Windows 2003 Server的功能异常强大，除了保持了与以往Windows系列的良好的兼容性外，还在各个方面作了极大的功能提升，比如.net框架等。今天花了一天时间研究了Windows 2003 Server的活动目录（Active Directory）和域控制的有关问题，总算有所斩获。
    默认情况下，Windows 2003 Server是没有安装AD服务的，所以自己装一下啦（顺便还装了一堆东东，比如DNS什么的，有时间可以研究一下）。装好后，配置域服务器，会建立一个新域（好像一台域服务器只能管理一个域，我不知道怎么样建立多个域）打开AD用户和计算机管理窗口，可以看到默认的有以下几项：
                                                  Builtin，Computers，……，Users
    有容器，组织单位等类型（没搞清楚容器是干吗的），可以新建计算机，用户，组织单位等，不过新建用户的时候，总会碰到密码设置不正确的情况，解决办法是更改域安全策略中的密码策略，并且使其生效（尽管如此，还是应该将密码设置得复杂一些，过于简单的密码某些时候会在别处验证的时候被pass掉）。基本上，如果只是对用户的管理的话，可以在Users容器中添加用户，并且加入到某个组以获取相应的权限。例如可以添加到Domain Admins组中，这样就可以以该用户身份登陆该域了。 
    在做Ace Server与AD用户同步的时候，由于不知道参数的含义，所以费了很大工夫。实际上，在下图的Demo中，ou代表组织单位，必须由下至上，一层一层写到顶层；cn是一个相对标识，可以指容器（不能指组织单位）；dc是域名，把‘点’分开单独写；输入的用户名和密码是用来做连接LDAP数据库的身份验证的。
    在AM Server5.2版中，利用提供的LDAP用户同步功能时，要注意在Binding DN中要输入登陆全名：administrator@domain.mycompany.com，并写对密码。经过多方测试，全面通过，API方式也没有问题。

    LDAP服务器实际上有三种：Active Directory, iPlanet, and Novell。当然AD是大家都比较熟悉的，也是很常见的，以后有机会把另外两种也研究研究。