Active Directory (AD)是一个数据库和一组服务,可将用户与其完成工作所需的网络资源关联起来。
该数据库(或目录)包含有关您的环境的重要信息,包括存在的用户和计算机以及允许谁执行什么操作。例如,该数据库可能列出100个用户帐户及详细信息,如每个人员的职位、电话号码和密码。它还将记录他们的权限。
这些服务将控制在您的IT环境中进行的大部分活动。尤其是,它们通常通过检查用户输入的ID和密码来确保每个人与其声称的身份相符(身份验证),并仅允许他们访问他们获准使用的数据(授权)。
继续阅读,了解有关Active Directory优势的详细信息,其工作原理,以及Active Directory数据库中包含的内容。
Active Directory可简化管理员和终端用户的工作,同时增强组织的安全性。管理员可以享受集中化的用户和权限管理,以及通过AD组策略功能对计算机和用户配置进行集中控制。用户只需进行一次身份验证,然后便可无缝访问域中其已获授权的任何资源(单一登录)。此外,文件存储在中心数据库中以供与其他用户共享,从而实现轻松协作,而且可以由IT团队正确进行备份以确保业务连续性。
Active Directory主服务是Active Directory域服务(AD DS),这是Windows Server操作系统的一部分。运行AD DS的服务器称为域控制器(DC)。组织通常具有多个DC,并且每个DC具有整个域的目录的副本。在一个域控制器内对目录进行的更改(例如更新密码或删除用户帐户)会复制到其他DC,使它们保持最新。全局目录服务器是一个DC,用于存储其域的目录中所有对象的完整副本以及林中其他所有域的所有对象的部分副本;这使用户和应用程序可以找到其林的任何域中的对象。运行Windows(而不是Windows Server)的台式机、笔记本电脑和其他设备可以是Active Directory环境的一部分,但不运行AD DS。AD DS依赖多个既定的协议和标准,包括LDAP(轻型目录访问协议)、Kerberos和DNS(域名系统)。
务必要了解的是,Active Directory仅适用于内部部署的Microsoft环境。云中的Microsoft环境使用Azure Active Directory,其与内部部署环境中的同名目录具有相同的用途。AD和Azure AD是彼此独立的,但是如果贵组织同时具有内部部署和云IT环境,则可以使它们在一定程度上协同工作(混合部署)。
AD具有三个主要层级:域、树和林。域是一组相关用户、计算机和其他AD对象,例如贵公司总部的所有AD对象。多个域可以合并为一个树,而多个树可以分组到一个林中。
请记住,域是管理边界。某个指定域的对象存储在单个数据库中,且可以一同进行管理。林是安全边界。不同林中的对象无法彼此交互,除非每个林的管理员在它们之间建立信任关系。例如,如果您有多个互不关联的业务单位,则可能需要创建多个林。
Active Directory数据库(目录)包含有关域中AD对象的信息。常见类型的AD对象包括用户、计算机、应用程序、打印机和共享文件夹。某些对象还包含其他对象(因此您将看到以“层次结构”形式描述的AD)。尤其是,组织通常通过将AD对象组织到组织单位(OU)中来简化管理,并通过将用户分到组中来简化安全性。这些OU和组本身就是存储在目录中的对象。
对象具有属性。某些属性很明显,某些属性则较为隐蔽。例如,用户对象通常具有人员姓名、密码、部门和电子邮件地址等属性,但是还有一些大多数人从未见过的属性,例如唯一的全局唯一标识符(GUID)、安全标识符(SID)、上次登录时间和组成员身份。
数据库是结构化的,这意味着存在某种设计用来确定存储的数据类型以及数据的组织方式。该设计称为架构。Active Directory也不例外:其架构包含可在Active Directory林中创建的每个对象类的正式定义,以及Active Directory对象中存在的每个属性。AD附带默认架构,但是管理员可以对其进行修改以符合业务需求。要了解的关键之处在于,最好提前仔细规划好架构;因为AD在身份验证和授权方面具有核心地位,以后更改AD数据库的架构会严重影响您的业务。
Active Directory对于各种现代企业都至关重要。查看这些附加实用页面,以了解Active Directory关键领域的最佳做法: