Windows Server 2016-Active Directory網域服務概述

標籤：定義   網域服務   今天   預設   安裝   資源管理   window   www.   自己的   

活動目錄（AD）是一種目錄服務是微軟用於開發Windows網域網路。它被包含在大多數Windows Server 作業系統中作為一組進程和服務。最初，Active Directory只負責集中式域管理。然而，從Windows Server 2008開始，Active Directory成為廣泛的基於目錄的身份相關服務的標題。目前可能在用的系統層級：Windows Server 2003、2008、2008R2、2012、2012R2、2016。

運行Active Directory網域服務（AD DS）的伺服器稱為網域控制站。它對Windows域類型網路中的所有使用者和電腦進行身分識別驗證和授權；為所有電腦分配和實施安全性原則並安裝或更新軟體。例如，當使用者登入到屬於Windows域的電腦時，Active Directory會檢查提交的密碼並確定使用者是系統管理員還是普通使用者。此外，它還允許管理和儲存資訊，提供身分識別驗證和授權機制，並建立一個架構來部署其他相關服務：認證服務，聯合服務，輕量級目錄服務和許可權管理服務。

Active Directory儲存有關網路中對象的資訊，並使管理員和使用者可以輕鬆找到並使用這些資訊。 Active Directory使用結構化資料存放區作為目錄資訊的邏輯分層組織的基礎。

安全性通過登入驗證和對目錄中的對象的存取控制與Active Directory整合。通過單一網路登入，管理員可以管理整個網路中的目錄資料和組織，並且授權的網路使用者可以訪問網路上的任何位置的資源。原則式管理可以簡化最複雜網路的管理。

簡單的說使用ActiveDirectory網域服務（AD DS）伺服器角色，您可以為使用者和資源管理建立可擴充，安全且可管理的基礎架構，並且可以為支援目錄的應用程式如Microsoft Exchange Server。

結構如下：

AD DS伺服器角色

AD DS提供了一個分散式資料庫，用於儲存和管理來自啟用目錄的應用程式的網路資源和應用程式特定資料的資訊。管理員可以使用AD DS將網路的元素（例如使用者，電腦和其他裝置）組織為分層包含結構。分層包含結構包括Active Directory林，林中的域以及每個域中的組織單位（OU）。運行AD DS的伺服器稱為網域控制站。

將網路元素組織成分層包含結構可帶來以下好處：

• 森林作為組織的安全邊界，並為管理員定義許可權範圍。預設情況下，森林包含一個稱為森林根域的域。

• 可以在林中建立其他域以提供AD DS資料的分區，這使得組織可以僅在需要時才複製資料。這使得AD DS可以通過可用頻寬有限的網路進行全域擴充。Active Directory域還支援許多與管理相關的其他核心功能，包括全網使用者身份，身分識別驗證和信任關係。

• OU簡化了許可權的授權，以便管理大量的對象。通過授權，所有者可以將對象的全部許可權或有限許可權轉移給其他使用者或組。授權非常重要，因為它有助於將大量對象的管理分發給許多受信任的人員來執行管理工作。

AD DS功能:

安全性通過登入身分識別驗證和對目錄中資源的存取控制與AD DS整合。通過單一網路登入，管理員可以管理整個網路中的目錄資料和組織。授權網路使用者還可以使用單一網路登入訪問網路中任何位置的資源。原則式管理可以簡化最複雜網路的管理。

其他AD DS功能包括：

• 一組規則，模式，用於定義目錄中包含的對象和屬性的類別，這些對象執行個體的約束和限制以及它們的名稱格式。

• 全域編錄包含有關目錄中每個對象的資訊。無論目錄中的哪個域實際包含資料，使用者和管理員都可以使用全域編錄尋找目錄資訊。

• 查詢和索引機制，以便網路使用者或應用程式發行就緒和尋找對象及其屬性。

• 通過網路分發目錄資料的複製服務。域中的所有可寫網域控制站都參與複製，並包含其域的所有目錄資訊的完整副本。對目錄資料的任何更改都會複製到域中的所有網域控制站。

• 操作主角色（也稱為靈活單主操作或FSMO）。持有操作主角色的網域控制站被指定執行特定任務以確保一致性並消除目錄中衝突的條目。

ps.有關WinSer2016活動目錄系列相關文章從今天正式開筆，正如前兩章中提到的：可能很多讀者在想是否會有過時或者與其他作者之前分享重複等問題，鑒於此類問題小溫只想說在每結束一個技術方向的時候總是喜歡按照自己的理解及實踐整理一些技術文章或者技術看點等，方便讀者或者個人後期參閱或者再次學習等。感謝支援！

Windows Server 2016-Active Directory網域服務概述