Active Directory 术语表 - 术语和基本概念

我将术语分组在不同的部分中，以便于理解和参考。有些主题可能非常技术性，但我提供了简短且易于理解的术语。如果您想了解更多信息，我会在每个部分的末尾提供额外的资源。

目录：

• Active Directory 基础术语 - 从这里开始
• 活动目录服务
• 活动目录 DNS
• 活动目录复制
• Active Directory 安全性（身份验证、安全协议、权限）
• 活动目录管理控制台
• 动态主机配置协议
• 组策略

Active Directory 基础术语

这些是您在处理 Active Directory 时应该熟悉的基本术语。

活动目录

Active Directory 是一种目录服务，可集中管理网络中的用户、计算机和其他对象。它的主要功能是对 Windows 域中的用户和计算机进行身份验证和授权。例如，当用户登录域中的计算机时，它会检查提交的用户名和密码以验证帐户。如果这是有效的用户名和密码，则用户通过身份验证并登录到计算机。

不要与以下三个术语混淆，它们都指的是 Active Directory。

• AD - 这只是 Active Directory 的缩写
• AD DS - 这是运行 Active Directory 域服务角色的服务器
• 域控制器 - 这也是运行 Active Directory 域服务角色的服务器。出于故障转移原因，建议拥有多个域控制器。

活动目录 Web 服务器 (ADWS)

该服务是在 Windows Server 2008 R2 中引入的。它使用 ADDS 或 ADLDS 角色自动安装，并配置为自动运行。该服务提供对任何本地目录服务的远程管理。

领域

域是 Active Directory 中容器和对象的逻辑结构。域包含以下组件：

• 用户、组、计算机和其他对象的层次结构
• 为域和其他域中的资源提供身份验证和授权的安全服务
• 应用于用户和计算机的策略
• 用于识别域的 DNS 名称。当您登录属于某个域的计算机时，您正在登录 DNS 域名。我的 DNS 域是 ad.activedirectorypro.com，这就是我的域的识别方式。

域树

当您将子域添加到父域时，您将创建所谓的域树。域树只是一系列以分层方式连接在一起的域，所有域都使用相同的 DNS 名称空间。如果activedirectorypro.com要添加一个名为training或videos的域，则它将被命名为training.activedirectorypro.com和videos.activedirectorypro.com。这些域是同一域树的一部分，并且在父域和子域之间自动创建信任。

功能级别

功能级别决定了域中可用的功能。更高的功能级别允许您在 Active Directory 域中使用最新、最先进的技术。如果可能，请为域控制器使用最高功能级别。

森林

森林是域树的集合。域树共享一个公共架构和配置容器。域树通过传递信任连接在一起。当您首次安装 Active Directory 并创建域时，您也在创建林。

FQDN - 完全合格的域名

完全限定的域名是主机名 + 域，例如，我的域是 ad.activedirectorypro.com，域中的一台计算机主机名为 PC1，因此 FQDN 将为 pc1.ad.activedirectorypro.com。

FSMO

域控制器具有多种功能，称为 FSMO 角色。这些角色全部安装在新林中的第一个域控制器上，您可以跨多个 DC 移动角色以帮助提高性能和故障转移。

• 架构主机 - 架构主机是林范围内的角色，负责处理对 Active Directory 架构的所有更改。
• 域名大师 - 这是森林范围内的角色，是域名的大师。它处理命名空间并添加删除域名。
• PDC 模拟器 - 该角色处理密码更改、用户锁定、组策略，并且是客户端的时间服务器。
• RID 主机 - 该角色负责处理来自域内所有 DC 的 RID 池请求。当创建用户和计算机等对象时，它们会被分配一个唯一的 SID 和一个相对 ID (RID)。 RID 主角色确保对象不会被分配相同的 SID 和 RID。
• 基础设施管理员 - 这是一个域范围的角色，用于引用其他域中的对象。如果域 A 中的用户是域 B 中安全组的成员，则基础结构主机角色用于引用正确域中的帐户。

对象

使用 Active Directory 时，您将主要处理对象。对象被定义为表示域中资源的一组属性。这些对象被分配了一个唯一的安全标识符 (SID)，用于授予或拒绝对象对域中资源的访问权限。在 Active Directory 的新域中创建的默认对象类型是：

• 组织单位 (OU) - OU 是一个容器对象，可以包含来自同一域的不同对象。您将使用 OU 来存储和组织用户帐户、联系人、计算机和组。您还将组策略对象链接到 OU。
• 用户 - 用户帐户主要分配给用户以获得对域资源的访问权限。它们还可以用于运行程序或系统服务。
• 计算机 - 这只是一台加入域的计算机。
• 组 - 有两种类型的对象：安全组和通讯组。安全组是一组可用于提供对资源的访问的用户帐户。通讯组用于电子邮件通讯组列表。
• 联系人 - 联系人用于电子邮件目的。您无法以联系人身份登录域，也无法使用它来保护权限。
• 共享文件夹 - 当您在 Active Directory 中发布共享文件夹时，它会创建一个对象。将共享文件夹发布到 AD 可以让用户更轻松地查找域内的共享文件和文件夹。
• 共享打印机 - 就像共享文件夹一样，您可以将打印机发布到 Active Directory。这也使用户可以更轻松地查找和使用域中的打印机。

LDAP（轻量级目录访问协议）

LDAP 是一种用于访问目录服务的开放平台协议。 LDAP 为应用程序和其他系统提供与目录服务器交互的通信机制。简单来说，LDAP 是一种与 Active Directory 连接和通信的方式。

全局目录 (GC)

全局编录服务器包含所有对象的完整副本，用于执行林范围内的搜索。默认情况下，域中的第一个域控制器被指定为 GC 服务器，建议每个站点至少有一个 GC 服务器以提高性能。

Jet 数据库引擎

Active Directory 数据库基于 Microsoft 的 Jet Blue 引擎，并利用可扩展存储引擎 (ESE) 来处理数据。该数据库是一个名为 ntds.dit 的单个文件，默认情况下，它存储在 %SYSTEMROOT%\NTDS 文件夹和每个域控制器中。

回收站

Active Directory 回收站允许管理员轻松恢复已删除的项目，默认情况下未启用此功能。如何启用回收站的分步指南。

只读域控制器 (RODC)

RODC 服务器保存 Active Directory 数据库的只读副本，并且不允许对 AD 进行更改。其主要用途是针对物理安全较差的分支机构和地点。

模式

Active Directory 架构定义了可以在 Active Directory 林中创建和使用的每个对象类。它还定义了对象中可以存在的每个属性。换句话说，它是如何在 Active Directory 中存储数据的蓝图。例如，用户帐户是用户类的实例，它使用属性来存储和提供有关该对象的信息。计算机帐户是类的另一个实例，也是由其属性定义的。

有很多类和属性，除非您进行编程或解决某些高级问题，否则没有必要了解有关模式的所有内容。

系统卷

sysvol 是一个非常重要的文件夹，在每个域控制器上共享。默认位置为 %SYSTEMROOT%\SYSVOL\sysvol，由以下部分组成：

• 组策略对象
• 文件夹
• 脚本
• 连接点

墓碑

墓碑是从 AD 中删除的对象，尚未从数据库中删除，从技术上讲，该对象会在数据库中保留一段时间。在这段时间内对象可以被恢复。

对象名称属性

以下是使用 Active Directory 时应熟悉的一些重要属性。

• userPrincipalName (UPN) - 这是电子邮件地址格式的常见登录名。 UPN 如下所示，[email protected]，UPN 可用于登录 Windows 域。
• objectGUID - 该属性用于唯一标识用户帐户。即使帐户被重命名或移动，objectGUID 也不会改变。
• sAmAccountName - 此属性是帐户登录域的用户。它是旧版 Windows 版本登录域的主要方式，但仍然可以在现代版本的 Windows 上使用。
• objectSID - 该属性是用户的安全标识符 (SID)。服务器使用 SID 来识别用户及其组成员身份，以授权用户访问域资源。
• sIDHistory - 该属性包含用户对象以前的 SID。仅当用户已移动到另一个域时才需要这样做。
• 相对专有名称 (RDN) - RDN 是专有名称的第一个组成部分。它是 Active Directory 中对象相对于其在 AD 层次结构中的位置的名称

• 可分辨名称 (DN) - DN 属性用于定位目录中的对象。服务和应用程序通常使用此属性来定位 Active Directory 中的对象。 DN 由以下部分组成：

  • CN——通用名
• OU——组织单位
• DC——域分量

团体

组用于将用户帐户、计算机和联系人对象收集到管理单元中。创建组可以更轻松地控制资源权限并分配打印机和文件夹等资源。有两种类型的团体

• 分发 - 分发组由电子邮件应用程序使用，可轻松向一组用户发送电子邮件。
• 安全 - 安全组是一组帐户，可用于轻松分配资源或申请权限。例如，如果我想锁定人力资源部门的一个文件夹，我可以将所有员工放入一个安全组中，并将该组应用到该文件夹，而不是每个单独的帐户。

集团范围

组范围标识该组是否可以应用于域或林中。以下是三个组范围：

• 通用 - 可以包含来自其他通用组以及树或林中任何域的对象。
• 全局 - 可以包含域中的对象并可在任何域树或林中使用。
• 本地域 - 可以包含来自任何域的对象，但只能应用于创建它的域。

活动目录服务

Active Directory 包括属于 Active Directory 域服务的其他几个服务，这些服务包括：

Active Directory 证书服务 (AD CS)

这是一个服务器角色，允许您构建公钥基础设施 (PKI) 并为您的组织提供数字证书。证书可用于加密网络流量、应用程序流量，并用于对用户和计算机进行身份验证。当您在浏览器地址中看到 https 时，这意味着它正在使用证书来加密从客户端到服务器的通信。

Active Directory 域服务 (AD DS)

请参阅活动目录说明

Active Directory 联合身份验证服务 (AD FS)

联合服务允许单点登录到网站和应用程序等外部系统。 Office 365 是联合服务的常见用途。当您登录 Office 365 时，用户名和密码将通过联合服务器进行重定向，并根据您的本地 Active Directory 检查凭据。因此，这允许您使用本地 Active Directory 来验证用户名和密码，从而向外部系统提供身份验证。

Active Directory 轻量级目录服务 (AD LDS)

该服务使用LDAP协议提供目录服务，无需部署域控制器。这主要用于向启用目录的应用程序提供目录服务功能。这不会取代 AD DS。

Active Directory 权限管理服务 (AD RMS)

该服务提供了保护数字内容信息的方法。它通过定义谁可以打开、修改、打印、转发或对文档执行其他操作来保护文档。您还可以使用证书来加密文档以提高安全性。

活动目录 DNS

域名系统是一种提供名称解析的服务，最常见的是主机名到 IP 地址的解析。在本节中，您将了解 DNS 的一些重要组件。

资源记录

资源记录是 DNS 系统中的一个条目，可帮助根据 IP 或域名定位资源。资源记录有很多种类型，下面列出了常见的记录类型：

• A - 将主机名映射到 IPv4 地址
• AAAA - 将主机名映射到 IPv6 地址
• CNAME - 将别名映射到主机名
• MX - 用于定位邮件服务器
• NS - 指定域的名称服务器
• PTR - 将 IPv4 地址映射到主机名。 A 记录的反面。
• SOA - 包含管理信息
• SRV - 用于定位托管特定服务的服务器
• TXT - 可以包含各种数据。通常用于验证域和安全原因。

动态域名解析（DDNS）

动态DNS是客户端向DNS服务器注册并动态更新其资源记录的一种方法。这允许使用 DHCP 的客户端在 IP 地址更改时自动更新其 DNS 记录。

主机名

这通常是 DNS A 记录，即可以通信的设备的 DNS 名称。例如，名称为 DC1 的服务器。如果 DC1 已在 DNS 中注册，您会将其称为主机名。

区域

区域用于托管特定域的 DNS 记录。最重要和最常用的区域类型是 Active Directory 集成区域。还有其他几个区域您应该熟悉，我在我的文章“Windows DNZ 区域解释”中介绍了其他区域。

DNS 老化和清理

启用此功能可帮助自动清理过时的 DNS 记录。我创建了一篇单独的文章来解释更多信息并提供配置 DNS 老化和清理的分步说明。

Active Directory 使用的 SRV 记录

在 Windows 域中，客户端使用 SRV 记录来查找 Active Directory 的域控制器。当您安装 AD DS 服务时，该过程将自动为 Active Directory 创建 SRV 记录。

• Active Directory 在以下文件夹中创建其 SRV 记录，其中 Domain_Name 是您的域的名称：

  • 正向查找区域/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp 正向查找区域/Domain_Name/_msdcs/dc/_tcp

这是我的 DNS 的屏幕截图：

货运代理

DNS 转发器是解析内部 DNS 服务器无法解析的主机名的服务器，主要是外部域（例如 Internet 浏览）。您可以设置将 DNS 请求转发到您选择的任何服务器，通常使用 ISP。

根提示

根提示服务器是解析内部服务器无法解析的主机名的另一种方法。不同之处在于这些服务器充当互联网的根 DNS 区域。它们由几个为了安全和冗余而组织的大型组织管理。您可以使用根提示或转发来解析外部名称。

资源：

• DNS 资源记录类型的完整列表
• 如何验证是否已为域控制器创建 SRV DNS 记录
• 根提示与转发器
• DNS 最佳实践

活动目录复制

复制是确保对一个域控制器所做的更改复制到域中其他域控制器的过程。

连接对象

连接对象指定哪些域控制器相互复制、复制频率及其命名上下文。

韩国CC

知识一致性检查器 (KCC) 是一个在所有域控制器上运行的进程，并根据站点、子网和站点链接对象生成复制拓扑。

子网

子网是 IP 网络的逻辑部分。子网用于将设备分组到特定网络中，通常按位置、建筑物或楼层进行分组。如果您有多站点环境，Active Directory 需要了解您的子网，以便能够正确识别最有效的资源。如果未提供此信息，客户端可能会进行身份验证并使用错误的域控制器。

地点

站点是子网的集合。 Active Directory 站点帮助定义客户端（例如域控制器）的复制流和资源位置。

网站链接

站点链接允许您配置哪些站点相互连接。

站点链接桥

站点链接桥是站点之间的逻辑连接。它是一种逻辑地表示站点之间传递连接的方法。

站点拓扑

站点拓扑是定义 Active Directory 林中资源复制和位置的网络连接的映射。多个组件（包括站点、子网、站点链接、站点链接桥和连接对象）一致的站点拓扑。

站点内复制

这是同一站点中的域控制器之间发生的复制。

站点间复制

在具有多个站点的环境中，需要将一个站点中的更改复制到另一站点。这称为站点间复制。

资源：

• Active Directory 复制的工作原理
• Active Directory 复制概念

Active Directory 安全性（身份验证、安全协议、权限）

克伯罗斯

Kerberos 是一种安全协议，允许用户安全地证明其身份以获取对域资源的访问权限。

票证授予票证 (TGT)

TGT 是由 KDC 创建的文件，它们用于授予用户对网络资源的访问权限。

密钥分发中心 (KDC)

KDC 是一项在域控制器上运行并提供 Kerberos 身份验证协议中使用的会话票证的服务。

服务主体名称 (SPN)

SPN是服务实例的唯一标识符。

NTLM

NTLM 是一组安全协议，用于对用户进行身份验证、提供完整性和机密性。 Kerberos 是首选身份验证协议，用于现代 Windows 版本，NTLM 仍然可用于工作组上的旧客户端和系统。

NTFS权限

NTFS 权限允许您定义谁有权访问文件或文件夹。以下是您可以设置的基本权限的列表：

• 完全控制 - 这使用户有权添加、修改、移动和删除文件和文件夹。
• 修改 - 授予用户查看和修改的权限
• 读取和执行 - 授予用户查看和执行权限
• 阅读 - 只读权限
• 写入 - 直接写入文件并添加新文件夹

共享权限

共享权限定义对共享资源（例如文件夹）的访问级别。共有三种基本的共享权限：

• 读取 - 授予用户查看文件夹和子文件夹的权限
• 更改 - 授予用户读取和修改权限
• 完全控制 - 授予用户修改、更改和读取权限。

自主访问控制列表 (DACL)

DACL 标识允许或拒绝哪个帐户访问文件或文件夹等对象。

访问控制条目 (ACE)

DACL 包含 ACE，ACE 定义要授予资源的帐户和访问级别。如果不存在 ACE，系统将拒绝对该对象的所有访问。

系统访问控制列表 (SACL)

SACL 使管理员能够记录访问安全对象的尝试。

细粒度密码策略

Windows 2008 及更高版本中的一项功能，允许您为不同的帐户定义不同的密码和帐户锁定策略。通常，所有帐户都应具有相同的策略，但您可能有一个服务帐户或需要不同策略的非常特定的帐户。例如，我们的访客 WiFi 帐户由于密码错误而不断被锁定。我使用了精细授予的密码策略来设置比域的其余部分更高的帐户锁定。

资源：

• 适用于繁忙管理员的 Kerberos
• Windows 身份验证技术概述
• 共享和 NTFS 权限之间的差异
• 访问控制列表

活动目录管理控制台

本部分包括您需要用来管理各种 Active Directory 技术的管理控制台。您需要安装远程服务器管理工具 (RSAT) 才能访问这些管理控制台。

Active Directory 用户和计算机 (ADUC)

这是用于管理用户、计算机、组和联系人的最常用控制台。

快捷方式： dsa.msc

Active Directory 管理中心 (ADAC)

从 Server 2008 R2 开始，Microsoft 引入了 ADAC 来管理其目录服务对象。该控制台可用于创建和管理用户帐户、计算机帐户、组和组织单位。它提供与 Active Directory 用户和计算机工具相同的功能。由于界面复杂，我更喜欢 ADUC 而不是这个控制台。

Active Directory 域和信任

该控制台用于提升域或林的域模式或功能级别。它还用于管理信任关系。

快捷方式：domain.msc

Active Directory 站点和服务

这是管理复制的主控制台。该控制台用于管理站点拓扑对象、连接对象、计划复制、手动强制复制、启用全局编录以及启用通用组缓存。

快捷方式： dssite.msc

ADSI 编辑

Active Directory 服务接口编辑器是一个 GUI 工具，可用于管理 Active Directory 中的对象。此工具提供对 Active Directory 用户和计算机中不可用的对象数据的访问。

快捷方式： adsiedit.msc

分布式文件系统管理

该控制台用于管理 DFS 命名空间和 DFS 复制。

快捷方式： dfsmgmt.msc

动态主机配置协议

该控制台用于创建 DCHP 范围、查看租约信息以及 DHCP 的所有内容。

快捷方式：dhcpmgmt.msc

域名系统

该控制台用于创建 DNS 区域、资源记录并管理 DNS 的所有内容。

快捷方式： dnsmgmt.msc

组策略管理

该控制台用于管理组策略和组策略对象。

快捷方式： gpmc.msc

电源外壳

尽管这不是管理控制台，但它是自动化管理任务的最强大工具。 PowerShell 可以加速 GUI 管理工具无法完成的许多日常任务。

资源：

• 大量 MMC 快捷键列表

动态主机控制协议 (DHCP)

动态主机配置协议是一种提供IP地址集中控制的服务。当您的计算机连接到有线或无线网络时，将联系 DHCP 服务器来查找并分配可用的 IP 地址。

范围

DHCP 范围是配置供计算机等设备使用的 IP 地址设置的集合。您可以为不同的设备类型和子网创建多个范围。例如，我有一个计算机范围和不同的 IP 电话范围。设置范围时，您需要配置以下内容：

• 范围名称 - 这是范围的名称。为其指定一个描述性名称，以便轻松识别它适用于哪些设备。
• IP 地址范围 - 这是您希望设备使用的 IP 范围。例如10.2.2.0/24
• IP 地址排除 - 您可以指定从范围中排除 IP 地址。如果子网上有需要静态 IP 的设备（例如路由器或服务器），这非常有用。
• 租约期限 - 租约指定客户端在将 IP 地址返回到池之前拥有该 IP 地址的时间。
• DHCP 选项 - DHCP 分配 IP 地址时可以包含许多不同的选项。下面详细介绍这一点

DHCP 选项

DCHP 选项有很多，以下是 Windows 域中最常用的选项。

• 003路由器 - 子网的默认网关
• 005 DNS 服务器 - DNS 服务器客户端的 IP 地址应用于名称解析。
• 015 DNS 域名 - 客户端应使用的 DNS 后缀，通常与域名相同。

DHCP过滤

DHCP 过滤可用于根据 MAC 地址拒绝或允许设备。例如，我用它来阻止移动设备连接到我们的安全 WiFi。

超级望远镜

超级作用域是各个 DHCP 作用域的集合。当您想要将范围连接在一起时可以使用此功能。老实说，我从来没有用过这个。

分割范围

这是一种为 DHCP 范围提供容错的方法。使用 DHCP 故障转移并不是容错的首选方法。

DHCP 故障转移

DCHP 故障转移是从服务器版本 2012 开始的一项新功能。它允许两个 DHCP 服务器共享租用信息，从而为 DCHP 服务提供高可用性。如果一台服务器不可用，另一台服务器将接管。

资源：

• DHCP 参数

组策略

组策略允许您集中管理用户和计算机设置。您可以使用组策略来设置密码策略、审核策略、锁定屏幕、映射驱动器、部署软件、单个驱动器、Office 365 设置等等。

组策略对象 (GPO)

GPO 是用于应用于计算机或用户的策略设置的集合。

组策略刷新频率

客户端工作站和成员服务器每 90 分钟刷新一次策略。为了避免域控制器不堪重负，它们在每台计算机上添加了随机偏移间隔。这可以防止所有计算机同时从 DC 请求组策略升级并可能导致 DC 崩溃。

政策处理

组策略按以下顺序应用

• 当地的
• 地点
• 领域
• 组织单位 (OU)

块继承

默认情况下，组策略对象是继承的。要更改此行为，您可以在 OU 级别使用块继承选项。

无覆盖

如果您想要强制执行策略并防止它们被阻止，请使用无覆盖选项。

用户设置

GPO 中有用户和计算机设置。用户设置仅适用于用户对象。如果在 GPO 中配置用户设置，则必须将 GPO 应用于用户对象。

电脑设置

GPO 中的计算机设置是可以应用于计算机的设置。如果配置计算机设置，则必须将 GPO 应用于计算机对象。

政策结果集 (RsoP)

策略的结果集是内置于 Windows 7 及更高版本中的 Microsoft 工具。它为管理员提供有关哪些组策略设置应用于用户和计算机的报告。它还可用于模拟用于规划目的的设置。

我的文章《如何使用 RSoP 检查组策略设置并对其进行故障排除》中有完整的教程。

组策略首选项

组策略首选项主要用于配置稍后可以在客户端级别更改的设置。首选项还可以选择执行一些高级定位，例如应用于特定 OU、Windows 版本、组中的用户等。首选项通常用于配置以下内容：

• 驱动器映射
• 注册表设置
• 安装打印机
• 安排任务
• 设置文件和文件夹权限
• 设置电源设置

模板

您可以安装其他组策略模板来扩展 Microsoft 提供的默认 GPO。使用的一些常见模板包括 Office 365、Chrome、Firefox 以及第三方应用程序提供的模板。模板是基于 xml 的文件，通常采用 ADM 格式或 ADMX 文件扩展名。

资源：

• 组策略架构
• 组策略概述

我错过了什么吗？有什么要分享的吗？请在下面的评论中告诉我。