Windows Server 2016-Active Directory域服务概述

活动目录(AD)是一种目录服务是微软用于开发Windows域网络。它被包含在大多数Windows Server 操作系统中作为一组进程和服务。最初,Active Directory只负责集中式域管理。然而,从Windows Server 2008开始,Active Directory成为广泛的基于目录的身份相关服务的标题。目前可能在用的系统层级:Windows Server 2003、2008、2008R2、2012、2012R2、2016。

运行Active Directory域服务(AD DS)的服务器称为域控制器。它对Windows域类型网络中的所有用户和计算机进行身份验证和授权;为所有计算机分配和实施安全策略并安装或更新软件。例如,当用户登录到属于Windows域的计算机时,Active Directory会检查提交的密码并确定用户是系统管理员还是普通用户。此外,它还允许管理和存储信息,提供身份验证和授权机制,并建立一个框架来部署其他相关服务:证书服务,联合服务,轻量级目录服务和权限管理服务。

Active Directory存储有关网络中对象的信息,并使管理员和用户可以轻松找到并使用这些信息。 Active Directory使用结构化数据存储作为目录信息的逻辑分层组织的基础。

安全性通过登录验证和对目录中的对象的访问控制与Active Directory集成。通过单一网络登录,管理员可以管理整个网络中的目录数据和组织,并且授权的网络用户可以访问网络上的任何位置的资源。基于策略的管理可以简化最复杂网络的管理。

简单的说使用ActiveDirectory域服务(AD DS)服务器角色,您可以为用户和资源管理创建可扩展,安全且可管理的基础架构,并且可以为支持目录的应用程序如Microsoft Exchange Server。

结构如下:

AD DS服务器角色

AD DS提供了一个分布式数据库,用于存储和管理来自启用目录的应用程序的网络资源和应用程序特定数据的信息。管理员可以使用AD DS将网络的元素(例如用户,计算机和其他设备)组织为分层包含结构。分层包含结构包括Active Directory林,林中的域以及每个域中的组织单位(OU)。运行AD DS的服务器称为域控制器。

将网络元素组织成分层包含结构可带来以下好处:

  • 森林作为组织的安全边界,并为管理员定义权限范围。默认情况下,森林包含一个称为森林根域的域。
  • 可以在林中创建其他域以提供AD DS数据的分区,这使得组织可以仅在需要时才复制数据。这使得AD DS可以通过可用带宽有限的网络进行全局扩展。Active Directory域还支持许多与管理相关的其他核心功能,包括全网用户身份,身份验证和信任关系。
  • OU简化了权限的授权,以便管理大量的对象。通过授权,所有者可以将对象的全部权限或有限权限转移给其他用户或组。授权非常重要,因为它有助于将大量对象的管理分发给许多受信任的人员来执行管理任务。

AD DS功能:

安全性通过登录身份验证和对目录中资源的访问控制与AD DS集成。通过单一网络登录,管理员可以管理整个网络中的目录数据和组织。授权网络用户还可以使用单一网络登录访问网络中任何位置的资源。基于策略的管理可以简化最复杂网络的管理。

其他AD DS功能包括:

  • 一组规则,模式,用于定义目录中包含的对象和属性的类别,这些对象实例的约束和限制以及它们的名称格式。
  • 全局编录包含有关目录中每个对象的信息。无论目录中的哪个域实际包含数据,用户和管理员都可以使用全局编录查找目录信息。
  • 查询和索引机制,以便网络用户或应用程序可以发布和查找对象及其属性。
  • 通过网络分发目录数据的复制服务。域中的所有可写域控制器都参与复制,并包含其域的所有目录信息的完整副本。对目录数据的任何更改都会复制到域中的所有域控制器。
  • 操作主角色(也称为灵活单主操作或FSMO)。持有操作主角色的域控制器被指定执行特定任务以确保一致性并消除目录中冲突的条目。

ps.有关WinSer2016活动目录系列相关文章从今天正式开笔,正如前两章中提到的:可能很多读者在想是否会有过时或者与其他作者之前分享重复等问题,鉴于此类问题小温只想说在每结束一个技术方向的时候总是喜欢按照自己的理解及实践整理一些技术文章或者技术看点等,方便读者或者个人后期参阅或者再次学习等。感谢支持!

原文地址:http://blog.51cto.com/wenzhongxiang/2071655

时间: 2024-11-05 06:21:33

Windows Server 2016-Active Directory域服务概述的相关文章

Windows Server 2016 Active Directory 图文建立指南

首先打开Manage --> Add Roles and Features 原文地址:https://www.cnblogs.com/shenhaiyu111/p/12221967.html

Active Directory 域服务 安装

本文不详细介绍  AD DS  服务器角色,只介绍AD DS安装: 有关 AD DS概述请参阅:Active Directory 域服务概述 有关 Windows Server 2012 中 AD DS 新增功能 请参阅:Active Directory 域服务 (AD DS) 中的新增功能 在服务器管理器中,单击"管理",再单击"添加角色和功能"以启动添加角色向导: 在"开始之前"页上,单击"下一步". 在"选择安

Windows Server 笔记(六):Active Directory域服务:额外域控制器

额外域控制器: 额外域控制器是指除了第一台安装的域控制器(主域控制器)意外的所有域控制器: 那么额外域控制器有什么好处呢? 1.可以提供容错.即一台DC出问题后,另一台仍可以可以继续工作,提供服务: 2.提高用户登录效率.多台域控可以分担用户审核,加快用户登录速度: 3.备份.域控制器之间会相互复制,就等于多了一份备份: 1.首先设置好IP配置:这里首选DNS指向自己,备用DNS指向主域:将服务器加入域: 2.选择"添加角色和功能": 3.选择"下一步": 4.选择

Windows Server 2012中安装Active Directory域服务

1.登陆Windows Server 2012,打开服务器管理器,选择"添加角色和功能" 2.在"开始之前"页面,直接点击"下一步" 3.选择"基于角色或基于功能的安装",点击"下一步" 4.选择"从服务器池中选择服务器",选中当前服务器,点击"下一步" 5.在角色列表中,选择"Active Directory 域服务",点击"下一步&q

Windows Server 笔记(六):Active Directory域服务:域信任

域使一个安全边界,在有些情况下,我们需要越过这个边界,那么这个时候,我们就需要使用域信任了. 举个例子,有两个域,nswl.local和xuelan.local这两个域,如果当nswl.local域的用户需要访问xuelan.local域中的资源,或xualan.local域中账户需要在nswl.local的域中进行账户验证,那么,你可以通过在两个域之间设置信任来实现: 信任可以分为单向信任和双向信任,单向信任就是A信任B,而B不信任A:双向信任则是,A信任B,B也信任A:同时域的信任也是可传递

cmd 执行Dcpromo错误:在该 SKU 上不支持 Active Directory 域服务安装向导,Windows Server 2008 R2 Enterprise 配置AD(Active Directory)域控制器

今天,要安装AD域控制器,运行dcpromo结果提示:在该 SKU 上不支持 Active Directory 域服务安装向导. 以前弄的时候直接就通过了,这次咋回事?终于搞了大半天搞定了. 主要原因:我的Windows 2008 R2的版本是WEB版.不支持AD角色,只有DNS和IIS两个角色,醉了......,安装的时候说明是:web版也支持全部的角色. 只能重新安装一个Enterprise版的了: 主要说下选版本这一步: Enterprise=旗舰版,功能较全 Standard=标准版 D

Windows Server 2016-安装AD域服务注意事项

使用 Active Directory域服务 (AD DS) 服务器角色,可以创建用于用户和资源管理的可伸缩.安全及可管理的基础机构,并可以提供对启用目录的应用程序(如 Microsoft Exchange Server)的支持等. AD DS 提供了一个分布式数据库,该数据库可以存储和管理有关网络资源的信息,以及启用了目录的应用程序中特定于应用程序的数据. 运行 AD DS 的服务器称为域控制器. 管理员可以使用 AD DS 将网络元素(如用户.计算机和其他设备)整理到层次内嵌结构. 内嵌层次

Windows Server 2003 Active Directory 升级方案

本次实验的大环境是Windows Server 2003的域升级到Windows Server 2012,由于Windows Server 2003到2015年的七月份,微软就停止对其服务了,所以在当下的现实生产环境中,把2003的域升级到2012还是非常需要的,本此实验就详细演示升级技术方案. 首先我们需要准备的虚拟机有三台,分别是Windows Server 2003.Windows Server 2008.Windows Server 2012,在这里为什么需要Windows Server

Active Directory 域服务安装与测试

实验原理: 安装域服务并创建用户,把另一个电脑加入域中,然后用域账户登录以及用本地账户登录测试 实验条件:windows server 2008(域控制器),  win7(加入域的pc) 实验步骤: 一.安装域服务以及配置信息 1.打开"服务管理器",进入"角色",选择"Active Directory 域服务" 2.点击"下一步",然后进行安装 3.安装完毕后,点击"Active Directory 域服务安装向导