在学习ActiveDirectory之前,我们应该了解Active Directory中的一些基本概念和属于,以便我们可以更加方便的学习它。
对象(object)是如何存储的
在Active Directory中数据以分层的方式展示给用户的,这点类似于文件系统。每个条目被称为对象,对象是Active Directory中最小的存储单元,而属性则是用来描述对象特征的。在结构上面来说,有两种类型的对象:容器(containers)和非容器(non-containers),非容器对象也被称为叶子节点。一个容器可以包含一个或多个容器,也可以包含非容器;非容器则不能包含其他对象。
如图1-1所示,容器与容器(或非容器)的“父子”关系。根“xuelan.local”(父)包含“业务”和“售后”两个节点(子)。业务同样也有两个子节点,为“一部”和“二部”,而对于“一部”和“二部”来说“业务”则是他们的父节点。所以容器与容器(或非容器)的“父子”关系是相对而言的。
图1-1 对象的层次结构
轻量级目录访问协议
轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)是一个访问目录服务的协议,在这里是用来与Active Directory的目录服务通信的。Active Directory利用LDAP命名路径(LDAP Naming Path)来表示对象在Active Directory中的位置。在LDAP命名路径中分DN和RDN。
DistinguishedName(DN)
DN是对象在ActiveDirectory中的完整路径。如图1-2所示,对象Peizhiy的DN则是:“cn=peizhiy,ou=IT,dc=xuelan,dc=com。”
图 1-2
Relative Distinguished Name(RDN)
RDN则用来表示对象在DN中的某个部分的路径,例如上面的cn=peizhiy,就是一个RDN路径。
域和域树(domain and domain tress)
Active Directory的逻辑结构是围绕在Windows NT 中域的概念,但在Active Directory中域已经比在Windows NT 中更加灵活了。Active Directory由以下几部分组成:
- 分层结构的组织对象;
- DNS域名系统;
- 安全服务(对域中的账户进行身份验证和资源访问的授权)
- 限制用户和计算机的策略
域控制器(Domain Controller,DC)是用来存储目录数据,并管理用户和域之间的交互,包括登陆的身份验证和目录搜索。一个域内可以拥有一台或多台DC,并且每台DC之间都是(几乎)都是相等的。并且建议您使用多台域控制器,增加高可用和容错能力。(这个根据实际情况选择。)
域树是由几个名称空间连续性的域组成的,如图1-3所示,其根域(域树中创建的第一域)xuelan.local与两个子域(shanghai.xuelan.local和beijing.xuelan.local)组成一个域树。每个域树的根域就是这个域树的名称,因此,这个域树的名称是xuelan.lcoal。即使只有一个域,它仍然是一个域树。
图 1-3
林(Forests)
林是多个域树的集合,如图1-4所示,随着业务的发展,新成立一家公司并分配域名xuelankj.local,并把这个这个新建的域加入到了域树,形成了林。林中创建的第一个域也是这个林的根域,也是这个林的名称,因此这个林的名称是xuelan.local。单独的一个域可以算是一个域树,同样单独的一个域也算是一个林。
图 1-5