可擴展 對象的訪問 單位 系統管 結構化數據 轉移 ron .com 模式

活動目錄（AD）是一種目錄服務是微軟用於開發Windows域網絡。它被包含在大多數Windows Server 操作系統中作為一組進程和服務。最初，Active Directory只負責集中式域管理。然而，從Windows Server 2008開始，Active Directory成為廣泛的基於目錄的身份相關服務的標題。目前可能在用的系統層級：Windows Server 2003、2008、2008R2、2012、2012R2、2016。

運行Active Directory域服務（AD DS）的服務器稱為域控制器。它對Windows域類型網絡中的所有用戶和計算機進行身份驗證和授權；為所有計算機分配和實施安全策略並安裝或更新軟件。例如，當用戶登錄到屬於Windows域的計算機時，A

ctive Directory會檢查提交的密碼並確定用戶是系統管理員還是普通用戶。此外，它還允許管理和存儲信息，提供身份驗證和授權機制，並建立一個框架來部署其他相關服務：證書服務，聯合服務，輕量級目錄服務和權限管理服務。

Active Directory存儲有關網絡中對象的信息，並使管理員和用戶可以輕松找到並使用這些信息。 Active Directory使用結構化數據存儲作為目錄信息的邏輯分層組織的基礎。

安全性通過登錄驗證和對目錄中的對象的訪問控制與Active Directory集成。通過單一網絡登錄，管理員可以管理整個網絡中的目錄數據和組織，並且授權的網絡用戶可以訪問網絡上的任何位置的資源。基於策略的管理可以簡化最復雜網絡的管理。

簡單的說使用ActiveDirectory域服務（AD DS）服務器角色，您可以為用戶和資源管理創建可擴展，安全且可管理的基礎架構，並且可以為支持目錄的應用程序如Microsoft Exchange Server。

結構如下：

AD DS服務器角色

AD DS提供了一個分布式數據庫，用於存儲和管理來自啟用目錄的應用程序的網絡資源和應用程序特定數據的信息。管理員可以使用AD DS將網絡的元素（例如用戶，計算機和其他設備）組織為分層包含結構。分層包含結構包括Active Directory林，林中的域以及每個域中的組織單位（OU）。運行AD DS的服務器稱為域控制器。

將網絡元素組織成分層包含結構可帶來以下好處：

• 森林作為組織的安全邊界，並為管理員定義權限範圍。默認情況下，森林包含一個稱為森林根域的域。

• 可以在林中創建其他域以提供AD DS數據的分區，這使得組織可以僅在需要時才復制數據。這使得AD DS可以通過可用帶寬有限的網絡進行全局擴展。Active Directory域還支持許多與管理相關的其他核心功能，包括全網用戶身份，身份驗證和信任關系。

• OU簡化了權限的授權，以便管理大量的對象。通過授權，所有者可以將對象的全部權限或有限權限轉移給其他用戶或組。授權非常重要，因為它有助於將大量對象的管理分發給許多受信任的人員來執行管理任務。

AD DS功能:

安全性通過登錄身份驗證和對目錄中資源的訪問控制與AD DS集成。通過單一網絡登錄，管理員可以管理整個網絡中的目錄數據和組織。授權網絡用戶還可以使用單一網絡登錄訪問網絡中任何位置的資源。基於策略的管理可以簡化最復雜網絡的管理。

其他AD DS功能包括：

• 一組規則，模式，用於定義目錄中包含的對象和屬性的類別，這些對象實例的約束和限制以及它們的名稱格式。

• 全局編錄包含有關目錄中每個對象的信息。無論目錄中的哪個域實際包含數據，用戶和管理員都可以使用全局編錄查找目錄信息。

• 查詢和索引機制，以便網絡用戶或應用程序可以發布和查找對象及其屬性。

• 通過網絡分發目錄數據的復制服務。域中的所有可寫域控制器都參與復制，並包含其域的所有目錄信息的完整副本。對目錄數據的任何更改都會復制到域中的所有域控制器。

• 操作主角色（也稱為靈活單主操作或FSMO）。持有操作主角色的域控制器被指定執行特定任務以確保一致性並消除目錄中沖突的條目。

ps.有關WinSer2016活動目錄系列相關文章從今天正式開筆，正如前兩章中提到的：可能很多讀者在想是否會有過時或者與其他作者之前分享重復等問題，鑒於此類問題小溫只想說在每結束一個技術方向的時候總是喜歡按照自己的理解及實踐整理一些技術文章或者技術看點等，方便讀者或者個人後期參閱或者再次學習等。感謝支持！

Windows Server 2016-Active Directory域服務概述