https://zh.wikipedia.org/wiki/Active_Directory
它處理在組織中的網路物件,物件可以是使用者,群組,電腦,網域控制站,信件,設定檔,組織單元,樹系等等,只要是在Active Directory結構定義檔(schema)中定義的物件,就可以儲存在Active Directory資料檔中,並利用Active Directory Service Interface來存取,實際上,許多Active Directory的管理工具都是利用這個介面來呼叫並使用Active Directory的資料。
Active Directory的最小儲存單元為物件(object),每個物件均有自己的schema屬性,可以儲存不同的資料,像是使用者、群組、電腦、信箱或其他的基本物件等。
一個AD網域底下的基本物件,有:
- Domain Controllers,儲存網域所屬的網域控制站(簡稱裝置內容、域控)。
- Computers,儲存加入網域的電腦物件。
- Builtin,儲存內建的帳戶群組。
- Users,儲存AD中的使用者物件。
樹系與多網域
若組織的網路環境相當龐大與複雜時,網域可能會有許多個,在AD之中,網域可以有一個或多個,而一個大型公司可能會利用分公司或是辦公室的方式來組織網域物件,如此一來,在AD中會有數個網域
例如一間公司可能有業務部門,工程部門與管理部門,那麼若要以部門來建立網域時,則可以如此建立(如右圖):
- acme.com.tw:根網域。
- sales.acme.com.tw:業務部門。
- engineering.acme.com.tw:工程部門。
- admin.acme.com.tw:管理部門。
- software.engineering.acme.com.tw:軟體部門的網域。
- hardware.engineering.acme.com.tw:硬體部門的網域。
森林Forest
在多個網域的環境下,可能在不同的網域之間會需要交換與共享資料,像是組態設定、使用者帳戶與群組原則設定等,在這個時候需要有一個角色來做為不同網域間的資訊交換角色,同時又必須要符合AD樹狀結構的規範,因此微軟在多網域之間建立了一個中介用的角色,稱為森林(Forest),一個組織中最多只能有一個Forest,在Forest下則是各自的網域樹系,而在Forest下的網域或網域樹系間,可以共享資訊。
實體結構 ( Global Catalog、Operation Masters、Site、DNS 、實體儲存、唯讀網域控制站 )
導讀:在以往的Windows NT網域環境中,網域的實體結構分為三種角色,即主要網域控制站(Primary Domain Controller, P裝置內容)、備份網域控制站(Backup Domain Controller, B裝置內容)以及成員伺服器(Member Server)三種,網域的資料都儲存在P裝置內容和B裝置內容中,並且在P裝置內容和B裝置內容間交換資料,但P裝置內容和B裝置內容的部署方式並不方便(一個網域只能有一個P裝置內容),在不同的地理環境中也不能設置P裝置內容,而且所有網域的查詢都會被導向P裝置內容,如此很容易造成網域登入和存取的塞車情況,這個問題在Active Directory中已獲得改善,即不再有B裝置內容(只有裝置內容和Member Server兩種角色),在網域中的任何一台網域控制站都可以負責處理來自用戶端的網域查詢,如此在分散部署上會具有相當的彈性。
Global Catalog (全域目錄,簡稱GC)
在AD的實體結構中,最重要的角色非Global Catalog[1](全域目錄,簡稱GC)莫屬,它儲存了最完整的Active Directory的結構資料,也是以目錄為主(directory-enabled)的應用程式對AD的查詢的主要標的,而通常在不同的地理位置(例如在中國大陸、台灣、美國和英國各有分公司,且各有網域)時,GC扮演了重要的快取結構角色,若台灣的員工出差到英國分公司,並試圖登入網域時,Windows會先搜尋最近的Global Catalog Server(由DNS設定提供),若找不到時,才會連結到其他地區的GC,但若分公司的網路很慢時,這種跨地理位置的AD資料存取會直接影響到登入的時間,因此謹慎的GC的布署對AD的推行是很重要的。
