新手答疑之什麼是活動目錄

相信玩過 Windows Server 操做系統的人都接觸過活動目錄這一律念，即便沒有接觸過，也相信各位據說過。

不少新手在接觸 Windows Server 操做系統都會用到活動目錄服務，不少人會有疑問，活動目錄的做用是什麼？

那麼，這裏我作個解答。

 

---

什麼是活動目錄

---

活動目錄，英文名稱爲 Active Directory 。它是面向 Windows Server 操做系統的一種的目錄服務。在活動目錄中，全部的網絡對象信息以一種結構化的數據存儲方式來保存，使得管理員和用戶可以輕鬆地查找和使用這些信息。活動目錄以這種結構化的數據存儲方式做爲基礎，對目錄信息進行合乎邏輯的分層組織。

Active Directory 服務是 Windows 平臺的核心組件，它爲用戶管理網絡環境各個組成要素的標識和關係提供了一種有力的手段。可是須要注意的是，Active Directory不能運行在Windows Web Server上，可是能夠經過它對運行Windows Web Server的計算機進行管理。

活動目錄的功能

---

活動目錄主要爲咱們提供瞭如下功能：

基礎網絡服務：包括DNS、WINS、DHCP、證書服務等。

服務器及客戶端計算機管理：管理服務器及客戶端計算機帳戶，全部服務器及客戶端計算機加入域管理並實施組策略。

用戶服務：管理用戶域帳戶、用戶信息、企業通信錄（與電子郵件系統集成）、用戶組管理、用戶身份認證、用戶受權管理等，按省實施組管理策略。

資源管理：管理打印機、文件共享服務等網絡資源。

桌面配置：系統管理員能夠集中的配置各類桌面配置策略，如：界面功能的限制、應用程序執行特徵限制、網絡鏈接限制、安全配置限制等。

應用系統支撐：支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各類應用系統。

目錄形式的存儲結構

---

活動目錄存儲的信息包含了各類相關對象，例如：用戶、用戶組、計算機、域、組織單位（OU）以及安全策略等等。這些信息能夠經過活動目錄服務被髮布出來，以供用戶和管理員的使用。

一個域可能擁有一臺以上的域控制器。每一臺域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改均可以從源域控制器複製到域、域樹或者森林中的其它域控制器上。因爲目錄能夠被複制，並且全部的域控制器都擁有目錄的一個可寫副本，因此用戶和管理員即可以在域的任何位置方便地得到所需的目錄信息。

活動目錄的數據庫存放在一個名爲 ntds.dit 的數據庫文件中，該文件能夠說是整個活動目錄的核心，其中包括了用戶賬號信息等等的相關資料。根據微軟知識庫文章可知，活動目錄的數據庫引擎被稱爲 ExtensibleStorage Engine ( ESE )，Exchange 和 WINS 均可以利用構建在這個數據引擎上的數據庫。ESE 存儲容量高達16 兆兆個字節，能包含一千萬之多的數據對象，因而可知只有活動目錄的數據庫才能包含如此多的信息。

對於活動目錄服務來說，ntds.dit 文件要求存放在類型爲 NTFS 分區格式的磁盤驅動器中，而且該文件是不可滅失的，所以要作好相應的數據備份工做。若是該文件丟失，會致使目錄服務未能啓動，緣由是出現瞭如下錯誤: 系統找不到指定的文件。 錯誤狀態： 0xc000000f。

活動目錄的存儲內容

---

在活動目錄中記錄的信息，被分爲兩大部分，一部分保存在活動目錄數據庫文件中，另外一部分保存在被複制的文件系統上，例如：登陸腳本、組策略等。

在活動目錄數據庫文件中（ntds.dit），記錄的信息有如下三張表：

Schema 表
這個表中包含了全部可在活動目錄建立的對象信息以及他們之間的相互關係。包括各類類型對象的可選及不可選的各類屬性。這個表是活動目錄數據庫中最小的一個表，可是也是最基礎的一個表。

Link 表
link表包含全部屬性的關聯，包括活動目錄中全部對象的屬性的值。一個用戶對象的全部屬性的類型，包括每一個屬性的值及用戶所屬於的組等信息都屬於這個表。這個表要大於Schema 表，但與Data 表相比要小。

Data 表

活動目錄中用戶，組，應用程序特殊數據和其餘的數據所有保存在Data表中。這是活動目錄中存儲信息最多的一個表，大量的活動目錄的資料實際上仍是存儲在這個表中。

按照其存儲的數據內容，能夠將其數據分爲：

Schema 信息

能在活動目錄中建立並存儲在活動目錄中的全部對象和屬性的詳細信息，例如：你能在活動目錄中新建立一個用戶或是聯繫人，這是由於活動目錄已經預先設置了這種類型的對象在活動目錄對象中。Schema信息在全部的主域控制器中都有一份，這些都是靜態的信息，在活動目錄安裝時生成，是不能更改的。

Configuration 信息
全部關於域控制器所在域森林或域樹中的配置信息。這些信息域中全部的主域控制器都會相互複製，可是這些信息對一個域森林來講是靜態的，在配置好後是沒法修改的。

Domain 信息
域對象的信息，域中全部對象的信息。在域範圍內會複製到全部的域控制器中。即便其中部分對象屬於全局範圍的對象。可是屬性值也只在域內進行復制。

先決條件

---

因爲活動目錄的基礎是 Windows 域環境，所以，在該域中不可避免的要具有相應的 DNS 服務器，而且，若是須要的話，還須要搭建相應的 DHCP 服務器。

域功能級別

---

Windows 2000 混合模式（默認）
• 支持的域控制器：Microsoft Windows NT 4.0、Windows 2000、Windows Server 2003
• 激活的功能：本地與全局組，全局編錄支持。

Windows 2000 純模式
• 支持的域控制器：Windows 2000、Windows Server 2003
• 激活的功能：組嵌套、通用組、SidHistory、安全組與通信組之間的轉換、您能夠經過提升目錄林級別的設置來提高域級別。

Windows Server 2003 過渡版
• 支持的域控制器：Windows NT 4.0、Windows Server 2003
• 支持的功能：在此級別內沒有域範圍的激活的功能。當目錄林級別提高至過渡版後，該目錄林中全部域都將自動提高至該級別。該模式只在將 Windows NT 4.0 域中的域控制器升級至 Windows Server 2003 域控制器時使用。

Windows Server 2003 • 支持的域控制器：Windows Server 2003 • 支持的功能：域控制器重命名、登陸時間戳屬性更新與複製。在 InetOrgPerson 對象類上支持用戶密碼。約束委派，您能夠重定向用戶和計算機容器。