Active Directory概述

       活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。活动目录服务是Windows Server 2000操作系统平台的中心组件之一。理解活动目录对于理解Windows Server 2000的整体价值是非常重要的。这篇关于活动目录服务所涉及概念和技术的介绍文章描述了活动目录的用途，提供了对其工作原理的概述，并概括了该服务为不同组织和机构提供的关键性商务及技术便利。

       

人们经常将数据存储作为目录的代名词。目录包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位（OU）以及安全策略] 的信息。这些信息可以被发布出来，以供用户和管理员的使用。

目录存储在被称为域控制器的服务器上，并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制，而且所有的域控制器都拥有目录的一个可写副本，所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。

目录数据存储在域控制器上的Ntds.dit文件中。我们建议将该文件存储在一个NTFS分区上。有些数据保存在目录数据库文件中，而有些数据则保存在一个被复制的文件系统上，例如登录脚本和组策略。

有三种类型的目录数据会在各台域控制器之间进行复制：

·域数据。域数据包含了与域中的对象有关的信息。一般来说，这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息，管理员和用户可能都会对这些信息感兴趣。

例如，在向网络中添加了一个用户帐户的时候，用户帐户对象以及属性数据便被保存在域数据中。如果您修改了组织的目录对象，例如创建、删除对象或者修改了某个对象的属性，相关的数据都会被保存在域数据中。

·配置数据。 配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表，并且指出了域控制器和全局编录所处的位置。

·架构数据。架构是对目录中存储的所有对象和属性数据的正式定义。Windows Server 2003提供了一个默认架构，该架构定义了众多的对象类型，例如用户和计算机帐户、组、域、组织单位以及安全策略。管理员和程序开发人员可以通过定义新的对象类型和属性，或者为现有对象添加新的属性，从而对该架构进行扩展。架构对象受访问控制列表（ACL）的保护，这确保了只有经过授权的用户才能够改变架构。

       

活动目录(Active Directory)主要提供以下功能：

①服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。

②用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。

③资源管理：管理打印机、文件共享服务等网络资源。

④桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

⑤应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理，即便是那些最复杂的网络也是如此。

Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为Active Directory不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需的权限。例如，在用户登录到网络上的时候，安全系统首先利用存储在Active Directory中的信息验证用户的身份。然后，在用户试图访问网络服务的时候，系统会检查在服务的自由访问控制列表（DACL）中所定义的属性。

因为Active Directory允许管理员创建组帐户，管理员得以更加有效地管理系统的安全性。例如，通过调整文件的属性，管理员能够允许某个组中的所有用户读取该文件。通过这种办法，系统将根据用户的组成员身份控制其对Active Directory域中对象的访问操作。

架构的内容由充当架构操作主控角色的域控制器进行控制。架构的副本被复制到森林中的所有域控制器上。这种共用架构的使用方式确保了森林范围内的数据完整性和一致性。

此外，您还可以使用“Active Directory架构”管理单元对架构加以扩展。为了修改架构，您必须满足以下三个要求：

· 成为“Schema Administrators”（架构管理员）组的成员

· 在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元

· 拥有修改主控架构所需的管理员权限

在考虑对架构进行修改时，必须注意以下三个要点：

· 架构扩展是全局性的。 在您对架构进行扩展的时候，您实际上扩展了整个森林的架构，因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。

· 与系统有关的架构分类不能被修改。您不能修改Active Directory架构中的默认系统分类；但是，用来修改架构的应用程序可能会添加可选的系统分类，您可以对这些分类进行修改。

· 对架构的扩展不可撤销。某些属性或者分类的属性可以在创建后修改。在新的分类或者属性被添加到架构中之后，您可以将它置于非激活状态，但是不能删除它。但是，您可以废除相关定义并且重新使用对象标识符（OID）或者显示名称，您可以通过这种方式撤销一个架构定义。

复制为目录信息提供了可用性、容错能力、负载平衡以及性能优势。Active Directory 使用多主控复制，您可以在任何一台域控制器上更新目录，而不是只能在一台特定的主域控制器上进行更新。多主控模式具有更出色的容错能力，因为使用了多台域控制器，即使在某一台域控制器停止工作的情况下，复制依然能够继续。

域控制器可以存储和复制：

· 架构信息。架构信息定义了可以在目录中创建的对象，以及每个对象所能够拥有的属性。这些信息是森林中所有域的共用信息。架构数据被复制到森林中的所有域控制器上。

· 配置信息。配置信息描述了您的部署的逻辑结构，其中包括诸如域结构或者复制拓扑这样的信息。这些信息是森林中所有域的共用信息。配置数据被复制到森林中的所有域控制器上。

· 域信息。域信息描述了域中所有的对象。数据特定于具体的域，而且不会被分发到其它的任何域中。为了在整个域树或者森林中查找信息，所有域中的所有对象的属性的一个子集被保存在全局编录中。域数据将被复制到域中的所有域控制器上。

·应用程序信息。存储在应用程序目录分区中的信息旨在满足用户对这些信息的复制需要，但是这些信息并不是在任何情况下都需要。应用程序数据可以被明确地重新路由到森林中特定于管理用途的域控制器上，以防止产生不必要的复制流量。或者，您可以进行设置，将这些信息复制到域中的所有域控制器上。

原则一、域设计原则

1、在管理任务明显由区域划分的环境中可以独立设置域，如某公司的亚洲分部和欧洲分部等，可以设立域对各自独立的资源进行统一管理。

2、 特殊情况下，如果域数据库中的对象（包括被管理的用户、计算机、打印机等）过多，超过100万时（对于中小型企业很难达到），需要考虑增加域。

原则二、 林设计原则

公司由于业务等需求需要设定多个名字空间，如需要xxxx.xxx和xxxx.xx两个名字空间，则必须建立林，该林中包含以xxxx.xxx为根域和以xxxx.xx为根域的两棵树。并且，需根据实际情况为这2棵树之间确定好信任关系

原则三、OU设计原则

1、对于域安全准则一致的域，如果需要突出其中的某些业务和组织职能，则可以为域创建组织单元（OU），而没有必要重新创建单独的域。比如，对一个xxxx.xxx，底下划分为销售、人力等部门，可以创建sales、hr等等OU。

2、 在具体的OU设计中，微软给出了地理模型、对象模型、成本中心模型等7个基本模型供参考。

原则四、站点设计原则

站点设置的目的是控制网络产生的登录通信量和复制通信量。

（1）登录通信量：每次当用户登录网络时，Windows 2000/Windows Server 2003/Windows Server 2008都会试图查找与用户在同一站点的DC，产生登录通信量。

（2）复制通信量：将目录数据库的变动更新到多个DC，站点将控制该通信量如何以及何时产生。

原则五、GC设计原则

GC存储林中每个对象的一定数量的信息，这些信息通常是被频繁查询或者搜索的属性，当用户在域外查找对象时，使用GC可以避免调用目的地的DC，从而加快查询速度和减少网络流量。建议，每个site都配备一个GC。

原则六、 DC设计原则

DC的设计与用户的数量有很大关系，如下表所示：[3] 

原则七、DNS设计原则

1、尽可能使用与AD集成的DNS，为客户端登录寻找DC、DC间寻找提供定位服务。

2、DNS服务器应支持SRV资源记录外，并建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器自动升级的协议，如果没有此协议，管理员不得不手动配置域控制器产生的新的记录。

Active Directory已经成为了构建企业网络的坚实基础，因为它可以：

· 充分利用现有投资，以及对目录进行合并管理。

· 扩展管理控制的范围，减少冗余的管理工作。

· 简化远程集成，更有效地使用网络资源。

· 为基于目录的应用提供了一个强大、可靠的开发和部署环境。

· 降低TCO并且改善IT资源的利用效率

活动目录分为目录和目录服务两部分