windows-運維-03 活動目錄
概述
Active Directory(活動目錄)是Windows Server 2003域環境中提供目錄服務的元件。目錄服務在微軟平台上從Windows Server 2000開始引入,是以我們可以了解為活動目錄是目錄服務在微軟平台的一種實作方式。當然目錄服務在非微軟平台上都有相應的實作。
Windows Server 2012 R2有兩種網絡環境:工作組和域,預設是工作組網絡環境,工作組網絡也稱為“對等式”的網絡,因為網絡中每台計算機的地位都是平等的。如下圖:
相關概念
1.命名空間
命名空間是一個界定好的區域,比如我們把電話簿看成一個“命名空間”,那麼我們就可以通過電話簿這個界定好的區域裡面的某個人名,找到與這個人名相關的電話、位址以及公司名稱等資訊。而Windows Server的活動目錄就一個命名空間,我們通過活動目錄裡的對象的名稱就可以找到與這個對象相關的資訊。活動目錄的“命名空間”采用DNS的架構,是以活動目錄的域名采用DNS的格式來命名。我們可以把域名命名為feng.com、abc.com等。
2.域、域樹、林群組織單元
活動目錄的邏輯結構包裹:域(Domain)、域樹(Domain Tree)、林(Forest)群組織單元(Organization Unit)。如下圖:
域是一種邏輯分組,準确的說是一種環境,域是安全的最小邊界。域環境能對網絡中的資源集中統一的管理,要想實作域環境,你必須要計算機中安裝活動目錄。
域樹是由一組具有連續命名空間的域組成的。如下圖:
其中最上層的域名為feng.com,這個域是這棵域樹的根域(root domain),此根域下面有2個子域,分别是www.feng.com和file.feng.com。從圖中我們可以看出他們的命名空間具有連續性。例如,域www.feng.com的字尾名包含着上一層父域的域名feng.com。其實子域www.feng.com和file.feng.com還都可以有自己的子域,圖中沒有給出而已。
域樹内的所有域共享一個Active Directory(活動目錄),這個活動目錄内的資料分散地存儲在各個域内,且每一個域隻存儲該域内的資料,如該域内的使用者賬戶,計算機賬戶等,Windows Server将存儲在各個域内的對象總稱為Active Directory。
林(Forest)是由一棵或多棵域樹組成的,每棵域樹獨享連續的命名空間,不同域樹之間沒有命名空間的連續性。林中第一棵域樹的根域也整個林的根域,同時也是林的名稱。
組織單元(OU)是一種容器,它裡面可以包含對象(使用者賬戶,計算機賬戶等),也可以包含其他的組織單元(OU)。
3. 域控制器和站點
活動目錄的實體結構由域控制器和站點組成。
域控制器(Domain Controller)是活動目錄的存儲地方,也就是說活動目錄存儲在域控制器内。安裝了活動目錄的計算機就稱為域控制器,其實在你第一次安裝活動目錄的時候,你安裝活動目錄的那台計算機就成為了域控制器。一個域可以有一台或多台域控制器。最經典的做法是做一個主輔域控。呵呵,這些概念聽起來有些咬嘴。
域是邏輯組織形式,它能夠對網絡中的資源進行統一管理,就像工作組環境對網絡進行分散管理一樣,要想實作域,必須在一台計算機上安裝活動目錄才能實作,而安裝了活動目錄的計算機就稱為域控制器(DC)。
當一台域控制器的活動目錄資料庫發生改動時,這些改動的資料将會複制到其他域控制器的活動目錄資料庫内。
站點(Site)一般與地理位置相對應。它由一個或幾個實體子網組成。建立站點的目的是為了優化DC之間的複制。活動目錄允許一個站點可以有多個域,一個域也是可以屬于多個站點。
活動目錄的優勢
Active Directory服務提供了單一登入的能力和一個所有基礎設施相關資訊的集中儲存機制,大幅度的簡化了使用者和計算機的管理,同時提供優越的網絡資源存取能力。
微軟在Windows Server 2000中首次引入了AD技術,經過幾年的發展,AD技術已經成為了微軟網絡架構的核心,幾乎所有的産品和技術都是圍繞這AD這個核心運轉的。可以這麼說,在網絡中不實作AD,就無法基于微軟産品和技術實作基本的網絡管理,也無法适應将來的技術發展!
那麼到底安裝活動目錄有什麼意義呢?這是所有初學Windows Server的人首要要問的一個問題。因為活動目錄并不是Windows系統必需安裝的一種服務,要全面了解它又是非常的不容易,那麼安裝活動目錄的意義在哪裡呢?它主要展現在以下幾個方面:
1、資訊的安全性大大增強
2、引入基于政策的管理,使系統的管理更加明朗
3、具有很強的可擴充性
4、具有很強的可伸縮性
5、智能的資訊複制能力
6、與 DNS 內建緊密
7、與其他目錄服務具有互連性
8、具有靈活的查詢
本篇到此結束。