活动目录(AD)是一种目录服务是微软用于开发Windows域网络。它被包含在大多数Windows Server 操作系统中作为一组进程和服务。最初,Active Directory只负责集中式域管理。然而,从Windows Server 2008开始,Active Directory成为广泛的基于目录的身份相关服务的标题。目前可能在用的系统层级:Windows Server 2003、2008、2008R2、2012、2012R2、2016。
运行Active Directory域服务(AD DS)的服务器称为域控制器。它对Windows域类型网络中的所有用户和计算机进行身份验证和授权;为所有计算机分配和实施安全策略并安装或更新软件。例如,当用户登录到属于Windows域的计算机时,Active Directory会检查提交的密码并确定用户是系统管理员还是普通用户。此外,它还允许管理和存储信息,提供身份验证和授权机制,并建立一个框架来部署其他相关服务:证书服务,联合服务,轻量级目录服务和权限管理服务。
Active Directory存储有关网络中对象的信息,并使管理员和用户可以轻松找到并使用这些信息。 Active Directory使用结构化数据存储作为目录信息的逻辑分层组织的基础。
安全性通过登录验证和对目录中的对象的访问控制与Active Directory集成。通过单一网络登录,管理员可以管理整个网络中的目录数据和组织,并且授权的网络用户可以访问网络上的任何位置的资源。基于策略的管理可以简化最复杂网络的管理。
简单的说使用ActiveDirectory域服务(AD DS)服务器角色,您可以为用户和资源管理创建可扩展,安全且可管理的基础架构,并且可以为支持目录的应用程序如Microsoft Exchange Server。
结构如下:
AD DS服务器角色
AD DS提供了一个分布式数据库,用于存储和管理来自启用目录的应用程序的网络资源和应用程序特定数据的信息。管理员可以使用AD DS将网络的元素(例如用户,计算机和其他设备)组织为分层包含结构。分层包含结构包括Active Directory林,林中的域以及每个域中的组织单位(OU)。运行AD DS的服务器称为域控制器。
将网络元素组织成分层包含结构可带来以下好处:
- 森林作为组织的安全边界,并为管理员定义权限范围。默认情况下,森林包含一个称为森林根域的域。
- 可以在林中创建其他域以提供AD DS数据的分区,这使得组织可以仅在需要时才复制数据。这使得AD DS可以通过可用带宽有限的网络进行全局扩展。Active Directory域还支持许多与管理相关的其他核心功能,包括全网用户身份,身份验证和信任关系。
- OU简化了权限的授权,以便管理大量的对象。通过授权,所有者可以将对象的全部权限或有限权限转移给其他用户或组。授权非常重要,因为它有助于将大量对象的管理分发给许多受信任的人员来执行管理任务。
AD DS功能:
安全性通过登录身份验证和对目录中资源的访问控制与AD DS集成。通过单一网络登录,管理员可以管理整个网络中的目录数据和组织。授权网络用户还可以使用单一网络登录访问网络中任何位置的资源。基于策略的管理可以简化最复杂网络的管理。
其他AD DS功能包括:
- 一组规则,模式,用于定义目录中包含的对象和属性的类别,这些对象实例的约束和限制以及它们的名称格式。
- 全局编录包含有关目录中每个对象的信息。无论目录中的哪个域实际包含数据,用户和管理员都可以使用全局编录查找目录信息。
- 查询和索引机制,以便网络用户或应用程序可以发布和查找对象及其属性。
- 通过网络分发目录数据的复制服务。域中的所有可写域控制器都参与复制,并包含其域的所有目录信息的完整副本。对目录数据的任何更改都会复制到域中的所有域控制器。
- 操作主角色(也称为灵活单主操作或FSMO)。持有操作主角色的域控制器被指定执行特定任务以确保一致性并消除目录中冲突的条目。
ps.有关WinSer2016活动目录系列相关文章从今天正式开笔,正如前两章中提到的:可能很多读者在想是否会有过时或者与其他作者之前分享重复等问题,鉴于此类问题小温只想说在每结束一个技术方向的时候总是喜欢按照自己的理解及实践整理一些技术文章或者技术看点等,方便读者或者个人后期参阅或者再次学习等。感谢支持!
原文地址:http://blog.51cto.com/wenzhongxiang/2071655