# 二、活动目录

## 什么是活动目录

活动目录(AD)是微软为 Windows 域网络构建的目录服务；它作为一组进程和服务包含在大多数 Windows Server 操作系统中。服务器可以充当域控制器(DC)，其角色是验证和授权 Windows 域内的所有用户和计算机，并为所有用户和计算机分配和实现安全策略；这些策略可能与操作系统更新或软件限制有关。

例如，当用户登录到属于 Windows 域的计算机时，Active Directory 会检查提交的密码，并确定该用户是系统管理员还是普通用户。活动目录使用轻量级目录访问协议(LDAP)版本 2 和 3，微软的 Kerberos 版本。

## 活动目录结构

作为一种目录服务，活动目录主要由一个数据库和一些负责服务所有传入请求的可执行二进制文件组成。可执行部分称为目录系统代理(DSA)，是 Windows 服务和进程的集合。您可以通过多种方式访问 AD 对象，但最常见的方式是使用 LDAP 协议或 ADSI。

在一个通用广告中，我们可以找到一系列对象，这些对象可以分为以下几类:

*   **对象:**对象表示单个实体(用户、计算机、打印机或组)及其属性。某些对象可以包含其他对象，并且它们由它们的名称和属性唯一标识。
*   **林、树和域:**林、树和域是活动目录网络中的逻辑分区。在部署中，对象被分组到域中。域被定义为共享同一 active directory 数据库的网络对象(计算机、用户、设备)的逻辑组。树是一个连续命名空间中的一个或多个域和域树的集合。建筑的顶部是森林。森林是共享共同配置的树的集合。林代表用户、计算机、组和其他对象可访问的安全边界。
*   **组织单位:**域内持有的对象可以分组为组织单位。ou 可以为域提供层次结构。OU 是应用组策略(正式命名为组策略对象(GPO))的推荐级别。

| ![](img/note.png) | 注意:微软建议在结构上使用 ou 而不是域，以简化策略的实现和管理。 |

这些对象之间有层次分类。下图提供了这种分类的可视化表示。

![](img/image003.png)

图 2:显示广告对象层次结构的图表