相信玩過 Windows Server 操作系統的人都接觸過活動目錄這一概念,即使沒有接觸過,也相信各位聽說過。
很多新手在接觸 Windows Server 操作系統都會用到活動目錄服務,很多人會有疑問,活動目錄的作用是什麼?
那麼,這裏我做個解答。
什麼是活動目錄
活動目錄,英文名稱爲 Active Directory 。它是面向 Windows Server 操作系統的一種的目錄服務。在活動目錄中,所有的網絡對象信息以一種結構化的數據存儲方式來保存,使得管理員和用戶能夠輕鬆地查找和使用這些信息。活動目錄以這種結構化的數據存儲方式作爲基礎,對目錄信息進行合乎邏輯的分層組織。
Active Directory 服務是 Windows 平臺的核心組件,它爲用戶管理網絡環境各個組成要素的標識和關係提供了一種有力的手段。但是需要注意的是,Active Directory不能運行在Windows Web Server上,但是可以通過它對運行Windows Web Server的計算機進行管理。
活動目錄的功能
活動目錄主要爲我們提供了以下功能:
基礎網絡服務:包括DNS、WINS、DHCP、證書服務等。
服務器及客戶端計算機管理:管理服務器及客戶端計算機賬戶,所有服務器及客戶端計算機加入域管理並實施組策略。
用戶服務:管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵件系統集成)、用戶組管理、用戶身份認證、用戶授權管理等,按省實施組管理策略。
資源管理:管理打印機、文件共享服務等網絡資源。
桌面配置:系統管理員可以集中的配置各種桌面配置策略,如:界面功能的限制、應用程序執行特徵限制、網絡連接限制、安全配置限制等。
應用系統支撐:支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。
目錄形式的存儲結構
活動目錄存儲的信息包含了各種相關對象,例如:用戶、用戶組、計算機、域、組織單位(OU)以及安全策略等等。這些信息可以通過活動目錄服務被髮布出來,以供用戶和管理員的使用。
一個域可能擁有一臺以上的域控制器。每一臺域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器複製到域、域樹或者森林中的其它域控制器上。由於目錄可以被複制,而且所有的域控制器都擁有目錄的一個可寫副本,所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。
活動目錄的數據庫存放在一個名爲 ntds.dit 的數據庫文件中,該文件可以說是整個活動目錄的核心,其中包括了用戶帳號信息等等的相關資料。根據微軟知識庫文章可知,活動目錄的數據庫引擎被稱爲 ExtensibleStorage Engine ( ESE ),Exchange 和 WINS 都可以利用構建在這個數據引擎上的數據庫。ESE 存儲容量高達16 兆兆個字節,能包含一千萬之多的數據對象,由此可見只有活動目錄的數據庫才能包含如此多的信息。
對於活動目錄服務來講,ntds.dit 文件要求存放在類型爲 NTFS 分區格式的磁盤驅動器中,並且該文件是不可滅失的,因此要做好相應的數據備份工作。如果該文件丟失,會導致目錄服務未能啓動,原因是出現了以下錯誤: 系統找不到指定的文件。 錯誤狀態: 0xc000000f。
活動目錄的存儲內容
在活動目錄中記錄的信息,被分爲兩大部分,一部分保存在活動目錄數據庫文件中,另一部分保存在被複制的文件系統上,例如:登錄腳本、組策略等。
在活動目錄數據庫文件中(ntds.dit),記錄的信息有以下三張表:
Schema 表
這個表中包含了所有可在活動目錄創建的對象信息以及他們之間的相互關係。包括各種類型對象的可選及不可選的各種屬性。這個表是活動目錄數據庫中最小的一個表,但是也是最基礎的一個表。
Link 表
link表包含所有屬性的關聯,包括活動目錄中所有對象的屬性的值。一個用戶對象的所有屬性的類型,包括每個屬性的值及用戶所屬於的組等信息都屬於這個表。這個表要大於Schema 表,但與Data 表相比要小。
Data 表
活動目錄中用戶,組,應用程序特殊數據和其他的數據全部保存在Data表中。這是活動目錄中存儲信息最多的一個表,大量的活動目錄的資料實際上還是存儲在這個表中。
按照其存儲的數據內容,可以將其數據分爲:
Schema 信息
能在活動目錄中創建並存儲在活動目錄中的所有對象和屬性的詳細信息,例如:你能在活動目錄中新創建一個用戶或是聯繫人,這是因爲活動目錄已經預先設置了這種類型的對象在活動目錄對象中。Schema信息在所有的主域控制器中都有一份,這些都是靜態的信息,在活動目錄安裝時生成,是不能更改的。
Configuration 信息
所有關於域控制器所在域森林或域樹中的配置信息。這些信息域中所有的主域控制器都會相互複製,但是這些信息對一個域森林來說是靜態的,在配置好後是無法修改的。
Domain 信息
域對象的信息,域中所有對象的信息。在域範圍內會複製到所有的域控制器中。即使其中部分對象屬於全局範圍的對象。但是屬性值也只在域內進行復制。
先決條件
由於活動目錄的基礎是 Windows 域環境,因此,在該域中不可避免的要具備相應的 DNS 服務器,並且,如果需要的話,還需要搭建相應的 DHCP 服務器。
域功能級別
Windows 2000 混合模式(默認)
• 支持的域控制器:Microsoft Windows NT 4.0、Windows 2000、Windows Server 2003
• 激活的功能:本地與全局組,全局編錄支持。
Windows 2000 純模式
• 支持的域控制器:Windows 2000、Windows Server 2003
• 激活的功能:組嵌套、通用組、SidHistory、安全組與通訊組之間的轉換、您可以通過提高目錄林級別的設置來提升域級別。
Windows Server 2003 過渡版
• 支持的域控制器:Windows NT 4.0、Windows Server 2003
• 支持的功能:在此級別內沒有域範圍的激活的功能。當目錄林級別提升至過渡版後,該目錄林中所有域都將自動提升至該級別。該模式只在將 Windows NT 4.0 域中的域控制器升級至 Windows Server 2003 域控制器時使用。
Windows Server 2003
• 支持的域控制器:Windows Server 2003
• 支持的功能:域控制器重命名、登錄時間戳屬性更新與複製。在 InetOrgPerson 對象類上支持用戶密碼。約束委派,您可以重定向用戶和計算機容器。