1、活动目录简介
活动目录(Active Directory,AD)是Windows Server网络操作系统中非常重要的目录服务。活动目录用于存储网络上各种对象的有关信息,包括用户账户、组、打印机、共享文件夹等,并把这些数据存储在目录服务数据库中,便于管理员和用户查询及使用。活动目录具有安全、可扩展、可伸缩的特点,与域名系统(Domain Name System,DNS)集成在一起,可基于策略进行管理。
什么是活动目录呢?活动目录就是Windows网络中的目录服务(Directory Service),即活动目录域服务(Active Directory Domain Services,AD DS)。目录服务有两方面的内容:目录和与目录相关的服务。
活动目录负责目录数据库的保存、新建、删除、修改与查询等服务,用户能很容易地在目录内寻找所需的数据。
AD DS的适用范围非常广泛,它可以用在一台计算机、一个小型局域网络或数个广域网结合的环境中。它包含此范围中的所有对象,如文件、打印机、应用程序、服务器、域控制器和用户账户等。
使用活动目录具有以下意义:
- 简化管理。
- 安全性。
- 改进的性能与可靠性。
2、活动目录逻辑结构
公司组建的单位内部的办公网络原来是基于工作组方式的,近期由于公司业务发展,人员激增,基于方便和网络安全管理的需要,考虑将基于工作组的网络升级为基于域的网络。现在需要将一台或多台计算机升级为域控制器,并将其他所有计算机加入域成为成员服务器,同时将原来的本地用户账户和组也升级为域用户和组进行管理。
活动目录结构是指网络中所有用户、计算机以及其他网络资源的层次关系,就像一个大型仓库中分出若干个小储藏间,每个小储藏间分别用来存放东西。通常活动目录的结构可以分为逻辑结构和物理结构,分别包含不同的对象。
活动目录的逻辑结构非常灵活,目录中的逻辑单元通常包括架构、域、组织单位、域目录树、域目录林、站点和目录分区。
1. 架构
AD DS对象类型与属性数据是定义在架构(Schema)内的,例如,它定义了用户对象类型内包含的属性(姓、名、电话等)、每一个属性的数据类型等信息。
隶属于Schema Admins组的用户可以修改架构内的数据,应用程序也可以自行在架构内添加其所需的对象类型或属性。在一个林内的所有域树共享相同的架构。
2. 域
域是在Windows NT/2000/2003/2008/2012网络环境中组建客户机/服务器网络的实现方式。域是由网络管理员定义的一组计算机集合,它实际上就是一个网络。在这个网络中,至少有一台称为域控制器的计算机充当服务器角色。在域控制器中保存着整个网络的用户账号及目录数据库,即活动目录。
管理员可以修改活动目录的配置来实现对网络的管理和控制,如管理员可以在活动目录中为每个用户创建域用户账号,使他们可登录域并访问域的资源。同时,管理员也可以控制所有网络用户的行为,如控制用户能否登录、在什么时间登录、登录后能执行哪些操作等。而域中的客户计算机要访问域的资源,就必须先加入域,并通过管理员为其创建的域用户账号登录域,才能访问域的资源,同时也必须接受管理员的控制和管理。构建域后,管理员可以对整个网络实施集中控制和管理。
3. 组织单位
组织单位(Organizational Unit,OU)在活动目录中扮演特殊的角色,它是一个当普通边界不能满足要求时创建的边界。组织单位把域中的对象组织成逻辑管理组,而不是安全组或代表地理实体的组。组织单位是应用组策略和委派责任的最小单位。
组织单位是包含在活动目录中的容器对象。创建组织单位的目的是对活动目录对象进行分类。因此组织单位是可将用户、组、计算机和其他单元放入活动目录的容器,组织单位不能包括来自其他域的对象。
使用组织单位,用户可在组织单位中代表逻辑层次结构的域中创建容器,这样就可以根据组织模型管理网络资源的配置和使用。可授予用户对域中某个组织单位的管理权限,组织单位的管理员不需要具有域中任何其他组织单位的管理权。
4. 域目录树
当要配置一个包含多个域的网络时,应该将网络配置成域目录树结构,如图所示。
在图中所示的域目录树中,最上层的域名为 China.com,是这个域目录树的根域,也称为父域。下面两个域Jinan.China.com和Beijing.China.com是China.com域的子域。3个域共同构成了这个域目录树。
活动目录的域仍然采用DNS域的命名规则命名。在图3-1所示的域目录树中,两个子域的域名 Jinan.China.com 和 Beijing.China.com 中仍包含父域的域名China.com,因此,它们的命名空间是连续的。这也是判断两个域是否属于同一个域目录树的重要条件。
在整个域目录树中,所有域共享同一个活动目录,即整个域目录树中只有一个活动目录,只不过这个活动目录分散地存储在不同的域中(每个域只负责存储和本域有关的数据),整体上形成一个大的分布式的活动目录数据库。在配置一个较大规模的企业网络时,可以配置为域目录树结构,例如,将企业总部的网络配置为根域,各分支机构的网络配置为子域,整体上形成一个域目录树,以实现集中管理。
5. 域目录林
如果网络的规模比前面提到的域目录树还要大,甚至包含了多个域目录树,就可以将网络配置为域目录林(也称森林)结构。域目录林由一个或多个域目录树组成,如图所示。
域目录林中的每个域目录树都有唯一的命名空间,它们之间并不是连续的,这一点从图中的两个目录树中可以看到。整个域目录林中也存在一个根域,这个根域是域目录林中最先安装的域。在上图所示的域目录林中,因为China.com是最先安装的,所以这个域是域目录林的根域。
注意:在创建域目录林时,组成域目录林的两个域目录树的树根之间会自动创建相互的、可传递的信任关系。由于有了双向的信任关系,域目录林中的每个域中的用户都可以访问其他域的资源,也可以从其他域登录到本域中。
6. 站点
站点由一个或多个IP子网组成,这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定,可以依据站点结构配置活动目录的访问和复制拓扑关系,使得网络更有效地连接,并且可使复制策略更合理、用户登录更快速。活动目录中的站点与域是两个完全独立的概念,一个站点中可以有多个域,多个站点也可以位于同一个域中。
活动目录站点和服务可以使用站点提高大多数配置目录服务的效率。使用活动目录站点和服务来发布站点,并提供有关网络物理结构的信息,从而确定如何复制目录信息和处理服务的请求。计算机站点是根据其在子网或一组已连接好子网中的位置指定的,子网用来为网络分组,类似于生活中使用邮政编码划分地址。划分子网可方便地发送有关网络与目录连接的物理信息,而且同一子网中计算机的连接情况通常优于不同网络中计算机的连接情况。
使用站点的意义主要有以下3点:
- 提高了验证过程的效率。
- 平衡了复制频率。
- 可提供有关站点链接信息。
7. 目录分区
AD DS数据库被逻辑地分为下面4个目录分区(Directory Partition):
(1)架构目录分区(Schema Directory Partition)。它存储着整个林中所有对象与属性的定义数据,也存储着如何建立新对象与属性的规则。整个林内的所有域共享一份相同的架构目录分区,它会被复制到林中所有域的所有域控制器中。
(2)配置目录分区(Configuration Directory Partition)。其内存储着整个AD DS的结构,如有哪些域、哪些站点、哪些域控制器等数据。整个林共享一份相同的配置目录分区,它会被复制到林中所有域的所有域控制器中。
(3)域目录分区(Domain Directory Partition)。其内存储着与该域有关的对象,如用户、组与计算机等对象。每一个域各自拥有一份域目录分区,它只会被复制到该域内的所有域控制器中,而不会被复制到其他域的域控制器中。
(4)应用程序目录分区(Application Directory Partition)。一般来说,应用程序目录分区是由应用程序建立的,其内存储着与该应用程序有关的数据。例如,由Windows Server 2016扮演的DNS服务器,若建立的DNS区域为Active Directory集成区域,它就会在AD DS数据库内建立应用程序目录分区,以便存储该区域的数据。应用程序目录分区会被复制到林中特定的域控制器中,而不是所有的域控制器中。
3、活动目录物理结构
活动目录的物理结构与逻辑结构是彼此独立的两个概念。逻辑结构侧重于网络资源的管理,而物理结构则侧重于网络的配置和优化。物理结构的3个重要概念是域控制器、只读域控制器和全局编录服务器。
1. 域控制器
域控制器是指安装了活动目录的Windows Server 2016的服务器,它保存了活动目录信息的副本。域控制器管理目录信息的变化,并把这些变化复制到同一个域中的其他域控制器上,使各域控制器上的目录信息同步。域控制器负责用户的登录过程以及其他与域有关的操作,如身份鉴定、目录信息查找等。一个域可以有多个域控制器,规模较小的域可以只有两个域控制器,一个实际应用,另一个用于容错性检查,规模较大的域则使用多个域控制器。
域控制器没有主次之分,采用多主机复制模式,每一个域控制器都有一个可写入的目录副本,这为目录信息容错带来了无尽的好处。尽管在某个时刻,不同的域控制器中的目录信息可能有所不同,但一旦活动目录中的所有域控制器执行同步操作,最新的变化信息就会一致。
2. 只读域控制器
只读域控制器(Read-Only Domain Controller,RODC)的AD DS数据库只可以被读取、不可以被修改,也就是说,用户或应用程序无法直接修改 RODC 的 AD DS 数据库。RODC 的AD DS数据库的内容只能够从其他可读写的域控制器中复制过来。RODC主要是设计给远程分公司的网络使用的,因为一般来说,远程分公司的网络规模比较小、用户人数比较少,此网络的安全措施或许并不如总公司完备,也可能缺乏IT技术人员,因此采用RODC可避免因其AD DS数据库被破坏而影响到整个AD DS环境。
3. 全局编录服务器
尽管活动目录支持多主机复制模式,然而由于复制引起通信流量以及网络潜在的冲突,变化的传播并不一定能够顺利进行,因此有必要在域控制器中指定全局编录(Global Catalog,GC)服务器以及操作主机。全局编录是—个信息仓库,包含活动目录中所有对象的部分属性,是在查询过程中访问最为频繁的属性。
利用这些信息,可以定位任何一个对象实际所在的位置。全局编录服务器是一个域控制器,它保存了全局编录的一份副本,并执行对全局编录的查询操作。全局编录服务器可以提高活动目录中大范围内对象检索的性能,例如,在域林中查询所有的打印机操作。如果没有全局编录服务器,那么必须调动域林中每一个域的查询过程。如果域中只有一个域控制器,那么它就是全局编录服务器。如果有多个域控制器,那么管理员必须把一个域控制器配置为全局编录服务器。
4、命名空间
命名空间(Name Space)是一个界定好的区域(Bounded Area),在此区域内,我们可以利用某个名称找到与此名称有关的信息。例如,一本电话簿就是一个命名空间,在这本电话簿内(界定好的区域内),可以利用姓名来找到此人的电话、地址与生日等数据。又如,Windows操作系统的NTFS文件系统也是一个命名空间,在这个文件系统内,可以利用文件名来找到此文件的大小、修改日期与文件内容等数据。
AD DS也是一个命名空间。利用AD DS,可以通过对象名称来找到与此对象有关的所有信息。
在TCP/IP网络环境下,可利用DNS来解析主机名与IP地址的对应关系,例如,利用DNS来得到主机的IP地址。AD DS也与DNS紧密地集成在一起,它的域名空间也是采用DNS架构的,因此,域是采用DNS格式来命名的,例如,可以将AD DS的域命名为long.com。
5、对象和属性
AD DS内的资源以对象(Objects)的形式存在,例如,用户、计算机等都是对象,而对象是通过属性(Attributes)来描述其特征的,也就是对象本身是一些属性的集合。例如,要为使用者张三建立一个账户,需新建一个对象类型(Object Class)为用户的对象(也就是用户账户),然后在此对象内输入张三的姓、名、登录名与地址等,其中的用户账户就是对象,而姓、名与登录名等就是该对象的属性。
6、容器
容器(Container)与对象类似,它也有自己的名称,也是一些属性的集合,不过容器内可以包含其他对象(如用户、计算机等),也可以包含其他容器。
组织单位是一个比较特殊的容器,其内可以包含其他对象与组织单位。组织单位也是应用组策略(Group Policy)和委派责任的最小单位。
AD DS以层次式架构(Hierarchical)将对象、容器与组织单位等组合在一起,并将其存储到AD DS数据库内。
7、可重新启动的AD DS
除了进入目录服务还原模式之外,Windows Server 2016网络操作系统(后续内容中有关Windows Server 2016网络操作系统的讲解,同样适用于Windows Server 2012网络操作系统)等域控制器还提供可重新启动的AD DS(Restartable AD DS)功能,也就是说,要执行AD DS数据库维护工作,只需要将AD DS服务停止即可,不需要重新启动计算机来进入目录服务还原模式,这样不但可以让AD DS数据库的维护工作更容易、更快速地完成,而且其他服务也不会被中断。完成维护工作后再重新启动AD DS服务即可。
在AD DS服务停止的情况下,只要还有其他域控制器在线,就仍然可以在这台AD DS服务停止的域控制器上利用域用户账户登录。若没有其他域控制器在线,则在这台 AD DS 服务已停止的域控制器上,默认只能够利用目录服务还原模式的系统管理员账户来进入目录服务还原模式。
8、Active Directory回收站
在旧版Windows 系统中,系统管理员若不小心将AD DS 对象删除,其恢复过程耗时耗力,例如,误删组织单位,其内所有对象都会丢失,此时虽然系统管理员可以进入目录服务还原模式来恢复被误删的对象,但比较耗费时间,而且在进入目录服务还原模式这段时间内,域控制器会暂时停止对客户端提供服务。Windows Server 2016网络操作系统具备Active Directory回收站功能,它让系统管理员不需要进入目录服务还原模式,就可以快速恢复被删除的对象。
9、AD DS的复制模式
域控制器之间在复制AD DS数据库时,分为以下两种复制模式。
1. 多主机复制模式
AD DS数据库内的大部分数据是采用多主机复制模式(Multi-Master Replication Model)进行复制的。在此模式下,可以直接更新任何一台域控制器内的 AD DS 对象,之后这个更新过的对象会被自动复制到其他域控制器。例如,在任何一台域控制器的 AD DS 数据库内添加一个用户账户后,此账户会自动被复制到域内的其他域控制器。
2. 单主机复制模式
AD DS数据库内的少部分数据是采用单主机复制模式(Single-Master Replication Model)进行复制的。在此模式下,当用户提出修改对象数据的请求时,会由其中一台域控制器(称为操作主机)负责接收与处理此请求,也就是说,该对象是先在操作主机中被更新,再由操作主机将它复制给其他域控制器。例如,添加或删除一个域时,此变动数据会先被写入扮演域命名操作主机角色的域控制器内,再由它复制给其他域控制器。