Active Directory 域服务概述

IT青大侠

于 2025-04-03 16:30:21 发布

阅读量732

点赞数 17

分类专栏：服务器文章标签：服务器 windows 运维

本文链接：https://blog.csdn.net/shihaoyuya/article/details/146981926

版权

服务器专栏收录该内容

6 篇文章

订阅专栏

Active Directory 域服务相关概念

Active Directory 域服务是微软公司的重要核心服务 Active Directory 域服务的构成涵盖了非常多的重要组件和概念主要包活活动目录（Active Directory AD）名称空间域和域控制器等下面分别对这些概念进行讲解后续的章节针对每个重要的概念也会有更加具体的讲解

活动目录（Active Directory AD）

活动目录是微软Windows Server操作系统中的一个核心目录服务，用于集中管理网络中的各种对象（如用户、计算机、组、打印机等），并提供身份验证、授权、资源管理和策略管理等功能。

活动目录的主要功能

1. 用户和组管理

用户账户管理：创建、修改、删除用户账户，设置用户密码策略（如密码复杂度、过期时间等），管理用户权限。
组管理：创建和管理用户组，将用户分配到不同的组中，通过组策略实现对用户的统一管理。例如，可以为某个部门的所有用户分配相同的权限和策略。

2. 资源管理

计算机管理：注册和管理网络中的计算机，确保只有经过授权的计算机可以加入网络。
打印机管理：集中管理网络打印机，设置打印机的访问权限，方便用户使用。
文件服务器管理：管理文件服务器上的共享文件夹，设置文件夹的访问权限，确保数据安全。

3. 身份验证和授权

身份验证：通过Kerberos协议和NTLM协议，对用户和计算机进行身份验证，确保只有合法用户可以访问网络资源。
授权：根据用户和组的权限设置，控制用户对网络资源的访问。例如，某些用户可能只能读取文件，而另一些用户可以修改文件。

4. 组策略管理

策略配置：通过组策略（Group Policy），可以集中配置和管理网络中计算机的系统设置、软件分发、用户环境等。例如，可以设置用户的桌面背景、屏幕保护程序、软件安装等。
策略应用：将组策略应用到不同的用户组或计算机组，实现统一的管理。

活动目录的架构

活动目录的架构包括以下几个关键概念：

1. 域（Domain）

定义：域是活动目录的基本管理单元，是一个逻辑的组织结构，包含一组用户、计算机和组等对象。
功能：在域中，可以集中管理用户账户、资源权限和策略配置。

2. 域控制器（Domain Controller）

定义：域控制器是运行活动目录服务的服务器，负责存储域的目录信息，并提供身份验证、授权等功能。
功能：一个域可以有多个域控制器，它们之间通过多主复制（Multi-Master Replication）机制保持数据同步。

3. 森林（Forest）

定义：森林是活动目录的最高层次结构，包含一个或多个域树（Domain Tree），这些域树之间通过双向可传递的信任关系连接。
功能：森林中的所有域共享一个全局目录（Global Catalog），用于跨域的查询和身份验证。

4. 组织单位（Organizational Unit，简称OU）

定义：组织单位是域中的一个逻辑容器，用于进一步组织和管理用户、组、计算机等对象。
功能：可以在组织单位上应用组策略，实现更细粒度的管理。

活动目录的部署和管理

1. 部署

安装域控制器：在Windows Server操作系统上安装活动目录服务，将服务器配置为域控制器。
创建域：定义域的名称、架构等信息。
加入域：将用户计算机加入到域中，以便进行集中管理。

2. 管理工具

Active Directory 用户和计算机（ADUC）：用于管理用户、组、计算机等对象。
Active Directory 站点和服务（ADSS）：用于管理域控制器的站点配置和复制拓扑。
组策略管理控制台（GPMC）：用于配置和管理组策略。

活动目录的优势

集中管理：通过活动目录，可以集中管理用户、计算机和资源，简化管理流程。
安全性高：提供强大的身份验证和授权机制，确保网络资源的安全。
灵活性强：通过组织单位和组策略，可以实现灵活的管理策略。
可扩展性好：可以支持从小型网络到大型企业网络的多种规模。

AD域和域控制器的定义及区别

AD域（Active Directory Domain）

AD域是微软Windows Server操作系统中Active Directory（活动目录）服务的一个核心概念，用于在网络环境中组织和管理用户、计算机、组、应用程序等对象。每个AD域都有自己的安全策略和用户账户数据库，是一个独立的安全边界。其主要功能包括：

集中管理：管理员可以通过域控制器集中管理用户账户、计算机账户、组策略等。
身份验证和授权：通过Kerberos协议等机制，为用户提供单一登录（SSO）功能，并控制用户对资源的访问权限。
资源共享：允许用户访问域内的共享资源，如文件服务器、打印机等。
安全性和合规性：通过细粒度的访问控制和审计功能，保护数据和资源。

域控制器（Domain Controller, DC）

域控制器是运行Active Directory Domain Services (AD DS) 角色的服务器，负责存储和管理域的目录数据库。每个域至少有一个域控制器，通常会部署多个以实现容错和负载均衡。域控制器的主要职责包括：

存储目录数据：域控制器存储域中的所有对象（如用户、组、计算机等）及其属性的信息。
身份验证：处理用户的登录请求，验证用户身份，并提供相应的访问权限。
复制服务：域控制器之间通过多主复制技术保持目录数据的同步，确保数据的一致性和可靠性。
策略管理：应用和管理组策略，以实现对用户和计算机的统一配置。

AD域与域控制器的区别

概念层次：
- AD域是一个逻辑概念，表示一个组织和管理网络对象的单元。
- 域控制器是物理的服务器，用于实现AD域的功能。
功能侧重：
- AD域侧重于定义和管理网络对象的组织结构、安全策略和信任关系。
- 域控制器侧重于存储和管理目录数据、处理身份验证请求、执行复制操作等。
数量关系：
- 一个AD域可以有多个域控制器，以提高系统的可用性和容错能力。
- 每个域控制器都存储了域的完整目录数据副本，并通过复制保持同步。

总之，AD域是网络对象的逻辑组织单元，而域控制器是实现AD域功能的物理服务器。二者共同构成了Active Directory服务的基础，为企业网络提供了强大的管理和安全功能

名称空间

在Active Directory（活动目录）中，**名称空间（Namespace）**是一个界定好的区域，在此区域内，可以利用某个名称来找到与此名称有关的信息。例如，Windows操作系统的NTFS文件系统就是一个名称空间，在这个文件系统内，可以通过文件名找到文件的大小、修改日期与文件内容等数据。

Active Directory域服务（AD DS）也是一个名称空间。利用AD DS，可以通过对象名称来找到与此对象有关的所有信息。AD DS与DNS紧密集成，其域名空间采用DNS架构，因此域名采用DNS格式来命名，例如可以将AD DS的域名命名为sayms.local。

在Active Directory的逻辑结构中，名称空间与域树（Domain Tree）和林（Forest）的概念密切相关。域树是由一组连续命名空间的域组成的，这些域共享一个AD DS，但数据分散存储在各个域中。而林是由一个或多个域树组成的，每个域树都有自己的唯一名称空间。

对象和属性

在Active Directory（AD）中，**对象（Object）和属性（Attribute）**是两个非常重要的概念，它们是AD数据模型的核心组成部分。以下是对这两个概念的详细解释：

1. 对象（Object）

在Active Directory中，对象是用于表示网络资源或实体的逻辑单元。每个对象都代表了一个特定的实体，例如用户、计算机、组、组织单位（OU）、打印机等。对象是AD中存储和管理信息的基本单位。

对象的特点

唯一性：每个对象在目录中都有一个唯一的标识符，称为对象GUID（Globally Unique Identifier）。GUID是一个128位的唯一标识符，确保每个对象在整个目录中都是唯一的。
类型化：对象属于特定的对象类（Object Class），每个对象类定义了一组属性和行为。例如，用户对象属于“用户”类，计算机对象属于“计算机”类。
可管理性：对象可以被创建、修改、删除和查询，管理员可以通过AD管理工具或脚本对对象进行操作。

常见的对象类型

用户（User）：代表网络中的用户账户，包含用户的登录名、密码、姓名、电子邮件等信息。
计算机（Computer）：代表加入到域中的计算机，包含计算机的名称、IP地址、操作系统信息等。
组（Group）：用于将多个用户或计算机组织在一起，便于统一管理权限和策略。
组织单位（Organizational Unit, OU）：用于逻辑上组织和管理其他对象，如用户、组、计算机等。
打印机（Printer）：代表网络中的共享打印机，包含打印机的名称、位置、驱动程序信息等。

2. 属性（Attribute）

属性是对象的特征或描述信息，用于定义对象的具体内容。每个对象类都有一组预定义的属性，这些属性决定了对象可以存储哪些信息。例如，用户对象可能有“姓名”、“电子邮件”、“电话号码”等属性。

属性的特点

可选性：某些属性是必须的（如用户的登录名），而某些属性是可选的（如用户的电话号码）。
多值性：某些属性可以有多个值，例如用户的电子邮件地址可以有多个。
可继承性：某些属性可以从父对象继承，例如组织单位（OU）的某些策略属性可以应用于其子对象。

常见的属性

用户对象的属性：
- sAMAccountName：用户的登录名。
- cn：用户的通用名称（Common Name）。
- mail：用户的电子邮件地址。
- telephoneNumber：用户的电话号码。
- description：用户的描述信息。
计算机对象的属性：
- sAMAccountName：计算机的登录名。
- cn：计算机的通用名称。
- operatingSystem：计算机的操作系统版本。
- ipAddress：计算机的IP地址。
组对象的属性：
- sAMAccountName：组的登录名。
- cn：组的通用名称。
- description：组的描述信息。
- member：组的成员列表。

对象和属性的关系

对象是容器：对象是AD中存储信息的基本单位，每个对象都包含一组属性。
属性是对象的描述：属性是对象的特征，用于定义对象的具体信息。通过属性，可以查询和管理对象。
对象类定义属性：每个对象类定义了一组属性，这些属性决定了对象可以存储哪些信息。例如，用户对象类定义了用户对象可以有哪些属性。

示例

假设有一个用户对象，其名称为“John Doe”，以下是该用户对象的一些属性：

sAMAccountName：johndoe
cn：John Doe
mail：johndoe@example.com
telephoneNumber：123-456-7890
description：IT部门员工

在这个例子中，用户对象“John Doe”通过其属性存储了具体的信息，这些属性定义了用户的基本特征和行为。

总结

对象是AD中用于表示网络资源或实体的逻辑单元，每个对象都有一个唯一的标识符（GUID）。
属性是对象的特征或描述信息，用于定义对象的具体内容。
对象和属性共同构成了AD的数据模型，通过对象和属性，可以实现对网络资源的集中管理和查询。

容器

在Active Directory（AD）中，**容器（Container）**是一个特殊的对象，用于组织和存储其他对象。以下是关于容器的详细信息：

容器的定义

容器是一种特殊的AD对象，它与其他对象一样具有自己的名称和属性集合。容器的主要作用是提供一个空间来存放其他对象，例如用户、计算机、组等，也可以包含其他容器。

容器的特点

包含性：容器可以包含其他对象，如用户、计算机、组等，也可以包含其他容器。
非安全主体：容器本身不具有安全主体的特性，即它不能像用户或计算机对象那样被直接分配权限。
默认存在：在AD中，存在一些默认的容器，例如“Users”、“Computers”、“Domain Controllers”等，这些容器由系统自动创建。

容器与组织单位（OU）的区别

功能差异：组织单位（OU）是一种特殊的容器，除了可以包含其他对象和容器外，还可以应用组策略（Group Policy），从而实现对其中对象的统一管理。而普通容器则不具备直接应用组策略的功能。
灵活性：OU可以嵌套，形成层次结构，以更好地模拟企业的组织架构。容器也可以嵌套，但通常用于更通用的对象组织。

容器的作用

组织对象：容器用于将相似的对象分组在一起，便于管理和查找。
简化管理：通过容器，管理员可以更高效地管理大量的对象，例如将所有用户对象放在“Users”容器中。

示例

在AD中，存在一些默认的容器，如“Users”容器用于存放用户账户，“Computers”容器用于存放计算机账户。这些默认容器由系统自动创建，管理员可以根据需要将对象移动到这些容器中，或者创建新的容器来更好地组织对象。

容器在AD的逻辑结构中扮演着重要的角色，它与组织单位（OU）一起，为管理员提供了强大的工具来组织和管理网络资源

举个例子男人和女人都是对象那人这个词就可以把男人和女人概括起来这就是容器

组策略（Group Policy）

定义

组策略（Group Policy）是 Active Directory 中的一个核心管理工具，用于集中管理和配置用户和计算机的设置。通过组策略，IT 管理员可以在 Windows 网络环境中定义和强制实施特定的配置和规则。

功能

集中管理：管理员可以通过组策略从单一位置配置和管理多个用户和计算机的设置。
安全性增强：通过设置密码策略、用户访问控制和软件限制，组策略可以保护网络免受未经授权的访问和潜在威胁。
环境标准化：确保所有用户和计算机具有一致的设置，简化故障排除并降低支持成本。
自动化管理任务：自动化软件部署、更新和系统配置，减少手动干预。
资源管理优化：通过控制资源访问和系统行为，优化网络资源的使用。

组策略对象（Group Policy Object, GPO）

GPO 是实现组策略设置的核心组件，它是一个包含一系列设置的容器。GPO 可以链接到 Active Directory 中的组织单位（OU）、域或站点，从而将设置应用到指定范围内的所有用户或计算机。

用户配置：适用于用户，无论他们登录到哪台机器。例如，可以控制用户权限、桌面环境或限制对某些软件的访问。
计算机配置：适用于机器本身，无论谁登录。这些设置可能包括安全策略、软件安装或网络配置。

组策略的类型

本地组策略（Local Group Policy）：应用于单个计算机，适用于非域环境。
域组策略（Domain Group Policy）：在域范围内应用，适用于需要跨多个用户和计算机实施一致策略的组织。
站点组策略（Site Group Policy）：应用于 Active Directory 中的站点，适用于多地点组织，确保特定地理位置的设置一致。
组织单位组策略（OU Group Policy）：针对特定的组织单位，允许为不同部门或团队定制策略。
安全组策略（Security Group Policy）：专门用于实施安全标准，如密码策略和用户权限。

创建组策略的步骤

打开组策略管理控制台（GPMC）。
导航到目标域或组织单位（OU）。
创建新的 GPO 并命名。
编辑 GPO，配置用户或计算机设置。
（可选）应用安全筛选，将 GPO 限制到特定用户或安全组。
测试并应用 GPO。

组策略的优势

集中管理：减少管理复杂性。
增强安全性：保护网络资源。
标准化环境：简化故障排除。
自动化任务：减少手动干预。
优化资源管理：提高网络效率。

通过组策略，组织可以确保网络环境的一致性和安全性，同时提高管理效率

域结构

逻辑结构

在Active Directory（AD）中，逻辑结构是指用于组织和管理网络资源的逻辑层次，它独立于物理网络结构（如网络拓扑、服务器位置等）。逻辑结构的主要目的是帮助管理员高效地管理用户、计算机、组和其他资源，同时提供灵活性和可扩展性。AD的逻辑结构主要包括以下几个关键组件：域（Domain）、域树（Domain Tree）、林（Forest）、组织单位（Organizational Unit, OU）

1. 域（Domain）

域是AD逻辑结构的基本管理单元，用于存储和管理一组相关的对象（如用户、计算机、组等）。每个域都有自己的目录数据库，存储了该域内的所有对象信息。

特点：
- 独立的安全边界：每个域都有自己的安全策略和身份验证机制。
- 对象存储：域中可以存储用户、计算机、组、打印机等对象。
- 组策略应用：可以通过组策略（Group Policy）对域中的对象进行统一管理。
- 可扩展性：一个域可以包含多个组织单位（OU），用于进一步细分和管理对象。

2. 域树（Domain Tree）

域树是由多个域组成的层次结构，这些域共享一个连续的命名空间。在域树中，每个子域（Child Domain）继承父域（Parent Domain）的命名空间，并通过双向可传递的信任关系连接。

特点：
- 连续命名空间：子域的名称是父域名称的扩展。例如，如果父域是example.com，子域可以是sales.example.com。
- 信任关系：子域和父域之间存在双向可传递的信任关系，允许用户跨域访问资源。
- 统一管理：可以通过组策略和组织单位（OU）对树中的所有域进行统一管理。

3. 林（Forest）

林是AD中最高层次的结构，由一个或多个域树组成。林中的所有域共享一个全局目录（Global Catalog），用于跨域的查询和身份验证。

特点：
- 全局目录：林中的每个域控制器都存储全局目录的副本，全局目录包含林中所有对象的部分信息。
- 信任关系：林中的域树之间通过双向可传递的信任关系连接，允许跨树的用户访问资源。
- 林根域：林中的第一个域称为林根域（Forest Root Domain），它是林的起点。
- 架构和配置分区：林中的架构（Schema）和配置（Configuration）分区存储了整个林的架构和配置信息，这些信息对所有域都是共享的。

4. 组织单位（Organizational Unit, OU）

组织单位是域中的一个逻辑容器，用于进一步组织和管理对象。OU可以包含用户、组、计算机和其他OU。

特点：
- 分层管理：可以创建多层OU结构，以模拟企业的组织架构。
- 组策略应用：可以在OU上应用组策略，实现对特定对象的统一管理。
- 委派管理：可以将OU的管理权限委派给特定的用户或组，实现分层管理。

全局编录（Global Catalog，简称GC）

全局编录（Global Catalog，简称GC）是 Active Directory（AD）中的一个核心组件，它是一个特殊的目录服务数据库，存储了整个森林（Forest）中所有对象的部分属性副本。全局编录允许用户和应用程序在 Active Directory 域树中查找对象，即使他们不知道目标对象的确切位置。

功能

对象搜索：
- 全局编录允许用户和应用程序在 Active Directory 的整个森林中查找对象，而无需知道对象所在的特定域。例如，用户可以通过全局编录快速查找其他域中的用户或资源。
- 全局编录存储了每个对象的部分属性，这些属性是最常用于搜索的属性，如用户的姓名、登录名等。
身份验证：
- 在用户使用用户主体名称（User Principal Name，UPN）登录时，全局编录服务器用于解析 UPN，确保用户可以成功登录。
通用组成员资格验证：
- 在多域环境中，全局编录用于验证用户是否属于通用组（Universal Groups）。因为通用组可以包含来自森林中任何域的用户和组，所以只有全局编录能够提供完整的成员资格信息。
对象引用验证：
- 域控制器使用全局编录来验证对其他域中对象的引用。例如，如果一个域控制器中的对象属性包含对另一个域中对象的引用，它会通过全局编录来验证这些引用。
Exchange 地址簿搜索：
- 在 Exchange 环境中，用户通过 Outlook 搜索组织中的人员时，实际上是通过全局编录进行的。全局编录为 Exchange 提供了全局地址列表（Global Address List，GAL）的搜索功能。

工作原理

数据复制：
- 全局编录中的数据是从森林中的各个域目录分区复制而来的。每个域控制器都可以被配置为全局编录服务器，但默认情况下，森林中的第一个域控制器会自动成为全局编录服务器。
- 复制到全局编录的属性是由 Active Directory 架构定义的，但管理员可以通过 Active Directory 架构管理工具添加额外的属性。
查询处理：
- 当用户或应用程序发起查询时，查询会被发送到最近的全局编录服务器。如果全局编录服务器上有所需的信息，它会直接返回结果；如果没有，它会将查询重定向到正确的域控制器。

管理

查找全局编录服务器：
- 可以使用 PowerShell 命令 Get-ADForest | select -ExpandProperty GlobalCatalogs | Format-Table 来查找当前森林中的所有全局编录服务器。
- 也可以使用 dsquery 命令行工具，例如 dsquery server -forest -isgc。
配置全局编录服务器：
- 可以通过“Active Directory 站点和服务”管理工具（dssite.msc）将其他域控制器配置为全局编录服务器。

重要性

全局编录在 Active Directory 中扮演着至关重要的角色，它不仅提高了目录服务的查询效率，还支持了多域环境中的身份验证和资源访问。没有全局编录，用户和应用程序将难以在大型、多域的 Active Directory 环境中高效地查找和访问资源。

通过全局编录，Active Directory 提供了一个统一的、高效的资源发现机制，这对于大型企业网络环境中的资源管理和访问控制至关重要

物理结构

在 Active Directory（AD）中，物理结构是指网络中实际的硬件和网络拓扑，包括服务器、网络设备、站点（Site）以及它们之间的连接。物理结构主要关注的是如何在实际的网络环境中部署和管理 Active Directory 服务，以确保性能、可用性和安全性。

Active Directory 的物理结构组成部分

1. 域控制器（Domain Controller, DC）

域控制器是运行 Active Directory Domain Services (AD DS) 的服务器，负责存储和管理域的目录数据库。每个域至少有一个域控制器，通常会部署多个以实现容错和负载均衡。

特点：
- 存储目录数据：域控制器存储域的目录数据库，包含所有对象的信息。
- 身份验证：处理用户的登录请求，验证用户身份。
- 复制服务：通过多主复制技术，与其他域控制器同步目录数据。
- 策略管理：应用和管理组策略，确保域中的对象符合组织的策略。

2. 站点（Site）

站点是 AD 中的一个逻辑概念，用于表示网络中的物理位置。站点基于 IP 子网划分，用于优化网络流量和复制操作。

特点：
- 基于 IP 子网：站点是基于 IP 子网划分的，用于表示网络中的物理位置。
- 优化复制：站点可以优化目录信息的复制操作，减少网络流量。
- 位置感知：站点可以帮助客户端找到最近的域控制器，提高登录速度和性能。
- 站点链接：站点之间的连接称为站点链接（Site Link），用于定义站点之间的复制拓扑。