▷Active Directory是什么，它是什么[最佳说明]

在致力于通过计算机终端工作的公司中，非常重要的资源是用户和许可证的使用 。如您所了解，在通过局域网将300多台计算机互连成子网的工作环境中，就用户，访问场所和邮件托盘而言，操作系统的配置无法通过以下方法完成传统上由团队一一进行。

为此，我们真正需要的是专门用于创建用户和分配权限的功能的计算机或服务器。正是在这里Active Directory起作用。因此，让我们看看该软件或工具的含义。

什么是活动目录

Active Directory或也称为AD或Active Directory ，是属于Microsoft公司的工具，通常在LAN网络中提供目录服务 。

这个活动目录能够做的是提供位于一个或多个服务器上的服务，该服务器能够创建对象（例如用户 ， 团队或组）以在连接到网络的计算机登录期间管理凭据 。但这不仅有用，因为我们还可以管理该服务器所在的整个网络的绝对策略。这意味着，例如， 对用户访问权限，个性化邮件托盘等的管理。

从根本上讲，它面向具有大量计算机资源的工作环境中的专业用途 ，在这些环境中，有必要通过更新或程序安装或创建集中文件来管理大量计算机，以便能够从工作站远程访问资源。工作。

如您所知，这是集中LAN网络的许多典型组件的理想方法，而无需一个团队一个团队地进行，并避免用户在网络上做他们想做的事情。

Active Directory的工作方式

Active Directory使用的网络协议主要是LDAP，DHCP，KERBEROS和DNS 。基本上，我们将拥有一种数据库，其中实时存储有关网络用户身份验证凭据的信息。这样一来，所有计算机都可以在一个中心元素下进行同步。例如，让我们看一下当该数据库的用户在计算机上注册时Active Directory的作用：

在Active Directory服务器中，将有一个用户（对象），由代表其存在的典型属性组成，例如“名称”字段，“姓氏”，“电子邮件”字段等。

但是， 此用户也将属于某个组 ，该组具有某些特权，例如访问存储在字段“名称”，“制造商”等中的网络打印机。

客户端计算机与此服务器进行通信 ，因此，当计算机启动时，用户将发现锁定屏幕，就像它是任何系统一样。 当您输入用户名和密码时，它实际上不在计算机上，而是在此服务器上。

客户端将向Active Directory服务器请求凭据以进行验证，如果凭据存在，它将把有关用户的信息发送到客户端计算机。

此时，用户将以明显正常的方式在其计算机上登录。您将把典型的个人文件存储在硬盘上。但是，根据您所属的组，您还可以访问网络资源，例如打印机。

如果我工作的设备坏了怎么办？

嗯，这比如果用户在计算机上会发生的事情要少得多。使用Active Directory ，我们唯一要做的就是转到连接到网络的另一台计算机上，并以正常和当前的方式对用户进行身份验证 。我们将拥有与另一台计算机相同的配置。显然，我们不会拥有另一台计算机的物理硬盘上的文件，但是至少我们可以完全正常地工作。

Active Directory中的重要概念

除了我们已经看到的概念外，我们还必须在Active Directory中非常清楚地了解不同的概念。

活动目录域

如果我们谈论Active Directory，我们也谈论的是域，因为它实际上是相同的概念。虽然用一般术语表示。

Active Directory中的域是连接到网络的一组计算机，这些计算机具有用于管理网络上的用户帐户和凭据的服务器计算机。到目前为止，一切都是一样的，发生的是，在网络中， 我们不仅可以拥有一个域，而且可以拥有多个域 。这些域不一定必须彼此联系，例如，如果一个域（A）可以访问其他两个域（B和C），则情况更是如此，这并不意味着C可以访问B。

然后，如果我们说Active Directory也是一个域控制器 ，就会很清楚，因为我们可以创建不同的域并管理每个域中的权限和交互。域之间的这种关系称为信任或信任关系 。

信任度

信任是两个域，两个树或两个森林之间的关系。有不同的类型：

传递信任 ：是AD域之间存在的自动信任。它们在一侧和另一侧都存在A <-> B 直接访问信任：这是为两个域定义的显式信任，以便我们可以直接访问彼此。

对象

对象是我们用来引用目录中任何组件的通用名称。对象分为三种不同的类型：

用户：这些是对工作站的访问凭据。资源：将是每个用户可以根据其权限访问的元素。它们可以是共享文件夹，打印机等。服务：这些是每个用户可以访问的功能，例如电子邮件。

组织单位

Active Directory中的组织单位是按子集组织的对象（如打印机，用户，组等）的容器 ，从而建立了层次结构。

使用组织单位，我们可以一目了然地看到我们域的层次结构，并能够轻松地根据所包含的对象分配权限。

树

树是一组域 ，这些域依赖于公共根并以一定的层次结构进行组织， 也称为公共DNS 。

通过这种结构，我们可以更好地相互识别某些域，例如，如果我们拥有ProfReview.web和Review.ProfReview.web域，我们就可以很好地知道它们都属于同一个域树 。但是，如果改为使用ProfReview.web和Ayuda.Linux.web，我们会知道它们不属于同一棵树 。

通过一棵树，我们可以将Active Directory分成多个部分，以进行更好的资源管理。属于域的用户也将被属于主域的域识别。

森林森林

如果我们在层次结构中上一步，则会找到一个森林。 在森林中，我们发现其中包含的所有现有域 。林中的每个域都将具有某些自动建立的可传递或不可传递信任关系。但是，我们可以按照自己的喜好进行管理。

在一个森林中，将有不同的域树，当然它们具有不同的名称。 森林中始终至少有一个根域 ，因此， 当我们安装第一个域时，我们还将创建树的根，并在该森林的根之上。

创建Active Directory的要求

如您所知，活动目录是面向服务器和公司的工具，因此，例如Windows 10不具有此功能。因此，为了做到这一点，我们必须具备以下条件：

Windows服务器：我们将需要面向Microsoft服务器的操作系统版本。我们将能够使用Windows Server 2000、2003、2008和2016版本。已安装TCP / IP协议，并在服务器设备上配置了固定IP地址；在服务器上安装了DNS服务器，通常已经可以使用。与Windows兼容的文件，在这种情况下为NTFS

关于Active Directory的结论

如我们所见，Active Directory是在基于计算机设备的工作环境中集中资源的非常重要的工具。多亏了它，我们将不需要在工作站上进行个性化维护，因为一切都可以从一个或多个中央服务器进行管理。另外，该结构非常直观，以方便分配权限和资源。

另一方面，我们必须牢记Active Directory是具有属于Microsoft的付费许可证的域系统。有免费的应用程序也提供这种类型的功能，例如Open LDAP，Mandriva Directory Server甚至Samba 。这就是为什么公司越来越选择这些解决方案以避免支付软件许可证费用的原因。

我们还建议：

您如何看待Active Directory？如果您有任何疑问或建议或更正，请仅在评论中写信给我们。