【Windows Server 2019】活动目录 (Active Directory) ——理论
1. Acitve Directory 的定义与作用
1.1 Acitve Directory 的定义
活动目录,Active Directory,简称为”AD“。活动目录是负责管理一定区域[1]内Windows网络中各类资源的Windows Server组件之一。
在由windows系统组成的网络中,存在着各种资源,如服务器、客户机、用户账户、打印机、各种文件等,这些资源都分布于各台计算机上。没有使用“活动目录”之前,需要在每台计算机上单独管理这些资源 。
1.2 Acitve Directory 的作用
使用“AD”的主要作用是:
- 为了集中管理windows网络的各类资源,“活动目录”就像是一个数据库,存储着windows网络中的所有资源。
- Active Directory域内的directory database(目录数据库)用来存储用户账户、计算机账户、打印机与共享文件夹等对象,而提供目录服务的组件是Active Directory Domain Services,AD DS(活动目录域服务),它负责目录数据库的存储、新建、删除、修改与查询等工作[1]。
- 普通用户通过“活动目录”可以很容易找到并使用网络中的各种资源。
- 管理员也可以通过活动目录,对网络上的所有资源进行集中管理,以控制不同用户在不同计算机上对不同资源的访问。
2. Acitve Directory 与 DNS
Active Directory是按区域[2]对资源进行管理的,各区域的命名规则与DNS的命名规则相同,因此AD 必须要有DNS服务的支持,借助DNS服务的域名解析,达到使用域名访问该域中计算机资源的目的。
活动目录使用域名主要用于在进行网络管理时,使用名称来访问计算机资源,这些用于网络管理的计算机名称,只能在活动目录中使用,而不能够被互联网上用户使用。因此,虽然活动目录和互联网都使用DNS域名服务,但其使用目的是不同的。 活动目录使用的域名仅在其管理的区域有效, 而全球互联网使用的域名在互联网上面有效。
在接下来的实验中,为了区别互联网中的域名,将AD的“区域名称”设置为:fjnu.lcoal。
3. Acitve Directory 的组织结构
AD的组织结构为树形图。根域(root domain)和其下所有子域构成一棵“域树”(domain tree)。域树的名称为根域的名称。同一网络中,可以有多棵不同的域树,所有域树构成“林”,林的名称为第一棵域树的名称(即第一棵域树根域的名称)。
3.1 名词解释
接下来的实验中会用到以下名词,先做了解。
(1)域控制器
在一个区域中,用于安装“活动目录”的服务器称为“域控制器”,负责该区域资源的管理与控制。
(2)子域
区域下面可以划分子域,子域的域控制器负责子域内资源的管理与控制。
(3)对象(Object)
AD DS内的资源是以对象的形式存在,例如用户和计算机这些都是对象。
(4)属性(Attribute)
对象是通过属性来描述其特征,即对象是具有相同属性的集合。
| 对象(Object) | 属性(Attribute) |
|---|---|
| 用户(user) | 用户名(Name) |
| 密码(Age) | |
| 联系方式(Tel.) |
(5)容器(Container)
容器与对象相似,它拥有名字,也是一些属性的集合,不过容器中可以包含其他对象(例如用户、计算机等对象),也可以包含其他容器。
(6)组织单位(Organization Units,OU)
组织单位是一个比较特殊的容器,它除了可以包含其他对象与组织单位外,还能应用组策略(Group Policy)功能。
(7)关于域间信任(Trust)
两个域之间必须拥有信任关系(trust relationship),才可以访问对方域内的资源。而任何一个新的AD DS域被加入到域树后,这个域会自动信任其上层的父域,同时父域也会自动信任新子域,而且这些信任关系具备双向传递性(two-way transitive)。由于此信任工作是通过Kerberos security protocol来完成,因此也被为Kerberos trust[1]。
在同一个林下,不同的域树间也可以互相访问。只要两个域间互相信任。
4. 实验拓扑
- DNS1和DNS2共同管理区域fjnu.local内的资源,当一台出现故障时,另一台可以完全独立负责本区域的管理和控制。
- DNS3负责该子域内所有资源的集中管理,子域和父域之间默认是双向信任关系。
- computer是区域fjnu.local中的一台普通计算机,通过将该计算机加入域中,可以在域控制器上对该计算机上的资源进行集中管理。
- server是区域fjnu.local中的一台服务器,通过将该服务器加入域中,可以在域控制器上对该服务器上的资源进行集中管理。
参考资料
- 戴有炜,《2016 Windows Server 系统配置指南》,清华出版社,2018
- Microsoft Docs:AD DS Installation and Removal Wizard Page Descriptions
- Microsoft Docs:Forest and Domain Functional Levels
- 【Windows Server 2019】MySQL数据库的安装与配置——
- 【Windows Server 2019】MySQL数据库的安装与配置——
- 【最新超详细版】windows 10 专业版 安装Docker和kube
- 在Windows环境下安装虚拟机软件VirtualBox
- Windows 10上使用minikube快速搭建本地单节点 Kuberne
- 【Windows Server 2019】组策略的配置与管理——配置
- 【Windows Server 2019】组策略的配置与管理——配置
- 【Windows Server 2019】组策略的配置与管理——配置
- 【Windows Server 2019】组策略的配置与管理——理论
- 【Windows Server 2019】企业虚拟专用网络服务的配置
湘公网安备 43102202000103号