Active Directory 域服务(AD DS)
本文内容
- 概述
- 工作组架构与域架构
- 名称空间(Namespace)
- 对象(Object)、容器(Container)与组织单位(Organization Units,OU)
- 域树(Domain Tree)
- 林(Forest)
概述
Active Directory 域服务(Active Directory Domain Services,AD DS),是一个提供用于组织、管理与控制网络资源的强大工具。在你创建并使用域时,有些必要知道关于域服务的一些概念、理念。
Active Directory Domain Services,其中 Directory,目录服务,在日常生活中经常看到,比如:
- Telephone Directory(电话目录),里边记录亲朋好友的姓名、电话、地址等数据;
- 计算的文件系统,里边记录文件的名称、大小、日期等数据,这是 File Directory(文件目录);
- 查号台;
- 百度搜索引擎。
目录服务就是让用户能很容易、迅速地查找到所需的文件。
Active Directory 的 Directory 则是用来存储用户帐户、计算机帐户、打印机与共享文件等对象,这些对象的存储位置都是目录数据库(Directory Database),而 Active Directory 负责提供目录服务的组件就是 Active Directory 域服务(AD DS),负责操作(增删改查)目录数据库。
AD DS 可以在一台计算机、一个小型 LAN 或是数个 WAN 的结合中。它包含此范围内所有的对象,如文件、打印机、应用程序、服务器、域控制器与用户帐号等。
如果将 AD DS 与工作组对比一下,你就能想象到它规划出来的“蓝图”。
工作组架构与域架构
工作组网络也称对等(peer-to-peer)网络,因为网络上每台计算机的地位都是平等的,他们的资源与管理都是分散在各个计算机上。它的特征为:
- 每台 Windows 计算机都有一个本地安全帐户管理器(Security Accounts Manager Database,SAM)数据库。用户若想访问每台计算机内的资源,系统管理员就必须在每台计算机的 SAM 内创建用户帐户,并设置其权限。这种架构的帐户与权限管理显然比较麻烦。若企业内计算机数量不多的话,可以采用工作组架构的网络。
- 工作组内可以不需要服务器级别的计算机(如 Windows 2008 R2),即便只有 Win7、Windows Vista、Windows XP 这些客户端级别的计算机,也可以架设工作组架构的网络。
与工作组架构不同,域内所有计算机共享一个集中的目录数据库,其中存储着整个域内所有用户的帐户等相关数据。这个目录数据库存储在域控制器(Domain Controller)中,而只有服务器级别的计算机才能充当域控制器的角色。
如果是你要设计这么一个东西,会如何?
我们知道,计算机中有 IP 地址、主机名、域名,再就是 DNS,那么我们就可以利用这些,将网络中计算机通过一台具有服务器级别的计算机来构建一个“树”型结构,多个这样的结构,也就是“林”。
在具体点,要有数据结构,任何资源都是一个对象,都有自己的属性的。对象可以每台计算机的帐户,每个帐户都有自己的属性,如姓名、密码、电话号码、电子邮件、职称等等,每个帐户可以看成是现实中的一个人,既然是人,那就应该可以对人进行组织,对一个企业来说,这就是组织架构,如业务部、财务部等等。对象也可以是打印机等等。
名称空间(Namespace)
AD DS 的 AD 就是一个名称空间,通过它,可以利用对象名称找到与这个对象有关的所有信息。在 TPC/IP 网络中是利用 Domain Name System(DNS)来解析主机与 IP 地址的对应关系,因此 AD DS 与 DNS 紧密集成,它的域名空间也采用 DNS 架构。
对象(Object)、容器(Container)与组织单位(Organization Units,OU)
AD DS 内的资源都是以对象形式存在,如用户、计算机、打印机,对象都是通过属性来描述。
容器与对象类似,也是一些属性的集合,只是容器可以包含其他对象,甚至是容器。
组织单位是一个特殊的容器,除了可以包含对象与组织单位外,还有组策略(Group Policy)。
域树(Domain Tree)
域树是包含数个域的网络,以域树的形式存在。
林(Forest)
林是由一个或多个域树组成,每个域树都有自己唯一的名称空间。
