活动目录的介绍:深入浅出Active Directory系列（一）

最新推荐文章于 2022-06-14 15:32:41 发布

weixin_33691700

最新推荐文章于 2022-06-14 15:32:41 发布

阅读量219

点赞数

文章标签：数据库运维

本文链接：https://blog.csdn.net/weixin_33691700/article/details/85130128

版权

一，活动目录的介绍<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

Active Directory（活动目录）是Windows Server 2003域环境中提供目录服务的组件。目录服务在微软平台上从Windows Server 2000开始引入，所以我们可以理解为活动目录是目录服务在微软平台的一种实现方式。当然目录服务在非微软平台上都有相应的实现。

Windows Server 2003有两种网络环境：工作组和域，默认是工作组网络环境。如下图

工作组网络也称为“对等式”的网络，因为网络中每台计算机的地位都是平等的，它们的资源以及管理是分散在每台计算机之上，所以工作组环境的特点就是分散管理，工作组环境中的每台计算机都有自己的“本机安全账户数据库”，称为SAM数据库。这个SAM数据库是干什么用的呢？其实就是平时我们登录电脑时，当我们输入账户和密码后，此时就会去这个SAM数据库验证，如果我们输入的账户存在SAM数据库中，同时密码也正确，SAM数据库就会通知系统让我们登录。而这个SAM数据库默认就存储在C:\WINDOWS\system32\config文件夹中，这便是工作组环境中的登录验证过程。

假如我们有这样一种应用场景：有200台电脑的一个公司，我们希望某台电脑上的账户Bob可以访问每台电脑内的资源或者可以在每台电脑上登录。那么在工作组环境中，我们必须要在这200台电脑的各个SAM数据库中创建Bob这个账户。一旦Bob想要更换密码，必须要更改200次!我估计这个企业的管理员够受的了。现在只是200台电脑的公司，如果是有5000台电脑或者上万台电脑的公司呢，估计管理员会抓狂。这便是域环境的应用场景。

凡是从事微软平台工作的朋友，无论是系统方向还是开发方向或者IT从业者，我想大家都不止一次的听到域环境，但是很多朋友对域环境比较陌生，不知道怎么下手，甚至不知道域环境在微软平台上的重要性。我可以这样打个比方：如果有人问我，你们公司为什么会去买Windows Server 2003/2008？我会告诉他，我是冲活动目录去的。事实上微软服务器级别的产品，比如MOSS、Exchange等都需要活动目录的支持，包裹目前微软在宣传的UC平台都离不开活动目录的支持。

Windows Server 2003的域环境与工作组环境最大的不同是，域内所有的计算机共享一个集中式的目录数据库（又称为活动目录数据库），它包含着整个域内的对象（用户账户、计算机账户、打印机、共享文件等）和安全信息等等，而活动目录负责目录数据库的添加，修改，更新和删除。所以我们要在Windows Server 2003上实现域环境，其实就是要安装活动目录。活动目录为我们实现了目录服务，提供对企业网络环境的集中式管理。比如前面那个例子，在域环境中，只需要在活动目录中创建一次Bob账户，那么就可以在任意200台电脑中的一台上登录Bob，如果要为Bob账户更改密码，只需要在活动目录中更改一次就可以了。

二，与活动目录相关的概念

1，命名空间

命名空间是一个界定好的区域，比如我们把电话簿看成一个“命名空间”,那么我们就可以通过电话簿这个界定好的区域里面的某个人名，找到与这个人名相关的电话、地址以及公司名称等信息。而Windows Server 2003的活动目录就一个命名空间，我们通过活动目录里的对象的名称就可以找到与这个对象相关的信息。活动目录的“命名空间”采用DNS的架构，所以活动目录的域名采用DNS的格式来命名。我们可以把域名命名为contoso.com,abc.com等。

2，域、域树、林和组织单元

活动目录的逻辑结构包裹：域（Domain）、域树(Domain Tree)、林（Forest）和组织单元（Organization Unit）。如下图

域是一种逻辑分组，准确的说是一种环境，域是安全的最小边界。域环境能对网络中的资源集中统一的管理，要想实现域环境，你必须要计算机中安装活动目录。

域树是由一组具有连续命名空间的域组成的。如下图

其中最上层的域名为contoso.com，这个域是这棵域树的根域(root domain)，此根域下面

有2个子域，分别是gsd.contoso.com和ged.contoso.com。从图中我们可以看出他们的命名空间具有连续性。例如，域gsd.contoso.com的后缀名包含着上一层父域的域名contoso.com。其实子域gsd.contoso.com和ged.contoso.com还都可以有自己的子域，图中我没有给出而已。

域树内的所有域共享一个Active Directory(活动目录)，这个活动目录内的数据分散地存储在各个域内，且每一个域只存储该域内的数据，如该域内的用户账户，计算机账户等，Windows Server 2003将存储在各个域内的对象总称为Active Directory。

林（Forest）是有一棵或多棵域树组成的，每棵域树独享连续的命名空间，不同域树之间没有命名空间的连续性。林中第一棵域树的根域也整个林的根域，同时也是林的名称。

组织单元（OU）是一种容器，它里面可以包含对象（用户账户，计算机账户等），也可以包含其他的组织单元（OU）。

3，域控制器和站点

活动目录的物理结构由域控制器和站点组成。

域控制器（Domain Controller）是活动目录的存储地方，也就是说活动目录存储在域控制器内。安装了活动目录的计算机就称为域控制器，其实在你第一次安装活动目录的时候，你安装活动目录的那台计算机就成为了域控制器。一个域可以有一台或多台域控制器。最经典的做法是做一个主辅域控。呵呵，这些概念听起来有些咬嘴。

再解释一次，域是逻辑组织形式，它能够对网络中的资源进行统一管理，就像工作组环境对网络进行分散管理一样，要想实现域，必须在一台计算机上安装活动目录才能实现，而安装了活动目录的计算机就称为域控制器（DC）。

当一台域控制器的活动目录数据库发生改动时，这些改动的数据将会复制到其他域控制器的活动目录数据库内。

站点（Site）一般与地理位置相对应。它由一个或几个物理子网组成。创建站点的目的是为了优化DC之间的复制。活动目录允许一个站点可以有多个域，一个域也是可以属于多个站点。