项目12 部署企业活动目录服务

项目12部署企业活动目录服务活动目录的概念活动目录的核心价值

目录服务的定义目录服务是一种网络服务，存储网络资源信息，便于用户和应用快速访问。与书籍目录不同，它通过规则管理资源，如用户、计算机等，提升网络管理效率。

AD的管理优势在传统方式中，管理员需逐台计算机创建账户，而AD通过统一账户管理，授权访问组即可完成相同任务，大幅降低管理复杂度，尤其适合大规模用户场景。

集中化资源控制AD将用户和计算机作为资源集中管理，每个用户拥有唯一账户，管理员可灵活分配权限，实现高效、安全的网络资源访问与控制。活动目录的核心特性与管理逻辑

核心定义AD（ActiveDirectory）中的活动核心是对AD对象的动态、可扩展管理，AD对象是AD的基本元素，涵盖用户、组、计算机、共享文件夹等可管理网络资源，AD本质是存储网络重要资源信息的分布式数据库。

关键特性数量灵活：AD对象可根据实际需求（如新增设备、员工变动）增减或移动。属性可扩展：对象属性（如联系方式）可通过修改AD架构按需增加，不支持直接减少，无需使用的属性可禁用。

核心作用为用户提供网络资源检索服务，地理范围广阔的网络中，可通过多地AD数据库提供统一服务，满足用户资源访问需求。、安全的网络资源访问与控制。活动目录的架构AD架构的核心组成与扩展规则对象类定义AD中的目录对象对象类规定了AD中可创建的所有目录对象类型，如用户、组等，为网络资源的分类管理提供基础框架。对象属性标识具体对象特征对象属性用于描述和区分每个对象，例如用户对象的登录名和电话号码，确保数据的唯一性和可识别性。架构扩展实现属性动态增加通过修改AD架构表，可以扩展对象属性，从而满足业务需求的变化，同时保持整个AD林的规则一致性。统一规则助力资源集中管理AD架构的全局唯一性确保所有对象遵守相同规则，简化了网络资源的统一管理和维护流程。轻型目录访问协议轻型目录访问协议解析LDAP核心功能LDAP通过层次结构定位AD对象，类似寄快递需明确地址。一个对象由DC、OU和CN字段标识，如“CN=Tom；OU=software；DC=Jan16；DC=CN”，确保精准管理大规模目录数据。命名规范详解LDAP命名包括DN与RDN两种类型。DN是完整路径，如“CN=Tom；OU=software；DC=Jan16；DC=CN”；RDN是唯一标识部分，如“CN=Tom”，用于区分特定对象。实际应用场景在企业环境中，LDAP广泛应用于用户认证与资源管理。通过严格命名规则与层次结构，提升目录查询效率，支持复杂网络环境下的高效运维与权限控制。名称属性描述DC域组件AD域的DNS名称OU组织单位可以和实际中的一个行政部门相对应，在组织单位中可以包括其他对象，如计算机等CN普通名字除了域组件和组织单位外的所有对象，如用户、打印机等LDAP对象命名解析DN的结构组成

在AD中，DN由多个部分组成，如“CN=Tom；OU=software；DC=Jan16；DC=CN”，每一部分表示层级关系，从左至右依次为对象名称、组织单位和域名组件，确保全局唯一性。RDN的唯一标识

RDN是DN中最前的部分，用于唯一标识对象，例如“CN=Tom”。它在AD中必须唯一，确保对象能够被准确定位和区分。命名类型的对比

DN提供完整路径描述，而RDN仅包含对象的直接标识。两者结合使用，既保证了对象的全局定位能力，又简化了局部查询操作。活动目录的逻辑结构活动目录的逻辑结构图12-2

AD的逻辑结构在AD中有很多资源，要对这些资源进行有效管理就必须把它们合理组织起来，AD的逻辑结构就是用来组织资源的。AD的逻辑结构可以和公司的组织结构结合起来理解，通过逻辑结构对资源进行组织，用户可以通过名称而不是通过物理位置来查找资源，并且网络的物理结构对用户透明。AD的逻辑结构包括域（Domain）、域树（DomainTree）、目录林（Forest）和组织单位（OrganizationUnit，OU），具体如图12-2所示。活动目录的逻辑结构域是AD（ActiveDirectory）逻辑结构的核心单元，也是AD对象的容器，本质是对网络资源进行统一管理的逻辑组织形式，需通过安装AD的域控制器实现管理。核心定义01域仅存储本域对象，域管理员的管理权限被限制在本域内，无法对其他域（如子域）行使权限，保障域内资源安全。安全边界02每个域独立管理自身区域的对象，即便存在父子信任关系的父域与子域，双方用户可互相访问资源，但管理员不能跨域管理。管理边界03域是数据复制的基本单元，可跨越多个物理位置。多地部署的域控制器仅复制本域数据并保持同步，能提升异地用户的登录与资源访问速率。复制边界04图12-3

AD的逻辑结构——域1．域的概念活动目录的逻辑结构登录域和登录到本机是有区别的，在属于工作组的计算机上只能通过本地账户登录到本机，在一台加入域的计算机上可以选择登录到域或者登录到本机，如图12-4所示。登录到本机时必须输入这台计算机上的本地用户账户的信息，在“计算机管理”控制台可以查看这些用户账户的信息，登录验证也是由这台计算机完成的。本地登录账户通常为“计算机名\用户名”，如SRV1\Tom。登录到域时必须输入域用户的账户信息，而域用户的账户信息只保存在域控制器上。因此用户无论使用哪台域客户机，其登录验证都是由域控制器来完成的，也就是说默认情况下，域用户可以使用任何一台域客户机。域登录账户通常为“用户名@域名”，如Tom@Jan16.CN。在域的管理中，出于安全考虑，客户机的所有账户都会被域管理员统一回收，企业员工仅能通过域账户使用客户机。图12-4

在域中的计算机的登录界面2．登录域和登录到本机的区别域树的基本概念与结构

域树的定义域树是由一组具有连续命名空间的域组成，这些域通过层级关系连接，形成父域与子域的结构，便于管理和扩展网络资源。

根域与节点域一棵域树的第一个域称为根域，如Jan16.CN，其他域如BJ.Jan16.CN则作为节点域，构成树的分支，体现清晰的层级关系。

子域的创建与作用子域如BJ.Jan16.CN可在父域基础上创建，用于满足分公司或部门的安全隔离需求，同时保持与父域的命名空间连续性。

实际应用场景在企业扩展中，域树结构支持灵活的组织管理，例如Jan16公司通过新增BJ.Jan16.CN子域实现北京分公司的独立权限管理，同时维持整体网络的一致性。3．域树域树中的信任关系及其作用

双向信任的核心特性在AD域树中，父域与子域自动建立双向可传递信任关系，使得不同域之间的账户、资源和权限能够无缝共享，从而淡化域间界限。

可传递信任的扩展效应可传递性确保信任链延伸，例如A信任B、B信任C，则A自动信任C，实现多域间的高效集成与协作。

信任关系的实际应用双向信任允许跨域登录、资源共享及组策略整合，如GD.Jan16.CN与BJ.Jan16.CN通过父子域关系形成兄弟域信任，融为一体。

信任关系的价值体现这种机制简化了复杂网络环境中的管理，提升了域间协作效率，同时保障了授权通信的安全性与灵活性。4．树和信任关系目录林的核心特性与管理机制目录林是由一棵或多棵域树组成的，每棵域树使用自身连续的命名空间，不同域树之间不存在命名空间的连续性，如图12-5所示。目录林具有以下特点。

目录林中的第一个域称为该目录林的根域，根域的名字将作为该目录林的名字。

目录林的根域和该目录林中的其他域树的根域存在双向可传递的信任关系。

目录林中的所有域树拥有相同的架构和全局编录（全局编录的概念在本节第7点中有详细介绍）。在AD中，如果只有一个域，那么这个域也称为一个目录林，因此单域是最小的林。前面介绍了域的安全边界，如果一个域用户要对其他域进行管理，则必须先得到其他域的授权。但在目录林中有一个特殊情况，那就是在默认情况下目录林的根域管理员可以对目录林中所有域执行管理权限，这个管理员也称为目录林管理员。图12-5

AD的逻辑结构——域目录林5．目录林组织单位（OU）的核心功能与规划方法6．组织单位（OU）OU是AD中的一个特殊容器，它可以把用户、组、计算机等对象组织起来。与普通容器仅能容纳对象不同，OU不仅可以包含对象，还可以进行组策略设置和委派管理，这是普通容器所不能实现的。关于组策略和委派的相关内容可通过微软官方资料和活动目录的专门图书进行查阅。OU是AD中最小的管理单元。如果一个域中的对象数目非常多，可以用OU把一些具有相同管理要求的对象组织在一起，这样就可以实现分级管理了。而且域管理员还可以委托某个用户去管理某个OU，管理权限可以根据需要配置，这样能减轻管理员的工作负担。OU可以和公司的行政机构相结合，这样可以方便管理员对AD对象的管理，而且OU可以像域一样做成树状的结构，即一个OU下面还可以有多个子OU。规划OU时可以同时考虑两点因素：地点和部门职能。例如，Jan16公司的域由北京总公司和广州子公司组成，而且每个城市都有市场部、技术部、财务部3个部门，可以按照图12-6（a）的结构来组织域中的子域（在AD中，OU用圆形来表示），图12-6（b）则是在AD中根据左边的结构创建的OU结果。（b）创建OU的结果（a）规划Jan16公司的OU

全局编录的核心作用

快速检索多域对象全局编录（GC）存储目录林中所有域对象的常用属性子集，用户无需逐一搜索每个域，显著提升查询效率。默认情况下，GC仅包含高频访问属性，确保性能与实用性兼顾。

权限控制保障安全全局编录中的对象受访问权限限制，用户只能查看有权限的对象。未授权对象在查询时不可见，从而有效保护敏感数据的安全性。

林范围共享一致性全局编录信息在整个目录林范围内共享，确保各域间的数据一致性。通过集中化管理，减少冗余和冲突，为跨域操作提供可靠支持。7．全局编录活动目录的物理结构活动目录的物理结构与优化域控制器的核心作用域控制器（DC）是存储活动目录信息的关键节点，负责用户登录、身份验证和目录搜索等任务。为确保数据一致性，各域控制器之间需通过数据复制实现同步，从而支持多域控制器环境下的高效管理。站点的网络流量优化站点基于地理位置划分，包含一个或多个IP子网，旨在优化域控制器间的数据同步流量。通过站点内优先同步和跨站点服务器间的数据交换，可显著减少公网上的重复数据传输，提升整体效率。站点与域的灵活映射一个站点可包含多个域，同时一个域也可分布于多个站点中。这种灵活的映射关系允许管理员根据实际需求设计网络架构，兼顾性能与管理便利性。数据同步的层级化策略在站点的作用下，域控制器的同步遵循“站点内—跨站点—站点内”的层级化策略。这一机制有效减少了不必要的网络流量，确保全域或全林范围内的数据一致性得以高效实现。图12-7

AD的站点结构DNS服务与活动目录DNS与AD的逻辑整合DNS是互联网的重要服务之一，它用于实现IP地址和域名的相互解析。同时它为互联网提供了一种逻辑的分层结构，利用这个结构可以标识互联网中所有的计算机，同时这个结构也为人们使用互联网提供了便利。与DNS类似，AD的逻辑结构也是分层的，因此可以把DNS和AD结合起来，这样就可以实现AD中资源的便捷管理和访问。图12-8所示为DNS和AD命名空间的对应关系。图12-8

DNS和AD命名空间的对应关系DNS服务与活动目录在AD中，域控制器会自动向DNS服务器注册服务资源记录（ServiceRecord，SRVRecord），在SRV记录中包含了服务器所提供服务的信息及服务器的主机名与IP地址等。利用SRV记录，客户端可以通过DNS服务器查看域控制器、应用服务器等信息。图12-9所示为在AD中的一台域控制器中的DNS控制台界面，通过该界面可以看到Jan16.CN区域下有“_msdcs”“_sites”“_tcp”“_udp”和“ForestDnsZones”这5个子文件夹，这些文件夹中存放的就是SRV。综上所述，DNS是AD的基础，要实现AD，就必须安装DNS服务。在安装第一台域控制器时，应该把本机设置为DNS服务器，在安装AD的过程中，DNS会自动创建与AD域名相同的正向查找区域。DNS服务器注册服务资源记录如图12-9所示。图12-9

域控制器中的DNS控制台界面活动目录的特点与优势活动目录的特点与优势资源的统一管理AD是一个能存储大量对象的容器，它可以统一管理企业中成千上万的分布于异地的计算机、用户等资源，如统一升级软件等，而且管理员还可以通过委派下放一部分管理的权限给某个用户，让该用户替管理员执行特定的管理。01资源访问的分级管理通过登录认证和对目录中对象的访问控制，将安全性和AD加密集成在一起。管理员能够管理整个网络的目录数据，并且可以授予用户访问网络上位于任何位置的资源的权限。03便捷的网络资源