域知识深入学习一：Active Directory 域服务

 

AD DS用来组织，管理，控制网络资源

1.1 Active Directory 域服务概述

AD内的directorydatabase（目录数据库）用来存储用户账户，计算机账户，打印机与共享文件夹等对象。AD DS负责目录数据库等存储，添加，删除，修改，查询等

1.1.1 Active Directory 域服务等适用范围 （Scope）

包括单个计算机，小型局域网，多个广域网

1.1.2 名称空间 （Namespace）

利用AD DS，可以通过对象名称找到与此对象有关的信息

1.1.3 对象 （object） 与属性 （Attribute）

AD DS内的资源都是以对象的形式存在，对象又是属性的集合

1.1.4 容器 Container 与组织单位 （Organization Units ，OU）

容器有名称，有属性，但是还可以包含其他对象或容器

组织单位是一个特殊的容器，除了可以包含其他对象和组织单位之外，还有组策略功能

1.1.5 域树（Domain Tree）

域树符合DNS域名空间的命名规则

在域树内的所有域共享一个AD DS，但是数据是分散存储在各个域中

1.1.6 信任（Trust）

域b信任域a，则a内的用户可以访问b的资源

任何一个新的AD DS域被加入到域树，这个域会自动信任其上层的父域，父域也会自动信任此子域

信任关系具有双向传递性。如果a信任b，b信任c，则a信任c。

1.1.7 林（Forest）

林由一个或多个域树组成

第一个域树的根域是整个林的根域（forest root domain），同时其域名就是林的林名称

在建立林时，每一个域树的根域与其林根域之间双向的，可传递的信任关系会自动建立。

每一个域树中的每一个域内的用户，只要有权限，就可以访问其他任何一个域树内的资源，也可以到其他任何一个域树内的成员计算机登陆

1.1.8 架构（Schema）

AD DS对象类型和属性数据都是定义在架构内，例如他定义了用户对象类型包含哪些属性，每个属性的数据类型等

隶属于Schema Admins组的用户可以修改架构内的数据

一个林内的所有域树共享相同的架构

1.1.9 域控制器（Domain Controller）

AD DS目录数据存储在域控制器内，一个域内可以有多台域控制器

1.1.10 只读域控制器（RODC）

RODC的数据库内容只能从其他可读写域控制器复制过来

RODC中没有用户账户的密码

单向复制的概念（Unidirectional Replication）

 

认证缓存（Credential Cacheing）：可以将用户的密码存储在RODC的认证缓存区，这需要通过密码复制策略（Password Replication Policy）来选择可以被RODC缓存的账户

 

系统管理员角色隔离（Administrator Role Separation），可以通过系统管理员角色隔离将任何一个域用户委派为RODC的本地系统管理员，此管理员可以登陆这台域控，执行管理工作，例如更新驱动，但是无法登陆其他域控制器，无法执行其他域管理工作。

 

只读域名系统（Read-Only Domain Name System）

1.1.11 可重启的AD DS（Restartable AD DS）

在Windows server2016前的系统版本中，如果要进行AD DS数据库维护工作，需要重启，进入目录服务还原模式（Directory Service Restore Mode），这时其他服务比如DHCP就无法使用

 

2016中提供了可重新启动的AD DS，即可直接停止AD DS服务，不需要重启来进入目录服务还原模式

 

在AD DS服务停止时，如果没有其他域控在线，默认只能使用目录还原模式的系统管理员模式进入目录还原模式。

1.1.12 Active Directory 回收站

2016之前的版本，如果误删组织单位，需要进入目录服务还原模式恢复，现在提供了AD回收站

1.1.13 AD DS的复制模式

多主机复制模式，大部分数据是用此模式进行复制的

单主机复制模式

1.1.14 域中的其他成员计算机

成员服务器

其他Windows计算机

 

以上两种计算机都有自己的本地安全账户数据库（SAM）

 

Windows Home版本的系统无法入域

1.1.15 DNS服务器

域控制器需要将自己注册到DNS服务器内

DNS服务器最好支持动态更新

1.1.16 轻型目录访问协议（LDAP）

LDAP是用来查询和更新AD DS的目录服务通信协议

AD DS使用LDAP名称路径（LDAP naming path）表示对象在AD DS内的位置

 

Distinguished Name（DN），表示对象在AD DS内的完整路径，比如

CN=xiaozhu,OU=programmer1,OU=programmer,DC=worker,DC=local

 

DC（domain component）表示DNS域名中的组件

OU是组织单位

CN （common name）

 

Relative Distinguished Name (RDN)

Global Unique Identifier（GUID）系统自动给每个对象分配的唯一的，128位的数值，改了对象名称，此值也不变

User Principal Name（UPN）比如bob@sayms.local

Service Principal Name(SPN) SPN 是根据DNS主机名建立的，SPN用来代表某台计算机所支持的服务

1.1.17 全局编录（Global Catalog）

每一个域只存储该域本身的数据，一个林内的所有域树共享相同的全局编录

全局编录的数据存储在域控内，这台域控被称为全局编录服务器，它存储着林内所有域的AD DS数据库内的每个对象，不过只存储对象的部分属性

1.1.18 站点（Site）

站点由一个或多个IP子网组成，子网间通过告诉且可靠的链路连接

域是逻辑的分组，站点是物理的分组

1.1.19 目录分区（Directory Partition）

架构目录分区

配置目录分区

域目录分区

应用程序目录分区

1.2 域功能级别与林功能级别

1.2.1 域功能级别（Domain Functionality Level）

域功能级别只会影响到该域

域功能级别是可以提升的，比如从Windows Server 2012 R2 提升到Windows Server 2016

1.2.2 林功能级别（Forest Functionnality Level）

低版本林功能级别可以支持新版本域功能级别

1.3 Active Directory 轻型目录服务

AD DS提供应用程序目录分区，以便让支持目录访问的应用程序(directory-enabled application)可以将程序的相关数据存储到AD DS数据库内

 

在布简历AD DS域和域控时，可以使用Active Directory轻型目录服务(Active Directory Lightweight Directory Services ,AD LDS)

 

可以建立多个目录服务的环境，每个环境被称为一个AD LDS实例