http://zh.wikipedia.org/zh-cn/Active_Directory

 

活动目录(AD)以树状的数据结构来组成网络服务的信息,在简单的网络环境中(例如小公司),通常网域都只有一个,在中型或大型的网络中,网域可能会有很多个,或是和其他公司或组织的 AD 相互连结(此连结称为信任关系,于后面帮助)。

对象

活动目录的最小存储单元为对象(object),每个对象均有自己的 schema 属性,可以存储不同的数据,像是用户、组群、电脑、信箱或其他的基本对象等。

一个 AD 网域底下的基本对象,有:

  • Domain Controllers,存储网域所属的网域控制站(简称 设备上下文)。
  • Computers,存储加入网域的电脑对象。
  • Builtin,存储自带的帐户组群。
  • Users,存储 AD 中的用户对象。

若公司需要以不同的组织结构来管理公司的帐户,则可以在 AD 中创建一个或多个组织单元(Organization Unit,简称 OU),组织单元是一个具有收纳能力的活动目录对象(其在 ADSI 中是 IADsContainer 接口),可以在 OU 之中存放 AD 的对象,包括用户,组群,电脑等,让组织结构在 AD 中可以被真实的反映出来,而且也方便 AD 中的另一个功能——组群原则(Group Policy)的套用与集中管理。

[编辑] 树系与多网域

一个活动目录网域树的结构
一个内含子网域的活动目录网域树的结构

若组织的网络环境相当庞大与复杂时,网域可能会有许多个,在 AD 之中,网域可以有一个或多个,而一个大型公司可能会利用分公司或是办公室的方式来组织网域对象,如此一来,在 AD 中会有数个网域,若需要在网域中共享数据或是做委派管理与组态设置时,便需要创建彼此间的组织关系,微软将 AD 中多网域相互的关系层次结构化,称为网域树(domain tree),网域树结构以 DNS 识别方式来区分,例如一间公司可能有业务部门,工程部门与管理部门,那么若要以部门来创建网域时,则可以如此创建(如右图):

  • acme.com.tw:根网域。
  • sales.acme.com.tw:业务部门。
  • engineering.acme.com.tw:工程部门。
  • admin.acme.com.tw:管理部门。

如此便可在 AD 中反映出组织的结构,同样的,网域内还是可以再创建不同的网域,例如在工程部门中若需要分为软件部门与硬件部门时,还可以在工程部门的网域中创建:

  • software.engineering.acme.com.tw:软件部门的网域。
  • hardware.engineering.acme.com.tw:硬件部门的网域。

而在工程部门网域中的组群原则设置,会自动的继承至软件部门和硬件部门的设置,而在软件部门的组态,则不会影响到硬件部门(可经过设置来套用)。

 

 

识别名

每个 AD 对象均有一个以 LDAP 组成的名称,称为识别名(Distinguished name,简称DN),这个识别名是作为使用 LDAP 查询 AD 目录中识别对象的名称,其格式类似下列:

LDAP://cn=John Smith, ou=Software Engineering, dc=engineering, dc=acme, dc=com, dc=tw
LDAP://cn=COMP1024, ou=Computers, dc=acme, dc=com, dc=tw

在 LDAP 字符串中经常使用的代字有:

  • 设备上下文:domainComponent
  • CN:commonName
  • OU:organizationalUnitName
  • O:organizationName
  • STREET:streetAddress
  • L:localityName
  • ST:stateOrProvinceName
  • C:countryName
  • UID:userid

当客户端在下达 LDAP 查询字符串时,若无法符合 AD 对象的 LDAP DN,则会找不到数据,LDAP 代字亦可使用于搜索(IADsDSObject与ADsDSObject(),参见活动目录 Service Interface条目)。

 一般名称

每个 AD 中的对象都会有一个一般的名称,又称为别名(Canonical Name),在 Schema 中的属性为 cn(Common Name),但组织单元(OU)基本上是例外,它自己有一个代字 ou 作为识别符。

关系识别名称

为了要在容器与对象间作识别,在 Schema 中设置了一个 Relative Distinguished name(简称 RDN),存储在 rDnAttId 属性中,可在搜索 AD 时可以快速的对应容器内的对象。

GUID

每一个对象都有一个唯一的 GUID 对象识别码,存储在 objectGUID 属性中,其编码方式与GUID相同。

 

其他名称

  • Windows NT用户名称系统:即 SAM(Security Account Manager)的名称系统,存储在用户的sAMAccountName属性中。
  • 用户主体名称:即User Principal Name,在 AD 中用户是以user@domain的方式体现,这个值存储在userPrincipalName属性。