一,活动目录的介绍
Active Directory(活动目录)是Windows Server 2003域环境中提供目录服务的组件。目录服务在微软平台上从Windows Server 2000开始引入,所以我们可以理解为活动目录是目录服务在微软平台的一种实现方式。当然目录服务在非微软平台上都有相应的实现。
Windows Server 2003有两种网络环境:工作组和域,默认是工作组网络环境。如下图
工作组网络也称为“对等式”的网络,因为网络中每台计算机的地位都是平等的,它们的资源以及管理是分散在每台计算机之上,所以工作组环境的特点就是分散管理,工作组环境中的每台计算机都有自己的“本机安全账户数据库”,称为SAM数据库。这个SAM数据库是干什么用的呢?其实就是平时我们登录电脑时,当我们输入账户和密码后,此时就会去这个SAM数据库验证,如果我们输入的账户存在SAM数据库中,同时密码也正确,SAM数据库就会通知系统让我们登录。而这个SAM数据库默认就存储在C:\WINDOWS\system32\config文件夹中,这便是工作组环境中的登录验证过程。
假如我们有这样一种应用场景:有200台电脑的一个公司,我们希望某台电脑上的账户Bob可以访问每台电脑内的资源或者可以在每台电脑上登录。那么在工作组环境中,我们必须要在这200台电脑的各个SAM数据库中创建Bob这个账户。一旦Bob想要更换密码,必须要更改200次!我估计这个企业的管理员够受的了。现在只是200台电脑的公司,如果是有5000台电脑或者上万台电脑的公司呢,估计管理员会抓狂。这便是域环境的应用场景。
凡是从事微软平台工作的朋友,无论是系统方向还是开发方向或者IT从业者,我想大家都不止一次的听到域环境,但是很多朋友对域环境比较陌生,不知道怎么下手,甚至不知道域环境在微软平台上的重要性。我可以这样打个比方:如果有人问我,你们公司为什么会去买Windows Server 2003/2008?我会告诉他,我是冲活动目录去的。事实上微软服务器级别的产品,比如MOSS、Exchange等都需要活动目录的支持,包裹目前微软在宣传的UC平台都离不开活动目录的支持。
Windows Server 2003的域环境与工作组环境最大的不同是,域内所有的计算机共享一个集中式的目录数据库(又称为活动目录数据库),它包含着整个域内的对象(用户账户、计算机账户、打印机、共享文件等)和安全信息等等,而活动目录负责目录数据库的添加,修改,更新和删除。所以我们要在Windows Server 2003上实现域环境,其实就是要安装活动目录。活动目录为我们实现了目录服务,提供对企业网络环境的集中式管理。比如前面那个例子,在域环境中,只需要在活动目录中创建一次Bob账户,那么就可以在任意200台电脑中的一台上登录Bob,如果要为Bob账户更改密码,只需要在活动目录中更改一次就可以了。
二,与活动目录相关的概念
1,命名空间
命名空间是一个界定好的区域,比如我们把电话簿看成一个“命名空间”,那么我们就可以通过电话簿这个界定好的区域里面的某个人名,找到与这个人名相关的电话、地址以及公司名称等信息。而Windows Server 2003的活动目录就一个命名空间,我们通过活动目录里的对象的名称就可以找到与这个对象相关的信息。活动目录的“命名空间”采用DNS的架构,所以活动目录的域名采用DNS的格式来命名。我们可以把域名命名为contoso.com,abc.com等。
2,域、域树、林和组织单元
活动目录的逻辑结构包裹:域(Domain)、域树(Domain Tree)、林(Forest)和组织单元(Organization Unit)。如下图