活动目录(Active Directory)域服务

beyes

活动目录 (Active Directory) 是 Windows Server 系统中非常重要的目录活动，可用于管理网络中的用户和资源。这些资源可以是计算机，打印机，传真机，数据库或应用程序等等。

通常，我们理解的目录是 Windows 上的 “文件夹” 或 Linux 上的 "目录" 。实际上，从静态的角度来理解，活动目录和他们并没有本质的区别。总的来说，目录是存储各种对象的一个物理上的容器，它用于存储用户感兴趣对象的信息源。打个比方，你到了一个高级酒店，该酒店会提供一个服务手册给你，该手册里就有各种信息条目，比如桑拿，SPA，歌舞，棋牌，客房，饮食等内容。这个服务手册就是我们说的“目录”。用户可以通过它找到自己感兴趣的内容，而酒店(目录服务管理员)方负责对这些“服务”进行安排与管理。

活动目录是一个分布式的目录服务，信息可以分散在多台计算机上，并保证用户能够快速访问，因为多台机器上有着相同的信息，因为可以提高信息容错性控制能力，不管用户从何处访问或信息从存储在何处，都对用户提供一个统一的试图。这也是好理解的，就如同酒店所提供的服务手册，你不但在总台可以拿到它，在你客房的桌子上也备有一份，你甚至还可以咨询酒店里的员工，因为他们脑子里也牢牢的记着一份，但不管在哪里，这些服务信息都保持一致。

在 Windows 2008 中部署活动目录服务时，可以先安装 Active Directory 域服务组件，然后通过“服务器管理器”安装活动目录。还可以运行 "dcpromo.exe" 命令安装活动目录，它会在后台自动安装 Active Directory 域服务。

Active Direcory 域服务简介
Active Directory 域服务用于本地网络的活动目录管理，它包含只读型域控制器(Read-Only Domain Controller, RODC)，该域控制器包含了活动目录数据库的所有只读部分；为了保证活动目录数据库的安全，还可以将其部署在分支机构的域控制器上。

活动目录的意义
活动目录，负责目录数据库的保存，新建，删除，修改与查询等服务。用户很容易在目录内找到自己所需数据。活动目录具有一下意义：

1. 简化管理
活动目录和域密切相关。

域，是指网络服务器和其它计算机的一种逻辑分组。凡是在共享域逻辑范围内的用户都使用公共的安全机制和用户账户信息，每个使用者在域中只拥有一个账户，每次登录的是整个域。如果在大中型企业待过，那么你使用的计算机必须登录到域是很常见的事情。

活动目录用于将域中的资源分层次的组织在一起，每个域都包含一个或多个控制器。域控制器就是运行 Windows Server 的计算机，它存储域目录完整的副本。为了简化管理，域中的所有域控制器都是对等的，可以在任一台域控制器上做修改，更新的内容将被复制到该域中所有其他域控制器。活动目录为管理网络上的所有资源提供了单一入口，进一步简化了管理，管理员可以登录任意一台计算机管理网络。

安全性
安全性通过登录身份验证和目录对象的访问控制集成在活动目录之中。通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源，基于策略的管理简化了网络的管理。

活动目录通过对象访问控制列表和用户凭据保护用户账户和组信息，因为活动目录不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需的权限。例如在用户登录到网络时，安全系统会利用存储在活动目录中的信息验证用户身份，在用户试图访问网络服务时，系统会检查在服务的自由访问控制列表( DCAL )中所定义的属性。

活动目录允许管理员创建账户，管理员可以更加有效地管理系统的安全性，通过控制组权限组权限可控制组成员的访问操作。

活动目录与域控制器
域控制器用于管理所有的网络访问，包括登录服务器，访问共享目录和资源。域控制器中存储了域内的账户和策略信息，包括安全策略，用户身份验证信息和账户信息。

在网络中可以有多个域控制器，多个域控制器可以一起工作，分担用户的登录和访问，自动备份用户账户和活动目录数据，即使部分域控制器瘫痪也不会影响网络访问，从而提高了网络的安全性和稳定性。除了提供容错功能外，多个域控制器还可以分担审核用户登录身份的工作。因此，当网络内的用户数量较多时，应该安装多个域控制器。

活动目录存储在域控制器内，当一个域控制器的活动目录发生变动，这些变动的数据会被自动复制到其他域控制器的活动目录内。当用户登录域内的某台计算机时，由域控制器根据其活动目录内的账户数据来审核所输入的账户与密码是否正确。如果正确，那么用户可以登录；反之，将被拒绝登录。

规划域结构
活动目录可以包含一个或多个域，只有合理规划目录结构，才能充分发挥活动目录的优越性。选择根域最为关键，根域名字的选择可以有以下几种方案：

(1) 使用一个已经注册的 DNS 域名作为活动目的根域名，使得企业的公共网络和私有网络使用同样的 DNS 名字。由于使用活动目录的意义之一在于使内，外部网络使用同一的目录服务，采用统一的命名方案，方便网络管理和商务往来，因此推荐采用该方案。

(2) 使用一个已经注册的 DNS 域名的子域名作为活动目录的根域名，比如 do.groad.net 。

(3) 活动目录使用与已经注册的 DNS 域名完全不同的域名，使企业网络在内部和互联网上呈现两种完全不同的命名结构。

需要注意的是，对于将要升级到 Active Directory 服务器的计算机来说，首选的 DNS 服务器必须设置为本身的 IP 地址，且必须是一个静态的地址。

活动目录结构
活动目录结构是指网络中所有用户，计算机一级其它网络资源的层次关系，就像一个大型仓库中分出若干个小的储藏间，每一个小的储藏间分别用来存放东西。通常活动目录的结构可以分为逻辑结构和物理结构，分别包括不同的对象。

1. 逻辑结构
活动目录的逻辑结构非常灵活，目录中的逻辑单元包括域，组织单元(Organizational Unit，OU)，域树 和 域林。

(1) 域
域既是 Windows Server 网络系统的逻辑组织单元，也是 Internet 系统的逻辑组织单元。如在 Wdinwos Server 中，域是安全边界，域管理员只能管理域的内部，除非其他的域显式地赋予它管理权限，它才能够访问或管理其它域。每个域都有自己的安全策略以及它与其他域的安全信任关系。

在活动目录的复制过程中，域也是一个重要的单元，由于活动目录采用了多主机的复制模式，所以域中每个域控制器既可以接收来自域中其它域控制器的变化信息，也可以把变化信息复制到其他的域控制器上。

(2) OU
OU 是一个容器对象。域中的对象可以组织成逻辑组以简化管理工作。OU 可以包含各种对象(如用户账户，用户组，计算机，打印机等)，还可以包括其它的 OU，所以我们可以利用 OU 把域中的对象行程一个逻辑上的层次结构。对于企业来讲，可以按部门把所有的用户和设备组成一个 OU 层次结构，也可以按照地理位置行程位置结构，还可以按功能和权限分成多个 OU 层次结构。如下图所示，域控制器包括了 3 个 OU ：


由于 OU 层次结构局限于域的内部，所以一个域中的 OU 层次结构与另一个域中的 OU 层次结构没有任何关系，就像是 Windows 资源管理器中位于不同目录下的文件可以重名。

(3)域树
域树是活动目录中共享连续名字空间的层次结构，如果从根域开始每加入一个域，新的域就成为树中的一个子域。例如 edu.groad.net 是 groad.net 的子域，且又是 linux.edu.groad.net 的父域，groad.net 是整个域树的根域。如下图所示：



(3)域林
域林是活动目录中不共享连续名字空间的域树组成的结构，但域林中的每个域树相互信任，它们共享同一套配置，表结构以及全局目录。默认情况下，域林中的第一个域树的名字也被当作域林的名字，如下图所示，3 个域树构成了一个简单的域林：



2. 物理结构
活动目录的物理结构与逻辑结构是彼此独立的两个概念。逻辑结构侧重于网络资源的管理，而物理结构侧重于网络的配置和优化。物理结构的两个重要概念是“站点”和“域控制器”。

<1> 站点
站点由一个或多个 IP 子网组成，这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定，可以依据站点结构配置活动目录的访问和复制拓扑结构，使得网络更有效地连接，并且可使复制策略更加合理，用户登录更快速，活动目录中的站点与域是两个完全独立的概念，一个站点中可以有多个域，多个站点也可以位于同一个域中。

活动目录站点和服务可以通过使用站点提高大多数配置目录服务的效率。通过使用活动目录站点和服务来发布站点，并提供有关网络物理结构的信息，从而确定如何复制目录信息和处理服务请求。计算机站点是根据其在子网或一组已经连接好子网中的位置指定的，子网用来为网络分组，类似于生活中使用邮政编码划分地址。划分子网可方便发送有关网络与目录链接物理信息，而且同一子网中计算机的连接情况通常优于不同网络的。

使用站点的意义主要有如下 3 点：
(1) 提高了验证 过程的效率。当客户使用域账户登录时，登录机制首先搜索与客户处于同一站点内的域控制器，使用客户站点内的域控制器可以使网络传输本地化，加快了身份验证的速度，提高了验证过程的效率。

(2) 平衡了复制效率。活动目录信息可在站点内部或站点之间进行信息复制，但由于网络的原因，活动目录在站点内部复制信息的频率高于站点间的复制频率，这样做可以平衡对最新目录信息需求和可用网络带宽带来的限制，可以通过站点链接来定制活动目录如何复制信息以指定站点的连接方法，活动目录使用有关站点如何连接的信息生成连接对象一边提供有效的复制和容错。

(3)可提供有关站点链接信息。活动目录可使用站点链接信息费用，链接使用次数，链接何时可用，以及连接使用频度等信息，确定应使用哪个站点来复制以及何时使用该站点。定制复制计划使复制在特定时间(如网络传输空闲时)进行，会使复制更为有效。通常所有域控制器都可用于站点间信息的交换，也可以通过指定桥头堡服务器优先发送和接收站间复制信息的方法进一步控制复制行为。当拥有希望用于站间复制的特定服务器时，宁愿建立一个桥头堡服务器而不使用其他可用服务器。或在配置代理服务器时建立一个桥头堡服务器，用于通过防火墙发送和接收信息。

<2> 域控制器<2>
域控制器是运行 Windows Server 的服务器，它保存了活动目录信息的副本。域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其它域控制器，使各域控制器上的目录信息同步。域控制器负责用户的登录过程以及其它与域相关的操作，如身份鉴定、目录信息查找等。一个域可以有多个域控制器，规模较小的域可以只有两个域控制器，一个实际使用，另一个用于容错性检查，规模较大的域则使用较多个域控制器。

域控制器没有主次之分，采用多主机复制方案，每一个域控制器都有一个可写入的目录副本，这为目录信息容错带来无尽的好处。尽管在某一个时刻，不同的域控制器中的目录信息可能有所不同，但一旦活动目录中的所有域控制器执行同步操作之后，最新的变化信息就会一致。

尽管活动目录支持多主机复制方案，然而由于复制引起通信流量以及网络潜在的冲突，变化的传播并不一定能够顺利进行，因此有必要在域控制器中指定全局目录服务器以及操作主机。全局目录是一个信息仓库，包含了活动目录中所有对象的一部分属性，是在查询过程中访问最为频繁的属性，利用这些信息，可以定位任何一个对象实际所在的位置。全局目录服务器是一个域控制器，它保存了全局目录的一个副本，并执行对全局目录的查询操作。全局目录服务器可以提高活动目录中大范围内对象检索的性能，比如在域林中查询所有的打印机操作，如果没有全局目录服务器，那么必须要调动域林中每一个域的查询过程。如果域中只有一个域控制器，那么它就是全局目录服务器。如果有多个域控制器，那么管理员必须把一个域控制器配置为全局目录控制器。