活动目录(Active Directory)系列

活动⽬录介绍

微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。NT的"域（domain）"的概念是⽬录服务的⼀个基本单元。"⼀次登录，Single Logon"在Windows NTServer 的环境下有了具体的应⽤，⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来，⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。

Windows 2000 Server在Windows NT Server 4.0的基础上，进⼀步发展了"活动⽬录（Active Directory）"。活动⽬录充分体现了微软产品的"ICE"，即集成性（Integration），深⼊性(Comprehensive)，和易⽤性(Ease of Use)等优点。活动⽬录是⼀个完全可扩展，可伸缩的⽬录服务，既能满⾜商业ISP的需要，⼜能满⾜企业内部⽹和外联⽹的需要。

活动⽬录的由来

活动⽬录是从⼀个数据存储开始的。它采⽤的是Exchange Server的数据存储，称为：Extens ible Storage Service （ESS）。其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能⾮常优良。这个数据存储之上已建⽴索引的，可以⽅便快速地搜索和定位。活动⽬录的分区是"域（Domain）"，⼀个域可以存储上百万的对象。域之间还有层次关系，可以建⽴域树和域森林，⽆限地扩展。

1 Active Directory相关知识

1.1Active Directory概述

活动目录（Active Directory简称AD），是从win2000 开始引入的操作系统的重要组件。AD可以认为是一个大的层次结构数据库，用来集中存储企业内部的用户帐户、计算机、打印机、应用程序、安全性与系统原则等各种重要资源。AD允许网络用户通过单一登录就可以访问网络中任何位置的许可资源。

从开发人员角度看AD，可以理解AD是一种存放了应用程序所需要的特定资源信息的“数据库”。AD还对这些资源信息的读取和查询进行了优化，而且它允许通过大量的用户定义以满足特定的商业和组织需要。

1.2几个相关术语简介

1.2.1容器和非容器

AD中的资源信息被组织成一个层次结构。这个层次结构中的每一个实体都被简称为对象。换句话说，AD中创建对象时，是把它们创建在一个层次结构中的。该结构由两种类型的对象组成：Container(容器)和非Container(非容器)。容器可容纳非容器或下一级的容器。而非容器则不再包含其他对象，因此也常被成为叶或叶子对象。在安装完活动目录后，操作系统已经默认自动创建了很多的Container，如Users, Builtin

1.2.2 OU

OU是Organizational Unit(组织单元或部门)的缩写。OU是容器对象，它主要从逻辑的角度来管理和组织活动目录域。可在其中放置用户、组、计算机、打印机、共享文件夹以及一个域内的其他部门。部门（在Active Directory 用户和计算机界面中用文件夹表示）允许按逻辑关系组织并存储域中的对象。如果有多个域，则每个域均可实现各自独立的部门层次。如下图所示，部门中也可包含其他部门。

Active Directory教程

Active Directory教程

活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。Microsoft Active Directory服务是Windows平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。在本期技术教程中，我们将介绍Active Directory在虚拟化方面的使用技巧。

使用Active Directory追踪VM

随着很多企业部署越来越多的虚拟化平台，如何区分物理服务器和虚拟服务器也变得越来越难。有一种标识服务器对象（无论是虚拟环境还是物理环境）的方法是使用每一台计算机对象Active Directory中的Description属性。那么具体该如何操作呢？

使用Active Directory标识和追踪虚拟机

使用脚本进行Description查询

添加自定义Active Directory计算对象属性定位虚拟机

Active Directory快照

Windows Server 2008允许管理员对Active Directory进行快照。在作出任何主要的Active Directory修改之前创建快照，以便在需要的时候使用副本数据库恢复。如何使用Windows Server 2008里的Active Directory快照？

使用Windows Server 2008里的Active Directory快照

第一章活动目录(Active Directory)综述

内容摘要

Windows 2000 操作系统的功能非常强大，用户要了解如何实现这些功能，以及它对完成企业目标能够提供哪些帮助,首先必须了解其核心：活动目录目录服务。活动目录在实施组织的网络，进而实现组织的商业目标中占有重要地位。通过本章学习,您将了解到以下一些主要内容：

目录服务和活动目录的概念

活动目录的优点

活动目录的逻辑结构组织

信息在逻辑结构中的流通

活动目录的安全机制

活动目录的目录服务模块

考点提示

本章主要概括了活动目录中的主要概念性知识，读者应重点熟悉以下内容：

逻辑结构/物理结构的作用和区别

信任关系

1.1 目录和目录服务

一般来说，目录是用来存储信息的信息源,如电话簿用来存储电话号码、文件系统用来存放文件信息。

而在计算机网络上下文环境中，目录（又称数据存储区）是存储网络对象信息的分层结构。对象包括共享资源，如服务器、共享卷和打印机；网络用户和计算机帐户；域、应用程序、服务、安全策略，以及网络上的其他所有内容。以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例：一般情况下，目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。

用户通过目录服务来使用目录中的信息，如用户可能需要使用网络中的某样资源，如打印机，但不知道它在网络上确切位置，有了目录服务，用户只要了解该打印机的一项属性，就可以通过查询活动目录来使用它。

我们可以把目录服务看作既是一个管理工具，同时也是一个面向最终用户的工具。系统管理员用它可以定义、安排和管理对象（如打印机、用户）及其特征，以使它们能被用户和应用程序使用；而用户可以用它来获得感兴趣的信息。

域活动⽬录（ActiveDirectory）属性以及说明如写企业内⽹的应⽤程序时，会经常需要访问域活动⽬录信息。下⾯表格是域活动⽬录(Active Directory) 属性以及说明。LDAP Property Name Description Data Type

givenName First Name String

initials Initials String

sn Last name String

displayName Display name String

description Description String

physicalDeliveryOfficeName Office String

telephoneNumber Telephone number String

otherTelephone Other Telephone numbers String

mail E-mail String

wWWHomePage Web page String

url Other Web pages String

streetAddress Street String

postOfficeBox P.O. Box String

l City String

st State/province String

postalCode Zip/Postal Code String

c, co, countryCode Country/region String

userPrincipalName User logon name String

活动目录详解(基础篇)

我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录（Active Directory）服务”，使得WIN2K系统与Internet上的各项服务和协议更加联系紧密，因为它对目录的命名方式成功地与”域名“的命名方式一致，然后通过DNS 进行解析，使得与在Internet上通过WINS解析取得一致的效果。活动目录也说明了Microsoft在网络结构方面的策略转移，虽然在以前NT时代也有部分产品（如EXCHANGE SERVER、IIS等）提供过类似于活动目录的服务，然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。活动目录的身影似乎在整个WIN2K系统中无处不在。然而要真正了解“活动目录”的方方面面又谈何容易，下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析，希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。

一、活动目录的由来

谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME 下“文件夹”，那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系，一个文件生成之后相对来说这个文件的所在目录也就固定了（当然可以删除、转移等，现在不考虑这些），也就是说它的属性也就相对固定了，是静态的。这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小，并不能得出其它有关信息，这样就影响到了整体使用目录的效率，也就是影响了系统的整体效率，使系统的整个管理变得复杂。因为没有相互关联，所以在不同应用程序中同一对象要进行多次配置，管理起来相当繁锁，影响了系统资源的使用效率。为了改变这种效率低下的关系和加强与Internet上有关协议的关联，Microsoft公司决定在WIN2K中全面改革，也就是引入活动目录的概念。理解活动目录的关键就在于“活动”两个字，千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解，那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹，正因为这个目录是活动的，所以它是动态的，它是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射，如找到了一个用户名，就可联想到它的账号、出生信息、E-mail、电话等所有基本信息，虽然

active directory系统管理员工作内容

Active Directory（活动目录）系统管理员的工作内容主要包括以下几个方面：

1. 服务器及客户端计算机管理：管理服务器及客户端计算机账户，确保所有服务器及客户端计算机加入域管理并实施组策略。

2. 用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，并按省实施组管理策略。

3. 资源管理：管理打印机、文件共享服务等网络资源。

4. 桌面配置：系统管理员可以集中地配置各种桌面配置策略，如：用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

5. 应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

6. 安全性管理：通过登录身份验证以及目录对象的访问控制集成在Active Directory之中，保证系统的安全。

7. 基于策略的管理：简化网络的管理，即便是那些最复杂的网络也是如此。

以上是Active Directory（活动目录）系统管理员的主要工作内容，具体的工作内容可能会根据实际需求有所调整。

普通目录及其面临的困难

谈到计算机目录及其相关技术，总能让我们想到无时不在使用的文件系统目录、灵巧实用的专用工具集目录、海量存储的网络资源目录等等。是的，这是一个异常熟悉的领域：在文件系统目录里，我们存储文件及其大小、创建日期、类型等信息；在诸如记事本类的专用工具集目录里，我们存放日程安排、联系方式、人员地点等信息；在网络资源目录里，我们以分层架构存放网络上所有对象的相关资料，这些对象包罗了网络里使用的各种资源：共享目录、共享打印机、应用程序、服务、服务器、用户帐号、组、域…可以这样说，从使用计算机的那一刻起，我们就从未离开过目录！曾经，这样的目录让我们随心所欲地处理我们的资源！

然而，正是这样的目录，在Internet下却面临许多麻烦：种类繁多、数量日增的目录让我们很难准确定位想要的资源；系统目录、应用程序特定目录、网络资源目录中到底谁存储了我们需要的信息？如何能用一致的方式登录这些不同的资源？怎样能轻松地维护不同系统上的远程资源？能否通过可视化的程序界面在这些资源间交互？

初识Active Directory活动目录

要解决这些问题，你可以使用Micrsoft提供的活动目录Active Directory 对象，它提供一种构造复杂计算机网络的简单方法，用来存储公共文件夹、对象信息、打印机、服务等数据；Active Directory的适用范围很大，它可以用在小自一台计算机，一个计算机网络，大至数个广域网络(WAN)的结合。它可以包含这个范围中所有的对象：文件、打印机、应用程序、服务器、域，以及用户等等。与普通意义上的目录不同的是，Active Directory 活动目录以分层树状结构排列成节点树，每个节点表示网络上的一个资源或服务，并且包含一组可检索和操作的属性。Active Directory 是提供复杂网络统一视图的Windows目录服务，它减少了开发人员必须处理的目录和命名空间的数量。