该 ACE 的副本。未在“应用于”字段中指定的子对象将接收 ACE 的副本,但并不是强制的。如果有足够的对象将获取该 ACE 的副本,则增加的数据量会导致严重的网络性能问题。
如果为父对象指派权限,并且希望子对象继承这些权限项,可确保所有子对象拥有相同的访问控制列表 (ACL),使性能达到最佳。在 Windows Server 2003 家族中,单实例允许 Active Directory 只存储所有相同的 ACL 的一个副本。创建许多对象可使用的 ACL 可保持网络性能。