活动目录概述

Windows活动目录是对象的分层架构。它提供各种活动目录对象的信息,如资源、服务、用户帐户、组等,并设置这些对象的访问权限和安全性。活动目录网络组件的结构如下:

  • :共享公共目录数据库的一组计算机。
  • 域目录树:共享连续名称空间的一个或多个域。
  • 域目录林:共享公共目录信息的一个或多个域目录树。
  • 组织单元:域的容器或子组,用于将域中的对象组织到逻辑管理组中。
  • 对象:对象表示单个实体,如计算机、资源、用户、应用程序等,以及它们的属性。

管理安全权限

Windows支持的基本安全权限(例如读取、写入和完全控制)可用于活动目录上的每个对象。除了这些标准权限外,AD还提供一些基于对象类别的特殊权限,例如列表内容、删除树、列表对象、自写、控制访问、创建子项、删除子项、读取属性、写入属性等。

这些权限须分配给用户或组,以限制或授予对活动目录对象的访问。用户或组的每个权限分配被称为访问控制项(ACE)。


继承权限

容器(或父对象)上设置的权限也可应用于其子对象,这称为继承权限。活动目录安全模型使您可以定义显式权限或将权限传播到其子对象。例如,您可以指定以下传播条件:

  • 仅此对象
  • 此对象和所有子对象
  • 计算机对象
  • 组对象
  • 组织单元对象
  • 用户对象

容器可以是任何活动目录组件,例如域、组织单元,且只有那些容器内的对象才能从父级继承权限。