Active Directory域服务 (Active Directory Domain Services , AD DS)是提供目录服务的组件。它负责目录数据库的存储、添加、删除、修改与查询等工作。
AD DS 适用范围非常广泛,它可以以用于一台计算机、一个小型局域网(LAN)或者多个广域网(WAN)结合的环境中。它包含此范围内的所有对象。
名称空间
名称空间:一个界定好的区域,在此区域内,可以利用某个名称来找到与此名称有关的信息。Windows操作系统中的NTFS文件系统就是一个名称空间。
Active Directory域服务 (AD DS)也是一个名称空间。
在TCP/IP网络环境内利用Domain Name System(DNS) 来解析主机名与IP地址的映射关系,例如利用DNS来得知主机的IP地址。AD DS的域名空间采用的是DNS架构,因此其域名采用DNS格式命名(如:sayms.local)。
对象(Object)与属性(Attribute)
AD DS 内的资源是以对象的形式存在,而对象是通过属性来描述其特征的,也就是对象本身的一些属性集合。
容器(Container)与组织单位(Organization Units,OU)
容器与对象相似,它有自己的名称,也是一些属性的集合,但容器内可以包含其他对象,也可以包含其他容器。而组织单位是一个比较特殊的容器,除了可以包含其他对象与组织单位之外,还有组策略。
AD DS 以层级式架构将对象、容器、组织单位等组合在一起,并将其存储在AD DS 数据库内。
域树(Domain Tree)
我们可以搭建包含多个域的网络,以域树的形式存在。
![](https://i-blog.csdnimg.cn/blog_migrate/d62f52b0911f7a5610466236725d2607.png)
在域树内的所有域共享一个AD DS,其中的数据分散存储在各个域中,每一个域内只存储隶属于该域的数据。
信任(Trust)
两个域之间必须有信任关系,才可以访问对方域内的资源。任何一个新的AD DS域加入到域树后,这个域会自动信任其上层的父域,同时父域也会自动信任新子域。这些信任关系具有双向传递性。此信任工作通过Kweberos security protocol 来完成的,因此也被称为Kerberos trust。
![](https://i-blog.csdnimg.cn/blog_migrate/ac6694aa9f38e90ee92790d2d6aaf4ab.png)
林(Forest)
林是由一个或多个域树组成,每个域树都有自己唯一的名称空间。其中域树内的每一个域名都以sayms.local结尾,而另一个以say365.local结尾。
第一个域树的根域,就是整个林的根域,其域名就是林的林名称。
在建立林时,每一个域树的根域与林根域之间双向的、可传递的信任关系都会被自动建立起来。因此,每一个域树中的每一个域内的用户,只要拥有权限,就可以访问其他任何一个域树内的资源,也可以到其他任何一个域树内的成员计算机登录。
![](https://i-blog.csdnimg.cn/blog_migrate/1914dd4fe248ba1137ee194ca6da71b7.png)
架构(Schema)
AD DS对象类型与属性数据是定义在架构内的。隶属于Schema Admins组的用户可以修改架构内的数据,应用程序也可以自行在架构内添加其所需的对象类型或属性。在一个林内的所有域树共享相同的架构。
域控制器(Domain Controller)
Active Directory域服务 (AD DS)的目录数据存储在域控制器内。一个域内可以有多台域控制器,每台域控制器的地位(几乎)平等,它们各自存储着一份相同的AD DS 数据库。 当在任何一台域控制器内添加一个用户账户后,该账户默认是被建立在此域控制器的AD DS 数据库中,之后会自动被复制到其他域控制器的AD DS 数据库,以便于让所有与控制器内的AD DS 数据库都能够同步(synchronize)。