微軟活動目錄ActiveDirectory

名詞百科解釋：

活動目錄（active directory）是面向windows standard server、windows enterprise server以及 windows datacenter server的目錄服務。活動目錄服務是windows 2000作業系統平台的中心元件之一。

—————————————————————————————————————————————

域是微軟網路中最重要的概念之一。用比較簡單的話說，域實際上就是指一組伺服器與工作站，並且它們同意將使用者和機器帳戶的名稱及密碼集中放在乙個共享資料庫內。這種做法非常有用，並且適合任何規模的網路，因為域使得使用者只需要乙個使用者名稱和密碼就可以訪問企業的域系統中所有的電腦。當系統管理員為一位新員工建立乙個帳戶後，他馬上（有複製情況除外）就可以訪問網路中允許他訪問的任何資源。而當需要修改密碼時，只需要修改一次，整個域都能識別並接受新密碼。

把使用者與機器帳戶及密碼集中管理只是乙個開始。首先在nt3.51系統上出現了使用者配置檔案；在nt4上，域成了集中放置「系統策略」的地方；windows2000的域可以集中儲存dns資訊，並且還提供了「系統策略」的改良版本「組策略」，組策略可以說是整個網路中某種形式的「控制面板」。

當然，並不是一定要有域才能將一些執行windows系統的電腦組成網路，但是如果在網路中有了域，那麼很多事情都會變得非常容易。

active directory（ad）域的作用

域可以做很多事情。我只能介紹其中一部分的內容，但這不是乙份清單。這些內容包括：

1、集中儲存使用者和密碼

2、提供一組伺服器作為「身份認證」和「登入」伺服器，也就是「域控制器」

3、對域中的資源維護乙個可供搜尋的索引，方便人們查詢

4、允許建立帶有不同級別的使用者；同時，域還允許建立子管理員

5、允許將域細分

網路的首要任務是提供服務，它是集中儲存檔案或資料庫、共享印表機以及其它服務的地方，使人們

可以通過電子郵件或是其它技術彼此通訊；

第二個任務是：安全。

那麼在一些保護代措施下會發生兩件事情：

1、身份驗證

2、訪問授權

早期的nt系統，從3.1到4都只有乙個檔案，叫作sam，也就是security accounts manager的縮寫。它包含了使用者名稱、使用者全名、密碼、允許登入時間、帳戶過期日期、說明、隸屬於組名和配置檔案資訊。這個檔案是加密的。今天，nt系統仍然使用sam，包含windows 2000 pro和windows xp。預設情況下，windows server 2003伺服器也包含並使用sam。當然，少數系統將儲存在active directory的集中資料庫中，這些伺服器被稱為域控制器（domain controller），它們是沒有sam的。在nt時代，域控制器使用的是sam，自從windows 2000以後，它們開始使用active directory。active directory在ntds.dit檔案中儲存了sam的大量使用者資訊，而這兩者不同的地方很少。ntds是乙個經過修改的資料庫，並且儲存的資料要比sam多得多。

那麼ad域與nt域之間有什麼不同呢？讓我們來看看：ad域比nt域大得多。在nt域中最多容納5000個使用者帳戶

，這也使得一些大型企業建議多域來維護自己的全部使用者帳戶，這樣的域稱為多主模型。而ad域可以在active directory容納150萬個使用者

，這對任何一家企業來說都足夠了。不是嗎？

現在讓我們來看一下什麼時候工作站會使用位於ad中的資訊。當使用者試圖訪問乙個檔案共享時，ad就會驗證他的身份。也就是說，你坐在電腦a前，試圖訪問伺服器b上的乙個共享檔案，那麼b會問a你是誰，然後才決定是否讓你得到這個檔案的訪問權。可見，ad提供了乙個集中式的資料庫，用來儲存使用者帳戶。

假如我有1000名使用者，1000臺工作站，還有50臺伺服器。這1000名使用者中的任何人都需要訪問我的任何一台伺服器，而且，我還要使這些使用者能夠在任何一台電腦前登入工作。想想，如果不用域，我要做些什麼事情？我必須在1000臺工作站上的sam中輸入每個使用者的帳戶，還要在每台伺服器前做同樣的事情，這太不可思議了，太可怕了。而如果我用域呢？那麼我只需要在少量的伺服器上儲存乙個使用者和密碼資料庫，這就是ntds.dit，然後為網路提供服務，我們把這些少量的機器稱為「登入伺服器」或是「身份驗證伺服器」，也就是常常聽說的「域控制器」。

域控制器是具有如下特徵的電腦：

1、執行server版本的作業系統

2、維護域資訊的資料庫

3、保證多台域控制器之間的域資訊副本一致

4、提供身份驗證服務

（關於搜尋部分略過，實在找不到有什麼好說的）

當網路發展到足夠大的時候，那麼我們可能就需要在這個大型的網路上進行一些必要的調整了，我們可能需要把這個網路劃分為多個小一些的網路，也就意味著需要建立子域，同時需要子域管理員做一些諸如重設密碼備份檔案之類的操作。隨著網路規模的加大與職責的增多，我們可能需要分派更多的工作給子域管理員，這就會牽涉到許可權分配和連線性及複製的問題。當公司有分散在各地的機構時，其中一名使用者變更了密碼或是新加入乙個使用者帳戶時，這個大型網路的ad之間需要在這些方面發生變化時需要彼此通訊並且進行ad複製。nt4系統中，nt4域控制器每5分鐘更新一次，也就意味著每5分鐘，一台域控制器會試圖將發生的改變複製到另一台域控制器上，就算是慢速連線也是這樣，這樣的通訊會給通訊線路造成堵塞，也會使一些更重要的資料傳輸無法實現。ad在這方面進行了改進，它允許使用者告訴域控制器之間採取了哪種連線，讓域控制器知道如何運用這些連線來達到更好的複製效果。而且，windows 2000可以在傳送資料前對資料進行壓縮，比例甚至可以達到10：1，而server 2003上我們可以選擇是否進行壓縮處理，因為壓縮處理會需要一定有cpu處理能力。

關於ad方面規劃更多的內容，你可以參考microsoft**（

要使乙個ad系統運轉起來，還必須具備以下條件：

1、操作主機

2、時間同步

3、域資料庫同步

4、站點

（這裡，我們著重介紹操作主機的架構角色）

ad域及域控制器與nt4或更早的域之間一大區別就在於採用了多主機複製技術代替了單主機複製技術。在nt4及更早系統中，有一台域控制器叫「主域控制器」，其中儲存著乙份sam，這份sam是可以被修改的唯一的副本（主副本），其他域控制器叫「備份域控制器」。它們可以對使用者身份進行驗證，但不接受對帳戶進行更改。ad系統對此進行了改進，形成了多主複製機制。在多主複製機制下，任何域控制器都可以接受對使用者帳戶的更改。由於任何域控制器都可以接受更改資訊，因此任何域控制器都可以擁有可寫副本（主副本），因此稱為多主複製。active directory在整體結構中都在實現分布式控制，所有的域控制器都基本相同，但有時候，部分域控制器也有一些不地方，這就是服務於五種角色的域控制器，這些域控制器被稱為「操作主機」，也就是flexible single master of operator（fsmo）。

ad環境中有五種fsmo角色：

1、架構

2、域命名

3、rid(relative id)

4、主域控制器

5、基礎設施

在林系統中只有乙個架構fsmo和乙個域命名fsmo，每個域都有自己的rid、主域控制器和基礎設施fsmo。

架構指的是ad資料庫的結構。它是資料庫中物件的列表，也就是active directory目錄。架構管理單元並不存在於「管理工具」中，可以按照以下步驟開啟這個管理單元：

1. 執行regsvr32 schmmgmt.dll，將schmmgmt.dll在diiregisterserver註冊；

2. 開啟mmc，新增「active directory架構」到管理單元中。

如果你是架構管理員，那麼你可以根據你的需要更改架構。但是我們並不需要經常的更改架構，記得，如果你對架構進行了更改，那你所做的更改將會影響整個林系統，因為更改某個域的架構是沒有意義的。那麼在什麼時候需要更改架構呢？一般會造成架構更改的操作就是新增新的基於伺服器系統的程式，如安裝exchange。

預設情況下，林系統中的第乙個域的第一台域控制器是你的架構fsmo，當然，也可以把這個角色移動到其它的域控制器上。

上面兩個已經顯示了可以進行的操作。當然，你必須得是架構管理員才可以移動架構fsmo角色。

微軟活動目錄ActiveDirectory

不是活動目錄的Azure活動目錄！

監測目錄活動

活動目錄維護

微軟活動目錄ActiveDirectory

不是活動目錄的Azure活動目錄！

監測目錄活動

活動目錄維護

相關推薦