Active Directory 網域服務概觀
適用於: Windows Server 2012
您知道 Microsoft Azure 在雲端中提供類似的功能嗎? 深入了解 Microsoft Azure 身分識別解決方案。 在 Microsoft Azure 中建立混合式身分識別解決方案: |
使用 Active Directory® 網域服務 (AD DS) 伺服器角色,可以為使用者與資源管理建立可擴充且可管理的安全基礎結構,另外也可為支援目錄的應用程式 (如 Microsoft® Exchange Server) 提供支援。
本主題的其餘部分將說明 AD DS 伺服器角色的整體概觀。 如需 Windows Server 2012 中 AD DS 新功能的詳細資訊,請參閱<Active Directory 網域服務 (AD DS) 的新功能>。
AD DS 提供一個分散式資料庫,用來儲存和管理網路資源的相關資訊,以及啟用目錄之應用程式的應用程式特定資料。 執行 AD DS 的伺服器稱為網域控制站。 系統管理員可以使用 AD DS 將網路項目 (像是使用者、電腦以及其他裝置) 組織成階層式的內含項目結構。 階層式內含項目結構包含 Active Directory 樹系、樹系中的網域以及每個網域中的組織單位 (OU)。
將網路項目組織成階層式內含項目結構有下列好處:
樹系是組織的安全性範圍,並定義了系統管理員的授權領域。 根據預設,樹系包含單一網域,稱為樹系根網域。
在樹系中可以建立其他的網域來提供 AD DS 資料的分割,如此可讓組織僅在需要的地方複寫資料。 這樣即使網路的可用頻寬是有限的,AD DS 還是可以進行全域擴充。 Active Directory 網域也支援一些其他與系統管理相關的核心功能,包括整體網路使用者識別、驗證以及信任關係。
OU 簡化授權的委派,便於管理大量的物件。 透過委派,擁有者可以將物件的完整或有限授權轉移到其他使用者或群組。 委派是很重要的,因為有助於將大量物件的管理散發給一群受信任可以執行管理工作的人。
安全性透過登入驗證與控制存取目錄中資源的方式,與 AD DS 整合在一起。 藉由單一網路登入,系統管理員可以管理整個網路的目錄資料與組織。 授權的網路使用者也可以使用單一網路登入在網路的任何地方存取資源。 原則式的系統管理甚至可以減輕最複雜的網路管理工作。
其他的 AD DS 功能包括下列各項:
一組規則,即架構,定義了目錄中包含的物件類別與屬性,這些物件的執行個體的強制與限制,以及其名稱的格式。
包含目錄中每個物件之資訊的通用類別目錄。 使用者與系統管理員可以使用通用類別目錄來尋找目錄資訊,無論目錄中其所在網域是否包含資料。
查詢與索引機制,可以發佈物件及其內容,供網路使用者或應用程式尋找。
在網路上散發目錄資料的複寫服務。 網域中的所有可寫入的網域控制站都會參與複寫,並包含其網域中所有目錄資訊的完整複本。 目錄資料的任何變更都會複寫到網域中的所有網域控制站。
操作主機角色 (又稱為彈性單一主機操作或 FSMO)。 做為操作主機角色的網域控制站,是專門用來執行特定工作,以確保目錄中的一致性和消除衝突項目。
執行 Active Directory 網域服務的需求
執行這項功能需要什麼硬體、軟體或設定? 執行角色有什麼先決條件? 這個角色/功能是否需要特殊的硬體?
需求 |
描述 |
---|---|
TCP/IP |
設定適當的 TCP/IP 與 DNS 伺服器位址。 |
NTFS |
儲存 Active Directory 網域服務 (AD DS) 之資料庫、記錄檔以及 SYSVOL 資料夾的磁碟機,必須放在本機固定磁碟區上。 SYSVOL 必須放在以 NTFS 檔案系統格式化的磁碟區上。 基於安全性目的,Active Directory 資料庫與記錄檔應該放在以 NTFS 格式化的磁碟區上。 |
認證 |
若要安裝新的 AD DS 樹系,您必須是伺服器上的本機 Administrator。 若要在現有的網域中安裝其他網域控制站,您必須是 Domain Admins 群組的成員。 |
網域名稱系統 (DNS) 基礎結構 |
確認 DNS 基礎結構已就緒。 安裝 AD DS 時,必要時可以包含 DNS 伺服器安裝。 建立新網域時,會在安裝期間自動建立 DNS 委派。 建立 DNS 委派所需的認證必須具有可更新父系 DNS 區域的權限。 如需詳細資訊,請參閱<DNS 選項精靈頁面>。 |
Adprep |
為了將執行 Windows Server 2012 的第一個網域控制站新增到現有的 Active Directory,adprep.exe 命令會自動視需要執行。 這些命令有其他的認證與連線需求。 如需詳細資訊,請參閱<執行 Adprep.exe>。 |
唯讀網域控制站 (RODC) |
安裝 RODC 的其他需求:
如需詳細資訊,請參閱<部署 RODC 的先決條件>。 |
注意事項 |
---|
除了 DNS 以外,網域控制站一般不應裝載其他伺服器角色。 |
執行 Active Directory 網域服務
我如何使用 Windows PowerShell 來部署和設定這個角色?
有關如何利用 Windows PowerShell® 命令列介面的 ADDSDeployment 模組來安裝和設定 AD DS 的逐步解說,請參閱<Active Directory 網域服務部署指南>(https://go.microsoft.com/fwlink/?LinkId=222597)。
我如何在多伺服器環境中部署和設定這個角色?
AD DS 是針對在多個網域控制站上執行而設計的一種分散式服務。 有關如何在多網域控制站上安裝和設定 AD DS 的逐步解說,請參閱<Active Directory 網域服務部署指南>(https://go.microsoft.com/fwlink/?LinkId=222597)。
如何在虛擬機器上執行這個角色?
Windows Server 2012 中的 AD DS 包含在虛擬機器上執行的保護措施,以確保虛擬化 AD DS 環境的安全和一致性。 如需如何在虛擬機器上執行 AD DS 的詳細資訊,請參閱<在 Hyper-V 執行網域控制站>(https://go.microsoft.com/fwlink/?LinkID=213293)。
執行此角色的安全性考量
AD DS 安裝之後,預設就會保護它的安全。 有關網域控制站的預設安全性設定、風險、以及如何安全地操作網域控制站的詳細資訊,請參閱<保護 Active Directory 安裝的最佳做法指南>。
遠端管理這個角色的特殊考量
若要從遠端管理 AD DS,請安裝遠端伺服器管理工具 (RSAT)。 RSAT 有 32 位元與 64 位元兩種版本。 如需詳細資訊,請參閱<遠端伺服器管理工具>(https://go.microsoft.com/fwlink/?LinkId=222628)。
在 Server Core 安裝選項管理角色的特殊考量
AD DS 可以安裝在 Server Core 安裝或具有「基本伺服器介面」的伺服器上,我們建議您將之用於「減少作業系統安裝所需空間」是優點的案例,例如資料中心裡的專用伺服器角色、虛擬化來賓、或遠端辦公室中的 RODC。 從 Windows Server 2012 開始,在 Server Core 安裝上執行的網域控制站可以轉換成有 GUI 的伺服器安裝 (也稱為完整安裝),反之亦然。
支援從舊版 Windows Server 上執行的 Server Core 安裝升級,但沒有任何方法可以從舊版 Windows Server 的 Server Core 安裝直接升級為含 GUI 的伺服器安裝,或從含 GUI 的伺服器安裝直接升級為 Server Core 安裝。 在此情況下,您需要直接升級至 Windows Server 2012 的相同安裝類型,在升級之後視需要轉換為不同安裝。
如需詳細資訊,請參閱<Windows Server 安裝選項>。
Active Directory 網域服務的角色服務
Identity Management for UNIX 是只能安裝在網域控制站的一種 AD DS 角色服務。 Server for NIS 與密碼同步化這兩種 Identity Management for UNIX 技術,讓執行 Windows® 的電腦與現有 UNIX 企業的整合更容易。 AD DS 系統管理員可以使用 Server for NIS 來管理網路資訊服務 (NIS) 網域。 密碼同步化會自動同步 Windows 與 UNIX 作業系統之間的密碼。
角色服務技術 |
角色服務說明 |
---|---|
Server for NIS |
可以讓 Microsoft Windows 類型的 Active Directory 網域控制站管理 UNIX 網路資訊服務 (NIS) 網路。 如需詳細資訊,請參閱<Server for NIS 概觀>(https://go.microsoft.com/fwlink/?LinkId=222677)。 |
密碼同步化 |
可以協助整合 Windows 與 UNIX 網路,方法是簡化在這兩個環境中維護安全密碼的程序。 如需詳細資訊,請參閱<密碼同步處理概觀>(https://go.microsoft.com/fwlink/?LinkId=222676)。 |