对象(Object)与属性(Attribute):例如用户,计算机,打印机等都属于对象,属性是用来描述对象特征的。
容器:容器是属性的集合,不过容器可以包含其他对象,也可以包含其他容器;
组织单位:是一个比较特殊的容器,除了包含其他对象与组织单位之外还有组策略(GroupPolicy)的功能。
域树(DomainTree):要符合DNS域命名空间的命名规则,其名称空间要有连续性,也就是说,子域的域名包含其父的域名。域树内的域共享一个AD数据库,但这个数据库是分散在各个域内的,每个域只存储属于自己域内的数据。
林(Forest):有多个域树组成,每个域树独有自己唯一的名称空间。创建第一个域树的根域就是林的根域,其域名就是林的名称。在同一个林里面,用户只要有相应的权限,就可以访问其他域树的资源,也可以在其他域树里面登录。
信任(Trust):两个域之间必须创建信任关系才可以互相访问,任何一个新加入到域树的域,都会与其上一层的父域产生相对的信任关系,这些信任关系式具备双向可传递的。
架构(Schema):定义了ADDS的对象类型与属性,例如,定义了用户对象类型内包含了哪些属性,每个属性内数据的类型等信息。在林里面所有域树共享一个架构。
域控制器(Domain Controller):AD域服务的目录数据存储在域控制器内,一个域内可以存在多个域控制器,他们几乎是平等,他们都各自存储着相同的AD数据库,域控制器的AD数据库都能相互同步。
多台域控制器可以提供容错功能,一台域控制器出现故障,仍有其他域控制器提供服务;也可以改善登录效率,因为多台域控制器可以分担用户登录时账户和密码的审核。
在windowsserver2008R2家族中,除了windowsWebserver2008R2与windowsserver2008R2forItanium-Based-Systems外其他的都可以担任域控制器角色。
ActiveDirectory复制模式:
1、多主机复制模式(Multi-master Replication Model)(大多数情况下):更改任何一台域控制器上的对象,之后都会被复制到其他域控制器上。例如,创建一个账户,这个账户会被自动复制到其他域控制器上。
2、单主机复制模式(Single-master Replication Model)(少数情况下):当更改对象数据的要求时,有一台特殊的域控制器(操作主机)来处理此要求,在由这台操作主机复制到其他域控制器。例如,添加***域时,这些数据会被写到扮演域命名操作主机(DomainNamingOperationMaster)角色的域控制器上,在由这台域控制器上复制到其他域控制器上。
Lightweight Directory Access Protocol(LDAP):
LDAP是用来访问AD数据库的目录服务协议,ADDS通过LDAP路径来表示对象在数据库中的位置。
LDAP路径:
1、Distinguished Name(DN)路径:它是对象在AD数据库中的完整路径,如,用户张三的DN路径为:CN=张三,OU=销售部,DC=abc,DC=com。表示张三账户的储存位置在abc.com\销售部内。
2、Relative Distinguished Name(RDN):它是在DN路径中表示某个对象的路径,列入CN=张三。
3、Global Unique Identifier(GUID):对象的唯一标识,对象名称可以变,但GUID是永远不会变的。
4、User Principal Name(UPN):例如张三隶属于abc.com那么他的UPN路径就是:张三@abc.com。
5、Service Principal Name(SPN):用来表示某台计算机所支持的服务,让其他计算机可以通过SPN与这台计算机的服务通信。
全局编录(Global Catalog):虽然域树内所有的域共享一个AD数据库,但每一个域内只存储了该域自己的数据,全局编录就是为了让用户和应用程序能够快速的找到其他域里面的资源;
操作主机(FlexibleSingleMasterOperation,FSMO)
为了避免ADDS在运行的过程中发生冲突。
1、架构主机((SchemaMaster):用来定义ADDS数据库中的“对象”与“属性”的。默认的架构主机是林下第一个域的第一台域控制器。要修改架构主机必须要有SchemaAdmins权限。
2、域命名主机(DomainNamingMaster):负责ADDS林里面“域的新增和***”的。默认是林下第一个域的第一台域控制器。需要Enterpriseadmins权限才可以修改
3、PDC模拟器(PDCEmulator):模拟windowsNT中的主域控制器(PrimaryDomainController,PDC),以确保与就版本的windows相互兼容。默认域内权威的时间源服务器,统一管理账号密码更新、验证及锁定。默认是每个域内的第一台域控制器。
4、RID主控(RIDMaster):管理域中对象相对标示(RID)池。默认是每个域内的第一台域控制器。
5、基础结构(InfrastructureMaster):负责更新域中的对象到其它域中。默认是每个域内的第一台域控制器。
站点(Site):高度可靠的物理链路来理解成一个站点。同一个站点之间复制数据是不压缩的,站点与站点之间的复制会压缩到原来的15%左右,所以划分站点要考虑到数据复制产生的流量。
目录分区(Directory Partition):
架构目录分区(Schema Directory Partition):它存储着整个林中所有对象与属性的定义数据,也存储如何创建新的对象与属性的规则,整个林共享一个相同的架构目录分区,它会被复制到林中的所有域控制器上。
配置目录分区(Configuration Directory Partition):其存储着整个ADDS的结构,如有哪些域,哪些站点,哪些域控制器等数据,整个林共享一份相同的配置目录分区,它也会被复制到林中所有域控制器上。
域目录分区(Domain Directory Partition):每个域都会有一个唯一的域目录分区,存储着与该域有关的对象,此域目录分区只会复制到该域的所以域控制器上。
应用程序目录分区(ApplicationDirectoryPartition):应用程序目录分区时由应用程序所创建的,其内存储着与该应用程序有关的数据。例如,DNS服务器所创建的AD集成区域。应用程序目录区域只会被复制到域中特定的域控制器,而不是所有域控制器。
只读域控制器(Read-Only Domain Controller,RODC):它的AD数据库是只读式的,其内容只能从其他可读写域控制器上复制过来。数据库内容包含了除账户的密码之外的所有对象属性。
RODC数据库是无法直接修改的,只能从其他可读写域控制器复制过来的,所以他们之间的关系是单向复制,只有RODC从可读写域控制上复制数据。
验证用户的密码仍需要可读写域控制器,但如果想加快验证速度可以通过密码复制策略将用户的密码存储到RODC的认证缓存区域。建议用户不要太多,存在安全隐患。
我们可以通过系统管理员角色隔离将域中的某一个用户指定为RODC的本地管理员,复制RODC的日常维护。
域功能级别、林功能级别:就是域内域,林内域控制器的系统版本。还有使用的林功能和域功能,如,windows Server 2012支持ad回收站,如果你林功能级别是2003的,那么就使用不了AD回收站;
ActiveDirectory轻型目录服务(Active Directory Lightweight Directory Services,ADLDS):
为了让没有域环境的网络也有一个像AD一样的目录,所有有了ActiveDirectory轻型目录服务。