活动目录(一)
一、域服务概述
Active Directory的directory用来存放用户账号、计算机、打印机与共享文件夹等对象,这些对象的存储位置成为目录数据库。域内提供目录服务的组件是Active Directory Domain Service,负责目录数据库的存储、删除、修改与查询工作。
名称空间(NameSpace)是一块界定好的区域,在此区域内,可以通过名称来查到名称相关的所有信息。
如电话薄。域服务中,Active Directory就是一个名称空间,通过对象可以查询到对象有关的所有信息。因AD域名服务与DNS紧密集成在一起,故AD域名服务的域名采用DNS架构,DNS格式来命名。如test.com
域内的资源以对象的形式存在,计算机、用户、打印机等都是对象,而对象是一堆属性的集合。
容器(Container)类似于对象,也是一些属性的集合,不过容器可以包含其他对象(如计算机、用户等),也可以包含其他容器。
组织单位(Organization Units,OU)是一个比较特殊的容器,除了可以包含对象和其他组织单位外,还拥有组策略功能。
域树是包含数个域的网络,域名符合DNS的命名原则,子域名包含父域名,域树内的所有域共享一个Active Directory数据库,但每一个域内只存储属于该域的数据(如用户账户)。
信任:两个域之间必须创建信任关系才可访问对方域内的资源,新域加入到域树之后,该域会自动信任父域,父域也会自动信任该域。信任关系具备双向传递性,通过Kerberos Security Protocol完成,也称之为Kerberos Trust。
林是由一个或多个域树组成。
架构定义了对象类型和属性类型。
域控制器:存放目录数据,一个域可以有多台域控制器,每台域控制器地位几乎平台,并各自存储一份几乎完全相同的AD数据库。
Active Directory的复制模式:多主机复制模式和单主机复制模式。
LDAP(轻型目录访问协议)是一种用来访问Active Directory数据库的目录服务协议。LDAP名称路径用来表示对象在数据库内的位置,包括DN,RDN等。DN是对象在数据库内的完整路径,RDN是完整路径中,用来代表某对象的部分路径。
GUID(Gloval Unique Identifier):任何一个新创建的对象都有唯一的GUID,永远不会改变。
UPN(User Principal Name):格式[email protected]
SPN(Service Principal Name):用来代表某台计算机所支持的服务,通过DNS主机名来创建。
全局编录:作用是为了方便用户、应用程序能够快速找到位于其他域内的资源。全局编录的数据存放在域控制器内(该服务器称为全局编录服务器),它存储着林内所有域的AD数据库内的每一个对象,但只储存部分属性信息(常被用来搜索的属性)。一个林内的所有域树共享相同的全局编录,林内的第一台域控默认就是全局编录。必要时,也可委派其他域控称为全局编录服务器。
站点:由一个或数个子网所组成。同一站点内的子网之间连接要稳定且够快,否则就应划为不同站点。站点是实体的分组(域是逻辑的分组)。不同站点间的目录数据复制会被压缩,同站点间的不会压缩。
目录分区(Directory Partition):活动目录数据库被逻辑的划为架构目录分区、配置目录分区、域目录分区、应用程序分区。