Active Directory(活动目录) & Domain（域）

Active Directory（活动目录）是微软Windows Server中，负责架构中大型网路环境的集中式目录管理服务（Directory Services），Windows 2000 Server开始内建于Windows Server产品中，它处理了在组织中的网路物件，物件可以是 计算机，用户，群组，组织单元（OU），树系等等，只要是在Active Directory结构定义档（schema）中定义的物件，就可以储存在Active Directory资料档中，并利用Active Directory Service Interface来存取，实际上，许多Active Directory的管理工具都是利用这个介面来呼叫并使用Active Directory的资料。

Active Directory也被做为微软服务器类软体（Exchange，Lync，桌面管控等）与网域构连的资料结构，例如Microsoft Exchange Server均使用AD来储存其个人信箱资料（透过建立新的Active Directory Schema），并将AD列为建置Exchange Server的必要条件。

活动目录是域的基础

域是一个管理单位， 域中包含大量对象：

• 用户
• 用户组
• 计算机
• 域
• 组织单位（OU）
• 安全策略
• 打印机

• Domain Controllers，储存网域所属的网域控制站（简称DC、域控）。
• Computers，储存加入网域的电脑物件。
• Builtin，储存内建的帐户群组。
• Users，储存AD中的使用者物件。

 

The largest unit in Active Directory is known as a   Domain. It can also be considered the largest container object. Each domain is a both a security and administrative boundary. 

In addition, a   Policy  can be defined for that OU, such that all objects within the OU are subjected to that policy. These policies, which can be applied to users and groups (as well as OUs) are are known as   Group Policies. For example, a group policy is defined for the   Dept A Users  group, stating that all user passwords must have at least eight characters. Any user whose account is a member of   Dept A Users, must now have a password that contains at least 8 characters. 

域与活动目录的关系

• 域是一种逻辑的组织形式；
• 活动目录是实现域的方法；

域，域树，森林，OU

域

域是安全的边界。除非管理员得到其他域的明确授权，否则域管理员只能在该域内又必要的管理权限。

OU

OU是域下面的容器对象，用于组织对活动目录对象的管理，是最小的管理单元；

OU可用来匹配一个企业的实际组织结构，域的管理员可以指定某个用户去管理某个OU；

OU也可以像域一样做成树状的结构，即OU下面还可以有OU；

域树

若组织的网路环境相当庞大与复杂时，网域可能会有许多个，在AD之中，网域可以有一个或多个，而一个大型公司可能会利用分公司或是办公室的方式来组 织网域物件，如此一来，在AD中会有数个网域，若需要在网域中共享资料或是做委派管理与组态设定时，便需要建立彼此间的组织关系，微软将AD中多网域相互 的关系阶层化，称为网域树（domain tree），网域树结构以DNS识别方式来区分，例如一间公司可能有业务部门，工程部门与管理部门，那么若要以部门来建立网域时，则可以如此建立（如右图）：

• acme.com.tw：根网域。
• sales.acme.com.tw：业务部门。
• engineering.acme.com.tw：工程部门。
• admin.acme.com.tw：管理部门。

如此便可在AD中反映出组织的结构，同样的，网域内还是可以再建立不同的网域，例如在工程部门中若需要分为软体部门与硬体部门时，还可以在工程部门的网域中建立：

• software.engineering.acme.com.tw：软体部门的网域。
• hardware.engineering.acme.com.tw：硬体部门的网域。

而在工程部门网域中的群组原则设定，会自动的继承至软体部门和硬体部门的设定，而在软体部门的组态，则不会影响到硬体部门（可经过设定来套用）。

森林
在多个网域的环境下，可能在不同的网域之间会需要交换与共享资料，像是组态设定、使用者帐户与群组原则设定等，在这个时候需要有一个角色来做为不同网域间的资讯交换角色，同时又必须要符合AD树状结构的规范，因此微软在多网域之间建立了一个中介用的角色，称为森林（Forest），一个组织中最多只能有一个Forest，在Forest下则是各自的网域树系，而在Forest下的网域或网域树系间，可以共享资讯。

Active Directory数据库

Active Directory使用强化过的Microsoft Jet Database Engine（基于Microsoft Jet Blue计划），即Extensible Storage Engine（ESE98），可储存16TB的资料量，理论上可容纳十亿个网域物件，档案名称为NTDS.dit，它储存在%system_root%\NTDS目录中（这个目录所在的磁碟也必须要是NTFS格式），内含了物件资料表以及连结资料表。

而在AD更新资料时的记录，都被储存在edb*.log，预设的名称为edb.log，其他的档案使用"edb" +数字 + ".log"来记录，另搭配了edb.chk作为检查点记录档，以及Res1.log和Res2.log作为系统的保留档案。

Ntds.dit — Active Directory database
Edb*.log — Transaction log files
Edb.chk — Checkpoint file to check data not yet written to database
Res*.log — Reserved transaction log files (10MB each to reserve space in case disk fills up)

关于JET数据库引擎

Microsoft Jet是微軟針對檔案型資料庫所發展的資料庫引擎（Database Engine），它的適用資料來源種類相當多，像是Microsoft Access、Microsoft Excel、dBase等等檔案型資料來源都可以利用Microsoft Jet資料庫引擎來使用SQL指令存取。

参考：

Active Directory Wiki

A​c​t​i​v​e​ ​D​i​r​e​c​t​o​r​y​服​务

http://www.oucs.ox.ac.uk/windows/active/workshops/11-BackupRestore.ppt

Microsoft Jet Database Engine

Active Directory FAQ