活動目錄的介紹:深入淺出Active Directory系列（一）

一，活動目錄的介紹

Active Directory（活動目錄）是Windows Server 2003域環境中提供目錄服務的元件。目錄服務在微軟平台上從Windows Server 2000開始引入，是以我們可以了解為活動目錄是目錄服務在微軟平台的一種實作方式。當然目錄服務在非微軟平台上都有相應的實作。

Windows Server 2003有兩種網絡環境：工作組和域，預設是工作組網絡環境。如下圖

工作組網絡也稱為“對等式”的網絡，因為網絡中每台計算機的地位都是平等的，它們的資源以及管理是分散在每台計算機之上，是以工作組環境的特點就是分散管理，工作組環境中的每台計算機都有自己的“本機安全賬戶資料庫”，稱為SAM資料庫。這個SAM資料庫是幹什麼用的呢？其實就是平時我們登入電腦時，當我們輸入賬戶和密碼後，此時就會去這個SAM資料庫驗證，如果我們輸入的賬戶存在SAM資料庫中，同時密碼也正确，SAM資料庫就會通知系統讓我們登入。而這個SAM資料庫預設就存儲在C:\WINDOWS\system32\config檔案夾中，這便是工作組環境中的登入驗證過程。

假如我們有這樣一種應用場景：有200台電腦的一個公司，我們希望某台電腦上的賬戶Bob可以通路每台電腦内的資源或者可以在每台電腦上登入。那麼在工作組環境中，我們必須要在這200台電腦的各個SAM資料庫中建立Bob這個賬戶。一旦Bob想要更換密碼，必須要更改200次!我估計這個企業的管理者夠受的了。現在隻是200台電腦的公司，如果是有5000台電腦或者上萬台電腦的公司呢，估計管理者會抓狂。這便是域環境的應用場景。

凡是從事微軟平台工作的朋友，無論是系統方向還是開發方向或者IT從業者，我想大家都不止一次的聽到域環境，但是很多朋友對域環境比較陌生，不知道怎麼下手，甚至不知道域環境在微軟平台上的重要性。我可以這樣打個比方：如果有人問我，你們公司為什麼會去買Windows Server 2003/2008？我會告訴他，我是沖活動目錄去的。事實上微軟伺服器級别的産品，比如MOSS、Exchange等都需要活動目錄的支援，包裹目前微軟在宣傳的UC平台都離不開活動目錄的支援。

Windows Server 2003的域環境與工作組環境最大的不同是，域内所有的計算機共享一個集中式的目錄資料庫（又稱為活動目錄資料庫），它包含着整個域内的對象（使用者賬戶、計算機賬戶、列印機、共享檔案等）和安全資訊等等，而活動目錄負責目錄資料庫的添加，修改，更新和删除。是以我們要在Windows Server 2003上實作域環境，其實就是要安裝活動目錄。活動目錄為我們實作了目錄服務，提供對企業網絡環境的集中式管理。比如前面那個例子，在域環境中，隻需要在活動目錄中建立一次Bob賬戶，那麼就可以在任意200台電腦中的一台上登入Bob，如果要為Bob賬戶更改密碼，隻需要在活動目錄中更改一次就可以了。

二，與活動目錄相關的概念

1，  命名空間

命名空間是一個界定好的區域，比如我們把電話簿看成一個“命名空間”,那麼我們就可以通過電話簿這個界定好的區域裡面的某個人名，找到與這個人名相關的電話、位址以及公司名稱等資訊。而Windows Server 2003的活動目錄就一個命名空間，我們通過活動目錄裡的對象的名稱就可以找到與這個對象相關的資訊。活動目錄的“命名空間”采用DNS的架構，是以活動目錄的域名采用DNS的格式來命名。我們可以把域名命名為contoso.com,abc.com等。

2，  域、域樹、林群組織單元

活動目錄的邏輯結構包裹：域（Domain）、域樹(Domain Tree)、林（Forest）群組織單元（Organization Unit）。如下圖

域是一種邏輯分組，準确的說是一種環境，域是安全的最小邊界。域環境能對網絡中的資源集中統一的管理，要想實作域環境，你必須要計算機中安裝活動目錄。

域樹是由一組具有連續命名空間的域組成的。如下圖

其中最上層的域名為contoso.com，這個域是這棵域樹的根域(root domain)，此根域下面

有2個子域，分别是gsd.contoso.com和ged.contoso.com。從圖中我們可以看出他們的命名空間具有連續性。例如，域gsd.contoso.com的字尾名包含着上一層父域的域名contoso.com。其實子域gsd.contoso.com和ged.contoso.com還都可以有自己的子域，圖中我沒有給出而已。

域樹内的所有域共享一個Active Directory(活動目錄)，這個活動目錄内的資料分散地存儲在各個域内，且每一個域隻存儲該域内的資料，如該域内的使用者賬戶，計算機賬戶等，Windows Server 2003将存儲在各個域内的對象總稱為Active Directory。

林（Forest）是有一棵或多棵域樹組成的，每棵域樹獨享連續的命名空間，不同域樹之間沒有命名空間的連續性。林中第一棵域樹的根域也整個林的根域，同時也是林的名稱。

組織單元（OU）是一種容器，它裡面可以包含對象（使用者賬戶，計算機賬戶等），也可以包含其他的組織單元（OU）。

3，  域控制器和站點

活動目錄的實體結構由域控制器和站點組成。

域控制器（Domain Controller）是活動目錄的存儲地方，也就是說活動目錄存儲在域控制器内。安裝了活動目錄的計算機就稱為域控制器，其實在你第一次安裝活動目錄的時候，你安裝活動目錄的那台計算機就成為了域控制器。一個域可以有一台或多台域控制器。最經典的做法是做一個主輔域控。呵呵，這些概念聽起來有些咬嘴。

再解釋一次，域是邏輯組織形式，它能夠對網絡中的資源進行統一管理，就像工作組環境對網絡進行分散管理一樣，要想實作域，必須在一台計算機上安裝活動目錄才能實作，而安裝了活動目錄的計算機就稱為域控制器（DC）。

當一台域控制器的活動目錄資料庫發生改動時，這些改動的資料将會複制到其他域控制器的活動目錄資料庫内。

站點（Site）一般與地理位置相對應。它由一個或幾個實體子網組成。建立站點的目的是為了優化DC之間的複制。活動目錄允許一個站點可以有多個域，一個域也是可以屬于多個站點。

本文轉自terryli51CTO部落格，原文連結： http://blog.51cto.com/terryli/141686，如需轉載請自行聯系原作者