活动目录（一）

一、域服务概述

Active Directory的directory用来存放用户账号、计算机、打印机与共享文件夹等对象，这些对象的存储位置成为目录数据库。域内提供目录服务的组件是Active Directory Domain Service，负责目录数据库的存储、删除、修改与查询工作。

名称空间（NameSpace）是一块界定好的区域，在此区域内，可以通过名称来查到名称相关的所有信息。

如电话薄。域服务中，Active Directory就是一个名称空间，通过对象可以查询到对象有关的所有信息。因AD域名服务与DNS紧密集成在一起，故AD域名服务的域名采用DNS架构，DNS格式来命名。如test.com

域内的资源以对象的形式存在，计算机、用户、打印机等都是对象，而对象是一堆属性的集合。

容器（Container）类似于对象，也是一些属性的集合，不过容器可以包含其他对象(如计算机、用户等），也可以包含其他容器。

组织单位（Organization Units，OU）是一个比较特殊的容器，除了可以包含对象和其他组织单位外，还拥有组策略功能。

域树是包含数个域的网络，域名符合DNS的命名原则，子域名包含父域名，域树内的所有域共享一个Active Directory数据库，但每一个域内只存储属于该域的数据（如用户账户）。

信任：两个域之间必须创建信任关系才可访问对方域内的资源，新域加入到域树之后，该域会自动信任父域，父域也会自动信任该域。信任关系具备双向传递性，通过Kerberos Security Protocol完成，也称之为Kerberos Trust。

林是由一个或多个域树组成。

架构定义了对象类型和属性类型。

域控制器：存放目录数据，一个域可以有多台域控制器，每台域控制器地位几乎平台，并各自存储一份几乎完全相同的AD数据库。

Active Directory的复制模式：多主机复制模式和单主机复制模式。

LDAP（轻型目录访问协议）是一种用来访问Active Directory数据库的目录服务协议。LDAP名称路径用来表示对象在数据库内的位置，包括DN，RDN等。DN是对象在数据库内的完整路径，RDN是完整路径中，用来代表某对象的部分路径。

GUID（Gloval Unique Identifier）：任何一个新创建的对象都有唯一的GUID,永远不会改变。

UPN（User Principal Name）:格式[email protected]

SPN（Service Principal Name）：用来代表某台计算机所支持的服务，通过DNS主机名来创建。

全局编录:作用是为了方便用户、应用程序能够快速找到位于其他域内的资源。全局编录的数据存放在域控制器内（该服务器称为全局编录服务器），它存储着林内所有域的AD数据库内的每一个对象，但只储存部分属性信息（常被用来搜索的属性）。一个林内的所有域树共享相同的全局编录，林内的第一台域控默认就是全局编录。必要时，也可委派其他域控称为全局编录服务器。

站点：由一个或数个子网所组成。同一站点内的子网之间连接要稳定且够快，否则就应划为不同站点。站点是实体的分组（域是逻辑的分组）。不同站点间的目录数据复制会被压缩，同站点间的不会压缩。

目录分区（Directory Partition）：活动目录数据库被逻辑的划为架构目录分区、配置目录分区、域目录分区、应用程序分区。