简述AD活动目录
活动目录简称AD。活动目录最初是同windows server 2000一起发布的,后来在windows server 2008中有修改过附加功能。活动目录为组建和维护与各种计算机网络目录相关的信息资源提供了通用接口。 计算机网络目录可以是基于系统的目录(如windows OS)、也可以是指定的应用程序或像打印机类的网络资源。 windows活动目录的作用:活动目录用于快速访问所有用户数据,并根据计算机网络安全策略来设置所有用户的访问权限,因此活动目录也被看作是一个数据存储中心。
内容摘要
- 活动目录的概念
- 活动目录是做什么的?
- Windows Server 2016活动目录有哪些组件
- Windows Server 2016活动目录服务
- Windows Server 2016活动目录角色有哪些
企业IT架构及IT架构管理
什么是活动目录(AD)?
活动目录的本质是什么?
活动目录是一个分层数据库( hierarchical database),在活动目录表中你可以查询到计算机网络中所有的用户帐户、计算机名称、证书、安全策略及其他信息。 在微软发布活动目录之前,计算机是独立的设备,管理起来并不轻松。 想象一下,在网络还不那么发达的年代,你是一个系统管理员,公司有300名员工,有300台独立的计算机,你要为办公室的所有员工都安装一台新的打印机,这就意味着你要在每台计算机上手动安装一个打印机驱动,这样的工作量可想而知? 而今天,如果没有活动目录,那些许多被系统管理员认为理所应当的事情,比如共享文件和打印机共享、网络组策略等都是不可能实现的。 因此,活动目录的本质是一个分层数据库,这就使得通过单点登录来管理用户帐户、计算机和其他网络资源变得更容易。
活动目录的工作机制
对活动目录的理解就好比我们的电话簿,电话簿是简单的将名字与电话号码匹配,而活动目录表是将用户的账号与网络对象和信息匹配。与电话簿不同的是,活动目录表可以存储许多信息,比如组织、单位、系统、用户、共享资源及其它与用户账号相关的信息,活动目录表比电话簿更具灵活性,但二者的原理是相同的。
活动目录是做什么的?
活动目录包括
域控制器(Domain Controller):
安装活动目录的服务器被称为域控制器。有时活动目录和域控制器这两个术语会交替使用。
活动目录林是什么:
AD林(AD Forest)是活动目录逻辑分层结构(logical structure hierarchy)的最高层次。活动目录林是一个独立的、自含包的目录。活动目录林是一个安全边界,这就意味着活动目录林管理员对访问存储在林上的信息和对运行林的域控制器有着绝对的控制权限。
活动目录树是什么:
域树(AD Tree)是由多个有信任关系的域组成,这些个域被称为子域(subdomains /child domains),子域都是根域的分支。域树中的所有子域共享一个连续性的命名空间。
AD结构定义档 (简称AD Schema):
AD Schema对存储在目录中所有对象的信息都有相应的定义,每个活动目录林都有自己相应的结构定义档。
AD架构主机(Operations Masters) 或AD操作主机角色 (全称为灵活单操作主机,Flexible single master operation,FSMO) :
在AD活动目录中有许多FS MO roles,但最常用的还是主域控制器(Primary Domain Controller,PDC)和备用域控制器(Backup Domain Controller,BCD)。主域控制器的作用是维护目录数据库的原版文件并验证访问用户的身份。备用域控制器包含了目录数据库的副本文件,也会验证用户身份。如果主域控制器无法正常工作,可以将备用域控制器升级为主域控制器,但如果备用域控制器没有及时备份主域控制器里的文件,就会出现数据丢失的事件。如果备用域控制器被升级为主域控制器,那么主域控制器就会被降级为备用域控制器。
全局目录(The global catalog, GC),也被称为全局编录(GC):
是一个分布式存储数据库,在多域名AD域服务(Active Directory Domain Services, AD DS)林中,每个域中的每个对象都能被GC检索到且有相应的简称展示。存储在域控制器上的全局编录GC又被命名为全局编目服务器 (global catalog servers)。全局编录是以多主机复制模式来实现多用户访问的。指向全编目录的搜索速度会更快,因为搜索结果不会涉及到其他域控制器。
活动目录对DNS系统的依赖性:
活动目录对DNS系统有很强的依赖性,因此在没有选好域名前请不要安装活动目录。与网站域名不同的是,安装活动目录时的域名不需要独一无二,如果你使用的是公有域名,在安装活动目录时可以使用同样的域名。例如:如果你的公有域名是wintesting.com,那么活动目录的域名可以是ad.wintesting.com或类似的名字。活动目录所有组件一旦在服务器上安装成功,该域名就会成为域林。活动目录需要DNS服务器,如果在安装活动目录时没有DNS 服务器,你可以将安装活动目录的服务器设置为DNS 服务器;如果你是为一个运行环境设置活动目录,建议至少设置两个域控制器。
活动目录的功能有哪些?
以上我们讨论了Windows活动目录域服务,与其他Windows server版本一样,Windows server 2016活动目录由五大角色构成:
Federation Services (AD FS)
AD FS是什么?
AD FS简介:Federation Services,简称AD FS, 中文名称为联合身份认证服务,是微软创建的单点登录(Single sign on,SSO)解决方案,作为windows服务器操作系统的一个组件,AD FS为无法通过AD活动目录启用集成身份验证(Integrated Windows Authentication,IWA)的用户提供了访问应用程序的身份验证。
AD FS role用在什么场景?原理是什么?
如果涉及到跨企业或跨域系统来验证应用程序或服务的话,AD FS role就显得极为重要。例如,一个公司注册了Facebook的公司账号,需要通过活动目录来验证用户的身份,这时AD FS role 就可以建立OSS和saml认证协议帮用户连接到请求访问的应用程序了。
Lightweight Directory Services ( AD LDS )
AD轻量级目录服务(AD LDS):
轻量级目录服务对我们来说并不陌生,因为会经常使用到LDAP (轻量级目录访问协议),尤其是当Kerberos认证失败时,就会启用AD LDAP轻量级目录服务验证应用程序或服务。
Certificate Services (AD CS )
AD证书服务(AD CS):
AD CS证书服务负责管理网络中的证书和其他密码服务组件。当我们在网络中安装证书时就会用到AD CS证书服务。
Rights Management Services ( AD RMS )
AD权限管理服务(AD RMS):
是通过执行数据访问策略来实时保护数据的。对于AD RMS(活动目录权限管理服务)要保护的文件,其相关的应用程序必须能启用RMS服务。
Domain Services ( AD DS )
AD域服务(AD DS):
这是活动目录最主要的角色。活动目录域服务存储和管理着所有的网络信息资源。