活动目录AD域

# 网络管理模型

Windows的网络管理模型有两种工作组(WorkGroup)和域(Domain)，工作组更适合小型网络环境，其中对集中管理的要求较少。而域提供了更大规模、更集中化的网络管理解决方案，适用于大型组织。默认情况下Windows系统使用工作组环境。

# 工作组介绍

工作组是一种较小规模的网络模型，通常用于小型网络环境。在工作组中，每台计算机都是独立的，没有集中式的控制。每台计算机都维护自己的用户帐户和安全性设置。

每个计算机都有自己的本地用户帐户数据库，用户需要在每台计算机上单独进行身份验证。权限授权是基于每台计算机上的本地用户帐户。

每台计算机都需要单独配置和管理。组策略以及资源共享都需要在每台计算机上分别进行设置。

# 域介绍

域是一种适用于大型组织的网络模型。在域中，所有计算机和资源都由集中的域控制器进行管理。用户帐户和其他对象的信息存储在Active Directory数据库中。

用户可以在任何域成员计算机上使用他们在域中的帐户登录。身份验证通过域控制器(活动目录)完成，而授权则是基于在整个域中定义的策略和权限。

域的两个重要特性：

域是一个安全边界：在管理员给一个用户分配管理权限时，该用户的权限只仅限用户所在域，即便是子域，也只有读取权限(因为信任关系)，而没有修改权限。

即便是父域中属于admins组的用户，也是只能读取而不能修改子域中的对象信息。父域的administrator账号除外，这是最高权限账号，能够修改其子域的对象信息。
域是一个复制单元，一个域中，无论有多少个DC，所有DC的活动目录都是相互同步的。

# AD域相关概念

# 活动目录

**活动目录(Active Directory，简称AD)**是由微软所提供的一种用于网络管理的目录服务。它用于在域环境中进行身份验证并根据其权限提供访问控制。活动目录还提供了一种层次结构化的数据库，能够存储域中的所有资源对象，例如用户帐户、用户组、计算机、打印机、文件共享、安全策略等。

它允许管理员集中管理网络中的用户、计算机、组策略等信息，以简化管理任务提高维护效率。他还提供复制服务，确保网络的不同部分之间保持一致的目录信息，以提高性能和容错性。

通过使用活动目录，管理员可以集中管理用户、计算机和其他对象，资源也可以在整个域中进行统一的管理和共享，访问权限以及组策略可以在整个域中统一配置。这在大型企业网络中特别重要，因为它提供了集中式的用户和资源管理。

# 域控制器

域控制器(Domain Controller，简称DC)，是Windows Server中的一种服务器角色，域控制器是运行活动目录服务的服务器，部署了AD域服务的服务器可以升级为域控制器。它用于管理网络中的所有客户端(用户帐户、计算机、打印机等)资源，并提供对这些资源的集中控制。每个域控制器上都包含活动目录数据库。

当存在多个网域控制器时，会有一个DC充当主域控制器(PDC)，其他则是备份域控制器(BDC)。它们之间进行复制和同步，以确保Active Directory数据库的一致性。确保用户和其他对象的信息在整个网络中都是最新的。

# 对象与属性

AD域内的资源是以对象的形式存在，例如用户、计算机都是对象。对象本身是一些属性的集合。

例如，为用户新建一个账户，同等于新建一个对象类型(object class) 为用户的对象，而对象内的姓名、登录账户、地址等，就是对象的属性。

# 容器与组织单元

容器与对象相似，也是一些属性的集合，不过容器可以包含其他对象，也可以包含其他容器。

而组织单元(OU)是一个比较特殊的容器，除了可以包含其他对象与组织单元外，还可以应用组策略(group policy) 功能。

OU有以下特点：

OU能有效的组织域中对象，使域组织更加有条理。
在公司中可以使用OU根据部门或者业务对各对象进行分类。
OU中还可以嵌套OU。
可以针对OU进行权限的委派，实现分散式管理。
在OU上可以捆绑组策略，这样使组策略的管理更加细化。

# 域树

域树由一个或多个域组成，这些域通过双向的域之间的信任关系相互连接。在一个域树中，第一个创建的域被称为根域(Root Domain)，在树中每个域都有一个父域(除了根域)，并且可以有一个或多个子域。

域树符合DNS域名空间的命名规则，而且具有连续性，也就是子域的域名中包含父域的域名。如子域test1.default.local中包含父域default.local 。

例如有如下域：default.com、test1.default.com、test2.default.com，其中default.com就是域树的根域，test1.default.com、test2.default.com就是子域。

# 林

在活动目录中，林(Forest)表示一个或多个域树（域的集合）。一个林可以包含一个或多个域树，林中有多少个根域就有多少个域树，这些域树之间建立了信任关系，共享一个共同的目录架构、全局目录树以及全局安全策略。

林的根域：在林中创建的第一个域为林的根域。且在林的根域中有两个预定义的组：Enterprise Admins，Schema Admins。

Enterprise Admins：可以对活动目录中整个林作修改，例如添加子域。
Schema Admins：可以对活动目录中整个林作架构修改。

在小型网络中，可能一个域就足够了。但在大型企业或组织中，组织可能根据不同的业务、部门、地理位置、安全性需求等划分成不同的多个域，此时引入林的概念可以使得活动目录能够适应大型复杂的组织结构。

林的主要特点和作用包括：

共享目录信息： 林范围内的域可以共享一些相同的目录信息，包括用户帐户、组、计算机、安全策略等。这使得用户可以在整个林中进行身份验证、访问共享的资源、全局的安全设置。
信任关系： 在林的边界上，域之间建立了信任关系。这些信任关系允许用户在一个域中使用其凭据访问另一个域中的资源。
统一的目录架构： 林中的所有域共享相同的目录架构，这样可以更方便地管理和维护目录信息。
单一全球编录名(Global Catalog)： 全球编录名保存了林范围内所有域的部分目录信息(每个域的用户帐户、组、计算机等对象的一部分副本)，以支持全局查询。

# 全局编录

全局编录(Global Catalog，简称GC)，全局编录可以让用户快速搜索到其他域内的资源，一个林内的所有域树共享相同的全局编录。**默认情况下，第一个DC域控制器会自动成为GC全球编录服务器。**全局编录使用户即便不知道对象在哪个域，也可以快速的找到所需的对象。当查找范围是整个目录时，就会使用GC对整个林的域进行查找。

全局编录的数据存储在域控制器内，这台域控制器被称为全局编录服务器，它存储着林内所有域的AD数据库内的每一个对象，不过只存储对象的仅供搜索使用的常用属性，电话号码，登录账户名称等。

# 域的信任

两个域之间必须拥有信任关系，才可以访问对方域内的资源。任何一个新的AD域被加入到林后，这个域会自动信任上层的父域，同时父域也会自动信任此新子域。

域A的用户需要域B信任域A，才能访问域B的资源。同时信任关系具备双向传递性，域A如果与域B相互信任，同时域A又与域C相互信任，结果就是域B和域C也会相互信任。

因此当任何一个新域加入林后，他就会自动双向信任这个林内的所有域。因此用户只需要有适当权限，便可以访问其他域内的资源。

# 目录架构

目录架构(Directory Schema)指在活动目录中定义对象结构和属性的规范。它定义了在目录中可以存储哪些类型的对象、对象的属性是什么以及这些属性的数据类型和约束。目录架构直接影响了目录中存储的信息和如何进行查询。

关键的概念包括：

对象类型： 目录架构定义了在目录中可以存在的不同类型的对象，例如用户帐户、组、计算机等。
属性： 它规定了每个对象类型可以包含的属性，每个属性都有其数据类型和可能的值的限制。例如，用户帐户对象可能包含属性如姓名、电子邮件地址、密码等。
类和子类： 目录架构中定义了类和子类的概念，使得对象可以按照类别进行组织。例如，用户帐户和计算机可以属于不同的类别。
继承： 对象可以从其父类继承属性。这有助于简化目录的管理和维护。
约束和验证规则： 目录架构还定义了关于属性值的约束和验证规则，确保数据的完整性和一致性。
全球编录： 在目录架构中，有一组被称为精简属性集(Partial Attribute Set)的属性，它们被复制到全球编录名中，以支持全局查询。

# 站点

在活动目录中，站点是用于定义网络拓扑结构的逻辑概念。站点表示网络中的物理位置，通常基于网络拓扑、网络连接速度和其他因素进行划分。站点的主要目的是优化域控制器和客户端之间的通信，以提高性能和效率。

以下是站点的一些重要概念和用途：

物理位置划分： 站点通常根据物理位置划分，例如不同的办公地点、不同的数据中心或者不同的网络区域。
子网关联： 每个站点通常与一个或多个子网关联。这有助于确定哪些计算机属于哪个站点，并优化站点内部和站点之间的通信。
域控制器部署： 站点在域控制器的部署中起着重要作用。通常，每个站点至少部署一个域控制器，以提供本地的身份验证和域服务。
站点链路： 站点之间的通信是通过站点链路进行的。站点链路定义了站点之间的连接，并指定了通信的优先级和可用性。
复制优化： 站点配置有助于优化域控制器之间的复制流量。可以确保复制操作在较快的网络上进行。
服务位置： 一些服务在进行身份验证和资源访问时会根据站点信息，优先使用最近的域控制器或服务实例。

站点的设计和配置对于活动目录的性能和可靠性至关重要。通过合理划分和配置站点，可以确保域控制器和客户端之间的通信是高效、可靠和低延迟的，从而提高整个网络的性能和用户体验。

例如：广州和上海各有一台DC服务器，如果没有配置站点，在登录时就会随机选择一台DC服务器进行身份验证，可能出现我在广州，明明广州有DC服务器，但还是访问了上海的DC服务器，导致性能有损耗。而使用站点后，就可以自动根据网络链路最好的DC进行身份验证。

# LDAP协议

LDAP协议即轻型目录访问协议(Lightweight Directory Access Protocol)，它是用于在网络上访问和维护分布式目录信息服务的协议。

AD域就是一种LDAP协议的实现，通过LDAP，客户端可以与AD域进行通信，进行身份验证、查询目录信息、修改对象属性等操作。

# AD域操作

# Windows Server部署AD域服务

# 1.安装AD域服务

Windows Server服务器管理器中，添加角色和功能，勾选Active Directory 域服务，然后安装即可。

# 2.打开配置向导

服务器管理器中右上角单击图中选项，打开AD域配置向导进行配置。

# 3.添加新林

因为是第一个域，所以我们需要添加新林进行创建，输入根域名，例如：example.cn、example.local等，生产环境推荐和公网保持一致，此处仅测试所有用.local。

如果域名保持和公网保持一致，则需要在公司内部DNS服务上添加外网DNS服务一样的记录，才能使公司内部能够像在公司外部一样访问域名解析对应的主机。否则公网DNS有的记录，公司内部DNS没有，就会导致公司内部无法正常解析缺少的记录。

如果域名不和公网保持一致，则使用某些服务时，例如SMTP邮箱服务等，就需要手动的修改域名为公网域名。

# 4.域控制器选项

选择新林和根域的功能级别：林功能级别表示林中的域的最低服务器版本，域功能级别表示该域及其子域的最低服务器版本。

指定控制器功能：

域名系统服务器：如果当前服务器没有安装域名服务则可选，勾选则会在当前服务器安装DNS服务。所以升级DC前可以不用事先安装域名服务。
全局编录：如果不是林中的第一个域则可选，林中第一个域一般作为默认全局编录。

设置目录服务还原模式(DSRM)密码：DSRM允许管理员用来修复、还原或重建活动目录(Active Directory)数据库。开机时一直按F12打开高级启动选项，其中就有目录服务修复模式。

# 5.指定DNS委派

如果DNS不需要委派则直接跳过就行，需要则指定。

# 6.设置NetBIOS域名

NetBIOS域名将用于确保唯一标识用户所属的域。例如登录认证时用户名格式通常为：NetBIOSDomainName\username。

PS：注意域账号登录是使用反斜杠作为域名和用户名的分隔。

尽管现代网络更倾向于使用DNS作为主要的域名标识机制，但NetBIOS域名仍然是活动目录中的重要组成部分，为向后兼容性和支持传统的Windows功能提供了必要的支持。在大多数情况下，NetBIOS域名和DNS域名都会相互映射，但它们可以不完全相同。

# 7.一直下一步到安装

一直下一步到安装，安装完后自动重启即可。

# 客户端加入域

客户端加入域首先需要管理员在DC上添加域用户，然后客户端再使用域账号加入域。在加入域之前，我们需要确保以下：

确保客户端可以与域控制器进行网络通信。确保域控制器的DNS设置正确，以便客户端能够正确解析域名。确保客户端计算机的计算机名称唯一、且符合域的命名规范。

# 加入域步骤：

# 服务端

在DC服务器中打开"Active Directory用户与计算机"工具，然后展开域名，在自建的IT部门的**组织单元(OU)**下新建用户对象。

输入姓名、用户名、密码后下一步即可。

# 客户端

1.打开"控制面板\系统和安全\系统"，单击"高级系统设置"打开系统属性。

2.在计算机名选项卡下单击"更改"，然后选择域，并输入域名，然后单击确认。

3.单击确认后，在弹出来的凭证验证页面，输入DC中添加的域账号和密码，验证成功后重启，然后用域账号登录即可。

一旦完成这些步骤，计算机就会成为活动目录域的一部分。

Windows会缓存最近一次的域用户登录信息，即使域服务器当前不可用，用户仍然可以使用之前缓存的凭据进行临时性的本地登录。如果域服务器长时间关机或无法访问，用户将无法登录到域账号。缓存的时间取决于系统策略和组策略设置。

# 子域服务器部署

在添加子域之前，我们需要确保以下：

子域服务器需要与父域服务器网络相通。子域服务器的计算机名称唯一、且符合域的命名规范。

我们先在子域服务器中，使用父域的Administrator用户加入父域，然后重启。

加入后，子域服务器会作为资源被添加到活动目录的Computers组织单元中。

2.子域服务器重启后，使用"父域域名\Administrator"账号登录计算机，然后安装AD域服务。

3.将服务器升级为域控制器，选择部署操作时，选择将新域添加到现有林，然后选择子域，然后选择父域名，输入子域名即可。其他流程参考上面部署AD域服务，部署完重启即可。

4.重启后就可以使用子域账号进行登录。

创建子域后，子域服务器仍然可以登录父域，因为它们有信任关系。

# 父域管理子域

第一种方式：

我们可以在父域的"Active Directory域和信任关系"中，展开域名，然后右击需要管理的子域，单击"管理"，就可以打开对应子域的活动目录进行管理。

第二种方式：

打开"Active Directory用户和计算机"，然后右击根元素，选择"更改域"或"更改域控制器"都可以实现管理子域。

更改域：需要输入子域域名，例如：sub.default.local 更改域控制器：需要输入子域服务器计算机名+子域域名，例如：CoverAD2.sub.default.local

# 远程管理域

第一种方式：远程桌面，不推荐，因为同一时间内服务器的远程连接人数有限。

第二种方式：远程服务器管理工具，推荐，通过官方下载额外的管理工具进行管理。

https://learn.microsoft.com/zh-CN/troubleshoot/windows-server/system-management-components/remote-server-administration-tools#download-locations-for-rsat

# 备份域控制器

# 介绍

备份域控制器(BDC)就是主域控制器(PDC)的复制，备份域控制器在建立并同步好后，它们就是完全相同且对等的。虽然功能完全相同，但在某些场景上可能会区分主备。

关于复制有以下特性：

在同一域中，所有DC的数据都是互相同步的。
如果同一域中两个DC在同一个站点中，默认15秒复制一次。如果两个DC不在同一站点中，复制的频率取决于站点链路的频率。
在域中复制的类型有两种：多主复制和单主复制。
活动目录数据库有三个逻辑分区：Domain(默认上下文)、Configration、Schema。在同一个域的DC，三个分区数据都同步。如果不是同一个域的DC，只同步Configration和Schema分区。

一个林中只有一个Configration和Schema分区。我们可以通过ADSI编辑器查看这三个分区，通过右击根标签，单击连接到，然后分别连接这三个分区。