微软 AD 超基础入门

微软 Active Directory（AD）可以说是世界上最知名的本地目录服务或身份源（IdP）。它开发于20世纪90年代后期并在21世纪初见证了身份管理现代化。但无论 IT 环境如何发展，管理员和企业对 AD 始终抱有不少疑问，甚至是误解，即便在 AD 广泛应用后也未完全消除。

本期文章为微软 AD 问答系列的基础篇，文章将尽可能用最简单直观的说明解答关于 AD 的各类问题，本期内容主要包括微软 AD 的基本概念、使用的协议、目标客户等。

1. 什么是 Active Directory？

AD 是一种目录服务或身份提供源（IdP），于1999年首次推出 AD，和 Windows 2000 Server 版本一同发布。AD 主要是为了帮助管理员将用户连接到基于 Windows 的 IT 资源，同时管理和保护基于 Windows 的业务系统和应用。AD 负责存储有关网络对象（如用户、组、系统、网络、应用、数字资产等）及其相互关系的信息。

管理员可以使用 AD 创建用户并授权用户访问 Windows 终端、服务器和应用等。另外，AD 还能用于控制系统组、强制执行安全设置和软件更新。 访问和控制都是基于域的概念实现的。所谓域，其实就是一个包含和排除的概念，传统上用于物理位置的区分。过去很多 IT 资源都托管在本地，成为域（内网）的一部分。内网用户可以访问所需的本地资源。而在内网以外的用户就需要 VPN ，假装用户处于内网中，从而实现访问。当 IT 资源和人员处于相同的物理环境时，这种访问控制方法可以起到很好的效果。 相比之下，AD 所属的身份和访问管理（IAM）又进一步拓展了应用的范围，通常还涉及单点登录（SSO）或移动设备管理（MDM）等辅助解决方案。

2. Active Directory 使用哪种协议？

Active Directory 主要利用 DNS/DHCP 网络协议和轻量级目录访问协议（LDAP），以及用于身份验证的微软专有 Kerberos 版本。 很多人问为什么 AD 原生支持的协议这么少，没有 SAML 和 RADIUS 这些常用协议。虽然不清楚微软的想法，但多协议的确是身份和访问管理的未来方向。而要让 AD 支持 SAML、RADIUS 等协议，可以采用微软附加方案或第三方解决方案。

3. 为什么 Active Directory 被称为活动目录？

目前对于AD 名称的由来最贴切的一种解释是 AD 会主动更新目录存储的信息。例如，当管理员从组织中添加或删除用户时，Active Directory 会自动将用户的更改情况复制到所有目录服务器。这种更改会定期发生，以便同步最新信息。 在今天的 IT 系统中，AD 这种主动更新信息的行为已经司空见惯了。但是，在目录服务计算机化之前，目录自动更新的概念还是具有一定创新意义的。毕竟 AD 推出的时代还没有维基百科，人们查东西还依靠百科全书。

4. 哪些企业在使用 Active Directory？

一般来说，企业部署了 AD 之后，员工在不知情的情况下每天都会用到 AD 的功能，包括工作机的登录、应用程序的访问、打印机和文件的共享等。 但 AD 的主要用户其实是管理员，他们需要实际操作、管理和配置 AD。具体来说可能包括 IT 部门、IT 安全部门、开发运维以及 IT 工程团队。

全球大部分企业和组织几乎都会使用包括 AD 在内的目录服务，除了提高生产力之外，还能控制对企业 IT 资源的访问。访问控制是现代企业运营的一大重心。

5. 为什么 Active Directory 很重要？

早在21世纪初，Active Directory 已经是推动商业世界运转的其中一个齿轮。大大小小的企业几乎都部署了 AD。这样一个基础工具默默无闻地在后台运行，以至于每天使用 AD 的用户甚至都没有意识到它的存在，更不知道它是安全访问终端、应用、网络和文件的大功臣。简而言之，目录服务的主要职责就是将用户连接到相应的 IT 资源，而 AD 为用户连接到 Windows 资源已经服务了近20年。