什么是AD域？

Active Directory (AD) 于 1999 年推出，了解这一核心技术是当今大多数 IT 管理员的关键要求。在本教程的这一部分中，我们概述了 AD 基础知识，包括 Active Directory 域是什么。

广告基础知识

什么是AD？

Active Directory 是 Microsoft 网络中使用的目录服务。目录服务（或名称服务）将网络资源（例如卷、文件夹、文件、打印机、用户、组和设备）与其各自的网络地址连接起来，并将该信息提供给网络中的实体。换句话说，AD是一组用于组织、定位和管理网络资源的数据库和服务。

AD 是做什么的？

Active Directory 数据库存储有关用户和计算机的信息，包括其名称和访问权限。 Active Directory架构定义了可以存储在目录中的对象。

Active Directory 域服务 (AD DS) 控制 IT 环境的许多操作，并通过管理以下进程帮助确保目录安全：

• 身份验证 — 通常通过在登录过程中验证用户 ID 和密码等凭据来确保每个安全主体都是其自称的身份。
• 授权 - 确保每个安全主体只能使用他们有权访问的数据和服务。
• 名称解析 — 使客户端和域控制器能够相互定位和通信。 AD DS 使用 DNS 作为其主要名称解析方法。
• 集中管理 - 通过称为组策略的功能从一个位置控制各种设置。

AD包括什么？

Active Directory 的基本单位是域。 AD 域是共享公共管理、安全和复制设置的逻辑对象组。使用 Active Directory 域，IT 团队可以定义管理边界并以集中方式管理设备、服务和系统集。

域控制器 (DC) 是运行 Active Directory 域服务并使用 AD 中存储的数据进行用户身份验证和授权、组管理、策略管理和其他功能的服务器。在实践中，组织通常在本地数据中心和/或云中拥有多个域控制器。域中的每个 DC 都维护 AD 数据库的副本，并且它们使用 Active Directory 复制在它们之间同步数据。 DC 还可以存储全局目录 - 域目录中所有对象的只读注册表以及林中所有其他域中所有对象的部分副本，以方便搜索有关对象的信息。启用此功能的 DC 称为全局编录服务器。 Active Directory 的主要访问协议是轻量级目录访问协议 (LDAP)。

AD是如何管理的？

可以通过本机工具在域控制器上执行 Active Directory 管理，例如：

• 活动目录管理中心
• Active Directory 域和信任
• Active Directory 站点和服务
• Active Directory 用户和计算机
• ADSI 编辑
• Windows PowerShell 的 Active Directory 模块

这些工具还可以作为远程服务器管理工具 (RSAT) 的一部分安装在工作站上，使管理员能够远程管理 AD。

广告结构

现在我们已经了解了 AD 的基本概念，让我们回顾一下 Active Directory 结构。 Active Directory 包含多个按层次结构组织的逻辑单元。从最小到最大，它们是：

• 对象
• 组织单位 (OU)
• 域名
• 树木
• 森林

对象

Active Directory对象是最小的逻辑单元。示例包括：

• 用户帐号
• 电脑账户
• 团体
• 打印机
• 分享

对象具有一个或多个定义其属性、限制和格式的属性。属性值可以是多值、字符串、整数、布尔值（true 或 false）或其他类型。每个对象具有的属性在架构中指定。

组织单位 (OU)

域中的 AD 对象可以分组为称为组织单位 (OU) 的逻辑容器。 OU 也是对象，允许管理员创建嵌套 OU。任何给定 OU 中的所有对象都必须具有唯一的名称，并且每个对象在任何给定时间只能位于一个 OU 中。

请注意不要将 OU 与 AD组混淆。组是 AD 对象（例如用户）的集合，组中的成员资格授予他们某些权限。给定用户可以（并且通常是）多个组的成员。之所以会出现这种混乱，通常是因为组策略对象 (GPO) 可以链接到 OU（但不能链接到组），这也会影响用户、计算机和其他对象可以执行的操作和不能执行的操作。

域名

Active Directory 域是由同一管理团队管理且通常位于同一物理网络上的对象（用户、计算机、OU 等）的逻辑组。

树木

域被组织成树。 AD DS 树由通过双向传递信任连接的多个域组成。 AD DS 树中的每个域共享一个公共架构和全局编录。

森林

Active Directory 林是层次结构的最高级别。域代表管理边界，而林则是 AD DS 的主要安全边界。假定森林中的所有域管理员在某种程度上都是可信的。不同林中的对象无法相互交互，除非每个林的管理员在它们之间创建信任。

物理结构

让我们简单介绍一下 Active Directory 的物理结构。它可以分为：

• 主机 - 连接到域网络的设备
• 子网 - 具有指定 IP 地址范围和网络掩码的网络组
• 站点 - 一组一个或多个子网，用于优化 DC 复制服务的带宽使用

活动目录服务

最后，Active Directory 服务由多个目录服务组成。我们已经讨论过Active Directory 域服务 (AD DS)。 AD DS 使用有关存储在目录中的对象的信息来对用户进行身份验证并授权他们根据其访问权限执行操作。

当人们谈论 Active Directory 时，他们通常指的是 Active Directory 域服务。但是，还有其他 Active Directory 服务，包括：

• Active Directory 轻量级目录服务 (AD LDS) — 为应用程序提供目录服务
• Active Directory 证书服务 (AD CS) — 创建和维护在使用公钥技术的安全系统中使用的数字证书
• Active Directory 联合身份验证服务 (AD FS) — 为跨组织边界的系统和应用程序提供单点登录 (SSO) 功能
• Active Directory 权限管理服务 (AD RMS) - 通过提供管理和开发工具来使用内部威胁预防和其他安全技术（例如加密、证书和身份验证），提供对文档访问的精细控制

了解更多信息

您可以通过阅读我们的电子书《什么是 Active Directory》了解有关 Active Directory 核心概念的更多信息。