其他

Active Directory的基本概念

Posted Cola🌀
Active Directory

Active Directory中文翻译为活动目录,这个概念不需要太过深入纠结,简单的理解它:Active Directory(活动目录)是微软Windows Server中,负责架构中大型网路环境的集中式目录管理服务(Directory Services),Windows 2000 Server开始内建于Windows Server产品中,它处理了在组织中的网路物件,物件可以是计算机,用户,群组,组织单元(OU)等等,只要是在Active Directory结构定义档(schema)中定义的物件,就可以储存在Active Directory资料档中,并利用Active Directory Service Interface来存取。Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。

Actiove Directory作用

AD(Actiove Directory简称)微软构建这样的一个服务它的意义何在?个人认为可以分为以下几个方面来了解:

  • 用户服务

管理用户的域账号、用户信息、企业通信录(与电子邮箱系统集成)、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机,服务器等

  • 计算机管理

管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。

  • 资源管理

管理打印机、文件共享服务、网络资源等实施组策略。

  • 应用系统的支持

对于电子邮件(Exchange)、在线及时通讯(Lync)、企业信息管理(SharePoint)、微软CRM,ERP等业务系统提供数据认证(身份认证、数据集成、组织规则等)。这里不单是微软产品的集成,其它的业务系统根据公用接口的方式一样可以嵌入进来。

  • 客户端桌面管理

系统管理员可以集中的配置各种桌面配置策略,如:用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。

Actiove Directory域架构常用对象
  • 1.域(Domain).简单理解为:A公司总部

域(Domain)是AD的跟,是AD的管理单位。域中包含着大量的域对象,如:组织单位(Organizational Unit),组(Group),用户(User),计算机(Computer),联系人(Contact),打印机,安全策略等。

  • 2.组织单位(Organization Unit).简单理解为:A公司的分公司

组织单位简称为OU是一个容器对象,可以把域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位可以包含下列类型的对象:用户,计算机,工作组,打印机,安全策略,其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。

  • 3.群组(Group).简单理解为:某分公司里的某事业部

群组是一批具有相同管理任务的用户账户,计算机账户或者其他域对象的一个集合。例如公司的开发组,产品组,运维组等等。

群组类型分为两类:

    安全组:用来设置有安全权限相关任务的用户或者计算机账户的集合。比如:Tiger组都可以登录并访问某ftp地址,并拿到某个文件。
    通信组:用于用户之间通信的组,适用通信组可以向一组用户发送电子邮件。比如:我要向团队内10为成员都发送同一封邮件这里就要抄送9次,而使用组的话我直接可以发送给@Tiger,所有Tiger组内的成员都会收到邮件。
  • 4.用户(User).简单理解为:某个工作人员

AD中域用户是最小的管理单位,域用户最容易管理又最难管理,如果赋予域用户的权限过大,将带来安全隐患,如果权限过小域用户无法正常工作。

以上4个AD对象是我们入门必须尽快消化理解的概念。而AD中的对象概念还有很多,包括DNS,域林,域树,根域等等。以及有关计算机的概念如:独立服务器,成员服务器,域控服务器(这个是我们做AD开发的工程师们需要着重研究的),客户端计算机等。这里不再详细描述

一个大致的AD如下图所示。

Actiove Directory中数据结构

AD的数据结构为树形结构,层次结构。树状目录形管理,面向对象式的存储。域(Domin)—>组织单位(Organization Unit)—>群组(Group)-–>用户(User)从左至右依次嵌套,形成树状型结构。有点像文件夹的存储方式。

结语:AD不是一个很复杂的东西,你觉得复杂是因为你应该没有半点企业管理的经验。Windows Server是工具,是拿来用的,不是拿来学习的。直接用就好了,你就几台电脑,又没有企业级的需求,怎么可能搞得懂AD的设计。搞明白AD是干什么的,需要的时候买本书看看就行了。一言蔽之,AD是当你有很多Windows电脑的时候,用来做集中管理的,一台电脑装来做什么,学什么?没错,这玩意就是要多用 当有个几百上千台就能够感受Ad在手,天下我有的感觉。当需要在一百台机器上安装软件或者设置的时候,就会想用AD了。