工作組和域

工作組（Work Group）：工作組是一種平等身份環(huán)境，各個(gè)計(jì)算機(jī)之間各為一個(gè)獨(dú)立體，不方便管理和資源共享，在高端應(yīng)用中，支持度不夠，發(fā)揮不了高端應(yīng)用的更多功能。
域（Domain）：域是一種管理單元，也是一個(gè)管理安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問(wèn)或者管理其他的域。每個(gè)域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。
域環(huán)境一般情況下滿足兩類需求，一類是應(yīng)用需求，比如微軟的系列產(chǎn)品Exchange、Hyper-v、群集技術(shù)都需要域環(huán)境；第二類是管理需求，比如組策略的控制、集中控制用戶和組身份、共享計(jì)算機(jī)資源，都可以在域環(huán)境中發(fā)揮極致的性能。

目錄（Directory）：目錄是存儲(chǔ)有對(duì)象的信息的層次結(jié)構(gòu)。

書(shū)籍的目錄按照一定的次序編排而成，為反映館藏、指導(dǎo)閱讀、檢索圖書(shū)的工具；電話目錄（Telephone Directory）是記錄著親朋好友的姓名和電話號(hào)碼等數(shù)據(jù)的電話簿；一個(gè)計(jì)算機(jī)系統(tǒng)中有成千上萬(wàn)個(gè)文件，為了便于對(duì)文件進(jìn)行存取和管理，計(jì)算機(jī)系統(tǒng)建立文件的索引，即文件名和文件物理位置之間的映射關(guān)系，這種文件的索引稱為文件目錄（File Directory），它記錄著文件的文件名、文件類型、文件大小、建立時(shí)間等。

Active Directory中文意思為活動(dòng)目錄，Active Directory域內(nèi)的Directory Database（目錄數(shù)據(jù)庫(kù)）被用來(lái)存儲(chǔ)用戶賬戶、計(jì)算機(jī)賬號(hào)、打印機(jī)域共享文件夾等對(duì)象，提供目錄服務(wù)的組件就是Active Directory域服務(wù)（Active Directory Domain Service，AD DS）。AD DS負(fù)責(zé)目錄數(shù)據(jù)庫(kù)的存儲(chǔ)、創(chuàng)建、刪除、修改、查詢等工作。
Active Directory 存儲(chǔ)有關(guān)網(wǎng)絡(luò)上對(duì)象的信息，并讓管理員和用戶可以更容易地使用這些信息。 Active Directory 使用結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)作為目錄信息的邏輯層次組織的基礎(chǔ)。

Namespace

Namespace即名稱空間或命名空間，名稱空間是有特定邊界的指定區(qū)域，主要用途是組織資源的說(shuō)明，使用戶按其特性或?qū)傩詠?lái)查找資源。例如Windows系統(tǒng)的NTFS也是一個(gè)名稱空間，在文件系統(tǒng)內(nèi)，我們可以用文件名找到文件。
AD域服務(wù)也是一個(gè)名稱空間，我們可以利用AD DS通過(guò)對(duì)象名稱來(lái)找到與此對(duì)象有關(guān)的所有信息。

對(duì)象（Object）與屬性（Attribute）

在Active Directory中，主要有兩個(gè)信息類型的存儲(chǔ)：

• 對(duì)象（Object）：對(duì)象的邏輯位置

• 屬性 （Attribute）：對(duì)象的屬性列表
  AD DS內(nèi)的資源是以對(duì)象的形式存在的，例如用戶、計(jì)算機(jī)、打印機(jī)等都是對(duì)象，對(duì)象是通過(guò)屬性來(lái)描述其特征的。例如對(duì)象是一個(gè)用戶，屬性就是姓名，地址、顯示名稱、電話號(hào)碼、電子郵件···等，它是對(duì)象本身屬性的合集。

  
  
  image.png

容器（Container）與組織單位（Organization Units，OU）

容器：在生活中容器可以裝水，裝酒等，它是用來(lái)包裝或裝載物品的貯存器。在計(jì)算機(jī)中也是一樣的概念，它里面存放的大部分是對(duì)象，它里面既可以包含其他對(duì)象，也可以包含其他容器。
組織單位：組織單位和容器的概念非常相似，其內(nèi)除了可以包含其他對(duì)象與組織單位之外，還有組策略（Group Policy）的功能。
總結(jié)：
1.容器內(nèi)可包含：容器=對(duì)象（用戶、計(jì)算機(jī)等）+其他容器
2.組織單位可包含：組織單位=對(duì)象+組織單位+策略
3.AD DS是以層次式架構(gòu)將對(duì)象、容器和組織單位等組合在一起，并將其存儲(chǔ)到AD DS數(shù)據(jù)庫(kù)中
4.組織單位可以理解為一種特殊的容器

域樹(shù)（Domain Tree）

域樹(shù)

林（Forest）

林

林是由一個(gè)或多個(gè)域樹(shù)所組成的，每一個(gè)域樹(shù)都有自己唯一的一個(gè)名稱空間，如圖中所示，例如其中一個(gè)域樹(shù)內(nèi)的每一個(gè)域名都是以x.com結(jié)尾，而另一個(gè)則都是以a.com結(jié)尾。
第一個(gè)域樹(shù)的根域就是整個(gè)林的根域（Forest Root Domain），同時(shí)其域名就是林的林名稱。如圖中x.com就是第一個(gè)域樹(shù)的根域，也是整個(gè)林的根域，而林的名稱就是x.com。
當(dāng)你在建立林時(shí)，每一個(gè)域樹(shù)的根域與林根域之間雙向的、可傳遞的信任關(guān)系都會(huì)自動(dòng)被建立起來(lái)，因此每一個(gè)域樹(shù)中的每一個(gè)域內(nèi)的用戶只要擁有權(quán)限就可以訪問(wèn)其他任意域樹(shù)內(nèi)的資源，也可以到其他任何一個(gè)域樹(shù)內(nèi)的成員計(jì)算機(jī)登錄。

信任（Trust）

兩個(gè)域之間必須擁有信任關(guān)系（Trust Relationship），才可以訪問(wèn)對(duì)方域內(nèi)的資源。而任何一個(gè)新的AD DS域被加入到域樹(shù)后，這個(gè)域都會(huì)自動(dòng)信任其上一層的父域，同時(shí)父域也會(huì)自動(dòng)信任這個(gè)新子域。
一個(gè)林中的域之間所有的Active Directory信任關(guān)系都具備雙向傳遞性（Two-Way Transitive）。如圖中：域A信任域B，且域B信任域C，則域C中的用戶訪問(wèn)域A中的資源。（這些用戶被分配了訪問(wèn)權(quán)限）由于此信任工作是通過(guò)Kerberos security protocol來(lái)完成的，因此也被稱為Kerveros trust。

信任

圖中域A信任域B、域B又信任域C、因此域A自動(dòng)信任域C；另外域C信任域B、域B又信任域A，因此域C自動(dòng)信任域A。結(jié)果是域A和域C之間會(huì)自動(dòng)建立起雙向的信任關(guān)系。
所以當(dāng)任何一個(gè)新域加入到域樹(shù)后，都會(huì)自動(dòng)雙向信任這個(gè)域樹(shù)內(nèi)所有的域，只要擁有適當(dāng)?shù)臋?quán)限，這個(gè)新域內(nèi)的用戶就可以訪問(wèn)其他域內(nèi)的資源。同理，其他域內(nèi)的用戶也可以訪問(wèn)這個(gè)新域內(nèi)的資源。

信任協(xié)議
域控制器使用兩種協(xié)議對(duì)用戶和應(yīng)用程序進(jìn)行身份驗(yàn)證：
Kerberos version 5（V5）或 NTML。Kerberos V5協(xié)議是Active Directory域中的計(jì)算機(jī)的默認(rèn)協(xié)議。如果事務(wù)中的任何計(jì)算機(jī)都不支持Kerberos V5協(xié)議，則使用NTML協(xié)議。

信任方向
單向信任：?jiǎn)蜗蛐湃问窃趦蓚€(gè)域之間創(chuàng)建的單向身份驗(yàn)證路徑。這表示在域A和域B之間的單向信任中，域A中的用戶可以訪問(wèn)域B中的資源，但是域B中的用戶無(wú)法訪問(wèn)域A中的資源。單向信任可以是不可傳遞，也可以是可傳遞信任，這取決于創(chuàng)建的信任類型。
雙向信任：Active Directory林中的所有域信任都是雙向的、可傳遞的信任。創(chuàng)建新的子域時(shí)，系統(tǒng)將在新的子域和父域之間自動(dòng)創(chuàng)建雙向可傳遞信任。在雙向信任中，域A信任域B，并且域B信任域A。這表示可以在兩個(gè)域之間雙向傳遞身份驗(yàn)證請(qǐng)求。雙向關(guān)系可以是不可傳遞的，也可以是可傳遞的，這取決于所創(chuàng)建的信任類型。

信任類型
包括外部信任（不可傳遞）、快捷方式信任（可傳遞）、領(lǐng)域信任（可傳遞或不可傳遞）、林信任（可傳遞）。

架構(gòu)（Schema）

AD DS對(duì)象類型與屬性數(shù)據(jù)是定義在架構(gòu)內(nèi)的。隸屬于Schema Admins組的用戶可以修改架構(gòu)內(nèi)的數(shù)據(jù)，應(yīng)用程序也可以自行在架構(gòu)內(nèi)添加其所需的對(duì)象類型或?qū)傩?。在一個(gè)林內(nèi)的所有域樹(shù)共享相同的架構(gòu)。

域控制器（Domain Controller）

Active Directory 域服務(wù)（AD DS）的目錄是存儲(chǔ)在域控制器內(nèi)的。一個(gè)域內(nèi)可以有多臺(tái)域控制器，每一臺(tái)域控制器的地位（幾乎）是平等的，它們各自存儲(chǔ)著一份相同的AD DS數(shù)據(jù)庫(kù)。當(dāng)你在任何一臺(tái)域控制器內(nèi)新建一個(gè)用戶賬戶后，此賬戶默認(rèn)是被建立在此域控制器的AD DS數(shù)據(jù)庫(kù)中，之后會(huì)被自動(dòng)復(fù)制到其他域控制器的AD DS數(shù)據(jù)庫(kù)，以便讓所有域控制器內(nèi)的AD DS數(shù)據(jù)庫(kù)都能夠同步。
當(dāng)用戶在域內(nèi)某臺(tái)計(jì)算機(jī)上登錄時(shí)，會(huì)由其中一臺(tái)域控制器根據(jù)其AD DS數(shù)據(jù)庫(kù)內(nèi)的賬戶數(shù)據(jù)來(lái)審核用戶所輸入的用戶名與密碼是否正確。若是正確的，用戶就可以成功登錄；反之會(huì)被拒絕登錄。
多臺(tái)域控制器可以提供容錯(cuò)功能，例如其中一臺(tái)域控制器出現(xiàn)故障了，仍然能夠由其他域控制器來(lái)繼續(xù)服務(wù)。另外它因?yàn)槎嗯_(tái)域控制器可以分擔(dān)審核用戶登錄身份（賬戶名稱與密碼）的負(fù)擔(dān)，從而可以改善用戶登錄效率。

Lightweight DIrectory Access Protocol（LDAP）

LDAP（Lightweight DIrectory Access Protocol）輕型目錄訪問(wèn)協(xié)議：是一種用來(lái)查詢與更新AD DS數(shù)據(jù)庫(kù)的目錄服務(wù)通信協(xié)議，通過(guò)IP協(xié)議提供訪問(wèn)控制和維護(hù)分布式信息的目錄信息。AD DS利用 LDAP名稱路徑（LDAP naming path）來(lái)表示對(duì)象在AD DS數(shù)據(jù)庫(kù)內(nèi)的位置，以便訪問(wèn)AD DS數(shù)據(jù)庫(kù)內(nèi)的對(duì)象。

• 在LDAP中信息以樹(shù)狀方式組織，在樹(shù)狀信息中的基本數(shù)據(jù)單元是條目，而每個(gè)條母由屬性構(gòu)成，屬性中存儲(chǔ)有屬性值；
• 在LDAP中的每個(gè)條目均有自己的DN，DN是該條目在整個(gè)樹(shù)中的唯一名稱標(biāo)識(shí)，如同文件系統(tǒng)中，帶路徑的文件名就是DN；
• 在LDAP中共有四類操作：
  ????查詢類操作：如搜索、比較
  ????更新類操作：如添加條目、刪除條目、修改條目、修改條目名
  ????認(rèn)證類操作：如綁定、解綁定
  ????放棄和擴(kuò)張操作
• LDAP主要通過(guò)身份認(rèn)證、安全通道和訪問(wèn)控制來(lái)實(shí)現(xiàn)。
  LDAP名稱路徑包含：
  ????Distinguished Name（DN）：它是對(duì)象在AD DS數(shù)據(jù)庫(kù)內(nèi)的完整路徑。
  ????Relative Distinguished Name（RDN）：它是用來(lái)代表DN完整路徑中的部分路徑。
  ????Global Unique Identifier （GUID）：它是一個(gè)128位的數(shù)值，系統(tǒng)會(huì)自動(dòng)為每一個(gè)對(duì)象指定一個(gè)唯一的GUID。
  ????User Principal Name （UPN）：每一個(gè)用戶還可以有一個(gè)比DN更短的、更容易記憶的UPN。

image.png

全局編錄（Global Catalog）

域樹(shù)內(nèi)的所有域共享一個(gè)AD DS數(shù)據(jù)庫(kù)，但是其數(shù)據(jù)卻是分散在各個(gè)域內(nèi)的，而每一個(gè)域只存儲(chǔ)該域本身的數(shù)據(jù)。為了讓用戶、應(yīng)用程序能夠快速找到位于其他域內(nèi)的資源，在AD DS內(nèi)便設(shè)計(jì)了全局編錄（GC）。一個(gè)林內(nèi)的所有域樹(shù)共享相同的全局編錄。
全局編錄包含了各個(gè)活動(dòng)目錄中每一個(gè)對(duì)象的最重要的屬性，是域林中所有對(duì)象的集合。 全局編錄所在的域服務(wù)器稱為全局編錄服務(wù)器（GC server），它存儲(chǔ)著林內(nèi)所有域的AD DS是數(shù)據(jù)庫(kù)內(nèi)的每一個(gè)對(duì)象，不過(guò)只是存儲(chǔ)對(duì)象的部分屬性，這些屬性都是常用的被用來(lái)查找的屬性，例如用戶的登錄名等。全局編錄讓用戶及時(shí)不知道對(duì)象是位于哪一個(gè)域內(nèi)，任然可以很快速的找到所需對(duì)象。用戶登錄時(shí)，全局編錄服務(wù)器還負(fù)責(zé)提供該用戶所隸屬的通用組信息，用戶利用UPN登錄時(shí)，它也負(fù)責(zé)提供該用戶是隸屬于哪一個(gè)域的信息。默認(rèn)部署的活動(dòng)目錄中創(chuàng)建的第一個(gè)DC必須是全局編錄服務(wù)器，其他的域服務(wù)器可以指派成額外的全局編錄服務(wù)器來(lái)平衡網(wǎng)絡(luò)流量。