Active Directory 基本概念

 

l         Active Directory
基于 Windows 的目录服务。 Active Directory 存储有关网络上对象的信息,并让用户和网络管理员可以使用这些信息。 Active Directory 允许网络用户使用单个登录进程来访问网络中任意位置的许可资源。它为网络管理员提供了直观的网络层次视图和对所有网络对象的单点管理。

l         名称空间
一种命名规则,用于定义网络资源的一组唯一名称。对于 DNS ,它是标识所有网络资源及其在名称空间层次中位置的层次命名结构。

l         对象
通过一组明确的已命名属性来描述的实体,例如文件、文件夹、共享文件夹、打印机或 Active Directory 对象。例如,文件对象的属性包括其名称、位置和大小; Active Directory 用户对象的属性可能包括该用户的姓、名和电子邮件地址。

l         属性
对于文件,属性是一些信息,用于指出文件为只读、隐藏、准备存档(备份)、压缩还是加密,以及是否应索引文件内容以便加速文件搜索。
Active Directory 中,对象的一种属性。对于每个对象类,该架构都定义该类的实例所必须拥有的属性以及可能拥有的其他属性。

l         容器对象
逻辑上包含其他对象的对象。例如,文件夹是容器对象。

l         组织单位
在域中使用的 Active Directory 容器对象。组织单位是一个逻辑容器,可将用户、组、计算机和其他组织单位放置于该容器中。它可以包含仅来自其父域的对象。组织单位是组策略对象 (GPO) 能被链接到的或可以委派管理机构的最小作用域。

l        
Active Directory 中,是指由管理员定义的计算机、用户和组对象的集合。这些对象共享公用目录数据库、安全策略以及与其他域之间的安全关系。
DNS 中,是指 DNS 名称空间内任意树或子树。尽管 DNS 域的名称通常与 Active Directory 域对应,但不要混淆 DNS 域和 Active Directory 域。

l         架构
Active Directory 架构包含目录中所有对象的定义。每个新创建的目录对象都会在写入该目录之前针对架构中的相应对象定义进行验证。架构由对象类和属性组成。基础(或默认)架构包含一组丰富的对象类别和属性以满足大多数单位的需要,并遵循目录服务的国际标准化组织 (ISO) X.500 标准进行建模。由于这是可扩展的,因此可以在基础架构中修改和添加类别和属性。

l         域控制器
Active Directory 林中,域控制器是一台服务器,它包含 Active Directory 数据库的可写副本,参与 Active Directory 复制并控制对网络资源的访问。管理员能够管理用户帐户、网络访问权限、共享资源、站点拓扑以及来自林内任意域控制器的其他目录对象。

l         复制
将更新的数据从源计算机上的数据存储或文件系统复制到一个或多个目标计算机上匹配的数据存储或文件系统,从而同步这些数据的过程。
Active Directory 中,复制同步域控制器之间的架构、配置、应用程序和域目录分区。

l         目录访问协议
在登录网络以及搜索共享资源时, Active Directory 客户端必须与域控制器进行通信。使用轻型目录访问协议 (LDAP) 访问域控制器和全局编录。

l         轻型目录访问协议
LDAP 是在 TCP/IP 网络上使用的通讯协议。 LDAP 定义目录客户端如何访问目录服务器以及客户端如何能进行目录操作并共享目录数据。 LDAP 标准由 Internet 工程任务组 (IETF) 的工作组制定。 Active Directory 实现了 LDAP 属性草案规范以及 LDAP 第二版和第三版的 IETF 标准。

l         域树
DNS 中,是指用来索引域名的反向分层树结构。域树在目的和概念方面与磁盘存储的计算机文件归档系统所使用的目录树类似。例如,当磁盘上存储了很多文件时,就可以用目录将文件组织成逻辑集合。当域树有一个或多个分支时,每一个分支都可以将名称空间中使用的域名组织成逻辑集合。
Active Directory 中,是指一个或多个域的分层结构,通过可传递的、双向信任实现连接,从而形成了一个连续的名称空间。多个域树可以属于同一个林。

l        
共享相同类和属性定义(架构)、站点和复制信息(配置)以及林范围搜索能力(全局编录)的一个或多个 Active Directory 域。同一个林内的域是按双向可传输的信任关系进行链接的。

l         信任关系
在域之间建立的逻辑关系,以便允许通过身份验证,其中信任域负责受信域的登录验证。受信域中定义的用户帐户和全局组可以获得信任域的权利和权限,即使该用户帐户或组不在信任域的目录中。
Active Directory 中创建域时,相邻域(父域和子域)之间自动创建信任关系。在林中,在林根域和从属于此林根域的任何树根域或子域之间自动创建信任关系。因为这些信任关系是可传递的,所以可以在林中的任何域之间进行用户和计算机的身份验证。

l         站点
Active Directory® 中的站点代表网络的物理结构,或称拓扑。 Active Directory 使用拓扑信息(在目录中存储为站点和站点链接对象)来建立最有效的复制拓扑。可使用 “Active Directory 站点和服务 以定义站点和站点链接。站点是一组有效连接的子网。站点和域不同;站点代表网络的物理结构,而域代表组织的逻辑结构。这种物理和逻辑结构的区分提供了下列好处:

n         可以单独设计和维护网络的逻辑和物理结构。

n         不必使域名称空间建立在物理网络基础之上。

n         可以为相同站点中的多个域部署域控制器。也可以为多个站点中的相同域部署域控制器。

单个域可跨越多个物理位置或站点,并可包含众多对象。站点结构和域结构互相独立而且非常灵活。单个域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。

l         全局编录
全局编录是存储林中所有 Active Directory 对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完整副本,以及林中所有其他域中所有对象的部分副本,如下图所示。

全局编录中包含的所有域对象的部分副本是用户搜索操作中最常用的部分。作为其架构定义的一部分,这些属性被标记为包含在全局编录中。在全局编录中存储所有域对象的最常搜索的属性,可以为用户提供高效的搜索,而不会以不必要的域控制器参考影响网络性能。
可以使用 “Active Directory 架构 管理单元在全局编录中手动添加或删除其他对象属性。
在林中的初始域控制器上,会自动创建全局编录。可以向其他域控制器添加全局编录功能,或者将全局编录的默认位置更改到另一个域控制器上。详细信息,请参阅 启用或禁用全局编录
全局编录执行如下目录角色:

n         查找对象
全局编录允许用户在林中的所有域中搜索目录信息,而不用考虑数据存储的位置。执行林内的搜索时可获得最大的速度并产生最少的网络通信。
当您从“开始”菜单搜索用户或打印机时,或者在查询中选择了“整个目录”选项时,您就在搜索全局编录。当您输入搜索请求之后,该请求就被路由到默认的全局编录端口 3268 ,并被发送到某个全局编录进行解析。详细信息,请参阅查找目录信息和 Microsoft Windows 资源工具包网站上的“ Finding information in Active Directory ”(在 Active Directory 中查找信息)。

n         提供用户主体名称身份验证
当执行身份验证的域控制器没有帐户信息时,全局编录将解析用户主体名称 (UPN) 。例如,如果用户的帐户位于 example1.microsoft.com 中,而用户决定通过用户主体名称 [email][email protected][/email] 从位于 example2.microsoft.com 的计算机登录,则位于 example2.microsoft.com 的域控制器将找不到用户的帐户,因此它将联系全局编录以完成登录过程。详细信息,请参阅 Active Directory 命名。

n         在多域环境中提供通用组成员身份信息
与全局组成员身份不同(存储在每个域中),通用组成员身份只存储在全局编录中。例如,当属于某个通用组的用户登录设置为 Windows 2000 本机域功能级别或更高级别的域时,全局编录在此用户登录到该域的时候会提供此用户帐户的通用组成员身份信息。
如果在用户登录到设置为 Windows 2000 本机功能级别或更高级别的域时全局编录不可用,则如果用户先前曾登录该域,计算机将使用缓存的凭据使该用户登录。如果用户先前未曾登录到该域,则用户只能登录本地计算机。但是,如果用户以 Administrator 身份( Builtin Administrator 帐户)登录到该域,用户将始终能登录到该域,即使全局编录不可用,也是如此。