当前位置:首页>弱电技术>系统运维>Active Directory 域服务解释

Active Directory 域服务解释

文本是《什么是活动目录(AD)?(共6篇)》专题的第 3 篇。阅读本文前,建议先阅读前面的文章:

Active Directory 域服务 (AD DS)

Active Directory 域服务是Active Directory 的主要组件。

AD DS 可分为三个主要功能。

  • 目录服务——目录服务提供了以结构化方式存储数据的方法,使管理和访问变得容易。例如,Active Directory 存储有关用户、计算机和组的信息。
  • 身份验证服务– 对网络用户进行身份验证
  • 授权服务– 授予或拒绝网络用户对网络资源的访问权限。

重要的是在这里停下来回顾一下这三个术语。不要与以下三个术语混淆,它们都指的是 Active Directory。

  • AD  – 这只是 Active Directory 的缩写。
  • AD DS  – 这是运行 Active Directory 域服务角色的服务器。
  • 域控制器 (DC) – 这也是运行 Active Directory 域服务角色的服务器。域控制器与运行 AD DS 的服务器是一样的。

安装 Active Directory 时,您将在 Windows 服务器上安装 AD DS 角色。

Active Directory 域服务解释

接下来,我将介绍 AD DS 的一些主要组件。

活动目录核心组件

您将了解为什么 Active Directory 是一个复杂的主题。我将简要介绍 Active Directory 环境的一些核心组件。我将添加图表来帮助说明该主题。以下组件是任何 Active Directory 环境的典型组件。

Active Directory 域、树和森林

Active Directory 域服务解释

Active Directory 以分层逻辑结构组织资源。这种逻辑结构有助于组织对象、定义关系和控制安全边界。

是顶级容器,是 Active Directory 域的集合。林中的域共享目录架构、目录配置和全局编录。同一林中的域自动具有双向传递信任。当您首次安装 Active Directory 并创建域时,您也在创建林。

Active Directory 根域是 Active Directory 中容器和对象的逻辑结构。域包含以下组件:

  • 用户、组、计算机和其他对象的层次结构。
  • 为域和其他域中的资源提供身份验证和授权的安全服务
  • 应用于用户和计算机的策略
  • 用于识别域的 DNS 名称。当您登录属于某个域的计算机时,您正在登录 DNS 域名。我的 DNS 域是 ad.activedirectorypro.com,这就是我的域的识别方式。

安装 Active Directory 时,您必须选择要使用的域名。建议使用可路由域名的子域。例如,ad.activedirectorypro.com 是 activedirectorypro.com 的子域。 Active Directory 的初始安装将创建一个林和根域。

子域是与根域共享相同域名空间的域。它是一个拥有自己的对象集合的域。在此示例中,有两个子域 east.ad.activedirectorypro.com 和 est.ad.activedirectorypro.com。

是一组连接在一起的域。当您将子域添加到父域时,您将创建所谓的域树。域树只是一系列以分层方式连接在一起的域,所有域都使用相同的 DNS 命名空间。在上图中,子域 east.ad.activedirectorypro.com 和 est.ad.activedirectorypro.com 是同一域树的一部分。

模式

模式是一组规则,定义目录中包含的对象和属性的类。

全局目录 (GC)

全局目录包含有关目录中每个对象的信息。这允许用户和管理员查找目录信息,而不管目录中的哪个域实际包含数据。默认情况下,域中的第一个域控制器被指定为 GC 服务器,建议每个站点至少有一个 GC 服务器以提高性能。

复制

复制服务将 Active Directory 数据库与其他域控制器同步。出于冗余原因,Active Directory 通常部署有两个或更多域控制器。当您在一台域控制器上创建帐户时,该帐户将被复制到另一台域控制器上。如果一台域控制器出现故障,另一台域控制器将拥有数据库的副本。

Active Directory 域服务解释

在上图中,如果将用户添加到 DC1,则该用户将被复制到 DC2,反之亦然。

网站和服务

Active Directory 站点用于将多个域控制器组合到与其物理位置相关的逻辑容器中。当您拥有多个分支机构和域控制器时,站点用于优化 Active Directory 的性能。

Active Directory 域服务解释

上面的示例有两个站点,每个站点有两个域控制器。站点 A 中的域控制器使用站点内复制来保持 DC1 和 DC2 之间的所有更改同步。站点 A 和站点 B 使用站点间复制来确保站点 A 中的更改能够复制到站点 B 中,反之亦然。

Kerberos

Kerberos 是 Active Directory 用于验证用户或主机身份的身份验证协议。本指南开头的图表看起来很简单,但在后台,客户端和 Active Directory 服务器之间存在大量通信来对用户进行身份验证和授权。

下图显示了后台发生的身份验证过程。

Active Directory 域服务解释

  1. 客户端向 Active Directory 服务器发送请求。
  2. 服务器使用 TGT 和会话密钥进行响应,客户端可以使用该密钥对 AD 服务器进行加密和身份验证。
  3. 客户端发送票证请求。
  4. 服务器验证请求并返回服务票证。
  5. 客户端使用从 AD 服务器收到的票证来请求访问网络资源。
  6. 服务器将解密票证并验证请求。

FSMO 角色

Microsoft 在 2003 年引入了灵活的单主操作 (FSMO) 角色。这些 FSMO 角色可以分布到不同的域控制器,这有助于提高性能和冗余。如果一台域控制器出现故障,另一台 DC 将接管缺失的角色。

  • 架构主机角色管理 Active Directory 中架构的读写副本。
  • 域命名主机角色可确保您不会在林中创建具有相同名称的第二个域。
  • RID master负责每个对象的 SID。每个 AD 对象必须有一个唯一的 SID。为了防止重复,由 RID 负责。
  • PDC模拟器是领域内权威的DC。它负责身份验证请求、密码更改和组策略。
  • 基础结构主机角色管理域之间的 GUIDS、SID 和 DN 的关系。

活动目录域

Active Directory 域服务解释

安装 Active Directory 时,您必须选择要使用的域名。建议使用可路由域名的子域。例如,ad.activedirectorypro.com 是 activedirectorypro.com 的子域。

当您将计算机加入域时,它将具有您域名的 DNS 后缀,例如 pc1.ad.activedirectorypro.com。

这样,所有加入域的系统都是同一 DNS 命名空间的一部分,并且可以轻松地相互通信。

也称为加入域、Active Directory 域或 Active Directory 环境。

Windows 域只是指您的 Active Directory 服务器及其加入域的设备或系统,使用它进行身份验证和授权。

用户帐户

用户帐户用于为员工提供对网络资源的访问权限。通常会为每个员工分配一个用户帐户,但有时会使用共享帐户。该帐户存储在 Active Directory 数据库中,可以提供员工的详细信息,例如名字、姓氏、街道、州、城市、经理等。

Active Directory 中用户帐户对象的屏幕截图

Active Directory 域服务解释

安全组

安全组是用户或计算机的集合。它简化了一组对象的权限管理。例如,如果 20 人需要访问某个文件,您可以创建一个安全组并将这 20 人添加到该组中。然后,您只需管理组的文件访问权限,而不是 20 个单独的帐户。

安全组的屏幕截图

Active Directory 域服务解释

计算机对象

当计算机加入 Active Directory 域时,将创建一个计算机对象。当该对象在 Active Directory 中创建时,它就成为可用于访问网络的受信任对象。例如,用户需要登录网络并访问受保护的文件。用户可以登录受信任的计算机并访问受保护的文件(如果用户已被授予访问权限)。

计算机对象的屏幕截图

Active Directory 域服务解释

组织单位 (OU)

在 Active Directory 中,组织单位用于组织 Active Directory 对象(用户、组、计算机)。组织 AD 对象可以更轻松地管理和应用策略。例如,您可以将所有用户组织到他们自己的部门文件夹中。建议将用户和计算机分隔到各自的 OU 中。

Active Directory 域服务解释

其他 Active Directory 服务

以下是可以安装的其他 Active Directory 服务的列表。这些服务是可选的,可以使用 Windows 服务器上的添加角色和功能向导进行安装。

活动目录证书服务

证书服务用于管理和部署证书。证书用于对文档和网络流量进行数字签名和加密。

Active Directory 联合服务

联合服务为基于 Web 的应用程序(例如 Office 365)的用​​户帐户提供单点登录 (SSO)。

Active Directory 轻量级目录服务

AD LDS 是一项为应用程序提供目录服务的服务,同时还提供数据存储和用于访问数据存储的服务。它使用标准应用程序编程接口 (API) 来访问应用程序数据。

Active Directory 权限管理服务

该服务对文档进行加密,用于限制对电子邮件、办公文档和网页等文档的访问。

本文由 @小鱼 发布于弱电智能网 。

题图来自Unsplash,基于CC0协议

内容观点仅代表作者本人,弱电智能网平台仅提供信息存储空间服务。

如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

文章名称:《Active Directory 域服务解释》

文章链接:https://www.ruodian360.com/tech/sytemops/53452.html

添加微信ydian188免费入群,记得备注“弱电智能网”。

给TA打赏
共{{data.count}}人
人已打赏
系统运维

Active Directory (AD域)活动目录如何工作?

2024-3-29 21:50:19

系统运维

使用Active Directory 域有哪些好处?

2024-3-29 22:15:39

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
购物车
优惠劵
搜索