一、域服務概述
Active Directory的directory用來存放用戶賬號、計算機、打印機與共享文件夾等對象,這些對象的存儲位置成爲目錄數據庫。域內提供目錄服務的組件是Active Directory Domain Service,負責目錄數據庫的存儲、刪除、修改與查詢工作。
名稱空間(NameSpace)是一塊界定好的區域,在此區域內,可以通過名稱來查到名稱相關的所有信息。
如電話薄。域服務中,Active Directory就是一個名稱空間,通過對象可以查詢到對象有關的所有信息。因AD域名服務與DNS緊密集成在一起,故AD域名服務的域名採用DNS架構,DNS格式來命名。如test.com
域內的資源以對象的形式存在,計算機、用戶、打印機等都是對象,而對象是一堆屬性的集合。
容器(Container)類似於對象,也是一些屬性的集合,不過容器可以包含其他對象(如計算機、用戶等),也可以包含其他容器。
組織單位(Organization Units,OU)是一個比較特殊的容器,除了可以包含對象和其他組織單位外,還擁有組策略功能。
域樹是包含數個域的網絡,域名符合DNS的命名原則,子域名包含父域名,域樹內的所有域共享一個Active Directory數據庫,但每一個域內只存儲屬於該域的數據(如用戶賬戶)。
信任:兩個域之間必須創建信任關係纔可訪問對方域內的資源,新域加入到域樹之後,該域會自動信任父域,父域也會自動信任該域。信任關係具備雙向傳遞性,通過Kerberos Security Protocol完成,也稱之爲Kerberos Trust。
林是由一個或多個域樹組成。
架構定義了對象類型和屬性類型。
域控制器:存放目錄數據,一個域可以有多臺域控制器,每臺域控制器地位幾乎平臺,並各自存儲一份幾乎完全相同的AD數據庫。
Active Directory的複製模式:多主機複製模式和單主機複製模式。
LDAP(輕型目錄訪問協議)是一種用來訪問Active Directory數據庫的目錄服務協議。LDAP名稱路徑用來表示對象在數據庫內的位置,包括DN,RDN等。DN是對象在數據庫內的完整路徑,RDN是完整路徑中,用來代表某對象的部分路徑。
GUID(Gloval Unique Identifier):任何一個新創建的對象都有唯一的GUID,永遠不會改變。
UPN(User Principal Name):格式[email protected]
SPN(Service Principal Name):用來代表某臺計算機所支持的服務,通過DNS主機名來創建。
全局編錄:作用是爲了方便用戶、應用程序能夠快速找到位於其他域內的資源。全局編錄的數據存放在域控制器內(該服務器稱爲全局編錄服務器),它存儲着林內所有域的AD數據庫內的每一個對象,但只儲存部分屬性信息(常被用來搜索的屬性)。一個林內的所有域樹共享相同的全局編錄,林內的第一臺域控默認就是全局編錄。必要時,也可委派其他域控稱爲全局編錄服務器。
站點:由一個或數個子網所組成。同一站點內的子網之間連接要穩定且夠快,否則就應劃爲不同站點。站點是實體的分組(域是邏輯的分組)。不同站點間的目錄數據複製會被壓縮,同站點間的不會壓縮。
目錄分區(Directory Partition):活動目錄數據庫被邏輯的劃爲架構目錄分區、配置目錄分區、域目錄分區、應用程序分區。