Home >> Blog >> ad - active directory 微軟的活動目錄簡介

ad - active directory 微軟的活動目錄簡介

Active Directory (AD) 是 Microsoft針對 Windows 域網絡的目錄和身份管理服務。它是在 Windows 2000 中引入的,包含在大多數 MS Windows Server 操作系統中,並被各種 Microsoft 解決方案(如 Exchange Server 和 SharePoint Server)以及第三方應用程序和服務使用。

AD 由許多不同的目錄服務組成,包括:

  • Active Directory 域服務 (AD DS) – 用於管理用戶和資源的核心 Active Directory 服務。
  • Active Directory 輕型目錄服務 (AD LDS) – AD DS 的低開銷版本,適用於啟用目錄的應用程序。
  • Active Directory 證書服務( AD CS ) – 用於頒發和管理數字安全證書。
  • Active Directory 聯合服務 ( AD FS ) – 用於在組織和企業之間共享身份和訪問管理信息。
  • Active Directory 權限管理服務 ( AD RMS ) – 用於信息權限管理(控制對文檔、工作簿、演示文稿等的訪問權限)

基本的 AD 特性和功能包括:

  • 定義目錄中包含的對象和屬性的類的模式。
  • 包含目錄中每個對象的詳細信息的全局目錄。
  • 一種查詢和索引機制,允許用戶、管理員和應用程序有效地查找目錄信息。
  • 一種通過網絡傳播目錄數據的複制服務。

Active Directory 架構支持各種類型的對象,如用戶、組、聯繫人、計算機、共享文件夾、打印機和組織單位,以及每個對象的一組描述性屬性。例如,用戶對象屬性包括用戶姓名、地址和電話號碼等信息。

Active Directory 使用其他安全和網絡協議,包括 LDAP(輕量級目錄訪問協議)、DNS(域名系統)和 Microsoft 版本的 Kerberos 身份驗證協議。

AD 域服務概述

Active Directory 域服務是主要的 Active Directory 服務。它用於對用戶進行身份驗證和控制對網絡資源的訪問。運行 AD DS 的服務器稱為域控制器。大多數 Windows 域網絡都有兩個或多個域控制器;一個主域控制器和一個或多個備份域控制器以實現彈性。在登錄期間,用戶向域控制器進行身份驗證,並根據管理定義的策略被授予對特定資源的訪問權限。

廣告數據結構

Active Directory 在由域、樹和林組成的層次結構中存儲有關網絡用戶(姓名、電話號碼、密碼等)和資源(服務器、存儲卷、打印機等)的信息。

  • 域是共享同一個 Active Directory 數據庫的對象(例如用戶、設備)的集合。域由諸如 company.com 之類的 DNS 名稱標識。
  • 樹是一個或多個具有連續命名空間的域的集合(它們有一個共同的 DNS 根名稱,如 marketing.company.com、engineering.company.com 和 sales.company.com)。
  • 林是一個或多個樹的集合,它們共享一個公共架構、全局目錄和目錄配置,但不屬於連續命名空間。森林通常用作企業網絡的安全邊界。

域內的對象可以分組到組織單元 (OU) 中,以簡化管理和策略管理。管理員可以創建任意組織單位來反映功能、地理或業務結構,然後將組策略應用於 OU 以簡化管理。OU 還可以更輕鬆地將資源控制權委託給各種管理員。

Active Directory 提供了多種功能和業務優勢,包括:

  • 安全性——Active Directory 通過控制對網絡資源的訪問來幫助企業提高安全性。
  • 可擴展性——公司可以輕鬆組織 Active Directory 數據以符合其組織結構和業務需求。
  • 簡單——管理員可以集中管理整個企業的用戶身份和訪問權限,幫助企業簡化管理並降低運營費用。
  • 彈性——Active Directory 支持冗餘組件和數據複製,以實現高可用性和業務連續性。

與 Azure Active Directory 的關係

Azure Active Directory 是 Microsoft 的下一代基於雲的身份管理解決方案,用於控制對 Microsoft 365 (Office 365) 等 SaaS 解決方案、在 Azure 上運行的內部開發的雲應用程序以及傳統企業應用程序和其他本地資源的訪問. 它增加了對即時訪問控制、多因素身份驗證和無密碼技術、本地移動設備管理以及SAML和 Oauth2 等身份聯合標準的支持,以及其他功能。

CyberArk Identity 與 Active Directory 和 Azure AD 集成,使您能夠為存儲在這些目錄中的用戶提供單點登錄、多重身份驗證和生命週期管理功能。

vpc

rocket

domain

ds

it