活动目录系列之一：基本概念

活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。

NT的"域（domain）"的概念是⽬录服务的⼀个基本单元。

"⼀次登录，Single Logon"在Windows NTServer 的环境下有了具体的应⽤，⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来，⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。

Windows 2000 Server在Windows NT Server 4.0的基础上，进⼀步发展了"活动⽬录（Active Directory）"。

活动⽬录充分体现了微软产品的"ICE"，即集成性（Integration），深⼊性(Comprehensive)，和易⽤性(Ease of Use)等优点。

活动⽬录是⼀个完全可扩展，可伸缩的⽬录服务，既能满⾜商业ISP的需要，⼜能满⾜企业内部⽹和外联⽹的需要。

活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。

它采⽤的是Exchange Server的数据存储，称为：Extens ible Storage Service （ESS）。

其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能⾮常优良。

这个数据存储之上已建⽴索引的，可以⽅便快速地搜索和定位。

活动⽬录的分区是"域（Domain）"，⼀个域可以存储上百万的对象。

域之间还有层次关系，可以建⽴域树和域森林，⽆限地扩展。

在数据存储之上，微软建⽴了⼀个对象模型，以构成活动⽬录。

这⼀对象模型对LDAP有纯粹的⽀持，还可以管理和修改Schema。

Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义，其本⾝也是活动⽬录的内容之⼀，在整个域森林中是唯⼀的。

活动目录（Active Directory）系列之一：为什么我们需要域对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出 Active Directory系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Perth。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器 Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

活动目录设计方案1. 引言在现代社会中，各种活动和事件的数量不断增加。

为了方便人们快速找到感兴趣的活动，设计一个清晰、易用的活动目录成为了重要任务。

本文档将介绍一种活动目录设计方案，旨在提供给用户一个高效、便捷的浏览和搜索活动的工具。

2. 功能需求2.1 活动浏览•用户可以通过活动目录浏览所有已发布的活动。

•活动可以按照不同的分类进行浏览，如时间、地点、类型等。

2.2 活动详情•用户可以点击活动列表中的活动，查看详细的活动信息。

•活动详情页应该包含活动的标题、时间、地点、组织者、描述等信息。

2.3 活动搜索•用户可以根据自己的需求进行活动搜索。

搜索条件可以包括活动名称、时间、地点等。

2.4 活动发布•组织者可以通过活动目录发布新的活动。

•活动发布需要包括活动的基本信息、描述、时间、地点等。

3. 技术需求3.1 前端开发•使用HTML、CSS和JavaScript来实现活动目录的前端界面。

•利用响应式设计，使得活动目录在不同设备上都能有良好的显示效果。

3.2 后端开发•使用一门后端开发技术，如Python、Java、Node.js等，来构建后台服务器。

•将活动数据存储在数据库中，并提供API 供前端访问和操作数据。

3.3 数据库设计•设计一个活动数据库，用于存储活动相关的信息，如活动名称、时间、地点、描述等。

•利用合适的关系型数据库或非关系型数据库来实现数据库的设计和管理。

3.4 安全性•在设计和开发过程中，要考虑用户数据的安全性。

•通过合适的身份验证和访问控制机制，确保只有授权用户才能发布、修改或删除活动。

4. 实施计划•第一周：确定需求和功能列表，开始进行前端界面设计。

•第二周：完成前端界面设计，开始进行后端开发和数据库设计。

•第三周：完成后端开发和数据库设计，进行系统测试和调试。

•第四周：根据测试结果进行修复和优化，完成文档编写和提交。

5. 风险和挑战•界面设计可能不符合用户期望，需要进行多次迭代和修改。

Microsoft® Active Directory® 服务是Windows® 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

通过在Windows 2000操作系统的基础之上进行扩展，Windows Server 2003产品家族改进了Active Directory的易管理性，并且简化了迁移和部署工作的复杂程度。

特别地，对于应用程序开发人员以及独立软件开发商（ISV），他们会发现Windows Server 2003中的Active Directory将是他们开发基于目录的应用程序的最佳选择。

Active Directory已经得到了增强，以便降低企业的整体拥有成本（TCO）和操作的复杂性。

各种新的功能和改进特性被添加到了产品的各个层面上，以提高系统的通用性，简化管理以及提升可靠性。

利用Windows Server 2003，组织可以在受益于成本节省的同时，提高各类不同企业要素的共享和管理效率。

本文面向IT管理员，网络系统设计人员或者任何渴望了解Windows Server 2003中的Active Directory所具有的主要增强和新增功能的人员。

本文首先介绍了Active Directory的基本概念，然后重点讲述了Windows Server 2003产品家族中的Active Directory所拥有的新增特性和改进功能：• 集成和生产力• 性能和伸缩性• 系统管理和配置管理• 组策略功能• 安全性增强Active Directory 的基本概念Active Directory是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。

（Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。

第一章活动目录(Active Directory)综述内容摘要Windows 2000 操作系统的功能非常强大，用户要了解如何实现这些功能，以及它对完成企业目标能够提供哪些帮助,首先必须了解其核心：活动目录目录服务。

活动目录在实施组织的网络，进而实现组织的商业目标中占有重要地位。

通过本章学习,您将了解到以下一些主要内容：目录服务和活动目录的概念活动目录的优点活动目录的逻辑结构组织信息在逻辑结构中的流通活动目录的安全机制活动目录的目录服务模块考点提示本章主要概括了活动目录中的主要概念性知识，读者应重点熟悉以下内容：逻辑结构/物理结构的作用和区别信任关系1.1 目录和目录服务一般来说，目录是用来存储信息的信息源,如电话簿用来存储电话号码、文件系统用来存放文件信息。

而在计算机网络上下文环境中，目录（又称数据存储区）是存储网络对象信息的分层结构。

对象包括共享资源，如服务器、共享卷和打印机；网络用户和计算机帐户；域、应用程序、服务、安全策略，以及网络上的其他所有内容。

以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例：一般情况下，目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。

用户通过目录服务来使用目录中的信息，如用户可能需要使用网络中的某样资源，如打印机，但不知道它在网络上确切位置，有了目录服务，用户只要了解该打印机的一项属性，就可以通过查询活动目录来使用它。

我们可以把目录服务看作既是一个管理工具，同时也是一个面向最终用户的工具。

系统管理员用它可以定义、安排和管理对象（如打印机、用户）及其特征，以使它们能被用户和应用程序使用；而用户可以用它来获得感兴趣的信息。

换一个角度，理解目录服务就是要理解它和目录的不同之处：它既是目录信息源，又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。

理想情况下，目录服务会使物理拓扑和协议（两个服务间传输数据所用的格式）透明化；这样，即使用户不知道资源的物理连接位置和连接方法，也能够访问资源。

活动目录详解(基础篇)我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录（Active Directory）服务”，使得WIN2K系统与Internet上的各项服务和协议更加联系紧密，因为它对目录的命名方式成功地与”域名“的命名方式一致，然后通过DNS 进行解析，使得与在Internet上通过WINS解析取得一致的效果。

活动目录也说明了Microsoft在网络结构方面的策略转移，虽然在以前NT时代也有部分产品（如EXCHANGE SERVER、IIS等）提供过类似于活动目录的服务，然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。

活动目录的身影似乎在整个WIN2K系统中无处不在。

然而要真正了解“活动目录”的方方面面又谈何容易，下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析，希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。

一、活动目录的由来谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME 下“文件夹”，那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系，一个文件生成之后相对来说这个文件的所在目录也就固定了（当然可以删除、转移等，现在不考虑这些），也就是说它的属性也就相对固定了，是静态的。

这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小，并不能得出其它有关信息，这样就影响到了整体使用目录的效率，也就是影响了系统的整体效率，使系统的整个管理变得复杂。

因为没有相互关联，所以在不同应用程序中同一对象要进行多次配置，管理起来相当繁锁，影响了系统资源的使用效率。

为了改变这种效率低下的关系和加强与Internet上有关协议的关联，Microsoft公司决定在WIN2K中全面改革，也就是引入活动目录的概念。

理解活动目录的关键就在于“活动”两个字，千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解，那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹，正因为这个目录是活动的，所以它是动态的，它是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射，如找到了一个用户名，就可联想到它的账号、出生信息、E-mail、电话等所有基本信息，虽然组成这些信息的文件可能不在一块。

通过前面十二次的讲座，其实我们一直在探讨活动目录的逻辑结构较多，今天我们来谈一谈有关AD的复制问题。

其实对于每一个DC，都会有一个数据库文件，它就是AD数据库，详见活动目录系列之一：基本概念AD数据库分四个目录分区，如下图所示：其中在森林级别复制的是前两个分区，即架构分区和配置分区。

而在域级别复制的是域分区。

应用程序分区是一个可选复制，可以自己配置，在这里不讨论。

（一）站点内部的复制如果单域环境，同时存在多台DC，此时每台DC都会同步森林及域级别的三个分区。

如果多域环境，同时存在多台DC，此时便会存在多路复制拓朴。

如下图所示：上图有三种复制拓朴，第一路是森林级别的复制，在所有的DC之间复制;第二路是域A 的域分区的复制拓朴，在所有域A的DC之间复制;第三路是域B的域分区的复制拓朴，在所有域B的DC之间复制。

如果在上图的DC之中还存在GC，则上面的复制拓朴还会改变，因为GC是一个特殊的角色，它将拥有所有域的域分区对象及对象属性的子集。

其实大家也都看到了，我们的复制拓朴是一个双向环（保证容错），而这个环是由每台DC上的KCC进程自动生成的。

附：KCC：是一个进程，或翻译成“知识一致性校验”，它用来检查当前的AD环境，用于生成环形的复制拓朴。

如果在上图中再加入新的DC，KCC会再次计算，生成新的环。

当然我们自己也可以自定义，各位可以参考下面第二个图可完成。

如下图所示：如：通过KCC，在A1和A2之间创建一个连接对象，A2就叫做A1的直接复制伙伴。

如下图所示：注意：这个连接对象是自己产生的。

若自定义，可以在此完成。

AD的复制有三种复制方式：a.更改通知的方式：如果A1上创建了一个帐号test，则它会15秒后通知A2，然后3秒后通知A3、再3秒后通知A4。

如果A2收到通知后就会从A1把数据要过来写到自己的数据库中。

这是拉复制。

b.紧急复制：如密码修改、帐户锁定策略等。

修改后就马上联系复制伙伴。

没有时间延迟。

第3章管理活动目录域教学要求：理解：域的概念、特点；活动目录的架构；组织单位的概念、特点；域用户账户的概念、特点；域组账户的概念、特点；域组账户的使用原则；掌握：创建域；将计算机加入或脱离域；将域控制器降级为独立服务器或成员服务器；管理组织单位；管理域用户账户的工作；管理域组账户的工作；3.1活动目录的概述活动目录（ActiveDirectory，AD）服务能把网络中的众多资源有效地组织在一起，实现集中管理与统一保护，最大限度地保证资源的可用性与安全性。

3.1.1活动目录的含义活动目录以数据库的形式存放在网络中的一些特定计算机上，这个数据库称为“活动目录数据库”。

管理员可以利用活动目录来集中执行组织、管理与控制网络资源的各项功能。

用户也能够通过活动目录方便迅速的找到所需要的资源、使用所需要的功能。

活动目录的容量可以动态调整；活动目录的结构可以动态调整。

3.1.2活动目录的特点动态的组织形式方便的资源查找集中管理与分散管理相结合资源访问的分级管理3.1.3活动目录的基本概念1、对象和属性在活动目录中，存储着众多的资源、规则、策略等，它们被称作“活动目录对象”，简称对象。

一个活动目录对象所具有的各种各样的特征，称为“属性”。

一个对象可认为是一系列属性的集合。

2、活动目录的架构活动目录中所有对象和属性的定义存储在“活动目录架构”中，只有SchemaAdmin组的成员才有权限添加或修改架构中的内容。

一个活动目录共享一个共同的架构。

查看活动目录架构的具体步骤为1、以SchemaAdmin组的一个用户账户身份登录2、注册ActiveDirectorySchema控制面板的动态链接库。

在命令窗口中输入：regvr32.e某echmmgmt.dll.3、在命令窗口中运行“mmc.e某e”,添加“ActiveDirectory架构”管理工具。

4-6、在“ActiveDirectory架构”中有两个容器，类与属性，双击Uer，即可查看Uer类的定义，根据Uer类的定义可以创建大量的用户账户。