什么是活动目录？初学者指南

第 1 课 - Active Directory 如何工作

在本课程中，我将通过三个带有图表的示例来解释 Active Directory 的工作原理。

第 2 课 - Active Directory 域服务

Active Directory 域服务 (AD DS) 是 Active Directory 的主要组件。了解 AD DS 及其相关服务。

第 3 课 - Active Directory 优势

在本课程中，您将了解 Active Directory 的优势，包括带有网络图的示例。

第 4 课 - 管理工具

了解用于管理 Active Directory 的工具及其相关技术。

第 5 课 - 其他 Active Directory 服务

其他 Active Directory 服务（例如 LDAP、证书服务和联合服务）的简要说明。

第 6 课 - Azure Active Directory

在本课程中，您将了解 Azure Active Directory 及其与 Active Directory 域服务的不同之处。

第 1 课
Active Directory 如何工作

Active Directory 首次随 Windows Server 2000 一起发布。它的主要功能是为网络上的用户提供身份验证和授权。

• 身份验证是 Active Directory 验证用户凭据（用户名和密码）的过程。用户的凭据存储在 Active Directory 数据库中。
• 授权是授予或拒绝用户执行某些操作（例如编辑文件或访问应用程序）的过程。

自发布以来，Microsoft 已向 Active Directory 添加了其他服务，第 6 课将对此进行详细介绍。Active Directory 的主题可能非常复杂，因为有许多服务和组件使其工作。请记住，其核心功能是对网络资源的用户进行身份验证和授权。

尽管大力推动将所有内容迁移到云端，但大多数中型和大型组织仍然使用 Active Directory。许多组织使用 Office 365 和云服务并以混合模式运营。这意味着本地 Active Directory 与云同步，为 Office 365 资源（例如电子邮件）提供无缝身份验证。

为了更好地理解 Active Directory 的工作原理，让我们看一些示例。这些示例提供了 Active Directory 工作原理的高级概述。

示例 1 - 验证用户身份

Jim 最近被聘为 Active Directory Pro 的会计师。 IT 管理员在 Active Directory 中为 Jim 创建一个帐户，该帐户对于 Jim 来说是唯一的，并包含名字、姓氏、办公室、电话号码等详细信息。Jim 获得了用户名和密码，以便他可以登录到该帐户。公司的网络。

1. Jim 使用提供的用户名和密码登录他的笔记本电脑。
2. 登录请求将发送到 Active Directory 服务器以验证 Jim 的用户名和密码。
3. Active Directory 查找 Jim 的帐户并验证用户名和密码。该帐户已验证。
4. Jim 现在已登录到他的笔记本电脑并通过了域身份验证。

示例 2 - 授权用户（授予或拒绝权限）

在此示例中，Active Directory 服务器将授权对网络资源的访问。

1. Jim 使用他的用户名和密码登录他的计算机，并想要访问他的电子邮件、合同文件和会计数据库服务器。
2. 这些网络资源会检查 Active Directory 以查看 Jim 的帐户是否有权访问。
3. Active Directory 验证 Jim 的帐户是否有权访问。
4. Jim 的帐户已被授予访问权限。 Jim 现在可以检查电子邮件、修改合同文件并在数据库服务器上工作。

示例 3 - 授权和拒绝用户访问

在最后一个示例中，我们将查看另一个具有混合访问权限（允许和拒绝权限）的用户。

1. Pam 使用她的用户名和密码登录网络。她尝试访问与 Jim 相同的资源（电子邮件、合同文件和数据库服务器。）
2. 这些网络资源会检查 Active Directory，以查看 Pam 的帐户是否有权访问。
3. Active Directory 验证 Pam 的帐户（身份验证）。 AD 还会检查 Pam 的帐户有权访问哪些资源（授权）。
4. Pam 现在可以访问电子邮件和合同文件，但无权访问会计数据库服务器。

在上述所有示例中，Active Directory 的工作原理是向用户和网络资源提供身份验证和授权。无论您听到什么技术术语，这都是 Active Directory 的核心功能。

需要注意的是，这些网络资源必须配置为使用 Active Directory。这些资源通常会加入到 Active Directory 服务器（但并非所有系统都需要这样做）。配置 Active Directory 服务器需要进行大量配置和规划。组织通常有专门的专业人员来实施和管理这些系统。

在下一课中，我将介绍 Active Directory 服务器的一些核心组件。

第 2 课
Active Directory 域服务

Active Directory 域服务 (AD DS)

Active Directory 域服务是Active Directory 的主要组件。

AD DS 可分为三个主要功能。

• 目录服务 - 目录服务提供以结构化方式存储数据的方法，使管理和访问变得容易。例如，Active Directory 存储有关用户、计算机和组的信息。
• 身份验证服务 - 对网络用户进行身份验证
• 授权服务 - 授予或拒绝网络用户对网络资源的访问权限。

重要的是在这里停下来回顾一下这三个术语。不要与以下三个术语混淆，它们都指的是 Active Directory。

• AD - 这只是 Active Directory 的缩写。
• AD DS - 这是运行 Active Directory 域服务角色的服务器。
• 域控制器 (DC) - 这也是运行 Active Directory 域服务角色的服务器。域控制器与运行 AD DS 的服务器是一样的。

安装 Active Directory 时，您将在 Windows 服务器上安装 AD DS 角色。

接下来，我将介绍 AD DS 的一些主要组件。

活动目录核心组件

您将了解为什么 Active Directory 是一个复杂的主题。我将简要介绍 Active Directory 环境的一些核心组件。我将附上图表来帮助说明该主题。以下组件是任何 Active Directory 环境的典型组件。

Active Directory 域、树和森林

Active Directory 以分层逻辑结构组织资源。这种逻辑结构有助于组织对象、定义关系和控制安全边界。

林是顶级容器，是 Active Directory 域的集合。林中的域共享目录架构、目录配置和全局编录。同一林中的域自动具有双向传递信任。当您首次安装 Active Directory 并创建域时，您也在创建林。

Active Directory 根域是 Active Directory 中容器和对象的逻辑结构。域包含以下组件：

• 用户、组、计算机和其他对象的层次结构。
• 为域和其他域中的资源提供身份验证和授权的安全服务
• 应用于用户和计算机的策略
• 用于识别域的 DNS 名称。当您登录属于某个域的计算机时，您正在登录 DNS 域名。我的 DNS 域是 ad.activedirectorypro.com，这就是我的域的识别方式。

安装 Active Directory 时，您必须选择要使用的域名。建议使用可路由域名的子域。例如，ad.activedirectorypro.com 是 activedirectorypro.com 的子域。 Active Directory 的初始安装将创建一个林和根域。

子域是与根域共享相同域名空间的域。它是一个拥有自己的对象集合的域。在此示例中，有两个子域 east.ad.activedirectorypro.com 和 est.ad.activedirectorypro.com。

树是一组连接在一起的域。当您将子域添加到父域时，您将创建所谓的域树。域树只是一系列以分层方式连接在一起的域，所有域都使用相同的 DNS 命名空间。在上图中，子域 east.ad.activedirectorypro.com 和 est.ad.activedirectorypro.com 是同一域树的一部分。

模式

模式是一组规则，定义目录中包含的对象和属性的类。

全局目录 (GC)

全局目录包含有关目录中每个对象的信息。这允许用户和管理员查找目录信息，而不管目录中的哪个域实际包含数据。默认情况下，域中的第一个域控制器被指定为 GC 服务器，建议每个站点至少有一个 GC 服务器以提高性能。

复制

复制服务将 Active Directory 数据库与其他域控制器同步。出于冗余原因，Active Directory 通常部署有两个或更多域控制器。当您在一台域控制器上创建帐户时，该帐户将被复制到另一台域控制器上。如果一台域控制器出现故障，另一台域控制器将拥有数据库的副本。

在上图中，如果将用户添加到 DC1，则该用户将被复制到 DC2，反之亦然。

网站和服务

Active Directory 站点用于将多个域控制器组合到与其物理位置相关的逻辑容器中。当您拥有多个分支机构和域控制器时，站点用于优化 Active Directory 的性能。

上面的示例有两个站点，每个站点有两个域控制器。站点 A 中的域控制器使用站点内复制来保持 DC1 和 DC2 之间的所有更改同步。站点 A 和站点 B 使用站点间复制来确保站点 A 中的更改能够复制到站点 B 中，反之亦然。

克伯罗斯

Kerberos 是 Active Directory 用于验证用户或主机身份的身份验证协议。本指南开头的图表看起来很简单，但在后台，客户端和 Active Directory 服务器之间存在大量通信来对用户进行身份验证和授权。

下图显示了后台发生的身份验证过程。

1. 客户端向 Active Directory 服务器发送请求。
2. 服务器使用 TGT 和会话密钥进行响应，客户端可以使用该密钥对 AD 服务器进行加密和身份验证。
3. 客户端发送票证请求。
4. 服务器验证请求并返回服务票证。
5. 客户端使用从 AD 服务器收到的票证来请求访问网络资源。
6. 服务器将解密票证并验证请求。

FSMO 角色

Microsoft 在 2003 年引入了灵活的单主操作 (FSMO) 角色。这些 FSMO 角色可以分布到不同的域控制器，这有助于提高性能和冗余。如果一台域控制器出现故障，另一台 DC 将接管缺失的角色。

• 架构主机角色管理 Active Directory 中架构的读写副本。
• 域命名主机角色可确保您不会在林中创建具有相同名称的第二个域。
• RID master负责每个对象的SID。每个 AD 对象必须有一个唯一的 SID。为了防止重复，由 RID 负责。
• PDC模拟器是域内权威的DC。它负责身份验证请求、密码更改和组策略。
• 基础设施主机角色管理域之间的 GUIDS、SID 和 DN 的关系。

活动目录域

安装 Active Directory 时，您必须选择要使用的域名。建议使用可路由域名的子域。例如，ad.activedirectorypro.com 是 activedirectorypro.com 的子域。

当您将计算机加入域时，它将具有您域名的 DNS 后缀，例如 pc1.ad.activedirectorypro.com。

这样，所有加入域的系统都是同一 DNS 命名空间的一部分，并且可以轻松地相互通信。

也称为加入域、Active Directory 域或 Active Directory 环境。

Windows 域只是指您的 Active Directory 服务器及其加入域的设备或系统，使用它进行身份验证和授权。

用户帐户

用户帐户用于为员工提供对网络资源的访问权限。通常会为每个员工分配一个用户帐户，但有时会使用共享帐户。该帐户存储在 Active Directory 数据库中，可以提供员工的详细信息，例如名字、姓氏、街道、州、城市、经理等。

Active Directory 中用户帐户对象的屏幕截图。

安全组

安全组是用户或计算机的集合。它简化了一组对象的权限管理。例如，如果 20 人需要访问某个文件，您可以创建一个安全组并将这 20 人添加到该组中。然后，您只需管理该组的文件访问权限，而不是 20 个单独的帐户。

安全组的屏幕截图。

计算机对象

当计算机加入 Active Directory 域时，将创建一个计算机对象。当该对象在 Active Directory 中创建时，它就成为可用于访问网络的受信任对象。例如，用户需要登录网络并访问受保护的文件。用户可以登录受信任的计算机并访问受保护的文件（如果用户已被授予访问权限）。

计算机对象的屏幕截图。

组织单位 (OU)

在 Active Directory 中，组织单位用于组织 Active Directory 对象（用户、组、计算机）。组织 AD 对象可以更轻松地管理和应用策略。例如，您可以将所有用户组织到他们自己的部门文件夹中。建议将用户和计算机分隔到各自的 OU 中。

第 3 课
Active Directory 的优点

Active Directory 的主要优点是能够集中用户管理和网络资源访问。

Active Directory 集中管理以下内容：

1. 用户账户集中管理
2. 权限集中管理
3. 策略设置的集中管理

让我们通过一些例子来看看这些好处。

好处#1。用户账户集中管理

通过使用 Active Directory，您可以在一个地方创建和管理所有用户帐户。

例如，我假设 Active Directory Pro 有 100 名员工，他们都需要访问网络的能力。管理员将使用 Active Directory 用户和计算机控制台，并在一个中央位置创建所有帐户。

员工现在可以登录计算机并访问他们有权访问的所有资源。

如果没有 Active Directory，您必须登录每个资源并创建一个帐户。这对于管理来说将是一场噩梦，并且非常耗时。

以下是没有 Active Directory 服务器时的情况。

如果吉姆想要访问网络资源，管理员必须在他需要访问的每个系统上创建帐户。例如，需要在笔记本电脑、数据库服务器、文件服务器、电子邮件服务器等上创建帐户。现在您需要为另外 99 名员工执行此操作。那将是一个很大的痛苦。

这将非常耗时，并且不可能在所有用户和资源之间创建一致性。

好处#2。权限集中管理

通过使用 Active Directory，您可以集中控制和管理网络资源的权限。

Active Directory 具有安全组，可用于授予一组用户帐户对资源的访问权限。

例如，您有多个用户需要访问会计资源（服务器、合同文件、文件共享）。为了轻松提供对所有这些资源的访问，您可以将用户添加到有权访问这些资源的 Active Directory 安全组中。

通过使用 Active Directory 安全组，您可以轻松授予和删除权限。当员工离开或需要删除权限时，您只需从组中删除该帐户即可。

优势 #3 策略设置的集中管理

在 Active Directory 环境中，您可以使用组策略将策略设置应用到用户和计算机。

例如，如果您希望所有用户每 60 天更改一次密码，您可以配置适用于所有用户的密码策略。如果您想将电源设置应用于所有计算机，可以使用组策略来实现。

如果没有 Active Directory 或组策略，您需要在每台计算机上配置策略设置。这在大型环境中是不可能管理的。 100% 位于云中的组织使用 Microsoft Intune 来管理策略设置。 Intune 还可以在混合环境中使用。

第 4 课
管理工具

在本课程中，您将了解用于管理 Active Directory 的各种工具。当您在服务器上安装 Active Directory 时，其中大部分已包含在内。

在运行 Active Directory 的服务器上，您可以在“Windows 管理工具”文件夹下访问这些管理工具。您还可以通过安装 RSAT 工具在另一台计算机上安装这些工具。

Active Directory 用户和计算机 (ADUC)

这是用于创建和管理用户帐户、计算机和组的控制台。例如，要创建新用户帐户，您需要打开 ADUC 控制台来创建新帐户、设置密码并将用户添加到组中。它还用于创建 OU 和组织对象。

Active Directory 管理员中心 (ADAC)

ADAC 工具包含在服务器 2008 R2 及更高版本中。它执行许多与 ADUC 相同的任务以及一些其他任务。我不确定 Microsoft 是否打算用它来取代 ADAC，但它并未得到广泛使用。大多数管理员仍然使用 ADUC 工具。

Active Directory 域和信任

该控制台用于提升域或林的域模式或功能级别。它还用于管理信任关系。该控制台是您不会经常使用的控制台。

Active Directory 站点和服务

该控制台用于管理您的站点和子网。如果您只有一个站点，那么您不需要使用此控制台。如果您在多个地理区域部署 Active Directory，您可能需要使用此控制台来管理您的子网、站点和复制。

组策略管理控制台

组策略为 Active Directory 环境中的用户和计算机提供集中管理和策略设置。例如，要确保所有用户每 90 天更改一次密码，您将使用组策略并配置密码策略。了解如何使用组策略是系统管理员的一项重要职能。要了解更多信息，请参阅我的组策略管理指南。

域名系统

DNS控制台用于管理和创建DNS区域和资源记录。如果没有 DNS，Active Directory 将无法工作，它在安装 AD 时已包含在内。如果使用 Active Directory，了解 DNS 的基础知识非常重要。

动态主机配置协议

DNS 控制台用于创建和管理网络中的 DHCP 地址池。这是一种实际上与 Active Directory 无关的工具。 Active Directory 不需要 DHCP，但它通常用于简化向客户端设备分配 IP 地址的过程。

电源外壳

PowerShell 是一个命令行工具，可帮助您自动执行许多日常任务，例如创建、更新和报告 Active Directory 中的对象。

Active Directory 专业工具包

AD Pro 工具包是 AD 管理工具的集合，用于简化和自动化 Active Directory 的管理。

在我作为系统管理员/经理的职业生涯中，我管理过许多 Active Directory 环境。微软提供的工具缺乏许多功能，例如批量管理和报告。 PowerShell 可以帮助实现自动化，但弄清楚它可能非常耗时，而且并非所有管理员都有所需的空闲时间。这就是我创建该工具包的原因，它非常易于使用并为您节省大量时间。

第 5 课
其他 Active Directory 服务

以下是可以安装的其他 Active Directory 服务的列表。这些服务是可选的，可以使用 Windows 服务器上的添加角色和功能向导进行安装。

活动目录证书服务

证书服务用于管理和部署证书。证书用于对文档和网络流量进行数字签名和加密。

Active Directory 联合服务

联合服务为基于 Web 的应用程序（例如 Office 365）的用户帐户提供单点登录 (SSO)。

Active Directory 轻量级目录服务

AD LDS 是一项为应用程序提供目录服务的服务，同时还提供数据存储和用于访问数据存储的服务。它使用标准应用程序编程接口 (API) 来访问应用程序数据。

Active Directory 权限管理服务

该服务对文档进行加密，用于限制对电子邮件、办公文档和网页等文档的访问。

第 6 课
Azure Active Directory

Azure Active Directory 现在称为 Entra ID。

Azure Active Directory (AD) 是一项基于云的服务，用于对访问进行身份验证和授权。微软将其称为身份和访问管理服务，这是一个新的奇特术语，仅意味着身份验证和授权访问。

Azure AD 将对基于云的应用程序（例如 Office 365、Azure 和其他 SaaS 应用程序）的用户进行身份验证。

ADDS=Active Directory 域服务（本地 Active Directory）。

AAD - Azure Active Directory（基于云的 Active Directory）。

混合 Azure AD

混合 Active Directory 是指您拥有本地 Active Directory (ADDS)，并将其与云 Azure Active Directory (AAD) 同步。在混合模式下，您可以使用名为 Azure AD Connect 的 Microsoft 软件将本地 AD 与 Azure AD 同步。这使您能够在本地和云中拥有相同的用户和密码。这样做是为了让用户可以单点登录本地资源和基于云的资源。

本地 AD 到云 AD 的同步是一种单向同步，但 Azure 不与本地 AD 同步。要了解有关 Azure AD 的更多信息，请参阅 Microsoft 文章什么是 Azure Active Directory？