windows-运维-03 活动目录
概述
Active Directory(活动目录)是Windows Server 2003域环境中提供目录服务的组件。目录服务在微软平台上从Windows Server 2000开始引入,所以我们可以理解为活动目录是目录服务在微软平台的一种实现方式。当然目录服务在非微软平台上都有相应的实现。
Windows Server 2012 R2有两种网络环境:工作组和域,默认是工作组网络环境,工作组网络也称为“对等式”的网络,因为网络中每台计算机的地位都是平等的。如下图:
相关概念
1.命名空间
命名空间是一个界定好的区域,比如我们把电话簿看成一个“命名空间”,那么我们就可以通过电话簿这个界定好的区域里面的某个人名,找到与这个人名相关的电话、地址以及公司名称等信息。而Windows Server的活动目录就一个命名空间,我们通过活动目录里的对象的名称就可以找到与这个对象相关的信息。活动目录的“命名空间”采用DNS的架构,所以活动目录的域名采用DNS的格式来命名。我们可以把域名命名为feng.com、abc.com等。
2.域、域树、林和组织单元
活动目录的逻辑结构包裹:域(Domain)、域树(Domain Tree)、林(Forest)和组织单元(Organization Unit)。如下图:
域是一种逻辑分组,准确的说是一种环境,域是安全的最小边界。域环境能对网络中的资源集中统一的管理,要想实现域环境,你必须要计算机中安装活动目录。
域树是由一组具有连续命名空间的域组成的。如下图:
其中最上层的域名为feng.com,这个域是这棵域树的根域(root domain),此根域下面有2个子域,分别是www.feng.com和file.feng.com。从图中我们可以看出他们的命名空间具有连续性。例如,域www.feng.com的后缀名包含着上一层父域的域名feng.com。其实子域www.feng.com和file.feng.com还都可以有自己的子域,图中没有给出而已。
域树内的所有域共享一个Active Directory(活动目录),这个活动目录内的数据分散地存储在各个域内,且每一个域只存储该域内的数据,如该域内的用户账户,计算机账户等,Windows Server将存储在各个域内的对象总称为Active Directory。
林(Forest)是由一棵或多棵域树组成的,每棵域树独享连续的命名空间,不同域树之间没有命名空间的连续性。林中第一棵域树的根域也整个林的根域,同时也是林的名称。
组织单元(OU)是一种容器,它里面可以包含对象(用户账户,计算机账户等),也可以包含其他的组织单元(OU)。
3. 域控制器和站点
活动目录的物理结构由域控制器和站点组成。
域控制器(Domain Controller)是活动目录的存储地方,也就是说活动目录存储在域控制器内。安装了活动目录的计算机就称为域控制器,其实在你第一次安装活动目录的时候,你安装活动目录的那台计算机就成为了域控制器。一个域可以有一台或多台域控制器。最经典的做法是做一个主辅域控。呵呵,这些概念听起来有些咬嘴。
域是逻辑组织形式,它能够对网络中的资源进行统一管理,就像工作组环境对网络进行分散管理一样,要想实现域,必须在一台计算机上安装活动目录才能实现,而安装了活动目录的计算机就称为域控制器(DC)。
当一台域控制器的活动目录数据库发生改动时,这些改动的数据将会复制到其他域控制器的活动目录数据库内。
站点(Site)一般与地理位置相对应。它由一个或几个物理子网组成。创建站点的目的是为了优化DC之间的复制。活动目录允许一个站点可以有多个域,一个域也是可以属于多个站点。
活动目录的优势
Active Directory服务提供了单一登入的能力和一个所有基础设施相关信息的集中储存机制,大幅度的简化了使用者和计算机的管理,同时提供优越的网络资源存取能力。
微软在Windows Server 2000中首次引入了AD技术,经过几年的发展,AD技术已经成为了微软网络架构的核心,几乎所有的产品和技术都是围绕这AD这个核心运转的。可以这么说,在网络中不实现AD,就无法基于微软产品和技术实现基本的网络管理,也无法适应将来的技术发展!
那么到底安装活动目录有什么意义呢?这是所有初学Windows Server的人首要要问的一个问题。因为活动目录并不是Windows系统必需安装的一种服务,要全面理解它又是非常的不容易,那么安装活动目录的意义在哪里呢?它主要体现在以下几个方面:
1、信息的安全性大大增强
2、引入基于策略的管理,使系统的管理更加明朗
3、具有很强的可扩展性
4、具有很强的可伸缩性
5、智能的信息复制能力
6、与 DNS 集成紧密
7、与其他目录服务具有互连性
8、具有灵活的查询
本篇到此结束。