Active Directory域服务的介绍

A 目录/索引这是一种分层结构，用于存储关于网络中各个对象的信息。 从最广泛的意义上讲，目录就是一种对各类对象的全面列表。 电话簿是一种目录工具，用于存储关于个人、企业和政府机构的详细信息。 电话簿通常记录着姓名、地址以及电话号码等信息。 Active Directory是一种由微软开发的技术，用于管理网络中的计算机及其他设备。 这是Windows Server操作系统的一项主要特性。Windows Server是一种能够运行本地服务器和互联网服务器的操作系统。

Active Directory的优势/好处

• 层级化的组织结构。
• 多主认证与多主复制功能（即能够从多个管理点访问和修改AD DS）。
• 网络资源的唯一访问点。
• 能够与运行旧版本Active Directory或甚至Unix系统的外部网络建立信任关系。
• 它提供了一个集中化的管理用户和计算机账户的场所，从而节省时间并提升IT管理员的工作效率。此外，这种方式还能确保安全政策和权限的统一实施。
• 它提供了多种安全功能，包括密码策略、组策略以及访问控制机制等。这些功能有助于保护网络免受未经授权的访问和恶意活动的侵害。
• 该系统旨在支持拥有大量用户和设备的庞大网络，并且能够轻松扩展以满足不断增长的组织的需求。这意味着可以根据需要添加更多的域控制器和服务器。
• 这使得在网络中轻松共享文件、打印机等资源变得容易，同时也可以通过权限和安全设置来管理对这些资源的访问。
• 具备全面的审计与报告能力，这有助于组织追踪网络上的各种变化与活动，同时能够发现潜在的安全问题。

目录服务 –目录服务是一种对对象进行分层管理的机制，这种管理方式使得对象的访问变得非常方便。不过，作为定位服务的功能并非AD的唯一用途。它还能帮助组织更好地管理其网络中的各种活动。本质上来说，网络目录服务就是这样一个功能。

• 提供有关网络中用户对象、计算机以及服务的详细信息。
• 该信息被存储在一个安全的数据库中，同时提供了用于管理和搜索该目录的工具。
• 能够管理用户账户和资源，并根据组织的需求，统一地执行各项策略。

Active Directory提供了多种不同的服务，这些服务都属于“Active Directory域服务”或AD DS的范畴。这些服务包括：

1. 域名服务 –该系统能够集中存储数据，并管理用户与各个域之间的通信。它还包含登录认证以及搜索功能。
2. 证书服务 –它负责生成、管理和共享证书。通过加密技术，证书使得用户能够使用公钥安全地通过互联网进行信息交换。
3. 轻量级目录服务 –支持使用开放（LDAP）协议来与启用目录功能的应用程序进行通信。
4. 目录联合服务 –提供单点登录功能，使得用户可以在同一会话中验证多个Web应用程序中的身份。
5. 权利管理——它负责控制信息的权限和管理方式。AD RMS可以在服务器上对电子邮件或Word文档等文件进行加密处理，从而限制对它们的访问。

域控制器 –运行AD DS的服务器被称为域控制器。域控制器负责在域内托管和复制目录服务数据库。此外，目录服务还提供用于管理和验证域内资源的服务。这些服务器还托管着AD DS中的关键服务，包括：Kerberos密钥分发中心、NetLogon、Windows时间服务以及Intersite Messaging服务。Active Directory对象：

1. 容器对象 –这些对象可以包含其他对象，而我们可以从这些对象中创建集合。例如：森林、树木、领域、组织单位等。
2. 叶对象 –这些对象内部不能包含其他对象。例如：用户、计算机、打印机等。 常见的术语与Active Directory相关概念：
   • 模式/结构这是一套规则或规范，它定义了目录中包含的各种对象和属性的类别，以及这些对象实例所受到的约束和限制。此外，它还规定了这些对象名称的格式。
   • 全球目录 –这是一个全局目录，其中包含了该目录中所有对象的详细信息。这样，无论数据实际存储在哪个域中，用户和管理员都可以轻松找到相关的信息。有关全局目录的更多信息，请参见“全局目录的作用”。
   • 森林之根领域 –在Active Directory域中，首先被安装的域被称为根域。
   • 地点/场所在AD DS中，各个站点代表了网络的物理结构或拓扑结构。AD DS利用存储在目录中的网络拓扑信息来构建最高效的复制拓扑结构。这些拓扑信息以站点、子网以及站点链接对象的形式存在。
   • 轻量级目录访问协议 –AD是基于轻量级目录访问协议（LDAP）而设计的。该协议为客户端和服务器之间提供了一种通用的通信语言，使得它们能够相互之间进行有效的通信。
   • 域控制器 –域控制器是一种服务器，它拥有Active Directory数据库的可写入副本。域控制器负责验证用户和计算机的身份，同时还能执行各项安全策略。
   • 组织单位 –组织单元（OU）是Active Directory中的一个容器对象，它可以包含其他对象，比如用户、组和计算机等。组织单元被用来帮助在域内对各个对象进行组织管理，同时还可以用来为特定的对象集应用组策略。
   • 组策略 –组策略是Active Directory中的一个功能，它允许管理员为计算机或用户群体定义并实施相关策略。这些策略可以包括安全设置、软件部署以及其他系统配置相关的内容。
   • 信任关系——信任关系是指两个域之间的关联，它使得一个域中的用户能够访问另一个域中的资源。信任关系可以是单向的，也可以是双向的；同时，信任关系也可以是可传递的，也可以不是可传递的。
   • 复制/粘贴复制是指，对一个域控制器上的Active Directory数据库所做的更改会被同步到其他域控制器上的数据库。这种复制机制可以确保所有域控制器都拥有相同的信息，从而维护目录中的一致性。
   • Kerberos –Kerberos是一种网络认证协议，由Active Directory使用，用于为用户和计算机提供安全的认证机制。Kerberos采用加密技术来防止未经授权的访问网络资源，同时与Active Directory集成在一起，从而为用户提供无缝的认证体验。
   • 小组/团体组是指一组用户账户或计算机账户的集合，这些账户可以用来为多个对象同时分配权限或实施相关策略。使用组可以简化管理流程，同时提高安全性，因为这样就不必为每个对象单独分配大量的权限或策略了。

优点：

集中式管理：AD DS能够实现对用户、计算机以及其他网络资源的集中管理，从而更容易地管理和保护大规模的网络。

可扩展性：AD DS能够支持拥有数万用户和设备的大规模网络，因此非常适合企业级组织使用。

组策略管理：AD DS提供了组策略管理功能，使得管理员能够管理和配置用户及计算机组的设置。

认证与授权：AD DS提供了身份验证和授权服务，这使得管理员能够根据用户的角色和权限来控制对网络资源的访问。

单点登录：AD DS支持单点登录功能，这意味着用户只需一次登录即可访问多个网络资源，而无需重复输入凭据。

缺点：

复杂性：AD DS的部署和管理过程可能相当复杂，需要专门的知识和专业技能来操作。

成本：AD DS需要支付许可费用，同时还需要额外的硬件资源，这些都会增加网络基础设施的成本。

脆弱性：AD DS容易受到各种安全威胁的攻击，比如密码攻击和拒绝服务攻击等。这些攻击可能会破坏网络的安全性。

兼容性：AD DS是专为Windows网络设计的，因此可能无法与其他操作系统或网络环境兼容。

维护：AD DS需要定期进行维护，包括软件更新和安全性补丁的更新，以确保其最佳性能和安全性。