Active Directory 域服务（AD DS）

本文内容

• 概述
• 工作组架构与域架构
• 名称空间（Namespace）
• 对象（Object）、容器（Container）与组织单位（Organization Units，OU）
• 域树（Domain Tree）
• 林（Forest）

 

概述

---

Active Directory 域服务（Active Directory Domain Services，AD DS），是一个提供用于组织、管理与控制网络资源的强大工具。在你创建并使用域时，有些必要知道关于域服务的一些概念、理念。

Active Directory Domain Services，其中 Directory，目录服务，在日常生活中经常看到，比如：

• Telephone Directory（电话目录），里边记录亲朋好友的姓名、电话、地址等数据；
• 计算的文件系统，里边记录文件的名称、大小、日期等数据，这是 File Directory（文件目录）；
• 查号台；
• 百度搜索引擎。

目录服务就是让用户能很容易、迅速地查找到所需的文件。

Active Directory 的 Directory 则是用来存储用户帐户、计算机帐户、打印机与共享文件等对象，这些对象的存储位置都是目录数据库（Directory Database），而 Active Directory 负责提供目录服务的组件就是 Active Directory 域服务（AD DS），负责操作（增删改查）目录数据库。

AD DS 可以在一台计算机、一个小型 LAN 或是数个 WAN 的结合中。它包含此范围内所有的对象，如文件、打印机、应用程序、服务器、域控制器与用户帐号等。

如果将 AD DS 与工作组对比一下，你就能想象到它规划出来的“蓝图”。

 

工作组架构与域架构

---

工作组网络也称对等（peer-to-peer）网络，因为网络上每台计算机的地位都是平等的，他们的资源与管理都是分散在各个计算机上。它的特征为：

• 每台 Windows 计算机都有一个本地安全帐户管理器（Security Accounts Manager Database，SAM）数据库。用户若想访问每台计算机内的资源，系统管理员就必须在每台计算机的 SAM 内创建用户帐户，并设置其权限。这种架构的帐户与权限管理显然比较麻烦。若企业内计算机数量不多的话，可以采用工作组架构的网络。
• 工作组内可以不需要服务器级别的计算机（如 Windows 2008 R2），即便只有 Win7、Windows Vista、Windows XP 这些客户端级别的计算机，也可以架设工作组架构的网络。

与工作组架构不同，域内所有计算机共享一个集中的目录数据库，其中存储着整个域内所有用户的帐户等相关数据。这个目录数据库存储在域控制器（Domain Controller）中，而只有服务器级别的计算机才能充当域控制器的角色。

如果是你要设计这么一个东西，会如何？

我们知道，计算机中有 IP 地址、主机名、域名，再就是 DNS，那么我们就可以利用这些，将网络中计算机通过一台具有服务器级别的计算机来构建一个“树”型结构，多个这样的结构，也就是“林”。

在具体点，要有数据结构，任何资源都是一个对象，都有自己的属性的。对象可以每台计算机的帐户，每个帐户都有自己的属性，如姓名、密码、电话号码、电子邮件、职称等等，每个帐户可以看成是现实中的一个人，既然是人，那就应该可以对人进行组织，对一个企业来说，这就是组织架构，如业务部、财务部等等。对象也可以是打印机等等。

名称空间（Namespace）

---

AD DS 的 AD 就是一个名称空间，通过它，可以利用对象名称找到与这个对象有关的所有信息。在 TPC/IP 网络中是利用 Domain Name System（DNS）来解析主机与  IP 地址的对应关系，因此 AD DS 与 DNS 紧密集成，它的域名空间也采用 DNS 架构。

对象（Object）、容器（Container）与组织单位（Organization Units，OU）

---

AD DS 内的资源都是以对象形式存在，如用户、计算机、打印机，对象都是通过属性来描述。

容器与对象类似，也是一些属性的集合，只是容器可以包含其他对象，甚至是容器。

组织单位是一个特殊的容器，除了可以包含对象与组织单位外，还有组策略（Group Policy）。

域树（Domain Tree）

---

域树是包含数个域的网络，以域树的形式存在。

林（Forest）

---

林是由一个或多个域树组成，每个域树都有自己唯一的名称空间。