一、活动目录的概述
活动目录是:基于LDAP协议将网络中的资源统一组织、集中地存储到目录数据库中(ntds.dit),可以实现集中、分散式的管理与控制,主要体现在可以查找数据库中的资源,可以对数据库添加、删除、更新等操作。该数据库就称为活动目录。所以说:活动目录实质就是一个数据库,该数据库中存储着网络资源与位置的对应关系,它存储的只是一个“快捷方式”而已(其实它还存储域用户和密码等数据)。该数据库可以为用户提供快带查询的服务。所以也有人说:活动目录就是提供的一种目录服务(Directory service),是一种可以实现快速定位、查找域中网络资源的服务。该数据库是以“ntds.dit”的文件形式存储在windows\ntds下。
说明:如一本很厚的书,它里面的内容很多(即知识点很多),如果需要读者快速地找到书中某一个知识点很不容易,为此作者就会把整本书的内容加以整理,并将每个知识点与相应的页码存储到该书的前几页,称为书的目录。有了目录读者就可以快速地找到该书中的某一个知识点(即起到了快速查询的目的),由此可见书的目录就是为读者提供的一种查询服务。在计算机网络中,假设该网络的规模比较大,网络中的资源也比较多(如有多台打印服务器、多个用户、多个组、多个共享文件夹等),如果需要网络中的用户快速地找到某一个网络资源也很不容易。为此网络的管理员需要将整个网络的资源加以整理,并将网络资源统一的组织起来,集中地存储到一个特殊的位置(即目录数据库),以便网络中的用户快速查询,为网络中的用户提供查询服务。我们把这个可以为网络用户提供服务的组件称为Active Directory(活动目录),它负责目录数据库的保存、新建、删除、修改与查询等服务。
安装(存储)活动目录数据库的那台计算机称为域控制器(DC)
任何一个网络都是有范围的,网络的范围称为域(domain)。域也称为网络安全的边界,网络复制的单元,网络管理的单元等。
域是有域名的,它的命名为:xxxx.yyyy。域需要安装在计算机上,每台计算机是有IP地址的,这样就形成了域名与IP地址的对应关系(该对应关系又是由DNS负责维护解析的)。
DNS是域名解析服务,也称为域名服务,它实质上就是一个数据库,该数据库中存储着FQDN名(即完全限定域名)与IP地址的对应关系。所以我们就说:DNS是负责域名与IP地址之间的相互解析。
由以上理论得出:活动目录的工作要依赖与DNS服务。
域中的网络资源都称为活动目录对象。每个活动目录对象的相关信息都记录在该对象的属性中,所以就得出以下结论:活动目录对象是通过对象属性来描述的。
活动目录对象属性又是由活动目录架构控制的,所以活动目录架构就是:活动目录对象属性的类模板。
活动目录之所以可以提供快速定位、快速查找的服务,是因为:活动目录数据库中存储的活动目录对象都是以LDAP协议(轻型目录访问协议)存储的。那么为什么LDAP协议可以快速定位网络资源呢?因为,LDAP协议的语法如下:cn=张三,ou=网工学院,dc=bw,dc=com。该句表示:用户“张三”存储在“网工学院”的OU中,而“网工学院”的OU又存储在“bw.com”的域中。由以上理论可知:LDAP协议可以准确地描述出一个活动目录对象所存储的位置。
对于以上语句“cn=张三,ou=网工学院,dc=bw,dc=com” 被称为该对象的DN名(可辨别名)
而“cn=张三”部分被称为对象的RDN名(相对可辨别名)
而该域用户登录域时使用的登录名为:“张三@bw.com”,被称为UPN名(用户规则名或用户主体名)
关于LDAP协议中用到的CN、OU、DC也有以下规定:
CN(通用名)等号后可以放置非OU、非DC组件;OU(组织单位) 等号后只能放置 组织单位组件;DC(域控) 等号后只能放置 域组件。
本篇日志中就不再重复讲解“域树、域森林、站点”等知识了,有关内容可以参考以前的几篇日志。
总结:活动目录常用的逻辑结构有“域、树、林、组织单位”等,而且常用的物理结构有“域控制器、站点点、WAN链路”等。关于生产环境中什么情况使用域、树、林、组织单位,及什么时候需要划分站点、什么时候需要建立多DC等知识也请参考以前的几篇日志。
最后我们还需要了解一些关于活动目录数据方面的知识:关于活动目录数据库ntds.dit(命名上下文)分为四个分区,不同的分区存储不同的内容。它们分别是:架构分区、配置分区、域目录分区、应用程序分区。它们的作用详见如下:
架构分区 Schema Partition :存储整个森林中所有活动目录对象类的构架信息(一个森林共享一个活动目录构架)。森林中所有活动目录对象属性的架构信息都存储在活动目录数据库的架构分区中。
配置分区 configuration partition:存储整个森林的配置规划、配置、结构信息( 例:该森林有多少个域、多少棵树、划分了多少个站点、哪个DC属于哪个站点等相关信息都存储在活动目录数据库的配置分区中。)
域目录分区(Domain Directory):只存储本域内活动目录的对象信息(例:本域内的用户、组、组织单位、共享文件夹、计算机、打印机等相关信息都存储在活动目录数据库的“域目录分区”中)
应用程序分区 (Aplication):存储着森林内应用程序的相关信息.