Active Directory 概述

Active Directory（AD）是一个分层系统，通过提供数据库和相关服务，将用户与工作所需的网络资源相连接。该系统基于Active Directory域服务运行，该服务提供了将数据存储于数据库的方法。数据库（或称目录）存储着环境的关键信息，例如存在的用户和计算机及其权限。AD网络组件的结构如下：

• 域：共享共同管理、安全和复制设置的逻辑对象组。（或）在统一规则下作为整体管理的计算机和资源集合。
• 域树：共享连续命名空间的一个或多个域。
• 域林：共享共同目录信息的一个或多个域树。
• 组织单位：用于将域内对象组织成逻辑管理组的容器或子域组。
• 对象：单个实体，如计算机、资源、用户或应用程序及其属性。

AD组

组是 AD 对象，可包含用户、计算机及其他组（嵌套组）。组分为两类：安全组和分发组。安全组用于聚合用户、计算机及其他组以分配资源权限，而分发组仅用于创建电子邮件分发列表。组的作用域可为本地、域本地、全局或通用。

• 本地组：其作用域仅限于所在计算机。可用于授予访问计算机资源的权限。
• 域本地组：具有域范围作用域，可授予该域内任意Windows计算机的资源访问权限。
• 全局组：同样具有域范围，但可在任意域中授予权限。
• 通用组：可在任何域（包括基于信任关系的其他林域）中授予权限。

AD用户

用户登录计算机或域时，需通过AD中的用户账户建立身份标识。Windows操作系统基于此身份验证用户身份，并授予域资源访问权限。系统预置了两个用户账户：管理员账户和访客账户，用于初始登录进行必要配置。

AD计算机

与用户账户类似，计算机账户用于为计算机使用网络和域资源提供必要授权。被称为 本地系统账户的计算机账户具有最高权限，可访问本地计算机上的所有资源。

安全权限管理

Windows支持的基本安全权限（如读取、写入和 完全控制）适用于AD中的每个对象。除标准权限外，AD还根据对象类别提供特殊权限，包括列出内容、删除树、列出对象、写入自身、控制访问、创建子项、删除子项、读取属性及 写入属性 。

这些权限必须分配给用户或组，以限制或授予对AD对象的访问权限。将权限分配给用户或组称为访问控制条目。

继承权限

容器（或父对象）设置的权限可同时应用于其子对象，此机制称为继承权限。AD安全模型允许您明确定义权限或将权限传播至子对象。例如，可指定以下传播条件：

• 此对象仅限
• 此对象及其所有子对象
• 计算机对象
• 组对象
• 组织单位对象
• 用户对象

容器可为任何AD组件（如域或组织单位），仅容器内的对象能继承父对象的权限。

下一主题将探讨若干常用的Active Directory术语。