# Active Directory 简介

在同一个局域网里,每一台计算机都属于这个局域网的成员,在 Windows 操作系统里,同一个局域网的成员计算机可以通过网络邻居浏览其他成员计算机上存放的资源,在活动目录 (Active Derectory) 诞生前, Windows 一直都是以工作组的形式来互相访问彼此共享的资源

# 工作组

工作组 (WorkGroup) 是最简单的一种资源管理模式,在同一个局域网的计算机成员,按照每个成员不同的分工和作用归纳到同一个工作组,但是在这种模式下,同网络下的每台计算机成员都是一个独立的个体,在网络中的地位都是平等的,它们只能使用本地账户登录计算机,有时一些人员的调动,导致需要更改权限是一件很繁琐的事,因为工作组中的成员无法实现集中管理和统一身份验证,大家可以想象一下,如果局域网内有 10 台电脑,此时要在每台电脑上安装一个软件或者是要添加一个新的共享资源并为这些资源配置权限,管理员就必须屁颠屁颠的在每一台电脑上重复操作这个过程。

如果这个局域网的电脑有几百台甚至多达几千台,当这个管理员接到这个任务的时候,他应该已经处于一个奔溃的边缘

# Domain

从以上分析可以得知,如果一个企业的局域网规模比较大的话,它将不适用于工作组的模式, MicrosoftWindows Server 2000 的操作系统上集成了活动目录 (Active Directory) 组件, Active Directory 使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织

第一台安装了 Active Directory 组件的服务器,我们一般叫做域控制器也就是 DC(Domain Controller) , 域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等

一个域可以有多个域控制器,根据域中客户端的数量搭建多台 DC ,以便实现高可用性和容错能力

活动目录可以将客户端的属性作为对象,存储在本地目录,目录结构为树形结构,可存储的对象有(用户、用户组、计算机、域、组织单位 (OU) 以及安全策略)等

活动目录最主要实现的功能是计算机统一管理和统一身份认证

管理的对象可以是(用户、用户组、客户端、网络资源、策略配置)等对象

统一身份认证则实现了授权用户可以访问域中的哪些资源,资源可以是网络设备、网络文件和网络应用等,只要网络可以互通,用户可以在任何设备和地点使用授权账户访问域中的资源

活动目录的功能还有很多,我就不一一列举了,反正它最终的目的都是为了便捷用户管理和提高安全性以及合理分配网络资源,后面我们可以通过搭建一台 DC 来体验一下活动目录的一些主要功能