Active Directory 域服务概述
提供了有关基本 AD DS 功能的信息。包括了技术概念,以及规划和部署链接。
目录是存储有关网络上对象的信息的层次结构。目录服务(例如 Active Directory 域服务 (AD DS) )提供了存储目录数据以及使此数据可供网络用户和管理员使用的方法。例如,AD DS 存储有关用户帐户的信息,如名称、密码、电话号码等,并使同一网络上的其他授权用户可以访问此信息。
Active Directory 存储有关网络上对象的信息,并让管理员和用户可以更容易地使用这些信息。Active Directory 使用结构化数据存储作为目录信息的逻辑层次组织的基础。
此数据存储(也称为目录)包含 Active Directory 对象的相关信息。这些对象通常包含共享资源,如服务器、卷、打印机、网络用户和计算机帐户。有关 Active Directory 数据存储的详细信息,请参阅 目录数据存储。
通过登录身份验证和对目录中对象的访问控制,安全与 Active Directory 集成。通过单一网络登录,管理员可以管理其整个网络中的目录数据和组织,授权网络用户可以访问网络上任何位置的资源。基于策略的管理简化了即使最复杂的网络的管理。有关 Active Directory 安全的详细信息,请参阅 安全性概述。
Active Directory 还包括:
- 一组规则,即 架构 ,定义目录中包含的对象和属性的类别、这些对象的实例的约束和限制及其名称的格式。有关架构的详细信息,请参阅架构。
- 包含有关目录中每个对象的信息的 全局编录 。这允许用户和管理员查找目录信息,而不考虑目录中的哪个域实际包含数据。有关全局编录的详细信息,请参阅全局编录的角色。
- 一 种查询和索引机制 ,以便对象及其属性可由网络用户或应用程序发布和查找。有关查询目录的详细信息,请参阅查找目录信息。
- 跨网络分发目录数据的 复制服务 。域中的所有域控制器均参与复制,并包含其域的所有目录信息的完整副本。对目录数据的任何更改均复制到域中的所有域控制器。有关 Active Directory 复制的详细信息,请参阅复制概述。
Active Directory结构和存储技术
管理员使用Active Directory将网络上的对象(例如用户,计算机,设备等)存储和组织到安全的分层包含结构中,该结构称为逻辑结构。尽管Active Directory的逻辑结构是所有用户,计算机和其他物理资源的分层组织,但是目录林和域构成了逻辑结构的基础。森林是逻辑结构的安全边界,可以进行结构化以提供组织中的数据和服务自治性以及隔离性,使其既可以反映站点和组的身份,又可以消除对物理拓扑的依赖性。
可以在林中对域进行结构化,以提供数据和服务自主权(但不能隔离),并优化给定区域的复制。逻辑结构和物理结构的这种分离提高了可管理性并降低了管理成本,因为逻辑结构不受物理结构变化的影响。逻辑结构还可以控制对数据的访问。这意味着您可以使用逻辑结构对数据进行分区,以便可以通过控制对各个分区的访问来控制对数据的访问。
Active Directory中存储的数据可以来自许多不同的来源。由于有这么多不同的数据源和那么多不同类型的数据,Active Directory必须采用某种类型的标准化存储机制,以便它可以维护其存储的数据的完整性。在Active Directory中,对象用于在目录中存储信息,并且所有对象都在架构中定义。对象定义包含目录用来确保存储的数据有效的信息,例如数据类型和语法。除非首先在架构中定义了用于存储数据的对象,否则目录中无法存储任何数据。默认架构包含Active Directory需要起作用的所有对象定义。但是,您也可以将对象定义添加到架构。
虽然通过包含域和林之类的元素的逻辑结构向您显示目录,但是目录本身是通过包含存储在林中所有域控制器上的数据库的物理结构来实现的。Active Directory数据存储处理对数据库的所有访问。数据存储包含服务和物理文件。这些服务和物理文件使目录可用,并且它们管理在每个域控制器的硬盘上存在的数据库内部读取和写入数据的过程。
Active Directory结构和存储架构
Active Directory结构和存储体系结构包括四个部分:
- Active Directory域和林。林,域和组织单位(OU)构成Active Directory逻辑结构的核心元素。森林定义一个目录并代表一个安全边界。森林包含域。
- Active Directory的域名系统(DNS)支持。DNS提供了用于域控制器位置的名称解析服务和Active Directory可以用来提供可以反映组织结构的命名约定的层次设计。
- 模式。该架构提供了用于创建存储在目录中的对象的对象定义。
- 数据存储。数据存储是目录的一部分,用于管理每个域控制器上数据的存储和检索。
下图说明了Active Directory数据结构和存储体系结构。
Active Directory数据结构和存储体系结构
Active Directory域和林
域将目录划分为一个目录林中的较小部分。这种分区可以更好地控制数据的复制方式,从而可以建立有效的复制拓扑,并且通过在不需要的地方复制数据不会浪费网络带宽。OU使得可以出于管理目的将域中的资源分组,例如应用组策略或将控制权委派给管理员。
下图说明了逻辑结构体系结构中OU,域和林的关系。
逻辑结构架构
Active Directory的DNS支持
Active Directory使用DNS作为其域控制器定位机制。当执行任何主要的Active Directory操作(例如身份验证,更新或搜索)时,加入域的计算机使用DNS来定位Active Directory域控制器,而这些域控制器使用DNS来彼此定位。例如,当具有Active Directory用户帐户的网络用户登录到Active Directory域时,该用户的计算机将使用DNS定位该用户要登录到的Active Directory域的域控制器。
若要登录到包含Active Directory林的网络,客户端工作站必须首先能够找到附近的域控制器。域控制器对于工作站和用户的初始身份验证以及用户对用户需要访问的文件和资源的后续授权都是必需的。DNS提供给Active Directory的支持使客户端工作站可以定位域控制器。
活动目录架构
Active Directory架构包含用于在目录中存储信息的所有对象的定义。每个森林只有一个架构。但是,该架构的副本存在于目录林中的每个域控制器上。这样,每个域控制器都可以快速访问它可能需要的任何对象定义,并且每个域控制器在创建给定对象时都使用相同的定义。数据存储依赖于架构来提供对象定义,并且数据存储使用这些定义来强制数据完整性。结果是所有对象都是统一创建的,并且哪个域控制器创建或修改对象都没有关系,因为所有域控制器都使用相同的对象定义。
下图说明了架构与架构体系结构中数据存储之间的关系。
模式架构
Active Directory数据存储
Active Directory数据存储由几个组件组成,这些组件一起为目录客户端提供目录服务。这些组件包括:
- 四个接口:
- 轻型目录访问协议(LDAP)
- 复制(REPL)和域控制器管理界面
- 消息传递API(MAPI)
- 安全帐户管理员(SAM)
- 三个服务组件:
- 目录系统代理(DSA)
- 数据库层
- 可扩展存储引擎(ESE)
- 实际存储数据的目录数据库
下图说明了数据存储体系结构中这些组件的关系。
数据存储架构
Active Directory结构和存储组件
您可以为Active Directory中的结构和存储定义一些组件,而其他组件则由系统定义并且不能修改。
- 林,域和OU是构成Active Directory逻辑结构的组件。您在安装Active Directory时定义它们。
- 对Active Directory的DNS支持包括用于定位域控制器和使用DNS命名方案的组件。林中的每个域都必须遵守DNS命名方案,并且域以根域和从属域层次结构组织。
- 该架构是目录内部存在的单个组件。该架构包含用于在目录中存储信息的对象的定义。这些对象定义包括两个主要组件:classSchema对象和attributeSchema对象。
- 数据存储包含三层组件。第一层提供客户端访问目录所需的接口。第二层提供执行与从目录数据库读取数据和将数据写入目录数据库相关联的操作的服务。第三层是数据库本身,它作为单个文件存在于每个域控制器的硬盘上。
Active Directory域和林
Active Directory的逻辑结构是林中Active Directory域和OU的层次结构。逻辑结构中组件的关系控制对存储数据的访问,并且它们控制如何在林中的各个域控制器之间复制信息。下表描述了Active Directory逻辑结构的主要组件。
域和林组件
| 零件 | 描述 |
| 森林 | 森林是逻辑结构层次结构的最高级别。Active Directory林代表一个独立的目录。森林是安全边界,这意味着森林中的管理员可以完全控制对存储在森林中的信息以及用于实现森林的域控制器的所有访问。 |
| 域 | 域将存储在目录内的信息划分为较小的部分,以便可以更轻松地将信息存储在各种域控制器上,从而使管理员可以更好地控制复制。目录中存储的数据从一个域控制器复制到整个域林中。与整个林有关的某些数据被复制到所有域控制器。仅与特定域相关的其他数据仅复制到该特定域中的域控制器。良好的域设计可以实现高效的复制拓扑。这很重要,因为它使管理员能够管理跨网络的数据流,即控制要复制的数据量以及复制流量的发生位置。 |
| OU | OU为管理员提供了一种对资源(如用户帐户或计算机帐户)进行分组的方法,以便可以将资源作为一个单元进行管理。这使将组策略应用于多台计算机或控制许多用户对单个资源的访问变得更加容易。OU还使将对资源的控制权委派给各个管理员变得更加容易。 |
Active Directory的DNS支持
在Active Directory中,DNS是目录客户端定位或发现域控制器的方法。用于Active Directory的DNS支持的体系结构的主要组件包括域控制器定位器,DNS中的Active Directory域名和Active Directory DNS对象。
下表描述了可帮助目录客户端找到附近域控制器的Active Directory组件。
Active Directory DNS支持组件
| Active Directory / DNS组件 | 描述 |
| 定位器 | 在Net Logon服务中实现的定位器使客户端能够定位域控制器。定位器包含Internet协议(IP)/ DNS兼容和Windows NT 4.0兼容的定位器,它们在混合Active Directory环境中提供互操作性。 |
| DNS中的Active Directory域名 | 每个Active Directory域都有一个DNS域名(例如,cohovineyard.com),并且每个加入域的计算机都有一个DNS名称(例如,server1.cohovineyard.com)。在结构上,域和计算机在Active Directory中均表示为对象,在DNS中表示为节点。 |
| Active Directory DNS对象 | 将DNS数据存储在Active Directory中时,每个DNS区域都是一个Active Directory容器对象(类dnsZone)。dnsZone对象包含该区域中每个唯一名称的DNS节点对象(dnsNode类)。dnsNode对象具有dnsRecord多值属性,该属性包含与该DNS名称关联的每个资源记录的值。 |
有关Active Directory的DNS支持的详细信息,请参阅“ Active Directory的DNS支持技术参考”。
活动目录架构
Active Directory中存储的所有内容都存储在一个对象中。每种类型的对象的定义都存储在架构中。定义本身包含两种类型的对象:类对象和属性对象。类定义用于描述公共对象的属性组。通过组合各种类对象和属性对象以创建新的组合来创建新的对象定义,这些组合包含必要的属性以满足新对象类型的存储要求。下表描述了Active Directory架构中存储的两种主要对象定义类型。
架构组件
| 零件 | 描述 |
| classSchema对象 | classSchema对象是存储在架构中的对象定义,它们用于定义类。classSchema对象定义具有共同点的属性组。例如,用于存储用户帐户的对象需要存储用户的登录名,名字,姓氏和密码。可以创建具有登录名属性,名字属性,姓氏属性和密码属性的用户类。每当创建新的用户帐户时,该目录都会使用用户类作为定义,并且创建的每个用户帐户对象都将使用这些属性。可以嵌套classSchema对象以创建更复杂的对象。 |
| attributeSchema对象。 | attributeSchema对象定义单个对象的各个属性。例如,用户帐户对象具有许多用于存储和定义与用户帐户相关的数据的属性,例如登录名属性和密码属性。这些属性中的每一个还具有自己的属性,这些属性指定其存储的数据类型,存储的数据的语法以及该属性是必需的还是可选的。目录服务使用attributeSchema对象存储数据并验证存储的数据是否有效。 |
Active Directory数据存储
Active Directory数据存储在林中的每个域控制器上实现。数据存储由在目录内存储和检索数据的组件组成。下表描述了Active Directory数据存储的组件。
数据存储组件
| 零件 | 描述 |
| 接口(LDAP,REPL,MAPI,SAM) | 数据存储接口为目录客户端和其他目录服务器提供了一种与数据存储进行通信的方式。 |
| DSA(Ntdsa.dll) | DSA(在每个域控制器上作为Ntdsa.dll运行)提供了接口,目录客户端和其他目录服务器通过这些接口可以访问目录数据库。另外,DSA强制执行目录语义,维护架构,保证对象身份并在属性上强制执行数据类型。 |
| 数据库层 | 数据库层是驻留在Ntdsa.dll中的应用程序编程接口(API),并在应用程序和目录数据库之间提供接口,以保护数据库免于与应用程序直接交互。来自应用程序的调用永远不会直接向数据库发出;他们通过数据库层。另外,由于目录数据库是平面的-没有层次名称空间,因此数据库层为数据库提供了对象层次的抽象。 |
| ESE(Esent.dll) | ESE(以Esent.dll运行)直接基于对象的相对专有名称属性与目录数据库中的各个记录进行通信。 |
| 数据库文件 | 数据存储将目录信息存储在单个数据库文件中。此外,数据存储区还使用日志文件,它将临时提交的未提交事务写入日志文件。 |
