教程：了解 Active Directory 的基础知识

Active Directory (AD) 是任何本地或混合 Microsoft 环境的基石。它存储有关用户、计算机和其他对象的信息，并提供重要的服务，使员工能够提高工作效率并运行业务流程。本文涵盖您需要了解的 Active Directory 基础知识。

什么是活动目录？

Active Directory 是适用于 Windows 网络环境的目录服务。该目录充当有关环境中的用户、计算机、组和其他对象信息的中央数据库。 AD提供的核心服务是身份验证和授权：

• 身份验证是验证用户、应用程序或其他身份是否是其声称的身份的过程，例如通过检查其用户 ID 和密码。
• 授权是确定身份是否具有访问其请求的服务或资源的适当权限的过程。

Active Directory 的结构如何？

Active Directory 环境按层次结构构建：森林、树和域。主要单位是森林和域；树是域及其下子域的逻辑结构。

什么是森林？

森林是一组一个或多个域。许多组织都有一个林，但具有多个部门的组织、服务提供商以及处于合并或收购过程中的公司通常有多个林。

什么是森林信任（单向、双向、传递、非传递）？

森林是一个安全边界——不同森林中的对象不能相互交互，除非森林的管理员在它们之间创建信任。信任是一种链接两个林的方法，可为用户提供无缝的身份验证和授权体验。

信任可以是单向的（域 A 中的用户可以访问域 B 中的资源，但反之则不然），也可以是双向的（任一域中的用户都可以访问另一个林中的资源）。信任也可以是可传递的或不可传递的，这决定了它是否可以扩展到其形成的两个域之外。

什么是域名？

域是存储在共享数据库中的 AD 对象的集合，例如用户、计算机、组和组织单位。 Active Directory 域是一个管理边界，这意味着其中的对象可以一起管理。

什么是组织单位 (OU)？

AD 域可以进一步组织为组织单元。管理员经常使用 OU 将用户、计算机和用户分组到反映组织结构的单元中，以便轻松地将相关策略应用于每个组。例如，您可能为每个部门都有一个 OU，其中包含关联的用户和计算机对象。

Active Directory 的主要组件有哪些（逻辑和物理）？

Active Directory 的逻辑结构就是我们刚才描述的，包含森林、树、域和 OU 等组件。

Active Directory 的物理组件包括：

• 域控制器 — 域控制器是提供核心 Active Directory 服务的特殊服务器，包括身份验证和授权服务。每个域必须至少有一个域控制器，但拥有多个 DC 可以提高可靠性。
• 站点— 站点是连接良好的 IP 子网。站点用于控制域控制器之间的复制流量，并帮助确保用户连接到本地资源。

还有哪些重要的Active Directory 概念？

其他一些 Active Directory 基础知识包括：

• 用户 — 用户是一种 AD 对象。虽然许多用户帐户分配给个人，但有些用户帐户由应用程序使用；它们被称为服务帐户。一个很好的例子是当系统服务登录到每个系统服务以运行报告或采取其他操作时。
• 组-组对象是用户帐户、计算机帐户或其他组的集合，用于简化访问控制、权限管理和资源分配。组的类型包括安全组（用于访问控制）和分发组（用于电子邮件分发）。
• 计算机-计算机对象代表加入域的网络设备、工作站、服务器或其他计算设备，支持集中管理、身份验证和策略实施。
• 共享文件夹 - 共享文件夹是需要多个用户访问的文件的容器。例如，团队或部门可能有一个共享文件夹，其中包含可供所有成员访问的文档。
• 全局编录服务器 — 全局编录服务器是域控制器，存储其域中所有对象的副本以及其他域中对象的部分副本。全局编录服务器对于授权和对象搜索功能都很重要。

建议阅读

要逐步了解 Active Directory，您可以使用有关 AD 基础知识的此有序帖子列表：

1. Active Directory 服务技术简介

1. 活动目录数据库

1. Active Directory 用户和计算机 (ADUC)

1. 如何部署和设置域控制器

1. SYSVOL目录

1. Active Directory 中的森林

1. 活动目录域

1. Active Directory 中的 5 个 FSMO 角色是什么

1. 信任 Active Directory

1. 了解组策略和组策略对象

1. 活动目录复制

1. 活动目录中的 DNS

1. Active Directory 组管理最佳实践

1. 保护活动目录

1. 活动目录审核

1. Active Directory 的七大挑战

1. Active Directory 密码策略

1. 最佳活动目录管理工具

1. 如何将 Active Directory 同步到 Office 365

1. 如何使用 PowerShell 创建新的 Active Directory 用户

1. Active Directory 管理：7 个常见错误

常问问题

什么是活动目录？

Microsoft Active Directory 是一种在称为域控制器 (DC) 的 Windows 服务器上运行的目录服务。它将有关用户、计算机和其他对象的信息存储在数据库中，包括名称和密码等属性，并提供身份验证和授权服务。

什么是 Active Directory 域服务？

Active Directory 域服务 (AD DS) 是 Active Directory 提供的目录服务之一。其主要功能是提供身份验证和授权来管理对网络资源的访问。

什么是 LDAP 和 DNS？

轻量级目录访问协议 (LDAP) 提供了服务器和客户端可以用来进行通信的通用语言。

域名系统 (DNS) 将人类可读的域名（例如 www.netwrix.com）转换为 IP 地址以加载正确的网页。

我可以从哪里开始了解 Active Directory？

有多种免费资源可以帮助您了解 Active Directory 的基础知识。这里有一些我们的最爱：

• Netwrix 电子书：什么是 Active Directory？
• Microsoft 课程：Active Directory 基础知识
• Microsoft 课程：Active Directory 域服务
• Pluralsight 课程：Windows Server 2016 中的 Active Directory 管理
• ClassCentral 课程：管理 Microsoft Windows Server Active Directory 域服务
• Comparitech 教程：什么是 Active Directory？分步教程
• Dummies.com 备忘单：Active Directory for Dummies 备忘单

是否有 Active Directory 认证？

没有专门针对 Active Directory 的著名认证。但是，Microsoft 提供了您可以探索的各种凭证和认证。

您使用哪些来源（博客、论坛和其他类型的内容）来了解 Active Directory？我们想知道！请在这篇文章的评论中告诉我们。