相信玩过 Windows Server 操作系统的人都接触过活动目录这一概念,即使没有接触过,也相信各位听说过。

很多新手在接触 Windows Server 操作系统都会用到活动目录服务,很多人会有疑问,活动目录的作用是什么?

那么,这里我做个解答。

 

什么是活动目录

活动目录,英文名称为 Active Directory 。它是面向 Windows Server 操作系统的一种的目录服务。在活动目录中,所有的网络对象信息以一种结构化的数据存储方式来保存,使得管理员和用户能够轻松地查找和使用这些信息。活动目录以这种结构化的数据存储方式作为基础,对目录信息进行合乎逻辑的分层组织。

Active Directory 服务是 Windows 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。但是需要注意的是,Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。

活动目录的功能

活动目录主要为我们提供了以下功能:

基础网络服务:包括DNS、WINS、DHCP、证书服务等。

服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。

用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。

资源管理:管理打印机、文件共享服务等网络资源。

桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

目录形式的存储结构

活动目录存储的信息包含了各种相关对象,例如:用户、用户组、计算机、域、组织单位(OU)以及安全策略等等。这些信息可以通过活动目录服务被发布出来,以供用户和管理员的使用。

一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。

活动目录的数据库存放在一个名为 ntds.dit 的数据库文件中,该文件可以说是整个活动目录的核心,其中包括了用户帐号信息等等的相关资料。根据微软知识库文章可知,活动目录的数据库引擎被称为 ExtensibleStorage Engine ( ESE ),Exchange 和 WINS 都可以利用构建在这个数据引擎上的数据库。ESE 存储容量高达16 兆兆个字节,能包含一千万之多的数据对象,由此可见只有活动目录的数据库才能包含如此多的信息。

对于活动目录服务来讲,ntds.dit 文件要求存放在类型为 NTFS 分区格式的磁盘驱动器中,并且该文件是不可灭失的,因此要做好相应的数据备份工作。如果该文件丢失,会导致目录服务未能启动,原因是出现了以下错误: 系统找不到指定的文件。 错误状态: 0xc000000f。

活动目录的存储内容

在活动目录中记录的信息,被分为两大部分,一部分保存在活动目录数据库文件中,另一部分保存在被复制的文件系统上,例如:登录脚本、组策略等。

在活动目录数据库文件中(ntds.dit),记录的信息有以下三张表:

Schema 表
这个表中包含了所有可在活动目录创建的对象信息以及他们之间的相互关系。包括各种类型对象的可选及不可选的各种属性。这个表是活动目录数据库中最小的一个表,但是也是最基础的一个表。

Link 表
link表包含所有属性的关联,包括活动目录中所有对象的属性的值。一个用户对象的所有属性的类型,包括每个属性的值及用户所属于的组等信息都属于这个表。这个表要大于Schema 表,但与Data 表相比要小。

Data 表

活动目录中用户,组,应用程序特殊数据和其他的数据全部保存在Data表中。这是活动目录中存储信息最多的一个表,大量的活动目录的资料实际上还是存储在这个表中。

按照其存储的数据内容,可以将其数据分为:

Schema 信息

能在活动目录中创建并存储在活动目录中的所有对象和属性的详细信息,例如:你能在活动目录中新创建一个用户或是联系人,这是因为活动目录已经预先设置了这种类型的对象在活动目录对象中。Schema信息在所有的主域控制器中都有一份,这些都是静态的信息,在活动目录安装时生成,是不能更改的。

Configuration 信息
所有关于域控制器所在域森林或域树中的配置信息。这些信息域中所有的主域控制器都会相互复制,但是这些信息对一个域森林来说是静态的,在配置好后是无法修改的。

Domain 信息
域对象的信息,域中所有对象的信息。在域范围内会复制到所有的域控制器中。即使其中部分对象属于全局范围的对象。但是属性值也只在域内进行复制。

先决条件

由于活动目录的基础是 Windows 域环境,因此,在该域中不可避免的要具备相应的 DNS 服务器,并且,如果需要的话,还需要搭建相应的 DHCP 服务器。

域功能级别

Windows 2000 混合模式(默认)
• 支持的域控制器:Microsoft Windows NT 4.0、Windows 2000、Windows Server 2003
• 激活的功能:本地与全局组,全局编录支持。

Windows 2000 纯模式
• 支持的域控制器:Windows 2000、Windows Server 2003
• 激活的功能:组嵌套、通用组、SidHistory、安全组与通讯组之间的转换、您可以通过提高目录林级别的设置来提升域级别。

Windows Server 2003 过渡版
• 支持的域控制器:Windows NT 4.0、Windows Server 2003
• 支持的功能:在此级别内没有域范围的激活的功能。当目录林级别提升至过渡版后,该目录林中所有域都将自动提升至该级别。该模式只在将 Windows NT 4.0 域中的域控制器升级至 Windows Server 2003 域控制器时使用。

Windows Server 2003
• 支持的域控制器:Windows Server 2003
• 支持的功能:域控制器重命名、登录时间戳属性更新与复制。在 InetOrgPerson 对象类上支持用户密码。约束委派,您可以重定向用户和计算机容器。