Windows Active Directory 服务简介 - 第 1 部分

本教程是关于了解/掌握 Active Directory 的一系列教程。可以在 Windows Server 2012、2008 和 2003 Active Directory 角色上实施。首先，我们将从定义什么是活动目录开始，然后越来越深入。

Active Directory 是 Microsoft 为 Windows 操作系统域网络开发的目录服务。 Active Directory 域服务 (AD DS) 为 Microsoft 网络环境提供集中式身份验证服务。 Active Directory在简单网络中的主要功能是通过域控制器对Windows域网络中的所有用户和计算机进行授权。 Active Directory 提供与域中的计算机、用户以及其他网络服务和资源相关的信息的主存储库。

Active Directory 服务的优点

1) 通过集中访问网络资源 Active Directory 数据库的管理工具，管理变得更加简单和容易。
2) 它提供对网络资源的单点访问：借助 Active Directory，存在资源的单点管理。它使用单点登录来允许访问位于域内任何服务器上的网络资源。用户仅被识别和验证一次，此后，用户只需登录一次即可在管理员设定的授权限制和权限内访问网络资源。
3)容错和冗余
容错：当系统能够正常响应软件和硬件故障时。
在 Active Directory 环境中，当一个或多个 Active Directory 服务域控制器遇到故障时， Active Directory 通过提供身份验证服务来提供冗余，而不会引起用户注意到的任何不利影响。这是因为 Active Directory 中的所有域控制器共享一个名为 ntds.dit 的公共数据库文件。所有域控制器通过复制来维护该文件的一致信息，并且活动目录数据库在所有域控制器上进行复制。
4)简化资源位置：
域中的用户可以搜索已发布的资源在网络上，例如文件和打印机。用户只需使用 Active Directory 中提供的文件夹、打印机和其他网络服务的名称描述来搜索 Active Directory 数据库即可找到所需的服务。
5) 能够从多个管理点访问和修改 AD DS。
6) 提供分层组织结构
7) 简化安全管理

目录服务允许您定义、访问和管理网络资源。随着网络规模和复杂性的增长，活动目录提供自动目录服务。
提供目录服务的角色有两种。这些都是

• 活动目录域服务 (AD DS)
• Active Directory 轻量级目录服务 (AD LDS)

使用的常用术语：

域控制器 (DC) - 这是运行 Windows 服务器域服务版本的服务器，并安装了 Active Directory 域服务。
它是存储 Active Directory 数据库并在登录期间对用户进行身份验证的服务器会议。它还在名为 ntds.dit 的文件中存储、修改和维护 AD 数据库信息
复制：这是使每个域控制器与域控制器的更改保持同步的过程。已在网络的其他地方（即另一个域控制器上）进行。有两种类型的复制
a) 入站复制：在此，域控制器从网络上的其他域控制器接收对 Active Directory 数据库的更新。
b) 出站复制：域控制器向其他域控制器发送更新。
考虑此示例。如果域控制器10上的用户更改其密码，则该DC中的ntds.dit数据库被更新。为了让其他域控制器获得此更新，域控制器 10 必须将此更改复制到其他域控制器。这将确保所有 AD 数据库上的日期是一致的。

只读域控制器 (RODC) - 这是一个包含无法修改的ntds.dit 文件副本的域控制器。 RODC 不会将其更改复制到 Active Directory 中的其他域控制器。
容器对象和叶对象。 Active Directory 中的每个组件都是凋零容器或叶对象。容器对象可以容纳对象，而叶容器不能包含其他对象。
可用的容器对象有：
a) 森林：这是 Active Directory 中最大的容器对象，定义了基本安全性Active Directory 内的边界。
b) 架构命名上下文（架构分区）- 包含用于在 Active Directory 中创建和修改对象类和属性的规则和定义。
c) 配置分区：包含有关网络物理信息和必须在整个林中复制的数据的信息。配置 NC 中的信息由单个林中的域共享。
c) 域树：网络资源和设备的逻辑分组，包含以父子关系配置的一个或多个域。

有关 Windows 的更多指南：

• 安装 Windows Server - 使用屏幕截图一步一步
• 使用 Ansible 自动化 Windows Server 管理