Active Directory 域服务概述
适用对象:Windows Server 2012
.jpeg "All_Symbols_Cloud")
|
你是否知道 Microsoft Azure 在云中提供类似的功能? 了解有关 Microsoft Azure 标识解决方案的详细信息。 在 Microsoft Azure 中创建混合标识解决方案: |
使用 Active Directory(R) 域服务 (AD DS) 服务器角色,可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构,并可以提供对启用目录的应用程序(如 Microsoft(R) Exchange Server)的支持。
本主题的其余部分大致说明了 AD DS 服务器角色的概述。 有关 Windows Server 2012 中 AD DS 新增功能的详细信息,请参阅 Active Directory 域服务 (AD DS) 中的新增功能。
AD DS 提供了一个分布式数据库,该数据库可以存储和管理有关网络资源的信息,以及启用了目录的应用程序中特定于应用程序的数据。 运行 AD DS 的服务器称为域控制器。 管理员可以使用 AD DS 将网络元素(如用户、计算机和其他设备)整理到层次内嵌结构。 内嵌层次结构包括 Active Directory 林、林中的域以及每个域中的组织单位 (OU)。
将网络元素组织为分层结构可带来以下好处:
林可以充当组织的安全边界并定义管理员的授权范围。 默认情况下,一个林包含一个域(称为林根域)。
在林中还可以创建其他域,以提供 AD DS 数据分区,从而使组织仅在需要时复制数据。 因此,在可用带宽有限的网络上,AD DS 可以进行全局缩放。 Active Directory 域还支持与管理相关的许多其他核心功能,包括网络范围的用户标识、身份验证和信任关系。
OU 简化了授权的委派以方便管理大量对象。 所有者可以通过委派将对象的全部或有限授权转移给其他用户或组。 委派十分重要,因为它有助于将大量对象的管理分发到多个被信任执行管理任务的人。
安全性通过登录身份验证以及对目录中资源的访问控制与 AD DS 集成。 借助单点网络登录,管理员可以管理其整个网络中的目录数据和组织。 授权网络用户还可以使用单点网络登录访问网络中任意位置的资源。 基于策略的管理简化了即使最复杂的网络的管理。
其他 AD DS 功能包括下列各项:
一组规则,即架构,它定义包含在目录中的对象和属性的类别、这些对象的实例的约束和限制及其名称的格式。
包含有关目录中每个对象的信息的全局编录。 无论目录中的哪个域实际包含目录信息,用户和管理员都可以使用全局编录查找这些数据。
一种查询和索引机制,以便对象及其属性可由网络用户或应用程序发布和发现。
一种复制服务,可在整个网络中分发目录数据。 域中所有可写域控制器均参与复制,并包含其域的所有目录信息的完整副本。 对目录数据的任何更改均复制到域中的所有域控制器。
操作主机角色(也称为灵活单主机操作或 FSMO)。 包含操作主机角色的域控制器被指定为执行特定任务,以确保一致性以及消除目录中有冲突的条目。
运行 Active Directory 域服务的要求
运行这一功能需要什么硬件、软件或设置配置? 运行此角色需要哪些先决条件? 这一角色/功能是否需要特殊的硬件?
要求 |
说明 |
|---|---|
TCP/IP |
配置适当的 TCP/IP 和 DNS 服务器地址。 |
NTFS |
必须将存储 Active Directory 域服务 (AD DS) 的数据库、日志文件以及 SYSVOL 文件夹的驱动器放置在本地固定卷上。 必须将 SYSVOL 放置在使用 NTFS 文件系统进行格式化的卷上。 出于安全的目的,应该将 Active Directory 数据库和日志文件放置在使用 NTFS 进行格式化的卷上。 |
凭据 |
若要安装新的 AD DS 林,你需要是服务器上的本地管理员。 若要在现有的域中安装其他域控制器,你需要是域管理员组的成员。 |
域名系统 (DNS) 基础结构 |
验证 DNS 基础结构是否已到位。 安装 AD DS 时,你可以包含 DNS 服务器安装(如果需要)。 新建一个域时,会在安装过程中自动创建一个 DNS 委派。 创建 DNS 委派需要具备更新父 DNS 区域权限的凭据。 有关详细信息,请参阅 DNS 选项向导页。 |
Adprep |
若要将第一个运行 Windows Server 2012 的域控制器添加到现有的 Active Directory,adprep.exe 命令自动按需要运行。 这些命令有其他凭据和连接要求。 有关详细信息,请参阅运行 Adprep.exe。 |
只读域控制器 (RODC) |
安装 RODC 的其他要求:
有关详细信息,请参阅部署 RODC 的先决条件。 |
备注
除了 DNS 服务器外,域控制器一般不会托管其他服务器角色。
运行 Active Directory 域服务
如何使用 Windows PowerShell 部署和配置此角色?
有关如何使用 Windows PowerShell® 命令行界面的 ADDS 部署模块来安装和配置 AD DS 的分步说明,请参阅 Active Directory 域服务部署指南 (https://go.microsoft.com/fwlink/?LinkId=222597)。
如何在多服务器环境中部署和配置此角色?
AD DS 是一种专为在多个域控制器上运行而设计的分布式服务。 有关如何在多个域控制器上安装和配置 AD DS 的分步说明,请参阅 Active Directory 域服务部署指南 (https://go.microsoft.com/fwlink/?LinkId=222597)。
如何在虚拟机上运行此角色?
Windows Server 2012 中的 AD DS 包括用于保护在虚拟机上运行此角色的安全措施,可确保虚拟化 AD DS 环境的安全性和一致性。 有关如何在虚拟机上运行 AD DS 的详细信息,请参阅在 Hyper-V 中运行域控制器 (https://go.microsoft.com/fwlink/?LinkID=213293)。
有关运行此角色的安全注意事项
安装之后,AD DS 会默认确保安全。 有关域控制器的默认安全设置、风险及如何安全操作域控制器的详细信息,请参阅 Active Directory 安全安装最佳做法指南。
有关远程管理此角色的特殊注意事项
若要远程管理 AD DS,请安装远程服务器管理工具 (RSAT)。 RSAT 有 32 位版本和 64 位版本。 有关详细信息,请参阅远程服务器管理工具 (https://go.microsoft.com/fwlink/?LinkId=222628)。
有关在服务器核心安装选项上管理角色的特殊注意事项
AD DS 可以安装在服务器核心安装上或具有最精简服务器界面的服务器上,建议为数据中心中的专用服务器角色、虚拟化来宾或远程办公室中的 RODC 等对象安装 AD DS,因为在这些情况下,减少操作系统安装的占用空间将非常有利。 从 Windows Server 2012 开始,在服务器核心安装上运行的域控制器可以转换为带有 GUI 的服务器安装(也称为完全安装),反之亦然。
支持从早期版本的 Windows Server 上运行的服务器核心安装进行升级,但无法从早期版本的 Windows Server 的服务器核心安装直接升级到带有 GUI 的服务器安装,也无法从带有 GUI 的服务器安装直接升级到服务器核心安装。 在这种情况下,你需要直接升级到 Windows Server 2012 上的相同安装类型,然后在升级后根据需要转换为不同的安装。
有关详细信息,请参阅 Windows Server 安装选项。
Active Directory 域服务的角色服务
Identity Management for UNIX 是 AD DS 的一种角色服务,只能安装在域控制器上。 通过 NIS 服务器和密码同步这两种 Identity Management for UNIX 技术,可以更轻松地将运行 Windows® 的计算机集成到现有的 UNIX 企业中。 AD DS 管理员可以使用 NIS 服务器来管理网络信息服务 (NIS) 域。 密码同步可在 Windows 和 UNIX 操作系统之间自动同步密码。
角色服务技术 |
角色服务描述 |
|---|---|
NIS 服务器 |
支持基于 Microsoft Windows 的 Active Directory 域控制器管理 UNIX 网络信息服务 (NIS) 网络。 有关详细信息,请参阅 NIS 服务器概述 (https://go.microsoft.com/fwlink/?LinkId=222677)。 |
密码同步 |
通过简化在 Windows 和 UNIX 环境中保证密码安全的过程,将 Windows 网络和 UNIX 网络集成在一起。 有关详细信息,请参阅密码同步概述 (https://go.microsoft.com/fwlink/?LinkId=222676)。 |