原创：AD域介绍及其意义

活动目录（AD）介绍及其意义 -by tonyye1、 什么是活动目录（Active Directory）活动目录（Active Directory）是微软公司的目录服务产品。目录服务用来组织和存储网络上的资源，这样网络使用者或者应用程序就可以方便到查找网络中的资源并使用它。114查号台就是一种目录服务，通过拨打114可以找到你想知道的组织或个人的电话号码。AD是局域网中的“查号台”，它管理着网络的用户、计算机、打印机等各种资源。域内用户可以方便的查找到这些资源，比如搜索“6楼的彩色打印机”，连接上该打印机就可以使用了。活动目录（AD）于1999年伴随Windows Server 2000操作系统首次发布。因为有了AD，Windows操作系统才从只能管理计算机本地资源的单机操作系统演变成能够管理网络中各类资源的网络操作系统。技术上，AD实现了业界通用的轻量级目录访问协议（LDAP）和X.500系列标准，采用多种身份认证技术，具备较高的安全性。2、 实施活动目录的意义采用活动目录管理网络的意义在于：加强网络管理、统一身份认证、增强安全性、组织间的相互身份认证。2.1 加强网络管理在没有使用域模式管理的网络中，通常采用工作组模式。这种模式下，网络中的各台终端地位是平等的，没有一个统一的网络管理的角色。网络管理员无法对网络内的用户及用户使用的计算机进行管理。域模式的应用使网络从“自由市场”变成了“商场”，域控制器就是“商场”的管理员。域控制器知道网络中所有资源的信息，并且将他们组织起来。通过组策略可以对网络中的计算机进行设置，例如可以统一设置IE选项、在开机和关机时自动运行脚本、远程安装软件等。域让网络管理员有了管理网络的手段。2.2统一身份认证企业一般有很多的信息系统，例如，协同办公系统、财务系统、人力资源系统、项目管理系统等等。每个信息系统都要维护一套用户信息、实现一套身份认证程序，根据用户的权限对其开放相应的资源。对用户来说，要记住每个系统的账号和口令，复杂还容易遗忘。对信息系统管理员来说，维护多套系统的用户信息带来了大量枯燥无味的工作。域管理解决了这一问题，通过域和各信息系统的集成，系统的人员信息由域统一提供。在域中新增用户，即可同步到各信息系统。身份认证的工作也由域来完成，用户通过了域认证即可访问其授权的网络资源，访问各信息系统时不必再输入账号和口令，实现单点登录。解决了记忆多套系统账号和口令的问题。2.3增强安全性这是域的统一认证功能带来的附加优势。各应用系统厂商实现的身份认证模块安全性良莠不齐，可能存在各种安全漏洞。域的身份认证支持kerberos协议、X.509、智能卡认证等多种身份认证方式。主要的认证方式是kerberos协议，该协议采用了公钥密码和对称密钥结合的技术，保障了身份认证的安全性。2.4组织间的身份认证随着信息化的发展，组织之间需要交互的系统越来越多。比如企业的采购系统，定期在上面发布招标信息，各供应商登录系统进行投标。这就需要给供应商开设账户。但怎样认证某个人是该供应商公司的员工可能是各复杂的问题。而且当这个人离职之后，怎样通知采购系统管理员及时删除该账户，避免恶意登录呢？AD支持联合身份认证来解决这个难题。例如，甲乙两家公司都采用了域管理，甲公司的员工需要登录乙公司的信息系统。通过活动目录联合身份认证服务，甲公司的AD为需要登录乙公司系统的用户发布一个声明（可以理解成其身份证），该用户将声明交给乙公司的AD进行验证，验证通过后自