一、ActiveDirectory概述

　　活动目录（AD）是用于Windows服务器环境的目录服务。它是一种分布式、层次化的数据库结构，共享用于定位、保护、管理和组织计算机和网络资源（包括文件、用户、组、外围设备和网络设备）的基础结构信息。

　　活动目录是Microsoft自己的目录服务，用于Windows域网络。它提供身份验证和授权功能，并为其它此类服务提供框架。目录本身是一个包含网络对象的LDAP数据库。活动目录使用Windows服务器操作系统。当人们谈论ActiveDirectory时，它们通常指的是ActiveDirectory域服务，它提供全面、集成的身份验证和授权服务。

　　在Windows2000之前，微软的身份验证和授权模型要求将网络分解为多个域，然后将这些域与一个复杂的、有时是不可预测的单向和双向信任系统相连接。在Windows2000中引入ActiveDirectory是为了向更复杂的环境提供目录服务。

　　二、ActiveDirectory的其它服务

　　随着时间的推移，Microsoft在ActiveDirectory横幅下添加了其它服务。

　　ActiveDirectory轻型目录服务

　　域服务的这种简化版本消除了一些复杂性和高级功能，仅提供基本的目录服务功能，而无需使用域控制器，林或域。通常用于小型，单一办公室网络环境。

　　ActiveDirectory证书服务

　　证书服务提供数字证书服务，并支持公钥基础结构或PKI。该服务可以存储，验证，创建和撤销用于加密的公共密钥凭据，而不是在外部或本地生成密钥。

　　ActiveDirectory联合身份验证服务

　　提供主要用于整个组织的基于Web的单点登录身份验证和授权服务。因此承包商可以登录自己的网络，并被授权在客户网络上进行访问。

　　ActiveDirectory权限管理服务

　　这是一种权限管理服务，它可以将授权分解为超出授予访问权限或拒绝访问权限的模型，并限制用户可以处理特定文件或文档。权利和限制附加在文档上，而不是用户。这些权限通常用于防止打印，复制或拍摄文档的屏幕截图。

　　三、活动目录结构

　　ActiveDirectory结构的一项关键功能是委托授权和有效复制。AD组织结构的每个部分都将授权或复制限制在该特定子部分内。

　　林

　　林是组织层次结构的最高级别。林是组织内的安全边界。林允许在单个环境中隔离授权。这为管理员提供了完全访问权限，但仅具有特定的资源子集。可以仅在网络上使用单个林。林信息存储在林中所有域中的所有域控制器上。

　　树

　　树是一组域。树中的域共享相同的根名称空间。虽然树共享名称空间，但是树对安全性或复制没有限制。

　　域

　　每个林都包含一个根域。可以使用其它域在目录林中创建其它分区。域的目的是将目录分成较小的部分以控制复制。域将ActiveDirectory复制限制为仅在同一域内的其它域控制器。例如，上海的一个办公室不需要从北京的办公室复制AD数据。这样可以节省带宽并限制安全漏洞造成的损害。

　　域中的每个域控制器都具有该域的ActiveDirectory数据库的相同副本。通过不断复制，可以保持最新状态。

　　虽然在以前的基于Windows-NT的模型中使用了域，并且仍然提供了安全屏障，但建议不仅使用域来控制复制，而且建议使用组织单位（OU）来分组和限制安全权限。

　　组织单位（OU）

　　组织单位提供对域中资源子集的权限分组。OU提供了提升的特权和授权的安全边界，但不限制AD对象的复制。

　　OU用于在功能组内委派控制。应该使用OU来实现和限制组之间的安全性和角色，而应该使用域来控制ActiveDirectory复制。

　　四、域控制器

　　域控制器是Windows服务器，它包含ActiveDirectory数据库并执行与ActiveDirectory相关的功能，包括身份验证和授权。域控制器是安装了域控制器角色的任何Windows服务器。

　　每个域控制器存储一个包含有关同一域中所有对象的信息的活动目录数据库副本。此外，每个域控制器存储整个林的架构以及有关林的所有信息。域控制器将不会存储来自不同林的任何架构或林信息的副本，即使它们位于同一网络上。

　　专用域控制器角色

　　专用域控制器角色用于执行标准域控制器上不可用的特定功能。这些主角色分配给在每个林或域中创建的第一个域控制器。但是，管理员可以手动重新分配角色。

　　架构主机

　　每个林只存在一个架构主机。它包含所有其它域控制器使用的架构的主副本。拥有主副本可以确保以相同的方式定义所有对象。

　　域名主机

　　每个林只存在一个域名主机。域主机确保所有对象的名称都是唯一的，并且在必要时交叉引用存储在其它目录中的对象。

　　基础设施主控

　　每个域有一个基础结构主机。基础结构主控形状保留已删除对象的列表，并跟踪其它域上对象的引用。

　　相对标识符主机

　　每个域有一个相对标识符主机。它跟踪整个域中唯一安全标识符（SID）的分配和创建。

　　主域控制器

　　每个域只有一个主域控制器（PDC）。它的存在是为了提供与旧的基于WindowsNT的域系统的向后兼容性。它像旧的PDC那样响应对PDC的请求。

　　数据存储

　　任何域控制器上的数据存储和检索都由数据存储处理。数据存储由三层组成。底层是数据库本身。中间层是服务组件、目录系统代理（DSA）、数据库层和可扩展存储引擎（ESE）。顶层是目录存储服务、LDAP（轻量级目录访问协议）、复制接口、消息传递API（MAPI）和安全帐户管理器（SAM）。

　　五、域名系统

　　ActiveDirectory包含有关存储在数据库中的对象的位置信息，但是ActiveDirectory使用域名系统（DNS）来定位域控制器。

　　在活动目录中，每个域都有一个DNS域名，并且每个加入的计算机在同一域中都有一个DNS名称。

　　对象

　　ActiveDirectory中的所有内容都存储为对象。该类也可以定义为架构中对象的“类型”。属性是对象的组成部分–对象的属性由其类定义。

　　必须先在模式中定义对象，然后才能将数据存储在目录中。定义后，数据将作为单个对象存储在活动目录中。每个对象都必须是唯一的，并且代表单个事物，例如用户，计算机或唯一的事物组（例如，用户组）。

　　对象的两种主要类型是资源和安全主体。安全主体被分配了安全标识符（SID），但资源未被分配。

　　六、同步

　　ActiveDirectory出于多种原因使用多个域控制器，包括负载均衡和容错。为此，每个域控制器必须具有其域自己的ActiveDirectory数据库的完整副本。通过复制确保每个控制器都具有数据库的当前副本。

　　复制受域限制。即使在同一林中，不同域上的域控制器也不会相互复制。每个域控制器都是平等的。尽管Windows的早期版本具有主域控制器和辅助域控制器，但在ActiveDirectory中没有这样的东西。由于从旧的基于信任的系统到ActiveDirectory的名称“域控制器”的延续，有时会造成一些混乱。

　　复制在拉动系统上工作，这意味着域控制器从其它域控制器请求或“拉”信息，而不是每个域控制器向其它域发送或“推”数据。默认情况下，域控制器每15秒请求一次复制数据。某些高安全性事件会触发立即复制事件，例如帐户锁定。

　　仅复制更改。为了确保跨多主系统的保真度，每个域控制器都跟踪更改并仅请求自上次复制以来的更新。使用存储转发机制将更改复制到整个域中，以便在请求时复制任何更改，即使更改并非源于域控制器响应复制请求也是如此。

　　这既可以防止流量过大，又可以进行配置以确保每个域控制器都从最理想的服务器请求其复制数据。例如，具有一个快速连接和一个缓慢连接到具有域控制器的其它站点的远程位置可以在每个连接上设置“cost”。这样，将通过更快的连接发出复制请求。