活动目录,Active Directory,简称为”AD“。活动目录是负责管理一定区域[1]内Windows网络中各类资源的Windows Server组件之一。
在由windows系统组成的网络中,存在着各种资源,如服务器、客户机、用户账户、打印机、各种文件等,这些资源都分布于各台计算机上。没有使用“活动目录”之前,需要在每台计算机上单独管理这些资源 。
使用“AD”的主要作用是:
Active Directory是按区域[2]对资源进行管理的,各区域的命名规则与DNS的命名规则相同,因此AD 必须要有DNS服务的支持,借助DNS服务的域名解析,达到使用域名访问该域中计算机资源的目的。
活动目录使用域名主要用于在进行网络管理时,使用名称来访问计算机资源,这些用于网络管理的计算机名称,只能在活动目录中使用,而不能够被互联网上用户使用。因此,虽然活动目录和互联网都使用DNS域名服务,但其使用目的是不同的。 活动目录使用的域名仅在其管理的区域有效, 而全球互联网使用的域名在互联网上面有效。
在接下来的实验中,为了区别互联网中的域名,将AD的“区域名称”设置为:fjnu.lcoal。
AD的组织结构为树形图。根域(root domain)和其下所有子域构成一棵“域树”(domain tree)。域树的名称为根域的名称。同一网络中,可以有多棵不同的域树,所有域树构成“林”,林的名称为第一棵域树的名称(即第一棵域树根域的名称)。
接下来的实验中会用到以下名词,先做了解。
在一个区域中,用于安装“活动目录”的服务器称为“域控制器”,负责该区域资源的管理与控制。
区域下面可以划分子域,子域的域控制器负责子域内资源的管理与控制。
AD DS内的资源是以对象的形式存在,例如用户和计算机这些都是对象。
对象是通过属性来描述其特征,即对象是具有相同属性的集合。
对象(Object) | 属性(Attribute) |
---|---|
用户(user) | 用户名(Name) |
密码(Age) | |
联系方式(Tel.) |
容器与对象相似,它拥有名字,也是一些属性的集合,不过容器中可以包含其他对象(例如用户、计算机等对象),也可以包含其他容器。
组织单位是一个比较特殊的容器,它除了可以包含其他对象与组织单位外,还能应用组策略(Group Policy)功能。
两个域之间必须拥有信任关系(trust relationship),才可以访问对方域内的资源。而任何一个新的AD DS域被加入到域树后,这个域会自动信任其上层的父域,同时父域也会自动信任新子域,而且这些信任关系具备双向传递性(two-way transitive)。由于此信任工作是通过Kerberos security protocol来完成,因此也被为Kerberos trust[1]。
在同一个林下,不同的域树间也可以互相访问。只要两个域间互相信任。