IBM Cloud Docs
Active Directory 概述

Active Directory 概述

Active Directory™ (AD) 域服务使用 DNS 名称解析服务来定位域控制器,并让托管目录服务的域控制器相互通信。 AD 具有逻辑分层包含结构,其中顶级容器是林。 林包含域,而域包含组织单元 (OU)。 此逻辑模型独立于部署的物理方面。

Active Directory 术语

AD 使用以下术语:

  • 林 - 一个或多个域的集合,这些域共享公共逻辑结构、目录模式、目录配置和全局目录。 同一林中的域会自动通过双向传递信任关系链接在一起。
  • 域 - 域是林中的分区。 通过对数据分区,组织可以只将数据复制到所需的位置。 这样,目录就可以在可用带宽有限的网络上进行全球扩展。 一个认证数据库覆盖一个网络区域。
  • 模式 - 一组规则,用于定义目录中包含的对象类和属性、对这些对象的实例的约束和限制以及对象名称的格式。
  • 域控制器 - 域控制器为 Active Directory 域服务数据库提供物理存储,此外还提供服务和数据,使企业能够有效管理服务器、工作站、用户和应用程序。 确保域控制器安全,以避免Active Directory数据泄露。
  • 根域 - 根域包含“企业管理员”和“模式管理员”组。 这两个服务管理员组用于管理林级别操作,例如添加和除去域以及实现对模式的更改。
  • 父域 - 可以将多个域链接在一起,以构成树结构。 在层次结构中,最高级别的域被称为父域,并有一个或多个子域与其相连。
  • 子域 - 这些域链接到父域并继承父代的地址空间,因此子代是子域。 一个域的子代还可以是其他域的父代。 子域名始终包含完整的父域名。 子域和父域共享双向传递信任。
  • 全局目录 - 全局目录服务器是一个域控制器,用于存储林中所有 Active Directory 对象的部分副本。 它会存储域目录中所有对象的完整副本以及其他所有林域中所有对象的部分副本。 无论目录中的哪个域包含数据,用户和管理员都能找到目录信息。 全局目录会复制到属于该林的每个域控制器。
  • AD 站点 - 在 AD 中,站点表示在域控制器上定义的物理或逻辑实体。 每个站点与一个域相关联。 每个站点还具有关于哪些 IP 地址或范围属于该站点的 IP 定义。 域控制器使用站点信息来通知 AD 客户机离它最近的站点中存在的域控制器。
  • 站点链接 - 站点链接用于在 AD 站点之间建立链接。 通过配置站点链接属性(例如、安排、复制成本和时间间隔),可以管理站点间复制。
  • 信任 - 信任关系是域之间建立的一种逻辑关系,用于允许对共享资源进行认证和授权。 认证过程验证用户的身份,授权过程确定允许用户在计算机系统或网络上执行的操作。
  • 目录 - AD 使用结构化数据存储作为对目录信息进行逻辑分层组织的基础。 此数据存储(也称为目录)包含有关 AD 对象的信息。 这些对象通常包含共享资源,例如服务器、卷、打印机以及网络用户和计算机帐户。
  • 复制 - 在网络上分发目录数据的服务。 域中的所有域控制器都参与复制,并包含其所在域的所有目录信息的完整副本。 对目录数据的任何更改都将复制到域中的所有域控制器。
  • 组织单元 - OU 可用于在域中构成容器层次结构。 OU 用于将对象分组以进行管理,例如应用组策略或委派权限。 对 OU 及其中对象的控制权由 OU 上的访问控制表 (ACL) 以及 OU 中对象上的 ACL 确定。 为便于管理大量对象,Active Directory Domain Services 支持授权概念。 通过委派,所有者可以将对对象的完全或有限管理控制权转移给其他用户或组。 授权之所以重要,是因为它有助于将大量对象的管理分配给一些人,让他们完成管理任务。
  • 功能级别 - 功能级别决定了可用的 Active Directory 域服务域或林功能,以及您可以在域或林中的域控制器上运行的 Windows® Server 操作系统。 但是,功能级别不会影响可以在连接到域或林的工作站和成员服务器上运行哪些操作系统。

域模型

回顾客户在内部或 IBM Cloud® 中指定域时可用的典型域模型。

  • 单林单域模型
  • 单林多域模式
  • 多重森林模式

有关林和域模型的更多信息,请参阅 设计逻辑结构

单林单域模型

单林单域模型是最容易管理和维护的模型。 此设计包含一个林,林中包含一个域。 由于它是唯一的域,因此是森林根域,包含森林中的所有用户和组账户以及资源对象。 对于某些企业来说,这种模式就是全部要求。 但是,更复杂的企业无法使用这种模式。

单林多域模式

大型企业使用单林多域模式,在这种模式下,林中有许多分布在不同地理位置或不同业务部门的用户。 如果每个位置都有其自己的域,那么位置之间的复制流量会减少。 对于用于不同业务单位的域,通常可实现轻松管理。 此域模型由一个林根域和一个或多个区域域组成。 通常情况下,林根域只限于企业管理员和模式管理员组。 这些组用于管理森林级操作,如添加和删除域以及执行模式变更。

创建多域模型设计涉及确定哪个域是林根域,以及确定满足复制需求所需的额外域数。 这些域可以是父域或子域,具体取决于域结构需要如何反映组织结构。 通常情况下,需要管理的域名越少越好。 为了降低复杂性,企业需要在复杂性与将资源分离到不同域和子域之间取得平衡,这样做具有安全优势。

多林模型

如果企业包含需要与企业中其他组进行数据隔离或服务隔离的组,那么可以使用多林模型为这些组创建单独的林。 域不提供数据隔离或服务隔离。 森林服务管理者可以完全访问森林中的所有资源。 这种访问是无法阻止的,因此,如果您有一些资源不能让该组访问,那么这些资源就需要放在不同的森林中。

多森林模式也适用于企业合并的情况,两个企业拥有两种不同的 Active Directory 域名服务结构。

回顾以下三种森林模式。

  • 组织林模型 - 在此模型中,用户帐户和资源包含在两个林中,但独立进行管理。 如果林配置为阻止林外部的任何人进行访问,那么此模型可以提供自主和隔离。 如果一个组织林中的用户需要访问其他林中的资源,或者其他林中的用户需要访问某个组织林中的资源,那么可以在一个组织林和其他林之间建立信任关系。
  • 资源林模型 - 在此模型中,使用单独的林来管理资源,这些林只包含服务管理员,不包含其他用户帐户。 将建立林信任,以便其他林中的用户可以访问资源林中包含的资源。 此模型提供服务隔离。
  • 限制访问森林模式--在这种模式下,创建一个单独的森林,包含必须与企业其他部分隔离的用户账户和资源。 由于林之间不存在任何信任,因此无法向一个林中的用户授予对其他林的访问权。 例如,此模型通常由可以提供基础架构管理服务的服务提供者采用。 在此模型中,如果用户需要访问两个林中的资源,那么用户要在一个林中具有帐户,在另一个林中具有不同的用户帐户。 此模型提供数据隔离。 限制访问森林模型是在配置 VMware Cloud Foundation for Classic - Automated 实例时创建的。