什么是活动目录（Active Directory）

Microsoft Active Directory，简单地说，是一个数据库和一个目录服务。它是一种身份和访问管理解决方案，允许您定义谁可以在您的网络中执行哪些操作。企业依靠Active Directory来有效地管理他们的网络。

作为数据库，Active Directory允许您存储用户信息，例如电子邮件，电话号码， 和密码。作为目录服务，它允许用户对自己进行身份验证以访问资源，并授权网络本身中的用户访问。

活动目录（Active Directory）如何工作

Active Directory为管理员提供了一组服务来管理他们的IT网络，这些服务部署在称为域控制器的Windows服务器上。AD DS (Active Directory Domain Services)是应用最广泛的Active Directory服务。它对Active Directory对象进行身份验证并授权对网络资源的访问。AD DS还以逻辑分层结构存储和组织数据，并且可以在网络中的任何位置进行管理。

其他重要的AD服务包括Active Directory Federation services (AD FS)、Active Directory Certification services (AD CS)、Active Directory Lightweight Directory services (AD LDS)和Active Directory Rights Management services (AD RMS)。

活动目录（Active Directory）提供哪些服务

活动目录提供以下服务来保护和维护组织的网络：

• Active Directory 域服务（AD DS）：是 Windows 域中的基本目录服务和主要目录服务。域托管 AD DS 存储和验证网络资源的控制器。AD DS 监督 网络中域控制器之间的复制和通信。
• Active Directory 权限管理服务（AD RMS）：使用信息权限管理来管理和限制对文档中文档的访问活动目录网络。
• Active Directory轻量级目录服务（AD LDS）：为独立于 Active Directory及其的应用程序提供目录服务限制。它也可以作为具有多个 AD LDS 实例的独立目录运行。
• Active Directory 证书服务（AD CS）：充当证书颁发机构，并在 Active Directory 中提供公钥基础结构功能环境。
• Active Directory 联合身份验证服务（AD FS）：有助于联合身份管理和对应用程序的单一登录访问。

Active Directory的结构是什么

Active Directory将信息存储在一个逻辑的、分层的框架中，以简化Active Directory管理。对象是活动目录中最基本的实体，而林是最高级的实体。

活动目录中的模式允许您定义哪些对象可以存储在活动目录中。每个对象都有一组基于其类模式的属性。模式是可扩展的，可以根据组织的需要进行结构化。但是，对模式所做的更改是不可逆的，因此只有在必要时才应该更新或修改模式。

Active Directory 将网络资源和相关信息存储为对象，用户帐户、计算机帐户、联系人、群组、单位部门和共享 文件夹是可以在活动目录中找到的所有不同对象。

AD对象

可以进行身份验证的对象（用户帐户、计算机帐户和组）包括 称为安全主体，其他对象（如打印机）称为资源。 像 sAMAccountName 或 userPrincipalName 这样的属性对于对象是唯一的，并且 无法复制。域中的活动目录对象具有唯一的全局 唯一标识符和随域相对变化的 SID。提供 SID 由配备 RID 主 FSMO 角色的 DC 提供。

AD 组织单位（OU）

对象可以分组为组织单位 （OU） 或组，具体取决于行政需要。Active Directory 中的 OU 是容器对象，可以包含域中的用户帐户、计算机或其他 OU 等对象，这些对象称为嵌套 OU。通过配置 OU，您可以描述组织结构、应用组策略和委派管理权利。

AD组

活动目录组允许您组织安全性您的活动目录中的主体，以便于管理。活动目录中有两个不同的组:安全性组和安全性组分配组。

安全组用于分配权限和用户权限。它们还支持邮件，因此可以用来发送同时向所有成员发送信息。每个安全组都有一个组范围，它决定了分配到什么程度权限和用户权限在Active Directory中有效。在那里有三个组作用域：通用、全局和域局部。

通讯组只是启用了邮件，并且只能用于发送电子邮件，它们在Exchange环境中非常方便。

AD 域、树和林

同一网络中具有类似安全约束的对象可以在逻辑上分组到一个域，域可以有其中的子域称为子域，对在域名命名上下文中，域是不断更新的。

Active Directory中共享公共根和信任关系的域形成树状结构，作为一个整体，所有这些组件组成了一个林。Active Directory中的林中包含共享公共结构、GC和模式的域，它充当安全约束，只有在它们之间配置了信任关系时，其他Active Directory林才能访问它。

活动目录的好处

• 活动目录作为集中管理工具，具有高度可扩展性，它允许您从单个控制台监视IT网络。
• 活动目录允许您自定义对象以满足组织的要求。
• 具有内置的复制功能，允许您跨网络中的数据中心分发数据。
• 具有备份和恢复功能，允许您在配置信息后根据需要恢复信息。

总体而言，Active Directory有助于管理您的IT网络。

简化活动目录管理

管理任务，如对象的创建、修改和删除;密码重置;并且可以使用Active Directory用户和计算机控制台(ADUC)执行访问控制。Active Directory对象也可以使用PowerShell脚本进行管理。可以在Active Directory站点和服务管理单元中配置GC服务器、Active Directory复制、站点、子网和其他相关设置。

通过Active Directory中的组策略，您可以配置用户和计算机的Windows环境。策略设置和首选项被分组并包含在组策略对象(GPO)中，gpo可以应用在OU、域和站点级别，可以使用本地组策略编辑器或组策略管理控制台修改它们。

除了Microsoft提供的管理单元外，Active Directory还可以使用Active Directory管理和报告解决方案ADManager Plus进行管理。