活动目录

活动目录（AD）是随Windows 2000引入的Microsoft Windows Server目录服务的名称，其核心组件也称为活动目录域服务（AD DS）。

这样的目录(英文目录)是诸如电话簿之类的分配列表，它将电话号码分配给各个联系人(所有者)。

活动目录使得根据公司的实际结构或其空间分布构建网络成为可能。 为此，它管理网络中的各种对象，例如用户、组、计算机、服务、服务器、文件共享和其他设备（例如打印机和扫描仪）及其属性。 借助活动目录，管理员可以组织、提供和监控对象的信息。

可以向网络用户授予访问限制。 例如，并非每个用户都被允许查看每个文件或使用每台打印机。

自 Windows Server 2008 以来，活动目录一词概括了五种不同的服务器角色：

• 活动目录域服务是原始目录服务的当前版本，是域和资源管理的中心点。
• 活动目录轻型目录服务是功能受限的 AD DS 版本，用于连接需要来自目录的 LDAP 兼容信息的应用程序或服务。 该服务首先在 Windows Server 2003 中实现，称为活动目录应用程序模式 (ADAM)。
• 活动目录联合服务用于在用户位于 AD DS 基础结构之外的区域时对他们进行基于 Web 的身份验证。
• 活动目录权限管理服务使用加密方法保护资源免遭未经授权的查看。
• 活动目录证书服务提供公钥基础设施。

LDAP 协议使计算机能够以统一的方式查询目录，例如获取有关用户及其组成员身份的信息。

Kerberos 是一种以统一方式对用户进行集中身份验证的协议。 这使他们能够访问活动目录中的各种服务器和服务，而无需每次都登录。

SMB 协议允许访问位于网络服务器上的文件。 因此活动目录可以例如 B. 使客户端计算机可以使用组策略和登录脚本。

DNS 用于将计算机名称转换为 IP 地址。 这使得通过名称访问活动目录中的每台计算机成为可能。 活动目录的服务也通过 SRV 资源条目为客户端计算机所知。

活动目录分为三个部分：架构、配置和域。

• 架构是所有 Active Directory 条目的模板。 它定义了对象类型、它们的类和属性以及它们的属性语法。 活动目录中可用的对象类型可以通过定义新类型来影响。 其底层模式是定义对象及其属性的“模式”。
• 配置描述了 Active Directory 林及其树。
• 毕竟，域包含描述自身和在其中创建的对象的所有信息。

活动目录的前两部分在林中的所有域控制器之间复制，而特定于域的信息基本上仅在各自的域内可用，即在它们各自的域控制器上。 因此，每个域中也有一个所谓的全局目录。 它代表了自己领域的所有信息，也包含了整体结构中其他领域的重要部分信息，从而使例如 B. 跨域搜索操作。

活动目录使用 Jet（蓝色）数据库来存储有关网络对象的信息，Microsoft 也将其用于 Exchange Server。 它是关系型的、面向事务的并使用预写日志记录。Active Directory 数据库限制为 16 TB，每个域控制器最多可以创建 20 亿个对象。

NTDS.DIT​​数据库文件包含d主要三个表：存储模式的“模式表”、存储对象结构的“链接表”和存储数据的“数据表”。

ESE（可扩展存储引擎）根据预定义的方案将根据关系模型存储的 Active Directory 数据排列在分层模型中。

在 Windows 2000 上，活动目录使用基于 Jet 的 ESE98 数据库。

与 NetIQ 的面向对象的目录系统 eDirectory 相比，活动目录更加基于对象和分层。

数据库中的记录在活动目录中被定义为“对象”，它们的属性被定义为“属性”。 属性是根据它们的类型定义的。 对象由它们的名称xxx标识。

组策略设置存储在组策略对象中。 这些也被分配给域和位置。

对象分为两大类：

• 帐户，例如用户、组和计算机帐户
• 资源，例如文件和打印机共享

可能多达数百万个对象存储在容器（组织单元）中，也称为 OU（组织单元）。 一些容器是预定义的，任何其他组织单位都可以创建子单位（子组织单位）。 作为一个基于对象的系统，活动目录支持将对象容器的属性继承给从属对象，而从属对象又可以是容器。 这允许活动目录在逻辑上和层次上构建网络。

几个相关域的组合，在英文原文中称为“forest”。 可以在全局目录中集中访问所有包含域的最重要信息，并且所有域都使用相同的目录方案。 可以跨域使用安全信息（例如用户权限/组分配）和模式扩展。 整体结构可以包含不同的树，它们是同一 DNS 命名空间中的域。 即使是单个域也已经形成了一个整体结构，以后可以用其他域进行补充。

组织单位 (OU) 是用于对 AD 中的其他对象进行分组的容器对象。 除了对象之外，一个 OU 还可以包含其他 OU。 可自由定义的 OU 层次结构简化了活动目录的管理。 通常，它取决于网络结构（网络管理模型）或公司的组织结构。 OU 是最低级别的活动目录，可以在其中划分管理权限。

细分的一种可能性是位置。 这些表示整体拓扑中 IP 子网的空间结构。

这些位置的快速网络 (LAN) 通常通过较慢的网络 (WAN) 相互连接。 因此，站点形成对于控制复制操作产生的网络流量很重要。 域可以包含位置，位置也可以包含域。

将公司信息的基础结构仔细规划为按层次划分为域和组织单元是很重要的。 基于地理位置、任务或 IT 角色或这些模型的组合的拆分已被证明对此很有用。

在仍然包含没有层次结构的用户数据库的 Windows NT 下，每个域总是有一个指定的控制器，即主域控制器 (PDC)，它被允许对该用户和计算机数据库 (SAM) 进行更改。 所有其他域控制器都复制这些并作为只读备份副本在必要时升级到 PDC。

相反，活动目录使用所谓的多主机复制来复制域控制器之间的目录。 这样做的好处是每个副本都可以被描述和同步。 这意味着本地管理完全可以通过分布式实现实现。 与 Windows NT 域相反，从 Windows 2000 开始，所有域控制器 (DC) 都有一个 Active Directory 数据库的可写副本。 更改其中一个 DC 上的属性会定期传播（复制）到所有其他 DC。