Active Directory 与 域
Active Directory:Active Directory域内的 Directory是用来存储用户账户、计算机账户、打印机与共享文件夹等对象,我们把这些对象的存储位置称为目录数据库(Directory Database)。Active Directory域内提供目录服务的组件就是Active Directory域服务(ADDS),它负责目录数据库的存储、添加、删除、修改与查询等工作。
对象(Object)与属性(Attribute):Active Directory域内的资源是以对象形式存在的,而对象是通过属性来描述其特征,对象本身也是一些属性的集合。
容器(Container):与对象相识也是一些属性的集合,不过容器可以包含其他对象,还可以包含其他容器。
域(Domain):既是活动目录中的逻辑组织单元、也是网络安全边界。每个域都有自己的安全策略,以及它与其他域的安全信任关系。
组织单元(OU):一个容器对象,如它可以包含用户账户、用户组、PC、服务器、打印机也可是其他OU。
域树(Tree):属于共享连续名字空间的层次结构,从根域开始,每加入一个域,则新域就成为树种的一个子域,域树符合DNS域名空间的命名策略。
信任(Trust):两个域必须创建信任关系,才可以访问对方域内的资源。而任何一个新的Active Directory域被加入到域树后,这个域会自动信任其上一层的父域,同时父域会自动信任这个新的子域,而且这些信任关系具备双向传递性。
架构:Active Directory内的对象种类与属性数据是定义在架构内的。
域林(Forest):活动目录中不共享连续名字空间的域树组成的结构,但是域林中的每个域互相信任,共享一套配置、表结构以及全局目录或者称为共享相同的架构。
域控制器:安装了 Active Directory 域服务的 Windows Server 服务器,它保存了活动目录信息的副本,一个域内可以有多台(地位平等的)域控制器。
轻型目录访问协议(LDAP):用来查询与更新Active Directory的目录服务通信协议。
全局编录:Active Directory域服务内设计全局编录来整合分散在各个域内的Active Directory数据。全局编录的数据存储在域控制器内,这台域控制器被称为全局编录服务器。
站点:由一个或多个IP 子网组成,这些子网通过网络设备连接在一起。
活动目录的物理结构与逻辑结构是彼此独立的概念。逻辑结构侧重于网络资源管理,而物理结构侧重于活动目录信息的复制和用户登录网络时的性能优化。
目录分区
Active Directory数据库呗逻辑分为:
1、架构目录分区:它存储着整个林中所有对象与属性定义的数据,也存储着如何创建对象与属性的规则。整个林共享一份相同的设置目录分区,它会被复制到林中所有域内的所有域控制器
2、设置目录分区:存储着整个Active Directory的结构,如有哪些域、哪些站点、哪些域控制器。整个林共享一份相同的设置目录分区,它会被复制到林中所有域内的所有域控制器
3、域目录分区:每个域各有一个域目录分区,其中存储着与该域有关的对象,如用户、组、计算机与组织单位。每一个域各自拥有一份域目录分区,它只会复制到该域内的所有域控制器,并不会被复制到其他域的域控制器。
4、应用程序目录分区:由应用程序所新建,存储与该应用程序有关的数据。它会被复制到林中特定的域控制器。