Active Directory可简化管理员和终端用户的工作,同时增强组织的安全性。管理员可以享受集中化的用户和权限管理,以及通过AD组策略功能对计算机和用户配置进行集中控制。用户只需进行一次身份验证,然后便可无缝访问域中其已获授权的任何资源(单一登录)。此外,文件存储在中心数据库中以供与其他用户共享,从而实现轻松协作,而且可以由IT团队正确进行备份以确保业务连续性。
Active Directory主服务是Active Directory域服务(AD DS),这是Windows Server操作系统的一部分。运行AD DS的服务器称为域控制器(DC)。组织通常具有多个DC,并且每个DC具有整个域的目录的副本。在一个域控制器内对目录进行的更改(例如更新密码或删除用户帐户)会复制到其他DC,使它们保持最新。全局目录服务器是一个DC,用于存储其域的目录中所有对象的完整副本以及林中其他所有域的所有对象的部分副本;这使用户和应用程序可以找到其林的任何域中的对象。运行Windows(而不是Windows Server)的台式机、笔记本电脑和其他设备可以是Active Directory环境的一部分,但不运行AD DS。AD DS依赖多个既定的协议和标准,包括LDAP(轻型目录访问协议)、Kerberos和DNS(域名系统)。
务必要了解的是,Active Directory仅适用于内部部署的Microsoft环境。云中的Microsoft环境使用Azure Active Directory,其与内部部署环境中的同名目录具有相同的用途。AD和Azure AD是彼此独立的,但是如果贵组织同时具有内部部署和云IT环境,则可以使它们在一定程度上协同工作(混合部署)。
Active Directory数据库(目录)包含有关域中AD对象的信息。常见类型的AD对象包括用户、计算机、应用程序、打印机和共享文件夹。某些对象还包含其他对象(因此您将看到以“层次结构”形式描述的AD)。尤其是,组织通常通过将AD对象组织到组织单位(OU)中来简化管理,并通过将用户分到组中来简化安全性。这些OU和组本身就是存储在目录中的对象。
对象具有属性。某些属性很明显,某些属性则较为隐蔽。例如,用户对象通常具有人员姓名、密码、部门和电子邮件地址等属性,但是还有一些大多数人从未见过的属性,例如唯一的全局唯一标识符(GUID)、安全标识符(SID)、上次登录时间和组成员身份。
数据库是结构化的,这意味着存在某种设计用来确定存储的数据类型以及数据的组织方式。该设计称为架构。Active Directory也不例外:其架构包含可在Active Directory林中创建的每个对象类的正式定义,以及Active Directory对象中存在的每个属性。AD附带默认架构,但是管理员可以对其进行修改以符合业务需求。要了解的关键之处在于,最好提前仔细规划好架构;因为AD在身份验证和授权方面具有核心地位,以后更改AD数据库的架构会严重影响您的业务。
Active Directory对于各种现代企业都至关重要。查看这些附加实用页面,以了解Active Directory关键领域的最佳做法: