活動目錄
活動目錄
活動目錄(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。活動目錄服務是Windows Server 2000操作系統平台的中心組件之一。理解活動目錄對於理解Windows Server 2000的整體價值是非常重要的。這篇關於活動目錄服務所涉及概念和技術的介紹文章描述了活動目錄的用途,提供了對其工作原理的概述,並概括了該服務為不同組織和機構提供的關鍵性商務及技術便利。
活動目錄(Active Directory)是面向Windows Standard S erver、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。(Active Directory不能運行在Windows Web Server上,但是可以通過它對運行Windows Web Server的計算機進行管理。)Active Directory存儲了有關網路對象的信息,並且讓管理員和用戶能夠輕鬆地查找和使用這些信息。Active Directory使用了一種結構化的數據存儲方式,並以此作為基礎對目錄信息進行合乎邏輯的分層組織。
Microsoft Active Directory 服務是Windows平台的核心組件,它為用戶管理網路環境各個組成要素的標識和關係提供了一種有力的手段。
人們經常將數據存儲作為目錄的代名詞。目錄包含了有關各種對象[例如用戶、用戶組、計算機、域、組織單位(OU)以及安全策略]的信息。這些信息可以被發布出來,以供用戶和管理員的使用。
目錄存儲在被稱為域控制器的伺服器上,並且可以被網路應用程序或者服務所訪問。一個域可能擁有一台以上的域控制器。每一台域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器複製到域、域樹或者森林中的其它域控制器上。由於目錄可以被複制,而且所有的域控制器都擁有目錄的一個可寫副本,所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。
目錄數據存儲在域控制器上的Ntds.dit文件中。我們建議將該文件存儲在一個NTFS分區上。有些數據保存在目錄資料庫文件中,而有些數據則保存在一個被複制的文件系統上,例如登錄腳本和組策略。
有三種類型的目錄數據會在各台域控制器之間進行複製:
·域數據。域數據包含了與域中的對象有關的信息。一般來說,這些信息可以是諸如電子郵件聯繫人、用戶和計算機帳戶屬性以及已發布資源這樣的目錄信息,管理員和用戶可能都會對這些信息感興趣。
例如,在向網路中添加了一個用戶帳戶的時候,用戶帳戶對象以及屬性數據便被保存在域數據中。如果您修改了組織的目錄對象,例如創建、刪除對象或者修改了某個對象的屬性,相關的數據都會被保存在域數據中。
·配置數據。配置數據描述了目錄的拓撲結構。配置數據包括一個包含了所有域、域樹和森林的列表,並且指出了域控制器和全局編錄所處的位置。
·架構數據。架構是對目錄中存儲的所有對象和屬性數據的正式定義。WindowsServer2003提供了一個默認架構,該架構定義了眾多的對象類型,例如用戶和計算機帳戶、組、域、組織單位以及安全策略。管理員和程序開發人員可以通過定義新的對象類型和屬性,或者為現有對象添加新的屬性,從而對該架構進行擴展。架構對象受訪問控制列表(ACL)的保護,這確保了只有經過授權的用戶才能夠改變架構。
活動目錄(Active Directory)主要提供以下功能:
①伺服器及客戶端計算機管理:管理伺服器及客戶端計算機賬戶,所有伺服器及客戶端計算機加入域管理並實施組策略。
②用戶服務:管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵件系統集成)、用戶組管理、用戶身份認證、用戶授權管理等,按省實施組管理策略。
③資源管理:管理印表機、文件共享服務等網路資源。
④桌面配置:系統管理員可以集中的配置各種桌面配置策略,如:用戶使用域中資源許可權限制、界面功能的限制、應用程序執行特徵限制、網路連接限制、安全配置限制等。
⑤應用系統支撐:支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。
在windows server上啟用AD的方法:
1、打開運行對話框
2、在運行對話框里輸入dcpromo,進入AD安裝嚮導(註:Windows Server 2012的版本以後均不支持該命令升級)
安全性通過登錄身份驗證以及目錄對象的訪問控制集成在Active Directory之中。通過單點網路登錄,管理員可以管理分散在網路各處的目錄數據和組織單位,經過授權的網路用戶可以訪問網路任意位置的資源。基於策略的管理則簡化了網路的管理,即便是那些最複雜的網路也是如此。
Active Directory通過對象訪問控制列表以及用戶憑據保護其存儲的用戶帳戶和組信息。因為Active Directory不但可以保存用戶憑據,而且可以保存訪問控制信息,所以登錄到網路上的用戶既能夠獲得身份驗證,也可以獲得訪問系統資源所需的許可權。例如,在用戶登錄到網路上的時候,安全系統首先利用存儲在Active Directory中的信息驗證用戶的身份。然後,在用戶試圖訪問網路服務的時候,系統會檢查在服務的自由訪問控制列表(DACL)中所定義的屬性。
因為Active Directory允許管理員創建組帳戶,管理員得以更加有效地管理系統的安全性。例如,通過調整文件的屬性,管理員能夠允許某個組中的所有用戶讀取該文件。通過這種辦法,系統將根據用戶的組成員身份控制其對Active Directory域中對象的訪問操作。
分類,又稱對象分類,描述了管理員所能夠創建的目錄對象。每一個分類都是一組對象的集合。在您創建某個對象時,屬性便存儲了用來描述對象的信息。例如,“用戶”分類便由多個屬性組成,其中包括網路地址、主目錄等等。Active Directory中的所有對象都是某個對象分類的一個實例。
有經驗的開發人員和網路管理員可以通過為現有分類定義新的屬性或者定義新的分類來動態地擴展架構。
架構的內容由充當架構操作主控角色的域控制器進行控制。架構的副本被複制到森林中的所有域控制器上。這種共用架構的使用方式確保了森林範圍內的數據完整性和一致性。
此外,您還可以使用“Active Directory架構”管理單元對架構加以擴展。為了修改架構,您必須滿足以下三個要求:
· 成為“Schema Administrators”(架構管理員)組的成員
· 在充當架構操作主控角色的計算機上安裝“Active Directory架構”管理單元
· 擁有修改主控架構所需的管理員許可權
在考慮對架構進行修改時,必須注意以下三個要點:
· 架構擴展是全局性的。在您對架構進行擴展的時候,您實際上擴展了整個森林的架構,因為對架構的任何修改都會被複制到森林中所有域的所有域控制器上。
· 與系統有關的架構分類不能被修改。您不能修改Active Directory架構中的默認系統分類;但是,用來修改架構的應用程序可能會添加可選的系統分類,您可以對這些分類進行修改。
· 對架構的擴展不可撤銷。某些屬性或者分類的屬性可以在創建后修改。在新的分類或者屬性被添加到架構中之後,您可以將它置於非激活狀態,但是不能刪除它。但是,您可以廢除相關定義並且重新使用對象標識符(OID)或者顯示名稱,您可以通過這種方式撤銷一個架構定義。
有關架構修改的更多信息,請通過參閱 Microsoft Windows 資源工具包。
Active Directory不支持架構對象的刪除;但是,對象可以被標記為“非激活”,以便實現與刪除同等的諸多益處。
屬性和分類單獨進行定義。每一個屬性僅僅定義一次,但是可以在多個分類中使用。例如,“Description”(描述)屬性可以使用在多個分類中,但是只需在架構中定義一次即可,以保持數據的一致性。
屬性用來描述對象。每一個屬性都擁有它自己的定義,定義則描述了特定於該屬性的信息類型。架構中的每一個屬性都可以在“Attribute-Schema”分類中指定,該分類決定了每一個屬性定義所必須包含的信息。
能夠應用到某個特殊對象上的屬性列表由分類(對象是該分類的一個實例)以及對象分類的任何超類所決定。屬性僅僅定義一次,但是可以多次使用。這確保了共享同一個屬性的所有分類能夠保持一致性。
屬性可以是單值的也可以是多值的。屬性的架構定義指定了屬性的實例是否必須是多值的。單值屬性的實例可以為空,也可以包含一個單值。多值屬性的實例可以為空,也可以包含一個單值或多值。多值屬性的每一個值都必須是唯一的。
索引應用於屬性,而不是分類。對屬性進行索引有助於更快地查詢到擁有該屬性的對象。當您將一個屬性標記為“已索引”之後,該屬性的所有實例都會被添加到該索引,而不是僅僅將作為某個特定分類成員的實例添加到索引。
添加經過索引的屬性會影響Active Directory的複製時間、可用內存以及資料庫大小。因為資料庫變得更大了,所以需要花費更多的時間進行複製。
多值屬性也可以被索引。同單值屬性的索引相比,多值屬性的索引進一步增加了Active Directory的大小,並且需要更多的時間來創建對象。在選擇需要進行索引的屬性時,請確信所選擇的共用屬性,而且能夠在開銷和性能之間取得平衡。
一個經過索引的架構屬性還可以被用來存儲屬性的容器所搜索,從而避免了對整個Active Directory資料庫進行搜索。這樣不僅縮短了搜索所需花費的時間,而且減少了在搜索期間需要使用的資源數量。
全局編錄在森林中最初的一台域控制器上自動創建。您可以為任何一台域控制器添加全局編錄功能,或者將全局編錄的默認位置修改到另一台域控制器上。
· 查找對象全局編錄允許用戶搜索森林所有域的目錄信息,而不管數據存儲在何處。森林內部的搜索可以利用最快的速度和最小的網路流量得以執行。
在您從“開始”菜單搜索人員或印表機,或者在某個查詢的內部選擇了“整個目錄”選項的時候,您就是在對全局編錄進行搜索。在您輸入搜索請求之後,請求便會被路由到默認的全局編錄埠3268,以便發送到一個全局編錄進行解析。
· 提供了根據用戶主名的身份驗證。在進行身份驗證的域控制器不知道某個賬戶是否合法時,全局編錄便可以對用戶的主名進行解析。例如,如果用戶的賬戶位於example1.域,而用戶決定利用這個用戶主名從位於example2的一台計算機上進行登錄,那麼example2.的域控制器將無法找到該用戶的賬戶,然後,域控制器將於全局編錄伺服器聯繫,以完成整個登錄過程。
· 在多域環境下提供通用組的成員身份信息。和存儲在每個域的全局組成員身份不同,通用組成員身份僅僅保存在全局編錄之中。例如,在屬於一個通用組的用戶登錄到一個被設置為Windows 2000本機域功能級別或者更高功能級別的域的時候,全局組將為用戶賬戶提供通用組的成員身份信息。
如果在用戶登錄到運行在Windows 2000本機或者更高級別中的域的時候,某個全局編錄不可用並且用戶先前曾經登錄到該域,計算機將使用緩存下來的憑據讓用戶登錄。如果用戶以前沒有在該域登錄過,用戶將僅僅能夠登錄到本地計算機。
說明:即便全局編錄不可用,“Domain Administrators”(域管理員)組的成員也可以登錄到網路中。
正如前面所介紹的,Active Directory的設計目的在於為來自用戶或應用程序的查詢提供有關目錄對象的信息。管理員和用戶可以使用“開始”菜單中的“搜索”命令輕鬆對目錄進行搜索和查找。客戶端程序也可以使用Active Directory服務介面(ADSI)訪問Active Directory中的信息。
Active Directory的主要益處就在於它能夠存儲有關網路對象的豐富信息。在Active Directory中發布的有關的用戶、計算機、文件和印表機的信息可以被網路用戶所使用。這種可用性能夠通過查看信息所需的安全許可權加以控制。
網路上的日常工作涉及用戶彼此之間的通信,以及對已發布資源的連接和訪問。這些工作需要查找名稱和地址,以便發送郵件或者連接到共享資源。在這方面,Active Directory就像是一個在企業中共享的地址簿。例如,您可以按照姓、名、電子郵件地址、辦公室位置或者其它用戶賬戶屬性查找用戶。如前所述,信息的查找過程由於使用了全局編錄而得到了優化。
複製為目錄信息提供了可用性、容錯能力、負載平衡以及性能優勢。Active Directory 使用多主控複製,您可以在任何一台域控制器上更新目錄,而不是只能在一台特定的主域控制器上進行更新。多主控模式具有更出色的容錯能力,因為使用了多台域控制器,即使在某一台域控制器停止工作的情況下,複製依然能夠繼續。
域控制器可以存儲和複製:
· 架構信息。架構信息定義了可以在目錄中創建的對象,以及每個對象所能夠擁有的屬性。這些信息是森林中所有域的共用信息。架構數據被複制到森林中的所有域控制器上。
· 配置信息。配置信息描述了您的部署的邏輯結構,其中包括諸如域結構或者複製拓撲這樣的信息。這些信息是森林中所有域的共用信息。配置數據被複制到森林中的所有域控制器上。
· 域信息。域信息描述了域中所有的對象。數據特定於具體的域,而且不會被分發到其它的任何域中。為了在整個域樹或者森林中查找信息,所有域中的所有對象的屬性的一個子集被保存在全局編錄中。域數據將被複制到域中的所有域控制器上。
·應用程序信息。存儲在應用程序目錄分區中的信息旨在滿足用戶對這些信息的複製需要,但是這些信息並不是在任何情況下都需要。應用程序數據可以被明確地重新路由到森林中特定於管理用途的域控制器上,以防止產生不必要的複製流量。或者,您可以進行設置,將這些信息複製到域中的所有域控制器上。
站點在複製過程中的角色
站點提高了目錄信息的複製效率。目錄架構和配置信息在整個森林範圍內進行複製,而域數據則在域的所有域控制器之間進行複製,並且會被部分地複製到全局編錄上。通過有策略地減少複製流量,網路的通信壓力也會得到相應的減輕。
域控制器使用站點和複製變化控制從以下方面對複製實施優化:
· 通過對所使用的連接不時進行重新評估,Active Directory可以始終使用最有效的網路連接。
· Active Directory使用多條路由複製發生變化的目錄數據,從而提供了容錯能力。
· 由於僅僅需要複製發生了變化的信息,複製開銷降到了最小。
如果某個部署沒有按照站點加以組織,域控制器以及客戶機之間的信息交換將是混亂和無序的。站點可以改善網路的利用效率。
Active Directory在站點內部複製目錄信息的頻度比在站點間的複製頻度要更高。這樣,擁有最佳連接條件的域控制器——它們很可能需要特殊的目錄信息——可以首先得到複製。其它站點中的域控制器則可以獲得所有發生了變化的目錄信息,但是它們進行複製的頻率要低一些,以便節省網路帶寬。另外,由於數據在站點間進行複製時經過了壓縮處理,所以複製操作所佔用的帶寬進一步得到了降低。為了實現高效複製,只有在添加或修改了目錄信息之後才進行目錄的更新。
如果目錄更新始終被分發到域中的所有其它域控制器上,它們將佔用大量的網路資源。雖然您可以手動添加或配置連接,或者強迫通過某條特定的連接進行複製,複製仍然可以根據您在“Active Directory Sites and Services”管理工具中提供的信息,通過Active Directory知識一致性檢查程序(Knowledge Consistency Checker,KCC)得到自動優化。KCC負責構建和維護Active Directory的複製拓撲。特別地,KCC可以決定何時進行複製,以及每台伺服器必須同哪些伺服器開展複製。
利用Active Directory客戶端,Windows 2000 Professional 或者 Windows XP Professional所擁有的眾多Active Directory特性可以被運行Windows 95、Windows 98以及Windows NT® 4.0操作系統的計算機所使用:
· 站點感知。您可以登錄到網路中距離客戶端最近的一台域控制器上。
· Active Directory 服務介面(ADSI)。您可以使用它為Active Directory編寫腳本。ADSI還為Active Directory編程人員提供了一個公共的編程API。
·分散式文件系統(DFS)容錯客戶端。您可以訪問Windows 2000 以及運行Windows DFS 容錯和故障轉移文件共享的伺服器,這些文件共享在Active Directory中指定。
· NTLM version 2身份驗證。您可以使用NT LanMan (NTLM) version 2中經過改進的身份驗證特性。有關啟用NTML version 2的更多信息,請參閱Microsoft 知識庫文章Q,“如何啟用NTLM 2身份驗證” :http://support./.
· Active Directory Windows 地址簿(WAB)屬性頁。您可以修改用戶對象頁上的屬性,例如電話號碼和地址。
· Active Directory的搜索能力。您可以通過“開始”按鈕,查找Windows 2000 Server 或者Windows 域中的印表機和人員。有關在Active Directory中發布印表機的更多信息,請參閱Microsoft 知識庫文章在 Windows 2000 Active Directory中發布印表機”:http://support..
Windows 2000 Professional 和 Windows XP Professional 提供了Windows 95、Windows 98和Windows NT 4.0上的Active Directory客戶端所沒有的一些功能,例如:對Kerberos version 5的支持;對組策略或者IntelliMirror® 管理技術的支持;以及服務主名或者相互驗證。通過升級到Windows 2000 Professional或Windows XP Professional,您可以對這些附加特性加以充分利用。
為了安裝Active Directory客戶端,請參閱Active Directory 客戶端頁面。
作為管理企業標識、對象和關係的主要手段,Active Directory中的介面(包括編程介面和用戶界面)已經得到了改進,以提高管理工作的效率和系統的集成能力。
讓Active Directory更加易於使用和管理
Active Directory包含了眾多增強特性,例如對MMC管理單元的改進以及對象選擇工具組件等,它們讓Active Directory變得更加易於使用。MMC插件方便了多個對象的管理。管理員可以:
· 編輯多個用戶對象。一次選擇並編輯多個對象屬性。
· 保存查詢。將針對Active Directory服務的查詢保存下載以便今後使用。結果可以用XML格式導出。
· 使用經過改進的對象選擇工具組件快速選擇對象。該組件經過重新設計並且得到了加強,能夠改善工作流和提高在大目錄中查找對象的效率,同時還提供了一種更靈活的查詢功能。各種用戶界面均可以使用該組件,並且可以為第三方開發人員所使用。
更多的集成和生產力特性和改進
特性 描述
ACL 列表用戶界面的修改 ACL用戶界面已經得到了增強,以改善其易用性以及繼承和特定的對象許可權。
擴展性增強 那些擁有某個獨立軟體開發商(ISV)或者原始設備製造商(OEM)所開發的能夠利用Active Directory的軟體或設備的管理員擁有了更加出色的管理能力,並且可以添加任何對象分類作為組的成員。
來自其它LDAP目錄的用戶對象 在LDAP目錄中定義的用戶對象使用了RFC 2798中定義的inetOrgPerson類(例如Novell和Netscape),這些對象可以使用Active Directory用戶界面進行定義。這個與Active Directory用戶對象配合工作的用戶界面可以處理inetOrgPerson對象。現在,任何需要使用inetOrgPerson類的應用程序或者客戶都可以輕鬆實現它們的目的。
Passport 集成(通過IIS) Passport身份驗證現在可以通過Internet Information Services (IIS) 6.0進行,而且允許Active Directory用戶對象被映射到他們相應的Passport標識符上(如果存在該標識)。本地安全機構(Local Security Authority,LSA)將為用戶創建一個令牌,然後IIS 6.0將根據HTTP請求對其加以設置。現在,擁有相應Passport 標識的Internet用戶可以使用他們的Passport訪問資源,就如同使用他們的Active Directory憑據一樣。
利用ADSI使用終端伺服器特定於終端伺服器用戶的屬性可以通過使用Active Directory服務介面(ADSI)編寫腳本進行設置。除了通過目錄手動設置之外,用戶屬性可以利用腳本加以設定。這樣做的一個好處就是:可以通過ADSI容易地實現屬性的批量修改或編程修改。
複製和信任監視WMI提供者 Windows管理規範(WMI)類可以監視域控制器之間是否成功地對Active Directory信息進行了複製。因為眾多的Windows 2000組件,例如Active Directory複製,都需要依賴於域間的相互信任,本特性還為監視信任關係是否能夠正常工作提供了一種手段。管理員或者運營隊伍可以通過WMI在發生複製問題時輕鬆獲得報警。
MSMQ 分發列表消息隊列(Message Queuing,MSMQ)現在支持向駐留在Active Directory中的分發列表(Distribution Lists)發送消息。MSMQ用戶可以通過Active Directory輕鬆管理分發列表。
Windows Server 2003 增強了管理員有效配置和管理Active Directory的能力,即便是擁有多個森林、域和站點的超大型企業也可以得到輕鬆的管理。
利用新的安裝嚮導配置Active Directory
新的“配置您的伺服器”嚮導簡化了設置Active Directory的過程,並且針對特定的伺服器角色提供了經過預先定義的設置,它的優點之一便是:能夠幫助管理員對伺服器的初始化部署方式實施標準化。
在伺服器安裝期間,管理員可以獲得幫助,通過幫助用戶安裝他們在Windows安裝過程中選擇需要的可選組件,伺服器的安裝過程變得更加便利。他們可以使用該嚮導執行以下工作:
· 通過使用基本的默認設置自動配置DHCP、DNS和Active Directory,建立網路中的第一台伺服器。
· 在用戶安裝文件伺服器、列印伺服器、Web和媒體伺服器、應用伺服器、RAS和路由或者IP地址管理伺服器的時候,為用戶指出完成安裝所需的特性,從而幫助用戶在網路中配置成員伺服器。
管理員可以使用本特性進行災難恢復,將伺服器配置複製到多台計算機上,完成安裝,配置伺服器角色,或者在網路中建立第一個配置或主伺服器。
其它管理特性和改進
特性 描述
自動創建DNS區域 在運行Windows Server 2003操作系統時,DNS區域和伺服器可以自動創建並配置。您可以在企業中創建它們以託管新的區域。本特定可以極大減少手動配置每台DNS伺服器所需的時間。
得到改進的站點間複製拓撲生成過程 站點間拓撲生成器(ISTG)已經得到更新,不僅可以利用改進過的演演算法,而且能夠支持比在Windows 2000下擁有更多數量站點的森林。因為森林中的所有運行ISTG角色的域控制器都必須在站點間複製拓撲方面取得一致,新的演演算法在森林被提升到Windows Server 2003森林本機模式之前不會被激活。新的ISTG演演算法跨越森林提供了得到改善的複製性能。
DNS 配置增強 本特性簡化了DNS錯誤配置的調試和報告過程,有助於正確配置Active Directory部署所需要的DNS基礎結構。
這包括了在一個現有森林中提升某個域控制器的情況,“Active Directory安裝嚮導”會與現有的一台域控制器進行聯繫,以更新目錄並從該域控制器複製必需的目錄部分。如果嚮導由於不正確的DNS配置而無法找到域控制器,或者域控制器發生故障無法使用,它將執行調試過程,報告產生故障的原因,並指出解決該故障的方法。
為了能夠找到網路中的域控制器,所有的域控制器都必須登記它的域控制器定位DNS記錄。“Active Directory安裝嚮導”會驗證DNS基礎結構是否得到了正確的配置,以便新的域控制器能夠進行域控制器定位DNS記錄的動態更新。如果此項檢查發現了不正確的DNS基礎結構配置,它將報告相關問題,並給出解釋,告知修復該問題的方法。
通過媒介安裝副本 和通過網路複製Active Directory資料庫的完整副本不同,本特性允許管理員通過文件創建初始副本,這些文件是在對現有域控制器或者全局編錄伺服器進行備份的時候所生成的。任何具有Active Directory意識的備份工具所創建的備份文件都可以使用媒介(例如磁帶、CD、VCD或者網路文件複製)傳輸到候選域控制器上。
遷移工具增強 Active Directory遷移工具(ADMT)在Windows Server 2003中得到了增強,它可以提供:
口令遷移。ADMT version 2 允許用戶將口令從Windows NT 4.0 遷移到 Windows 2000 或 Windows Server 2003 域中,也可以將口令從Windows 2000域遷移到Windows Server 2003 域中。
新的腳本介面。對於大多數常見的遷移工作,例如用戶遷移、組遷移和計算機遷移,我們提供了新的腳本介面。ADMT現在可以通過任何語言驅動,並且支持COM介面,例如Visual Basic® Script、Visual Basic以及Visual C++®開發系統。
命令行支持。腳本介面已經得到了擴展,以支持命令行。所有可以通過編寫腳本來完成的工作都可以直接通過命令行或者批處理文件完成。
安全性轉換改進。安全性轉換(例如在ACL內重新調配資源)得到了擴展。現在,源域可以在安全性轉換運行的時候被脫離。ADMT還可以指定一個映射文件,並用該文件作為安全性轉換的輸入。
ADMT version 2 讓用戶向Active Directory的遷移工作變得簡單了,而且提供了能夠實現自動化遷移的更多選項。
特性 描述
應用程序目錄分區Active Directory服務將允許用戶創建新類型的命名上下文環境,或者分區(又稱作應用程序分區)。該命名上下文環境可以包含除安全主體(用戶、組和計算機)之外的各種類型對象的層次結構,而且能夠被配置為複製森林中的任何域控制器集合,而不一定是相同域中的所有域控制器。
通過對複製範圍和副本位置加以控制,本特性為用戶提供了在Active Directory中託管動態數據的能力,而且不會對網路性能造成不利影響。
存儲在應用程序分區中的集成化DNS區域 Active Directory 中的DNS區域可以在應用程序分區中存儲和複製。通過使用應用程序分區存儲DNS數據,減少了存儲在全局編錄中的對象數量。除此之外,當您在應用程序分區中存儲DNS區域的時候,只有在應用程序分區中指定的部分域控制器會被複制。默認情況下,特定於DNS的應用程序分區僅僅包含那些運行DNS伺服器的域控制器。此外,在應用程序分區中存儲DNS區域使得DNS區域可以被複制到位於Active Directory森林其它域中充當DNS伺服器的域控制器上。通過將DNS區域集成到應用程序分區中,我們可以限制需要複製的信息數量,並且降低複製所需的整體帶寬。
得到改進的DirSync 控制項 本特性改善了Active Directory對一個名為“DirSync”的LDAP控制項的支持,該控制項被用來從目錄中獲得發生了變化的信息。DirSync控制項可以用來進行一些檢查,這些檢查類似於在正常的LDAP搜索上進行的檢查。
功能級別 和Windows 2000的本機模式類似,本特性提供了一種版本控制機制,Active Directory的核心組件可以利用該機制確定域和森林中的每台域控制器都擁有那些功能特性。此外,本特性還可以用來防止Windows Server 2003以前的域控制器加入到一個全部使用Windows Server 2003的Active Directory特性的森林中。
取消架構屬性和分類的激活狀態 Active Directory已經得到了增強,以允許用戶停用Active Directory架構中的某些屬性和分類。如果原始定義中存在錯誤,屬性和分類可以被重新定義。
在將屬性或分類添加到架構中時,如果在設置一個永久性屬性的時候發生了錯誤,停用操作將為用戶提供了一種取代該定義的手段。本操作是可逆的,管理員可以撤銷某個停用操作而不會產生任何不良的副作用。現在,管理員在管理Active Directory的架構方面擁有了更多的靈活性。
域的重命名本特性允許用戶修改森林中現有域的DNS和(或)NetBIOS名稱,同時保證經過修改的森林依然保持良好的組織結構。經過重新命名的域由它的域全局唯一ID(GUID)所代表,它的域安全ID(SID)並沒有發生改變。此外,計算機的域成員關係也不會因為其所在域的名稱發生變化而變化。
本特性沒有包括對森林根域的修改。雖然森林的根域也可以被重命名,但是您不能指定一個其它的域來代替現有的根域而變成一個新的森林根。
域的重命名會導致服務中斷,因為它要求重新啟動所有的域控制器。域的重命名還需要被重命名域中的所有成員計算機都必須重新啟動兩次。雖然本特性為域的重命名提供了一種受支持的手段,但是它既沒有被視作一種例行的IT操作,也沒有成為例行操作的意圖。
升級森林和域 Active Directory已經在安全性和應用程序支持方面添加了很多改進。在現有域或森林中運行Windows Server 2003操作系統的第一台域控制器得到升級之前,森林和域必須為這些新的功能特性做好準備。Adprep便是一個新的工具,用來幫助用戶準備森林和域的升級。如果您是從Windows NT 4.0進行升級,或者在運行Windows Server 2003的伺服器上執行Active Directory的全新安裝,那麼您不需要使用Adprep工具。
複製和信任監視 本功能允許管理員對域控制器之間是否成功地複製了信息加以監視。因為很多Windows組件(例如Active Directory複製)都依賴於域間的相互信任,本特性還為信任關係正確發揮作用提供了一種方法。
組策略的管理
Microsoft組策略管理控制台(GPMC)是針對組策略管理的最新解決方案,它能夠幫助您更具成本效益地管理企業。該控制台由一個新的Microsoft 管理控制台(MMC)管理單元和一組編寫腳本的組策略管理介面組成。在Windows Server 2003發布之前,GPMC將作為一個單獨的組件提供給用戶。
GPMC的目的
GPMC的設計目標在於:
· 通過為組策略的核心要素提供一個單一的管理位置,簡化組策略的管理過程。您可以將GPMC 視作管理組策略的一個“一站式的購物場所”。
· 滿足客戶就組策略部署提出的主要要求,這主要通過以下手段得以實現:
· 一個能夠讓組策略變得更易於使用的用戶界面。
·組策略對象(GPO)的備份/恢復
· GPO的導入/導出和複製/粘貼,以及Windows管理規範(WMI)過濾器。
· 基於組策略實現的、更簡單的安全性管理
· GPO設置的HTML報告
·組策略結果和組策略建模數據(以前被稱作策略結果集)的HTML報告
· 圍繞該工具內部所暴露的GPO操作編寫腳本——而不是圍繞GPO設置編寫腳本
在GPMC出現之前,管理員需要使用數個Microsoft工具來管理組策略。GPMC將這些工具所擁有的現有組策略功能以及上面所介紹的新增功能結合到了一個單一、統一的控制台中。
管理Windows 2000 和 Windows Server 2003 域
GPMC可以使用Active Directory 服務管理基於Windows 2000 和 Windows Server 2003的域。在這兩種域之中,用來運行工具並且用作管理目的的計算機必須安裝以下操作系統和組件之一:
· Windows Server 2003
· Windows XP Professional with Service Pack 1(SP1);SP1后的其它熱修補程序;以及Microsoft .NET Framework。
其它組策略特性和改進
特性 描述
重新定向默認的用戶和計算機容器 Windows Server 2003 提供的工具能夠自動將新的用戶和計算機對象重新定向到應用了組策略的指定組織單位中。
這種做法可以幫助管理員避免出現新添用戶和計算機對象出現在域的根級別的默認容器中這種情況。類似這樣的容器並不是為保存組策略鏈接而設計的,而且客戶端也不能從這些容器上讀取或應用組策略。本特性可以強迫使用這些容器的許多客戶引入域級別的組策略,而在很多情況下,這種策略是難於使用的。
實際上,Microsoft建議用戶創建一個富有邏輯層次的組織單位,並且使用它保存新近創建的用戶和計算機對象。管理員可以使用兩個新的資源工具包工具——RedirUsr 和 ReDirComp——為三個遺留的API(NetUserAdd()、NetGroupAdd()、NetJoinDomain() )指定一個備用的默認位置。這允許管理員重新將默認位置定向到更為適合的組織單位,然後直接在這些新的組織單位上應用組策略。
組策略結果 組策略結果(Group Policy Results)允許管理員確定並分析當前應用在某個特殊目標上的策略集合。通過組策略結果,管理員能夠查看目標計算機上現有的策略設置。組策略結果以前被稱作日誌模式的策略結果集(Resultant Set of Policy)。
組策略建模 組策略建模(Group Policy Modeling)意在幫助管理員規劃系統的增長和重新組織。它允許管理員挨個查看現有的策略設置、應用程序以及某個假設情境的安全性。在管理員決定必須對現有設置進行修改之後,他們可以進行一系列的測試,以查看在用戶或用戶組被移動到另一個位置、另一個安全組或者另一台計算機后,究竟會發生何種情況。這包括了在所做的修改生效之後,應該應用哪些策略設置或者自動載入哪些策略設置。
組策略建模為管理員帶來了極大的便利,因為在網路中真正實施修改之前,管理員能夠通過組策略建模對策略進行全面測試。
新的策略設置
Windows Server 2003 包括了超過150個的新的策略設置。這些策略設置為用戶定製和控制操作系統針對特定用戶組的行為提供了手段。這些新的策略設置可以影響到諸如錯誤報告、終端伺服器、網路和撥號連接、DNS、網路登錄請求、組策略以及漫遊配置文件這樣的功能。
Web 視圖管理模板 該特性加強了“組策略管理模板”擴展管理單元,用戶可以通過它查看與不同策略設置有關的詳細信息。在選擇了某個策略設置之後,有關該設置的行為的詳細信息以及該項設置應用在何處的附加信息便顯示在“管理”模板用戶界面的“Web”視圖中。此外,這些信息也可以通過每個設置的“屬性”頁面上的“解釋”選項卡進行查看。
管理DNS客戶端管理員可以在Windows Server 2003上使用組策略配置DNS客戶端設置。在調整DNS客戶端設置時——例如啟用和禁用客戶端的DNS記錄的動態註冊,在名稱解析時使用主DNS後綴以及填充DNS後綴列表等,這種做法可以大大簡化域成員的配置過程。
“我的文檔”文件夾的重定向管理員可以使用本特性將用戶從一個主目錄形式的舊有部署過渡到“我的文檔”模式,同時和現有的主目錄環境保持兼容性。
在登錄時完全安裝指派給用戶的應用程序應用程序部署編輯器(Application Deployment Editor)包含了一個新的選項,它允許一個指派給用戶的程序在用戶登錄時進行完全的安裝,而不是根據需要進行安裝。這樣,管理員便可以確保相應的應用程序能夠自動安裝在用戶的計算機上。
Netlogon 本特性能夠在基於Windows Server 2003的計算機上使用組策略配置Netlogon設置。在調整Netlogon設置(例如啟用和禁用特定於域控制器的定位DNS記錄的動態註冊,定期刷新這樣的記錄,啟用和禁用自動站點覆蓋,以及其它許多Netlogon參數)的時候,它能夠簡化配置域成員所需的步驟。
網路和撥號連接 Windows Server 2003 網路配置用戶界面可以通過組策略被特定的(有限制的)用戶所使用。
分散式事件策略 WMI 事件基礎結構經過了擴展,可以運行在一個分散式的環境之中。該項增強由數個能夠完成WMI事件的訂閱配置、篩選、關聯、彙集和傳輸的組件組成。ISV 可以利用更多的用戶介面和策略類型定義實現健康狀況監視、事件日誌、通知、自動恢復以及計費等功能。
禁用憑據管理器作為Windows Server 2003擁有的一項新功能,憑據管理器(Credential Manager)簡化了用戶憑據的管理過程。組策略允許您禁用憑據管理器。
面向軟體部署的支持URL 本特性能夠為軟體包編輯和添加一個支持URL。在應用程序出現在目標計算機上的“添加/刪除程序”中時,用戶可以通過這個支持URL前往支持頁面。本特性有助於降低支持部門所接聽支持電話的數量。
WMI 篩選 Windows管理規範(WMI)能夠收集與計算機有關的大量數據,例如硬體和軟體清單、設置、和配置信息等。WMI從註冊表、驅動程序、文件系統、Active Directory、簡單網路管理協議(SNMP)、Windows Installer服務、結構化查詢語言(SQL)、網路以及Exchange Server處收集這些信息。Windows Server 2003 中的WMI 篩選(WMI Filtering)允許您根據對WMI數據的查詢,動態地確定是否應用某個GPO。這些查詢(又稱作WMI過濾器)決定了哪些用戶和計算機能夠獲得在您用來創建過濾器的GPO中配置的策略設置。本功能讓您能夠根據本地計算機的屬性動態地應用組策略。
例如,某個GPO可能向特定組織單位中的用戶指派了Office XP。但是,管理員不能肯定是否組織中所有的舊桌面計算機都擁有足夠的硬碟空間來安裝該軟體。在這種情況下,管理員便可以結合使用WMI過濾器和GPO,只向擁有超過400MB以上剩餘硬碟空間的用戶指派Office XP。
終端伺服器管理員可以使用組策略管理用戶使用終端伺服器的方式,例如強制進行重定向,口令訪問以及牆紙設置。
在Windows Server 2003產品家族中,Active Directory已經得到了增強,具有了更多的安全特性,從而讓管理員管理多個森林和跨域信任的工作變得更輕鬆。此外,新的憑據管理器為用戶憑據和X.509證書提供了一個安全的存儲場所。
利用森林信任管理安全性
森林信任是一種新的Windows信任類型,可以對兩個森林之間的安全關係加以管理。該特性極大地簡化了跨森林的安全管理,並且允許信任森林在它信任的其它森林的安全主體名稱上應用約束,以執行身份驗證。本特性包括:
森林信任
· 通過在兩個森林的根域之間建立一條信任鏈接,新的信任類型允許一個森林中的所有域(可傳遞)地信任另一個森林中的所有域。
· 森林信任在森林級別不能跨越三個或者更多的森林進行傳遞。如果森林A 信任森林B,而且森林B 信任森林C,那麼這並不表明森林A和森林C之間能夠建立任何信任關係。
· 森林信任可以是單向的,也可以是雙向的。
信任管理
· 新的嚮導簡化了所有類型的信任鏈接的創建過程,特別是森林信任。
· 新的屬性頁允許您管理與森林信任關聯的被信任名稱空間。
被信任的名稱空間
· 受信任的名稱空間用來路由針對特定安全主體的身份驗證和授權請求,這些主體的帳戶在被信任森林中進行維護。
· 一個森林所發布的域、用戶主體名稱(UPN)、服務主體名稱(SPN)以及安全標識符(SID)的名稱空間在森林信任創建之時會被自動收集,並且可以通過“Active Directory域和信任”用戶界面得到刷新。
· 森林在受到信任后,在“先到先服務”的基礎上,它便對它所發布的名稱空間擁有了權威性,只要它們與現有森林信任關係的被信任名稱空間不發生衝突。
被信任名稱空間的相互重疊現象會自動得到預防。管理員也可以手動禁用某個被信任的名稱空間。
其它安全特性和改進
特性 描述
跨森林身份驗證當用戶帳戶屬於一個森林,而計算機帳戶屬於另一個森林時,跨森林的身份驗證能夠實現對資源的安全訪問。本特性允許用戶使用Kerberos或NTLM驗證,安全地訪問其它森林中的資源,而不必犧牲由於只需在用戶的主森林中維護一個用戶ID和口令所帶來的單點登錄和其它管理方面的好處。跨森林身份驗證包括:
名稱解析
當Kerberos和NTLM 不能在本地域控制器上解析一個主體名稱時,它們會調用全局編錄。
當全局編錄無法解析該名稱時,它將調用一個新的跨森林名稱匹配功能。
該名稱匹配功能將安全主體名稱與來自所有被信任森林的被信任名稱空間進行比較。如果找到匹配的名稱空間,它便將被信任森林的名稱作為一個路由提示返回。
請求的路由
Kerberos和NTLM使用路由提示將身份驗證請求沿著信任路徑從源域發送給可能的目標域。
對於Kerberos,密鑰頒發中心(Key Distribution Centers,KDC)會生成沿著信任路徑的引用,客戶機以標準的Kerberos方式跟蹤這些引用。
對於NTLM,域控制器使用pass-through身份驗證,沿著信任路徑穿過安全通道傳遞該請求。
受支持的身份驗證
Kerberos 和 NTLM 網路登錄,用來遠程訪問另一個森林中的伺服器。
Kerberos 和 NTLM互動式登錄,用來進行用戶主森林之外的物理登錄。
到另一個森林中的N層應用的Kerberos 委派。
完全支持用戶主體名稱(UPN)憑據
跨森林授權 跨森林授權讓管理員能夠輕鬆地從被信任森林中選擇用戶和組,以便將他們包括在本地組或者ACL之中。本特性維護了森林安全邊界的完整性,同時允許在森林之間建立信任關係。在來自被信任森林的用戶試圖訪問受保護的資源時,它能讓信任森林在它將要接受的安全標識符(SID)上施加某些約束和限制。
組成員關係和ACL管理
對象選取程序已經得到了增強,以便從被信任森林中選擇用戶或組。
名稱必須完整輸入。不支持枚舉和通配符搜索。
名稱-SID 轉換
對象選取程序和ACL編輯器使用系統API存儲組成員和ACL項目的SID,並且將其轉換回友好名稱以便於顯示。
名稱-SID轉換API得到了增強,可以使用跨森林的路由提示,並且能夠沿著信任路徑充分利用域控制器之間的 NTLM安全通道,以解析來自被信任森林的安全主體名稱或SID。
SID過濾
在授權數據從受信任森林的根域傳遞到信任森林的根域時,SID將受到過濾。信任森林僅僅接受和它信任的域有關並且接受其它森林管理的SID。其它任何SID都回被自動丟棄。
SID過濾自動應用在Kerberos和NTLM身份驗證以及名稱-SID轉換上。
交叉證書增強 Windows Server 2003客戶端的交叉證書特性已經得到了加強,它現在擁有了部門級和全局級的交叉證書能力。例如,WinLogon現在可以執行對交叉證書的查詢,並且將它們下載到“企業信任/企業存儲”中。隨著鏈條的建立,所有的交叉證書都將被下載。
IAS 和跨森林身份驗證 如果Active Directory森林處於“跨森林”模式,並且建立了雙向信任,那麼Internet身份驗證服務/遠程身份驗證撥入用戶伺服器(IAS/RADIUS)便可以通過本特性對另一個森林中的用戶進行身份驗證。這使得管理員可以輕鬆地將新的森林與森林中現有的IAS/RADIUS服務集成在一起。
憑據管理器憑據管理特性為用戶憑據(包括口令和X.509證書)的存儲提供了一個安全的場所。它還為包括漫遊用戶在內的用戶提供了連續一致的單點登錄體驗。例如,在用戶訪問公司網路內部的某個業務應用的時候,對該應用的首次嘗試需要身份驗證,用戶需要提供一個憑據。在用戶提供了該憑據之後,憑據便與被請求的應用程序建立了關聯。在用戶對該應用的後續訪問中,可以重複使用保存下來的憑據,而不會再次提示用戶提供憑據。
1、在管理任務明顯由區域劃分的環境中可以獨立設置域,如某公司的亞洲分部和歐洲分部等,可以設立域對各自獨立的資源進行統一管理。
2、特殊情況下,如果域資料庫中的對象(包括被管理的用戶、計算機、印表機等)過多,超過100萬時(對於中小型企業很難達到),需要考慮增加域。
公司由於業務等需求需要設定多個名字空間,如需要xxxx.xxx和xxxx.xx兩個名字空間,則必須建立林,該林中包含以xxxx.xxx為根域和以xxxx.xx為根域的兩棵樹。並且,需根據實際情況為這2棵樹之間確定好信任關係
1、對於域安全準則一致的域,如果需要突出其中的某些業務和組織職能,則可以為域創建組織單元(OU),而沒有必要重新創建單獨的域。比如,對一個xxxx.xxx,底下劃分為銷售、人力等部門,可以創建sales、hr等等OU。
2、在具體的OU設計中,微軟給出了地理模型、對象模型、成本中心模型等7個基本模型供參考。
站點設置的目的是控制網路產生的登錄通信量和複製通信量。
(1)登錄通信量:每次當用戶登錄網路時,Windows 2000/Windows Server 2003/Windows Server 2008都會試圖查找與用戶在同一站點的DC,產生登錄通信量。
(2)複製通信量:將目錄資料庫的變動更新到多個DC,站點將控制該通信量如何以及何時產生。
GC存儲林中每個對象的一定數量的信息,這些信息通常是被頻繁查詢或者搜索的屬性,當用戶在域外查找對象時,使用GC可以避免調用目的地的DC,從而加快查詢速度和減少網路流量。建議,每個site都配備一個GC。
DC的設計與用戶的數量有很大關係,如下表所示:
1、儘可能使用與AD集成的DNS,為客戶端登錄尋找DC、DC間尋找提供定位服務。
2、DNS伺服器應支持SRV資源記錄外,並建議DNS伺服器提供對DNS的動態升級。DNS動態升級定義了一個DNS伺服器自動升級的協議,如果沒有此協議,管理員不得不手動配置域控制器產生的新的記錄。
在Windows 2000的原有基礎之上,Windows Server 2003中的Active Directory將重心放在了管理工作的簡化、通用性以及無可匹敵的可靠性上面。和以往相比,Active Directory已經成為了構建企業網路的堅實基礎,因為它可以:
· 充分利用現有投資,以及對目錄進行合併管理。
· 擴展管理控制的範圍,減少冗餘的管理工作。
· 簡化遠程集成,更有效地使用網路資源。
· 為基於目錄的應用提供了一個強大、可靠的開發和部署環境。
· 降低TCO並且改善IT資源的利用效率
活動目錄分為目錄和目錄服務兩部分
活動目錄
控制面板——網路和共享中心——文件共享 點啟用
停止—— Print Spooler
啟動類型:停止
控制面板——添加印表機
添加網路、無線或Bluetooth印表機(W)——選擇要共享的印表機
連接印表機的那台電腦的賬戶要設置密碼啊,默認的administrator沒有密碼可不行哦,防火牆要關的哈,印表機要設置為共享
常見的一個問題是:對於那些並不關心活動目錄安全的用戶來說,應該如何去實施強化活動目錄密碼?毫無疑問,在廣泛尋求利用不義之財的威脅中,弱活動目錄密碼是最大的漏洞之一。不幸的是,管理人員或其他員工設置的活動目錄密碼策略往往讓許多人陷入困境。
查看Active Directory中一些長期存在的活動目錄組策略對象(Group Policy Objects),很多人的活動目錄設置都有問題。他們認為活動目錄設置越嚴格越好,但情況並不總是這樣。
對於在IT行業工作了幾年的人來說,每個月設置活動目錄複雜密碼的工作量並不大。歸根到底,我們(通常)知道如何創建牢固的活動目錄密碼並且常常使用活動目錄密碼管理器來保持活動目錄的強度。將我們自己的活動目錄個性設置強加給用戶,這樣的活動目錄策略都是很荒謬的。最根本的問題是我們很容易認為用戶知道該做什麼並且放任他們去做,或者認為他們只能自己處理,畢竟這跟安全有關。
許多跟我交談過的用戶無法領悟有關如何創建複雜活動目錄口令培訓的第二重意義。沒人會教給他們設置活動目錄超級容易記住的口令,並且不需要每隔6-12個月進行更改活動目錄。Active Directory活動目錄密碼策略設置和活動目錄培訓往往是後期才會想到的,因為許多人認為在活動目錄基礎之上需要更多的安全策略。我一直認為這不符合真實性並且越來越多的研究支持這一活動目錄理論。。
當你努力讓你的企業活動目錄密碼更有彈性時,注意不要只關注域活動目錄密碼。Windows環境里還有其他值得關注的重要活動目錄系統,這些系統往往沒有強密碼活動目錄策略,
最後,活動目錄密碼標準和策略應該全面標準化和策略化的應用。Windows Server或非Windows Server,所設置的較弱活動目錄密碼會在你的活動目錄網路環境中製造麻煩。要制定出更好的活動目錄密碼。首先,確定風險在哪裡,你可能已經知道了活動目錄弱點在哪裡,因此不必要執行正式的評估或審計。如果不是,你可以使用常用的活動目錄漏洞掃描工具。
一旦決定你的活動目錄密碼標準,立刻調整活動目錄標準和活動目錄部署策略,使其能夠正確按照你的想法來完成工作。最後,記住,在你的密碼活動目錄標準和活動目錄策略的制定完成前,如果開始創建規則外的某個組成員和整個企業系統,那就是麻煩接踵而來的時刻。
活動目錄考慮你是否需要活動目錄環境的向後兼容性。假設你決定創建一個新的Windows Server 2012 R2域控制器活動目錄森林,並且將森林和域控制器功能級別設置在Windows Server 2012 R2級別。這樣做的話將無法在森林中加入舊版本的域控制器。在全新部署時可能不是一個大問題,但最終會需要處理功能級別問題。
活動目錄在微軟發布Windows Server 2016之後,不得不提高活動目錄功能級別以便使用新的活動目錄功能。在此之前,活動目錄組織將不得不升級域或者森林中的域控制器功能級別。活動目錄域中同時包含Windows Server 2012 R2和Windows Server 2016域控制器是沒有問題的,但是你將無法升級功能級別並且使用新的功能,直到所有遺留的域控制器得倒升級、替換或者退休。
活動目錄還要考慮升級到更高功能級別後的好處。活動目錄引入了大量的新功能是可以通過Windows 2000域控制器使用的。所以活動目錄升級功能級別又有了新動力。
活動目錄最近幾個版本引入了相對較少的改進,活動目錄功能級別並不像以前那樣重要了。但這一活動目錄趨勢可能在下一個Windows Server版本中發生逆轉。
為活動目錄的域和森林設置功能級別以便與最早的IT人員需要支持的域控制器版本相匹配。如果你所有的域控制器運行的是現代Windows版本,活動目錄使用較低的功能級別並沒有什麼優勢。
活動目錄的備份和恢複選項
活動目錄備份工具支持使用不同的備份方法對數據進行保護,如正常、複製、增量、微分或每日備份。然而,活動目錄具有特定的備份需求,活動目錄需要一個“標準的”備份類型。
活動目錄需要用戶精心策劃,因為活動目錄不是一個單一的文件或文件夾,活動目錄是伺服器上的數據集合。活動目錄包括系統啟動文件、系統註冊表文件、組件對象模型類註冊資料庫、覆蓋組策略和腳本的系統卷數據,以及所有的活動目錄資料庫組件。綜上所述,這些元素構成了活動目錄域控制器的“系統狀態”。
後來版本的Windows Server,如2008 R2,能夠備份關鍵卷,活動目錄備份所有包含狀態文件的卷。活動目錄包括卷與引導文件、Windows操作系統和註冊表、SYSVOL、AD資料庫或AD日誌文件。除了活動目錄備份系統狀態或關鍵卷,活動目錄管理員也可以選擇執行一個完整的伺服器備份,活動目錄備份包括一個完整的圖像,活動目錄有便於伺服器支持其他企業服務。
活動目錄恢復有多個備選方案。活動目錄最明顯的選擇是完全恢復——充分利用伺服器備份執行域控制器裸機恢復,或活動目錄使用系統狀態備份恢復早期活動目錄系統狀態。活動目錄管理員也可以決定恢復是否授權或非授權。活動目錄對於非授權恢復,活動目錄的恢復域控制器將自動查詢並同步其他域控制器副本來確保恢復結果能夠反映最新的活動目錄狀態。活動目錄對於授權恢復,活動目錄恢復的域控制器被認為是最新版本,活動目錄將恢復伺服器複製到其他域控制器。
活動目錄回收站在Windows Server 2008 R2及以後的版本提供,活動目錄保留數據對象並且允許快速恢復已刪除的數據,活動目錄不需要特意從備份進行恢復。
活動目錄並不是新的事物,活動目錄早在Windows 2000 Server中就被引入了,活動目錄是Windows Server OS中的一個主要產品。一些企業已經使用活動目錄 長達15年甚至更久。隨著活動目錄資料庫老化,活動目錄系統會在局部刪除用戶賬號、安裝應用程序失敗或者其他管理上的失誤后積累亂七八糟的東西,以及出現崩潰現象。
Windows Server OS中自帶的活動目錄管理工具可以顯示這些雜亂和崩潰信息,不過這些活動目錄工具不能從活動目錄中刪除不想要的數據。這可能是因為擔心相關聯對象的斷鏈,亦或是內部為了保護活動目錄資料庫所採取的的措施,以防止潛在的活動目錄毀滅性的管理操作。
資料庫的清理
活動目錄資料庫創建一個備份非常重要。如果使用不正確,可以摧毀整個Active Directory。
活動目錄存儲用戶身份,活動目錄管理訪問控制列表,活動目錄執行政策和監控應用程序配置。活動目錄有廣泛的商業使用,因為活動目錄是所有的微軟應用程序的關鍵。
活動目錄能夠很好地與其他Windows產品協同工作。單點登錄功能意味著用戶登錄一次就可獲得支持活動目錄的應用的許可。
活動目錄服務產品還更好地集成了活動目錄第三方工具。因為微軟的活動目錄服務是很早就出現的功能,能夠與更多的管理工具集成。