什么是 Active Directory：它是什么以及它的结构如何

曾经尝试查找一个术语（例如 Active Directory），却发现其定义非常复杂且令人费解，以至于您必须查找其中的所有单词，然后查找这些术语中的一半 定义，直到你感觉自己陷入了无限的倒退中 - 并且你比开始时更加困惑？

今天不行。不在这里。在本系列博客文章中，我将简要解释 Active Directory (AD) 是什么、它的用途、如何管理和保护它，以及您的组织如何开始使用它。我将提供链接，您可以更深入地研究这些主题并找到高质量的 Active Directory 工具，但我保证，您将在这些博客文章中获得清晰的高级理解。

让我们开始吧！

什么是 Active Directory？

基本上，Active Directory (AD) 是一个数据库和一组服务，可帮助用户在 Microsoft IT 环境中完成工作：

• 数据库（或目录）包含有关您环境的重要信息，包括有哪些用户和计算机以及允许哪些人执行哪些操作。例如，数据库可能会列出 100 个用户帐户，其中包含每个人的职务、电话号码和密码等详细信息。它还会记录他们的权限 - 例如，您可能允许所有用户阅读您公司的福利信息，但只允许少数人查看或修改财务文件。
• 服务控制 IT 环境中发生的大部分活动。特别是，他们通常通过检查他们输入的用户 ID 和密码来确保每个人都是他们声称的人（身份验证），并允许他们仅访问他们被允许使用的数据（授权）。

现在您知道什么是 Active Directory 以及为什么我们说它是任何 Microsoft IT 环境的核心！但是，如果您对有关其结构和工作原理的更多详细信息感兴趣，请继续阅读有关 AD 的许多常见问题的答案。

我的计算机上有 Active Directory 吗？

不会。主要的 Active Directory 服务Active Directory 域服务 (AD DS) 是 Windows Server 操作系统的一项功能。运行常规版本 Windows 的台式机、笔记本电脑和其他系统不运行 AD DS。但是，它们确实支持 Active Directory，因此任何 Windows 计算机都可以成为 Active Directory 环境的一部分。

运行 AD DS 的服务器称为域控制器 (DC)。 （我将在一秒钟内解释什么是域。）组织通常有多个 DC，每个 DC 都有整个域的目录副本。对一台域控制器上的目录所做的更改（例如用户更改密码或用户帐户因密码错误过多而被锁定）会复制到其他域控制器，以便它们都保持最新状态。

虽然我们讨论的是 AD 所在的位置，但重要的是要了解 Active Directory 仅适用于本地 Microsoft 环境。云中的 Microsoft 环境使用Azure Active Directory，其用途与其本地同名的相同。 AD 和 Azure AD 是独立的，但如果您的组织同时拥有本地和云 IT 环境（称为混合部署），则可以在某种程度上协同工作。本博文系列重点关注本地 Active Directory，但 Quest 有许多资源可帮助您了解 Azure AD 以及用于混合 Active Directory 安全和治理的工具。

Active Directory 的结构如何？

AD 具有三个主要层：域、树和森林。 域是一组相关的用户、计算机和其他 AD 对象，例如贵公司芝加哥办事处的所有 AD 对象。多个域可以组合成一个树，多个树可以组合成一个森林。这里需要了解的关键事项是：

• 域是一个管理边界——给定域的对象存储在单个数据库中并且可以一起管理。
• 林是一个安全边界 - 不同林中的对象无法相互交互，除非每个林的管理员在它们之间创建信任。例如，如果您有多个互不相关的业务部门，您可能想要创建多个林。

我们将在这些博客文章中主要讨论 AD 域，因为这是进行管理的地方。我们将在有关 Active Directory 管理的文章中的备份和恢复部分中讨论一些有关森林的内容，因为组织需要规划大规模灾难恢复以及域中单个对象的恢复。

Active Directory 数据库中有什么？

Active Directory 数据库（目录）包含有关域中AD 对象的信息。 AD 对象的常见类型包括用户、计算机、应用程序、打印机和共享文件夹。某些对象可以包含其他对象（这就是为什么您会看到 AD 被描述为“分层”）。特别是，在后续文章中，我们将探讨组织如何通过将 AD 对象组织到组织单位 (OU) 中来简化管理，并通过将用户放入组中来简化安全性。这些 OU 和组本身就是存储在目录中的对象。

对象具有属性。 有些属性是显而易见的，有些则是隐藏在幕后的。例如，用户对象通常具有人员姓名、密码、部门和电子邮件地址等属性，而且还具有唯一的全局唯一标识符 (GUID) 和安全标识符 (SID)、上次登录时间和组成员身份等属性。

数据库是结构化的，这意味着有一种设计可以确定它们存储的数据类型以及数据的组织方式。这种设计称为架构。 Active Directory 也不例外：它的架构包含可在 Active Directory 林中创建的每个对象类以及可存在于 Active Directory 对象中的每个属性的正式定义。 AD 带有默认架构，但管理员可以修改它以满足业务需求。需要了解的关键一点是，最好预先仔细规划架构；由于 AD 在身份验证和授权中发挥着核心作用，因此稍后更改 AD 数据库的架构可能会极大地扰乱您的业务。

我可以在哪里了解更多信息？

准备好了解有关 Active Directory 的更多信息了吗？你很幸运！查看“什么是 Active Directory？”中的其他博客文章。 “ 系列：

• 第 2 部分：Active Directory 管理
• 第 3 部分：Active Directory 安全性
• 第 4 部分：Active Directory 迁移
• 第 5 部分：Active Directory 报告

我可以在哪里获得有关 Active Directory 环境的帮助？

Quest 是 Active Directory 解决方案的首选供应商。我们可以帮助您管理、保护、迁移和报告您的 AD 环境，以推动您的业务发展。我们将在本系列的其他博客文章中探讨哪些 Active Directory 工具可以帮助完成哪些任务。