活动目录

Active Directory

活动目录介绍

Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。
从信息技术部门人员来说，如何整合现有 IT环境中的资源，将IT环境的管理由松散方式变为集中管理的方式，减轻日常管理维护负担，提升IT生产力。从最终用户来说，如何能够实现单一的身份验证，快速的访问企业内部的各种资源，较少的宕机时间也是最大的愿望。

活动目录作用

整合现有信息技术环境，就是将客户端与服务器由现有的工作组模式的环境平滑迁移至基于活动目录的域模式，统一管理

及身份验证信息，将信息统一由服务器发布，减少信息孤岛，增强信息技术易用性和安全性。

集中的组织与管理网络内的服务器及客户端
统一的数据组织与资源管理
单一登录的网络环境
集中化的软件部署与运行限制
功能强大并易于扩展的IT 基础架构

活动目录功能

提供各种大中小型IT项目支持服务

DNS 集成

活动目录使用域名系统（ Domain Name System ，简称 DNS ）。这使得运行在 TCP/IP 网络上的计算机可以识别和连接另一台计算机。 DNS 域和 Windows Server 的域自然而有机的结合在一起，使得整个目录结构成树型分布，具有了 DNS 的层次感觉，也使得 Windows Serever 系统能够支撑庞大的目录结构，是的目录对象涵盖了整个网络元素：用户，计算机，打印机，共享文件夹，应用程序，管理策略等。

目录定位服务

通过 DNS 服务中的 Service Resource Record （ SRV RR ）记录公布提供目录服务的服务器地址， SRV RR 中的附加信息指出了服务器的优先权及重要度，使得客户可以选择他们所需要的最好的服务器。 DNS 记录也可以集成到目录中，随着目录复制而达到 DNS 复制的目的。

全局唯一的用户名

在域内一个用户对象只能有一个用户主名，而这个用户名是可以用username@domainname 表示的，就好比一个用户的 mail 地址一样。正是具有了这个特性，才能够实现在企业内只要一套用户认证系统就可以实现所有应用系统的单一认证问题。

可扩展性

活动目录是可扩展的，就是说管理员可以向模式中添加新的对象类，也可以向已经存在的对象类添加新的属性。模式包括每一个对象类和对象类属性的定义，它们可以存储在目录中。例如，可以向用户对象添加购买机构属性，然后可以将用户的购买机构范围做为用户帐号的一部分进行存储。

灵活的查询

用户和管理员可以使用 " 开始 " 菜单上的 " 查询 " 命令、桌面上的 " 我的网络 " 图标或者 " 活动目录用户和计算机连接 " 插件来根据对象的属性快速的查找网络上的对象。

身份联合

ADFS （活动目录身份联合）提供了基于 Web 的 Extranet 验证/授权、单一签名登陆 (SSO) 和针对 Windows Server 环境的联合的身份服务，从而提高了在涉及 B2C Extranet、Intracompany (多森林的) 联盟和 B2B Internet 联盟的场景中、现有活动目录部署的价值。

基于策略的管理

组策略是在初始化时对计算机或者用户进行的配置。所有的小组策略设置都包含在组策略对象（ Group Policy Object ，简称 GPO ）中，它可以应用于活动目录站点、域或组织单元中。 GPO 设置确定对目录对象和域资源的访问、哪些资源域是用户可以访问的以及这些资源域应该如何使用。