AD域(active directory)基础概念(一)

  • Post author:
  • Post category:其他




Active directory 活动目录

1, 什么是AD域

AD:活动目录,一组服务器和工作站的集合,而且目录处于激活状态并且动态更新。

域:将计算机,用户名的密码账号放到一个数据库中,使用户只通过一个账号密码就可以访问网络内的其他资源。

Active directory(活动目录)是Windows serve域环境中所提供的目录服务组件,目录服务在微软Windows server 2000开始引入,所以我们也可以理解为活动目录是目录服务在微软平台的一种实现方式。当然目录服务在非微软平台是哪个都有对应的实现。

Windows有两种网络环境:工作组和域,默认是工作组的网络环境,如图:

在这里插入图片描述

工作组网络也称为“对等式”的网络,因为网络中每台计算机的地位都是平等的,他们的资源以及管理都是分散在每台计算机之上,所以工作组管径的特点就是分散管理,工作组环境中的每台计算机都有自己的“本机安全账户数据库”,称之为SAM数据库。那么这个数据库是干什么的?其实就是平时我们登录电脑时,当我们输入账户和密码后,此时就会去这个SAM数据库验证,如果我们输入的账户存在SAM数据库中,同时密码也正确,SAM数据库就会通知系统让我们进行登录。而这个SAM数据可默认就存储在C:\WINDOWS\system32\config目录下,这便是工作组环境中的登录验证过程。

假如我们有一个场景:有200台电脑的一个公司,我们希望某台电脑上的账户Bob可以访问每台电脑内的资源或者可以在每台电脑上登录。那么在工作组环境中,我们必须要在这200台电脑的每个SAM数据库中创建Bob这个账户。一旦Bob想要更换密码,就必须要更改200次!!!!这样的话估计就够一个管理员忙上半天了。而且这还只是200台,如果是一个有5000台的公司或者上万的公司呢?这个工作量是难以想象的。

而我们工作之中经常会用到Windows server的版本的系统,这究竟是为什么呢?其实基本上很大一部分原因是冲着活动目录去的。事实上微软服务器级别的产品,比如:MOSS,Exchange等都需要活动目录的支持。

Windows server 的域环境与工作环境最大的不同是,域内所有的计算机共享一个集中式的目录数据库(又称为活动目录数据库),它包括着整个域内的对象(用户账户,计算机账户,打印机,共享文件等)和安全信息等等,而活动目录负责目录数据库的添加,修改,更新以及删除。所以我们要在server版本上实现的域功能,其实就是安装活动目录。就比如前面那个例子,在域环境中,只需要在活动目录中创建一次Bob,那么就可以在任意200台电脑中的一台登录上Bob,如果Bob账户需要更改密码,只需要在活动目录中进行一次修改即可。

2, 与活动目录相关的概念

1, 命名空间

命名空间是一个界定好的区域,比如我们把电话本看做是一个“命名空间”,那么我们就可以通过电话簿这个界定好的区域里面的某个人名,找到与这个人名相关的电话,地址以及公司名称地址等信息。而活动目录就相当于一个命名空间,我们通过活动目录里的对象名称就可以找到与这个对象相关的信息。活动目录的命名空间采用DNS的架构,所以活动目录的域名采用DNS的格式来命名。我们可以吧域名命名为aaa.com,bbb.com等。

2, 域,域树,林和组织单元

活动目录的逻辑结构包括:域(Domain),域树(Domain Tree),林(Forest)和组织单元(Organization Unit)。如下图:

在这里插入图片描述

域是一种逻辑分组,准确的说是一种环境,域是安全的最小边界。域环境能对网络中的资源集中统一的管理,想要实现域环境,就必须要在计算机中安装活动目录。

域树是由一组连续命名空间的域组成的。如下图

最上面的域名是abc.com,这个域是这课树的根域(root domain),此根域下面有两个子域,分别是gs.abc.com,sino.abc.com。从图中我们可以看出他们的命名空间具有连续性。例如,sino.abc.com 的后缀中还包括着上一层父域的域名abc.com。其实gs.abc.com和sino.abc.com还都可以拥有自己的子域。

域树内的所有域共享一个active directory(活动目录),这个活动目录内的数据分散地存储在各个域内,且每一个域之存储该域的数据,如该域内的用户账户,计算机账户等,这些存储在各个域内的对象总称为Active directory。

林(forest)是一棵或者多棵树组成的,每棵域树独享连续的命名空间,不同的域树之间没有命名空间的连续性。林中第一课域树的根域也是整个林的根域,同时也是林的名称。

组织单元(OU)是一种容器,它里面可以包含对象(用户账户,计算机账户等),也可以包含其他的组织单元(OU)

3, 域控制器和站点

活动目录的物理结构由于控制器和站点组成。

域控制器(Domain controller)是活动目录的存储地方,也就是说活动目录存储在域控制器内。安装了活动目录的计算机就称为域控制器,其实在我们第一次安装活动目录的时候,我们安装活动目录的那台计算机就成为了域控制器,一个域可以有一台或多台控制器。最经典的做饭就是做一个主辅域控。

再解释一次,域是逻辑组织形式,它能够对网络中的资源进行统一管理,就像工作组对网络进行分散管理一样,要想实现域,必须在一台计算机上安装活动目录才能实现,而安装了活动目录的这台计算机就称之为域控制器(DC)。

当一台域控制器的活动目录数据库发生改变时,这些改动的数据将会复制到其他域控制器的活动目录数据库内。

站点(Site)一般与地理位置相对应,它由一个或几个物理子网组成。创建站点的目的是为了优化DC之间的复制。活动目录允许一个站点可以有多个域,一个域也可以属于多个站点。