IBM Cloud Docs
Active Directory 概觀

Active Directory 概觀

Active Directory™ (AD) 網域服務使用 DNS 名稱解析服務來定位網域控制站,並使託管目錄服務的網域控制站相互通訊。 AD 具有邏輯階層式包含結構,其中最上層容器是樹系。 樹系包含網域,而網域包含組織單位 (OU)。 此邏輯模型獨立於部署的實體方面。

Active Directory 術語

AD 使用下列術語:

  • 樹系 - 一個以上的網域的集合,這些網域共用共同的邏輯結構、型錄綱目、型錄配置和廣域型錄。 同一個樹系中的網域會自動以雙向可轉移的信任關係鏈結在一起。
  • 網域 - 網域是樹系中的分割區。 透過分割資料,組織可以只將資料抄寫到所需的位置。 透過這種方式,目錄可以在可用頻寬有限的網路中進行全球擴充。 由單一鑑別資料庫覆蓋一個網路區域。
  • 綱目 - 一組規則,用於定義目錄中包含的物件類別和屬性、對這些物件實例的約束與限制以及物件名稱的格式。
  • 網域控制器 - 網域控制器提供 Active Directory Domain Services 資料庫的實體儲存空間,此外也提供服務和資料,讓企業能有效管理伺服器、工作站、使用者和應用程式。 確保網域控制器安全,以避免損害您的Active Directory資料。
  • 根網域 - 根網域包含「企業管理」和「綱目管理」群組。 這兩個服務管理者群組用於管理樹系層次作業,例如新增和移除網域以及實作對綱目的變更。
  • 上層網域 - 可以將多個網域鏈結在一起,以形成樹狀結構。 在層級結構中,最高層級的網域稱為父網域,並擁有一個或多個與其相連的子網域。
  • 子網域 - 這些網域鏈結到上層網域並繼承母項的位址空間,因此子項是子網域。 一個網域的子項還可以是其他網域的母項。 子網域名稱一律包含完整的上層網域名稱。 子網域和父域共享雙向傳遞信任。
  • 廣域型錄 - 廣域型錄伺服器是一個網域控制站,用於儲存樹系中所有 Active Directory 物件的部分副本。 它會儲存網域目錄中所有物件的完整副本以及其他所有樹系網域中所有物件的部分副本。 無論目錄中的哪個網域包含資料,使用者和管理員都可以找到目錄資訊。 它會抄寫到屬於該樹系的每個網域控制站。
  • AD 站台 - 在 AD 中,站台代表在網域控制站上定義的實體或邏輯實體。 每個站台與一個網域相關聯。 每個站台還具有關於哪些 IP 位址或範圍屬於該站台的 IP 定義。 網域控制站使用站台資訊來通知 AD 用戶端離它最近的站台中存在的網域控制站。
  • 站台鏈結 - 站台鏈結用於在 AD 站台之間建立鏈結。 藉由配置站台鏈結內容(例如、排定、抄寫成本和時間間隔),可以管理站台間抄寫。
  • 信任 - 信任關係是網域之間建立的一種邏輯關係,用於容許對共用資源進行鑑別和授權。 鑑別程序驗證使用者的身分,授權程序確定容許使用者在電腦系統或網路上執行的作業。
  • 目錄 - AD 使用結構化資料儲存庫作為對目錄資訊進行邏輯階層式組織的基準。 此資料儲存庫(也稱為目錄)包含有關 AD 物件的資訊。 這些物件通常包含共用資源,例如伺服器、磁區、印表機以及網路使用者和電腦帳戶。
  • 抄寫 - 在網路上配送目錄資料的服務。 網域中的所有網域控制站都參與抄寫,並包含其所在網域的所有目錄資訊的完整副本。 對目錄資料的任何變更都將抄寫到網域中的所有網域控制站。
  • 組織單位 - OU 可用於在網域中形成容器階層。 OU 用於將物件分組以進行管理,例如應用群組原則或委派權限。 對 OU 及其中物件的控制權由 OU 上的存取控制清單 (ACL) 以及 OU 中物件上的 ACL 確定。 為了方便管理大量的物件,Active Directory Domain Services 支援授權的概念。 藉由委派,擁有者可以將對物件的完全或有限管理控制權轉移給其他使用者或群組。 授權之所以重要,是因為它有助於將大量物件的管理分派給可信任的人員來完成管理任務。
  • 功能等級 - 功能等級決定可用的Active Directory網域服務網域或林功能以及可以在網域或網域控制站上的網域控制站上執行的 Windows® Server 作業系統。 但是,功能層次不會影響可以在連接到網域或樹系的工作站和成員伺服器上執行哪些作業系統。

網域模型

查看客戶在本機或在IBM Cloud®中指定網域時可用的典型網域模型。

  • 單樹系單網域模型
  • 單林多網域模式
  • 多重森林模型

有關林和域模型的詳細信息,請參閱 設計邏輯結構

單樹系單網域模型

單樹系單網域模型是最容易管理和維護的模型。 此設計包含一個樹系,樹系中包含一個網域。 由於它是唯一的網域,因此是森林的根網域,包含森林中所有的使用者和群組帳號,以及資源物件。 對一些企業來說,這種模式就夠了。 然而,更複雜的企業無法使用這種模式。

單林多網域模式

單一森林、多個網域的模式適用於規模較大的企業,這些企業的森林包含許多分佈在不同地理位置或不同業務單位的使用者。 如果每個位置都有其自己的網域,則位置之間的抄寫資料流量會減少。 對於用於不同業務單位的網域,通常可實現輕鬆管理。 此網域模型由一個樹系根網域和一個以上的地區網域組成。 通常,林根網域僅限於企業管理員和架構管理員群組。 這些群組可用於管理森林層級的作業,例如新增和移除網域,以及執行模式變更。

建立多網域模型設計涉及確定哪個網域是樹系根網域,以及確定符合抄寫需求所需的額外網域數。 這些網域可以是父網域或子網域,視網域結構需要如何反映組織結構而定。 通常,管理的領域越少越好。 為了降低複雜性,企業需要透過將資源分離到不同的領域和子域來平衡複雜性,這具有安全性優勢。

多樹系模型

如果企業包含需要與企業中其他群組進行資料隔離或服務隔離的群組,則可以使用多樹系模型為這些群組建立個別的樹系。 網域不提供資料隔離或服務隔離。 森林服務管理員可以完全存取森林中的所有資源。 這種存取是無法阻止的,因此,如果您擁有該群組不得存取的資源,則需要將這些資源放置在不同的林中。

多森林模式也會出現在企業合併的情況下,兩個企業有兩個不同的 Active Directory 網域服務架構。

查看以下三個森林模型。

  • 組織樹系模型 - 在此模型中,使用者帳戶和資源包含在兩個樹系中,但獨立進行管理。 如果樹系配置為阻止樹系外部的任何人進行存取,則此模型可以提供自主和隔離。 如果一個組織樹系中的使用者需要存取其他樹系中的資源,或者其他樹系中的使用者需要存取某個組織樹系中的資源,則可以在一個組織樹系和其他樹系之間建立信任關係。
  • 資源樹系模型 - 在此模型中,使用個別的樹系來管理資源,這些樹系只包含服務管理者,不包含其他使用者帳戶。 將建立樹系信任,以便其他樹系中的使用者可以存取資源樹系中包含的資源。 此模型提供服務隔離。
  • 限制存取森林模式 - 在此模式中,會建立獨立的森林,以包含必須與企業其他部分隔離的使用者帳戶和資源。 由於樹系之間不存在任何信任,因此無法向一個樹系中的使用者授與對其他樹系的存取權。 例如,此模型通常由可以提供基礎架構管理服務的服務提供者採用。 在此模型中,如果使用者需要存取兩個樹系中的資源,則使用者要在一個樹系中具有帳戶,在另一個樹系中具有不同的使用者帳戶。 此模型提供資料隔離。 限制存取的森林模型會在您提供 VMware Cloud Foundation for Classic - Automated 範例時建立。