您当前的位置:首页 > 计算机 > 系统应用 > Windows

【Windows Server 2019】活动目录 (Active Directory) ——理论

时间:04-15来源:作者:点击数:

1. Acitve Directory 的定义与作用

1.1 Acitve Directory 的定义

活动目录,Active Directory,简称为”AD“。活动目录是负责管理一定区域[1]内Windows网络中各类资源的Windows Server组件之一。

在由windows系统组成的网络中,存在着各种资源,如服务器、客户机、用户账户、打印机、各种文件等,这些资源都分布于各台计算机上。没有使用“活动目录”之前,需要在每台计算机上单独管理这些资源 。

1.2 Acitve Directory 的作用

使用“AD”的主要作用是:

  • 为了集中管理windows网络的各类资源,“活动目录”就像是一个数据库,存储着windows网络中的所有资源。
  • Active Directory域内的directory database(目录数据库)用来存储用户账户、计算机账户、打印机与共享文件夹等对象,而提供目录服务的组件是Active Directory Domain Services,AD DS(活动目录域服务),它负责目录数据库的存储、新建、删除、修改与查询等工作[1]。
  • 普通用户通过“活动目录”可以很容易找到并使用网络中的各种资源。
  • 管理员也可以通过活动目录,对网络上的所有资源进行集中管理,以控制不同用户在不同计算机上对不同资源的访问。

2. Acitve Directory 与 DNS

Active Directory是按区域[2]对资源进行管理的,各区域的命名规则与DNS的命名规则相同,因此AD 必须要有DNS服务的支持,借助DNS服务的域名解析,达到使用域名访问该域中计算机资源的目的。

活动目录使用域名主要用于在进行网络管理时,使用名称来访问计算机资源,这些用于网络管理的计算机名称,只能在活动目录中使用,而不能够被互联网上用户使用。因此,虽然活动目录和互联网都使用DNS域名服务,但其使用目的是不同的。 活动目录使用的域名仅在其管理的区域有效, 而全球互联网使用的域名在互联网上面有效。

在接下来的实验中,为了区别互联网中的域名,将AD的“区域名称”设置为:fjnu.lcoal。

3. Acitve Directory 的组织结构

AD的组织结构为树形图。根域(root domain)和其下所有子域构成一棵“域树”(domain tree)。域树的名称为根域的名称。同一网络中,可以有多棵不同的域树,所有域树构成“林”,林的名称为第一棵域树的名称(即第一棵域树根域的名称)。

在这里插入图片描述

3.1 名词解释

接下来的实验中会用到以下名词,先做了解。

(1)域控制器

在一个区域中,用于安装“活动目录”的服务器称为“域控制器”,负责该区域资源的管理与控制。

(2)子域

区域下面可以划分子域,子域的域控制器负责子域内资源的管理与控制。

(3)对象(Object)

AD DS内的资源是以对象的形式存在,例如用户和计算机这些都是对象。

(4)属性(Attribute)

对象是通过属性来描述其特征,即对象是具有相同属性的集合。

对象(Object) 属性(Attribute)
用户(user) 用户名(Name)
  密码(Age)
  联系方式(Tel.)

(5)容器(Container)

容器与对象相似,它拥有名字,也是一些属性的集合,不过容器中可以包含其他对象(例如用户、计算机等对象),也可以包含其他容器。

(6)组织单位(Organization Units,OU)

组织单位是一个比较特殊的容器,它除了可以包含其他对象与组织单位外,还能应用组策略(Group Policy)功能。

(7)关于域间信任(Trust)

两个域之间必须拥有信任关系(trust relationship),才可以访问对方域内的资源。而任何一个新的AD DS域被加入到域树后,这个域会自动信任其上层的父域,同时父域也会自动信任新子域,而且这些信任关系具备双向传递性(two-way transitive)。由于此信任工作是通过Kerberos security protocol来完成,因此也被为Kerberos trust[1]。

在同一个林下,不同的域树间也可以互相访问。只要两个域间互相信任。

4. 实验拓扑

在这里插入图片描述
  • DNS1和DNS2共同管理区域fjnu.local内的资源,当一台出现故障时,另一台可以完全独立负责本区域的管理和控制。
  • DNS3负责该子域内所有资源的集中管理,子域和父域之间默认是双向信任关系。
  • computer是区域fjnu.local中的一台普通计算机,通过将该计算机加入域中,可以在域控制器上对该计算机上的资源进行集中管理。
  • server是区域fjnu.local中的一台服务器,通过将该服务器加入域中,可以在域控制器上对该服务器上的资源进行集中管理。

参考资料

方便获取更多学习、工作、生活信息请关注本站微信公众号城东书院 微信服务号城东书院 微信订阅号
推荐内容
相关内容
栏目更新
栏目热门