Active Directory 概述

Windows Active Directory 是一个对象的层次结构框架。它提供有关各种 Active Directory 对象的信息，例如资源、服务、用户帐户、组等，并在这些对象上设置访问权限和安全性。Active Directory 网络组件的结构包括：

• 域：共享公共目录数据库的一组计算机。
• 域树：共享连续命名空间的一个或多个域。
• 域林：共享公共目录信息的一个或多个域树。
• 组织单位：域的容器或子组，用于将域内的对象组织成逻辑管理组。
• 对象：对象表示单个实体，例如计算机、资源、用户、应用程序等，并包含其属性。

管理安全权限

Windows 支持的基本安全权限（如读取、写入和完全控制）可用于 Active Directory 中的每一个对象。除了这些标准权限之外，AD 还根据对象类提供一些特殊权限，例如列出内容、删除树、列出对象、自写入、控制访问、创建子对象、删除子对象、读取属性、写入属性等。

必须将这些权限分配给用户或组，以限制或授予对 Active Directory 对象的访问。每一次向用户或组分配权限都称为访问控制项（ACE）。

继承的权限

在容器（或父对象）上设置的权限也可以应用于其子对象。这称为继承权限。Active Directory 安全模型允许您定义显式权限，或将权限传播到其子对象。例如，您可以为传播指定以下条件：

• 仅此对象
• 此对象和所有子对象
• 计算机对象
• 组对象
• 组织单位对象
• 用户对象

容器可以是任何 Active Directory 组件，如域、组织单位，并且只有这些容器中的对象才能继承来自父对象的权限。

顶部