什麼是Active Directory？概念、運作方式

Active Directory 是 Microsoft Windows Server 作業系統的目錄服務。Active Directory 由資料庫和服務組成。

Active Directory 是網路上資源資訊的資料庫，例如電腦、使用者、共用資料夾和印表機。它也是一項服務，可將此資訊提供給使用者和應用程式。

Active Directory 提供企業級目錄服務所需的基本功能，包括可延伸的資訊來源、目錄物件的命名慣例、一組通用原則，以及從單一存取點管理服務的工具。管理員可以設定 Active Directory 來控制使用者和應用程式對網路資源的存取。

運作方式

Active Directory 的基本元素是物件。物件可以代表網路上的使用者、電腦、印表機、應用程式、檔案或其他資源。Active Directory 物件具有屬性，也就是其屬性。例如，某些使用者屬性可能包括名字、姓氏、電子郵件地址和電話號碼。某些屬性必須具有強制值，而其他屬性則可以保留未定義值。印表機的屬性可能包括印表機的位置、用於記帳目的的印表機資產號碼、印表機類型等等。

特殊類型的 Active Directory 物件是組織單位 （OU）。OU 是一種可以包含其他物件的物件類型。OU 可以包含特定物件，例如使用者或應用程式，也可以包含另一個 OU。使用 OU，您可以根據國際電信聯盟 （ITU） 的 X.500 目錄建議，將 Active Directory 組織成網路資訊的階層式目錄。您可以指派使用者對 OU 子樹的權限，以進行管理和資源存取。

組織單位包含在網域內，這是 Active Directory 的基本安全性和組織結構。Active Directory 中的每個物件都必須屬於網域。網域通常會反映企業的組織結構，並作為企業中的安全性界限。例如，在一個網域中授與的權限不會自動轉移到另一個網域。可以使用雙向可轉移信任將網域聯結成稱為網域樹的較大結構，而且這些樹狀結構可以分組到大型企業的網域樹系中。

自由存取控制清單 （DACL） 和系統存取控制清單 （SACL） 會保護 Active Directory 物件。DACL 和 SACL 會指定哪個使用者或應用程式有權存取目錄物件的屬性，並以類似於 Windows NT 4.0 中使用的 NTFS 版本中實作的存取控制清單 （ACL） 的方式運作。DACL 和 SACL 可用來將其許可權傳播至連線的目錄物件。它們也為系統管理員提供一種簡單的方法，將 Active Directory 的存取權和使用權限授與使用者和群組。

Active Directory 有一組規則，可控管哪些物件可以儲存在目錄中，以及這些物件可以擁有哪些屬性。這組規則稱為結構描述。

Active Directory 中的資訊會針對網路上的每個網域進行維護。Active Directory 資料庫資訊會儲存和維護在稱為網域控制站的機器上。此資訊會在網域控制站之間自動複寫，以確保分散式目錄的每個部分都是最新的。根據預設，更新複寫至 Active Directory 會每五分鐘自動進行一次。Active Directory 資訊的自動複寫只會在特定網域的安全性界限內發生。一個網域中的網域控制站不會自動複寫與另一個網域中的網域控制站。

Active Directory 為網路管理員提供網路上資源的所有相關資訊的集中管理，並為使用者和管理員提供進階搜尋功能，以尋找網路上的資源。

儲存在 Active Directory 中的物件的預設命名慣例是物件的 Active Directory 標準名稱。這會從左到右定義物件在網域樹狀結構中的位置，從物件的名稱開始，並以斜線分隔。舉例來說，northwind.microsoft.com 網域行銷機構單位中的使用者帳戶 MSmith 會具有 Active Directory 標準名稱：

msmith\users\marketing\northwind.microsoft.com

Active Directory 支援非 DNS 命名慣例，以實現與非 DNS 環境的互通性。例如輕量型目錄存取通訊協定 （LDAP） 命名慣例。LDAP URL 由伺服器名稱組成，並附加物件的辨別名稱。

其他命名慣例包括下列各項：

使用者主體名稱：

此慣例包含使用者的安全性帳戶管理員 （SAM） 帳戶名稱，並附加物件的使用者主體名稱尾碼。使用者主體名稱尾碼是網域樹狀結構的名稱，或網域樹狀結構中物件上方的網域名稱。

徵求意見 （RFC） 編號 822 姓名：

此命名慣例基本上是使用者的電子郵件地址。

通用命名約定 （UNC）：

此慣例可用於共用資源。

在企業中實作 Active Directory 之前

在企業中實作 Active Directory 之前，您必須收集組織結構的相關資訊，因為 Active Directory 通常會以某種方式鏡像此結構。

一個好的方法是使用集中規劃方法，由技術和管理代表組成的團隊。您必須制定命名策略、規劃網域結構，並考慮如何委派與 Active Directory 相關的系統管理職責。

當您將系統管理控制委派給 Active Directory 時，請在 OU 層級執行此操作，而不是在個別物件層級執行此操作。這可讓您更輕鬆地控制 Active Directory 內 OU 階層的各個部分。特別是，您可能想要將控制權委派給負責建立使用者、群組、電腦和類似物件的個人。

考慮速度

請考慮不同地理位置之間各種連結的速度，以及如何將任何無法與 Active Directory 互通的系統整合到新系統中。

您也應該分析您的使用者社群，以決定您要實作的網域階層類型。此外，請考慮將網域名稱系統 （DNS） 區域資訊整合到 Active Directory 中，因為這會將您的 DNS 區域資訊儲存在分散式 Active Directory 中。

此外，它將通過域控制器的複寫來促進和簡化區域信息的更新。

網域控制站的位置

重要的規劃問題是判斷企業的網域控制站和通用類別目錄伺服器的位置。這是因為在安裝和設定 Active Directory 之後，大部分的 Active Directory 流量都與查詢 Active Directory 以取得資訊的 Active Directory 用戶端有關。

目錄複寫流量通常是一個不太重要的考慮因素，除非組織處於持續不斷的流動狀態。在每個站台放置域控制器會優化查詢，但可能會增加複寫流量。不過，將網域控制站放在該網域中有使用者的站點上，通常是最佳解決方案。

如果網域樹狀結構很大，您不應該在每個月臺放置通用類別目錄伺服器，因為這可能會建立大量複寫流量。只將通用類別目錄伺服器放在大型區域月臺上。

請記住，複寫對 Active Directory 所做的修改可能需要一些時間才能在整個企業中傳播。例如，如果您建立新的使用者帳戶物件，使用者可能需要幾分鐘的時間才能使用該帳戶實際登入網路。