活動目錄

活動目錄（AD）是隨Windows 2000引入的Microsoft Windows Server目錄服務的名稱，其核心組件也稱為活動目錄域服務（AD DS）。

這樣的目錄(英文目錄)是諸如電話簿之類的分配列表，它將電話號碼分配給各個聯系人(所有者)。

活動目錄使得根據公司的實際結構或其空間分布構建網絡成為可能。 為此，它管理網絡中的各種對象，例如用戶、組、計算機、服務、服務器、文件共享和其他設備（例如打印機和掃描儀）及其屬性。 借助活動目錄，管理員可以組織、提供和監控對象的信息。

可以向網絡用戶授予訪問限制。 例如，并非每個用戶都被允許查看每個文件或使用每臺打印機。

自 Windows Server 2008 以來，活動目錄一詞概括了五種不同的服務器角色：

• 活動目錄域服務是原始目錄服務的當前版本，是域和資源管理的中心點。
• 活動目錄輕型目錄服務是功能受限的 AD DS 版本，用于連接需要來自目錄的 LDAP 兼容信息的應用程序或服務。 該服務首先在 Windows Server 2003 中實現，稱為活動目錄應用程序模式 (ADAM)。
• 活動目錄聯合服務用于在用戶位于 AD DS 基礎結構之外的區域時對他們進行基于 Web 的身份驗證。
• 活動目錄權限管理服務使用加密方法保護資源免遭未經授權的查看。
• 活動目錄證書服務提供公鑰基礎設施。

LDAP 協議使計算機能夠以統一的方式查詢目錄，例如獲取有關用戶及其組成員身份的信息。

Kerberos 是一種以統一方式對用戶進行集中身份驗證的協議。 這使他們能夠訪問活動目錄中的各種服務器和服務，而無需每次都登錄。

SMB 協議允許訪問位于網絡服務器上的文件。 因此活動目錄可以例如 B. 使客戶端計算機可以使用組策略和登錄腳本。

DNS 用于將計算機名稱轉換為 IP 地址。 這使得通過名稱訪問活動目錄中的每臺計算機成為可能。 活動目錄的服務也通過 SRV 資源條目為客戶端計算機所知。

活動目錄分為三個部分：架構、配置和域。

• 架構是所有 Active Directory 條目的模板。 它定義了對象類型、它們的類和屬性以及它們的屬性語法。 活動目錄中可用的對象類型可以通過定義新類型來影響。 其底層模式是定義對象及其屬性的“模式”。
• 配置描述了 Active Directory 林及其樹。
• 畢竟，域包含描述自身和在其中創建的對象的所有信息。

活動目錄的前兩部分在林中的所有域控制器之間復制，而特定于域的信息基本上僅在各自的域內可用，即在它們各自的域控制器上。 因此，每個域中也有一個所謂的全局目錄。 它代表了自己領域的所有信息，也包含了整體結構中其他領域的重要部分信息，從而使例如 B. 跨域搜索操作。

活動目錄使用 Jet（藍色）數據庫來存儲有關網絡對象的信息，Microsoft 也將其用于 Exchange Server。 它是關系型的、面向事務的并使用預寫日志記錄。Active Directory 數據庫限制為 16 TB，每個域控制器最多可以創建 20 億個對象。

NTDS.DIT??數據庫文件包含d主要三個表：存儲模式的“模式表”、存儲對象結構的“鏈接表”和存儲數據的“數據表”。

ESE（可擴展存儲引擎）根據預定義的方案將根據關系模型存儲的 Active Directory 數據排列在分層模型中。

在 Windows 2000 上，活動目錄使用基于 Jet 的 ESE98 數據庫。

與 NetIQ 的面向對象的目錄系統 eDirectory 相比，活動目錄更加基于對象和分層。

數據庫中的記錄在活動目錄中被定義為“對象”，它們的屬性被定義為“屬性”。 屬性是根據它們的類型定義的。 對象由它們的名稱xxx標識。

組策略設置存儲在組策略對象中。 這些也被分配給域和位置。

對象分為兩大類：

• 帳戶，例如用戶、組和計算機帳戶
• 資源，例如文件和打印機共享

可能多達數百萬個對象存儲在容器（組織單元）中，也稱為 OU（組織單元）。 一些容器是預定義的，任何其他組織單位都可以創建子單位（子組織單位）。 作為一個基于對象的系統，活動目錄支持將對象容器的屬性繼承給從屬對象，而從屬對象又可以是容器。 這允許活動目錄在邏輯上和層次上構建網絡。

幾個相關域的組合，在英文原文中稱為“forest”。 可以在全局目錄中集中訪問所有包含域的最重要信息，并且所有域都使用相同的目錄方案。 可以跨域使用安全信息（例如用戶權限/組分配）和模式擴展。 整體結構可以包含不同的樹，它們是同一 DNS 命名空間中的域。 即使是單個域也已經形成了一個整體結構，以后可以用其他域進行補充。

組織單位 (OU) 是用于對 AD 中的其他對象進行分組的容器對象。 除了對象之外，一個 OU 還可以包含其他 OU。 可自由定義的 OU 層次結構簡化了活動目錄的管理。 通常，它取決于網絡結構（網絡管理模型）或公司的組織結構。 OU 是最低級別的活動目錄，可以在其中劃分管理權限。

細分的一種可能性是位置。 這些表示整體拓撲中 IP 子網的空間結構。

這些位置的快速網絡 (LAN) 通常通過較慢的網絡 (WAN) 相互連接。 因此，站點形成對于控制復制操作產生的網絡流量很重要。 域可以包含位置，位置也可以包含域。

將公司信息的基礎結構仔細規劃為按層次劃分為域和組織單元是很重要的。 基于地理位置、任務或 IT 角色或這些模型的組合的拆分已被證明對此很有用。

在仍然包含沒有層次結構的用戶數據庫的 Windows NT 下，每個域總是有一個指定的控制器，即主域控制器 (PDC)，它被允許對該用戶和計算機數據庫 (SAM) 進行更改。 所有其他域控制器都復制這些并作為只讀備份副本在必要時升級到 PDC。

相反，活動目錄使用所謂的多主機復制來復制域控制器之間的目錄。 這樣做的好處是每個副本都可以被描述和同步。 這意味著本地管理完全可以通過分布式實現實現。 與 Windows NT 域相反，從 Windows 2000 開始，所有域控制器 (DC) 都有一個 Active Directory 數據庫的可寫副本。 更改其中一個 DC 上的屬性會定期傳播（復制）到所有其他 DC。