編者按：活動目錄（Active Directory），是一個面向Windows Server級別的目錄服務(wù)。在活動目錄中存儲了有關(guān)網(wǎng)絡(luò)對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息?；顒幽夸浭褂昧艘环N結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進(jìn)行合乎邏輯的分層組織。李洋老師在之前的文章中為我們介紹了活動目錄設(shè)計中需要遵循的七個原則，今天在這里李洋老師再次為我們講解有關(guān)《活動目錄構(gòu)建核心關(guān)鍵點(diǎn)》。關(guān)于李洋老師更多對活動目錄的內(nèi)容請參考：51CTO特別專題聽專家講述Windows活動目錄

1. 活動目錄的由來 

與活動目錄概念最相關(guān)的就是DOS下的“目錄”、“路徑”和Windows9X/ME系列操作系統(tǒng)下的“文件夾”，那個時候的“目錄”或“文件夾”僅代表一個文件存在磁盤上的位置和層次關(guān)系，一個文件生成之后相對來說這個文件的所在目錄也就固定了(當(dāng)然可以刪除、轉(zhuǎn)移等，現(xiàn)在不考慮這些)，也就是說它的屬性也就相對固定了，是靜態(tài)的。這個目錄所能代表的僅是這個目錄下所有文件的存放位置和所有文件總的大小，并不能得出其它有關(guān)信息，這樣就影響到了整體使用目錄的效率，也就是影響了系統(tǒng)的整體效率，使系統(tǒng)的整個管理變得復(fù)雜。

因?yàn)闆]有相互關(guān)聯(lián)，所以在不同應(yīng)用程序中同一對象要進(jìn)行多次配置，管理起來相當(dāng)繁鎖，影響了系統(tǒng)資源的使用效率。為了改變這種效率低下的關(guān)系和加強(qiáng)與Internet上有關(guān)協(xié)議的關(guān)聯(lián)，Microsoft公司決定從WIN2K開始全面改革（Windows 2003、Windows 2008中也使用了該機(jī)制），也就是引入活動目錄的概念。理解活動目錄的關(guān)鍵就在于“活動”兩個字，正因?yàn)檫@個目錄是活動的，所以它是動態(tài)的，它是一種包含服務(wù)功能的目錄，它可以做到“由此及彼”的聯(lián)想、映射，如找到了一個用戶名，就可聯(lián)想到它的賬號、出生信息、E-mail、電話等所有基本信息，雖然組成這些信息的文件可能不在一塊。同時不同應(yīng)用程序之間還可以對這些信息進(jìn)行共享，減少了系統(tǒng)開發(fā)資源的浪費(fèi)，提高了系統(tǒng)資源的利用效率。

2. 活動目錄的主要概念

活動目錄包括兩個方面：目錄和與目錄相關(guān)的服務(wù)。目錄是存儲各種對象的一個物理上的容器，從靜態(tài)的角度來理解這活動目錄與以前熟知的“目錄”和“文件夾”沒有本質(zhì)區(qū)別，僅僅是一個對象，是一實(shí)體;而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，活動目錄是一個分布式的目錄服務(wù)，信息可以分散在多臺不同的計算機(jī)上，保證用戶能夠快速訪問，因?yàn)槎嗯_機(jī)上有相同的信息，所以在信息容氏方面具有很強(qiáng)的控制能力，正因如此，不管用戶從何處訪問或信息處在何處，都對用戶提供統(tǒng)一的視圖。

理解活動目錄，需要了解其有關(guān)名詞，如下：

1) 名字空間:

從本質(zhì)上講，活動目錄就是一個名字空間，可以把名字空間理解為任何給定名字的解析邊界，這個邊界就是指這個名字所能提供或關(guān)聯(lián)、映射的所有信息范圍。通俗地說就是在服務(wù)器上通過查找一個對象可以查到的所有關(guān)聯(lián)信息總和，如一個用戶，如果在服務(wù)器已給這個用戶定義了講如:用戶名、用戶密碼、工作單位、聯(lián)系電話、家庭住址等，那上面所說的總和廣義上理解就是“用戶”這個名字的名字空間，因?yàn)橹惠斎胍粋€用戶名即可找到上面所列的一切信息。名字解析是把一個名字翻譯成該名字所代表的對象或者信息的處理過程。舉例來說，在一個電話目錄形成一個名字空間中，可以從每一個電話戶頭的名字可以被解析到相應(yīng)的電話號碼，而不是象現(xiàn)在一樣名字是名字，號碼歸號碼，根本不能橫向聯(lián)系。Windows 操作系統(tǒng)的文件系統(tǒng)也形成了一個名字空間，每一個文件名都可以被解析到文件本身(包含它應(yīng)有的所有信息)。

2) 對象:

對象是活動目錄中的信息實(shí)體，也即通常所見的“屬性”，但它是一組屬性的集合，往往代表了有形的實(shí)體，比如用戶賬戶、文件名等。對象通過屬性描述它的基本特征，比如，一個用戶賬號的屬性中可能包括用戶姓名、電話號碼、電子郵件地址和家庭住址等。

3) 容器:

容器是活動目錄名字空間的一部分，與目錄對象一樣，它也有屬性，但與目錄對象不同的是，它不代表有形的實(shí)體，而是代表存放對象的空間，因?yàn)樗鼉H代表存放一個對象的空間，所以它比名字空間小。比如一個用戶，它是一個對象，但這個對象的容器就僅限于從這個對象本身所能提供的信息空間，如它僅能提供用戶名、用戶密碼。其它的如:工作單位、聯(lián)系電話、家庭住址等就不屬于這個對象的容器范圍了。

4) 目錄樹:

在任何一個名字空間中，目錄樹是指由容器和對象構(gòu)成的層次結(jié)構(gòu)。樹的葉子、節(jié)點(diǎn)往往是對象，樹的非葉子節(jié)點(diǎn)是容器。目錄樹表達(dá)了對象的連接方式，也顯示了從一個對象到另一個對象的路徑。在活動目錄中，目錄樹是基本的結(jié)構(gòu)，從每一個容器作為起點(diǎn)，層層深入， 都可以構(gòu)成一棵子樹。一個簡單的目錄可以構(gòu)成一棵樹，一個計算機(jī)網(wǎng)絡(luò)或者一個域也可以構(gòu)成一棵樹。

5) 域:

域是網(wǎng)絡(luò)系統(tǒng)的安全性邊界。在獨(dú)立的計算機(jī)上，域即指計算機(jī)本身，一個域可以分布在多個物理位置上，同時一個物理位置又可以劃分不同網(wǎng)段為不同的域，每個域都有自己的安全策略以及它與其他域的信任關(guān)系。當(dāng)多個域通過信任關(guān)系連接起來之后，活動目錄可以被多個信任域域共享。

6) 組織單元:

包含在域中特別有用的目錄對象類型就是組織單元。組織單元是可將用戶、組、計算機(jī)和其他單元放入活動目錄的容器中，組織單元不能包括來自其他域的對象。組織單元是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用單位。使用組織單元，您可在組織單元中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器，這樣您就可以根據(jù)您的組織模型管理帳戶、資源的配置和使用，可使用組織單元創(chuàng)建可縮放到任意規(guī)模的管理模型?？墒谟栌脩魧τ蛑兴薪M織單元或?qū)蝹€組織單元的管理權(quán)限，組織單元的管理員不需要具有域中任何其他組織單元的管理權(quán)，組織單元有點(diǎn)象NT時代的工作組。

7) 域樹:

域樹由多個域組成，這些域共享同一表結(jié)構(gòu)和配置，形成一個連續(xù)的名字空間。樹中的域通過信任關(guān)系連接起來，活動目錄包含一個或多個域樹。域樹中的域?qū)哟卧缴罴墑e越低，一個“.”代表一個層次，如域child.Microsoft.com 就比 Microsoft.com這個域級別低，因?yàn)樗袃蓚€層次關(guān)系，而Microsoft.com只有一個層次。域樹中的域是通過雙向可傳遞信任關(guān)系連接在一起。由于這些信任關(guān)系是雙向的而且是可傳遞的，因此在域樹或樹林中新創(chuàng)建的域可以立即與域樹或樹林中每個其他的域建立信任關(guān)系。這些信任關(guān)系允許單一登錄過程，在域樹或樹林中的所有域上對用戶進(jìn)行身份驗(yàn)證，但這不一定意味著經(jīng)過身份驗(yàn)證的用戶在域樹的所有域中都擁有相同的權(quán)利和權(quán)限。因?yàn)橛蚴前踩缦?，所以必須在每個域的基礎(chǔ)上為用戶指派相應(yīng)的權(quán)利和權(quán)限。

8) 域林:

域林是指由一個或多個沒有形成連續(xù)名字空間的域樹組成，它與上面所講的域樹最明顯的區(qū)別就在于這些域樹之間沒有形成連續(xù)的名字空間，而域樹則是由一些具有連續(xù)名字空間的域組成。但域林中的所有域樹仍共享同一個表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹通過Kerberos 信任關(guān)系建立起來，所以每個域樹都知道Kerberos信任關(guān)系，不同域樹可以交叉引用其他域樹中的對象。域林都有根域，域林的根域是域林中創(chuàng)建的***個域，域林中所有域樹的根域與域林的根域建立可傳遞的信任關(guān)系。

9) 站點(diǎn):

站點(diǎn)是指包括活動目錄域服務(wù)器的一個網(wǎng)絡(luò)位置，通常是一個或多個通過TCP/IP連接起來的子網(wǎng)。站點(diǎn)內(nèi)部的子網(wǎng)通過可靠、快速的網(wǎng)絡(luò)連接起來。站點(diǎn)的劃分使得管理員可以很方便地配置活動目錄的復(fù)雜結(jié)構(gòu)，更好地利用物理網(wǎng)絡(luò)特性，使網(wǎng)絡(luò)通信處于***狀態(tài)。當(dāng)用戶登錄到網(wǎng)絡(luò)時，活動目錄客戶機(jī)在同一個站點(diǎn)內(nèi)找到活動目錄域服務(wù)器，由于同一個站點(diǎn)內(nèi)的網(wǎng)絡(luò)通信是可靠、快速和高效的，所以對于用戶來說，他可以在最快的時間內(nèi)登錄到網(wǎng)絡(luò)系統(tǒng)中。因?yàn)檎军c(diǎn)是以子網(wǎng)為邊界的，所以活動目錄在登錄時很容易找到用戶所在的站點(diǎn)，進(jìn)而找到活動目錄域服務(wù)器完成登錄工作。

10) 域控制器:

域控制器是使用活動目錄安裝向?qū)渲玫腤indows Server（Windows 2000，Windows Server 2003或者Windows Server 2008） 的計算機(jī)。活動目錄安裝向?qū)О惭b和配置為網(wǎng)絡(luò)用戶和計算機(jī)提供活動目錄服務(wù)的組件供用戶選擇使用。域控制器存儲著目錄數(shù)據(jù)并管理用戶域的交互關(guān)系，其中包括用戶登錄過程、身份驗(yàn)證和目錄搜索，一個域可有一個或多個域控制器。為了獲得高可用性和容錯能力，使用單個局域網(wǎng) (LAN) 的小單位可能只需要一個具有兩個域控制器的域。具有多個網(wǎng)絡(luò)位置的大公司在每個位置都需要一個或多個域控制器以提供高可用性和容錯能力。#p#

3. 活動目錄的邏輯結(jié)構(gòu)

活動目錄的邏輯結(jié)構(gòu)非常靈活，有目錄樹、域、域樹、域林等，這些名字都不是實(shí)實(shí)在在的一種實(shí)體，只是代表了一種關(guān)系，一種范圍，如目錄樹就是由同一名字空間上的目錄組成，而域又是由不同的目錄樹組成，同理域樹是由不同的域組成，域林是由多個域樹組成。它們是一種完全的樹狀、層次結(jié)構(gòu)視圖，這種關(guān)系可以看成是一種動態(tài)關(guān)系。

3.1 域、域樹、域林

域既是以活動目錄為基礎(chǔ)的網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，是對象(如計算機(jī)、用戶等)的容器，這些對象有相同的安全需求、復(fù)制過程和管理，這一點(diǎn)對于網(wǎng)管人員應(yīng)是相當(dāng)容易理解的。域是安全邊界，域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。在這里就涉及到了不同域之間的信任關(guān)系及傳遞關(guān)系。

下圖給出了域、域樹和域林的示意：

域與域之間具有一定的信任關(guān)系，域信任關(guān)系使得一個域中的用戶可由另一域中的域控制器進(jìn)行驗(yàn)證，才能使一個域中的用戶訪問另一個域中的資源。所有域信任關(guān)系中只有兩種域:信任關(guān)系域和被信任關(guān)系域。信任關(guān)系就是域A信任域B，則域B中的用戶可以通過域A中的域控制器進(jìn)行身份驗(yàn)證后訪問域A中的資源，則域A與域B之間的關(guān)系就是信任關(guān)系。被信任關(guān)系就是被一個域信任的關(guān)系，在上面的例子中域B就是被域A信任，域B與域A的關(guān)系就是被信任關(guān)系。信任與被信任關(guān)系可以是單向的，也可以是雙向的，即域A與域B之間可以單方面的信任關(guān)系，也可以是雙方面的信任關(guān)系。

而在域中傳遞信任關(guān)系不受關(guān)系中兩個域的約束，是經(jīng)父域向上傳遞給域目錄樹中的下一個域，也就是說如果域A信任域B，則域A也就信任域B下面的子域B1、子域B2……，傳遞信任關(guān)系總是雙向的:關(guān)系中的兩個域互相信任(是指父域與子域之間)。默認(rèn)情況下，域目錄樹或目錄林(目錄林可以看做是同一域中的多個目錄樹組成)中的所有信任關(guān)系都是傳遞的。通過大大減少需管理的委托關(guān)系數(shù)量，這將在很大程度上簡化域的管理。

3.2 組織單元(OU)

組織單元(OU)是一個容器對象，它也是活動目錄的邏輯結(jié)構(gòu)的一部分，可以把域中的對象組織成邏輯組，它可以幫助管理員簡化管理工作。OU可以包含各種對象，比如用戶賬戶、用戶組、計算機(jī)、打印機(jī)等，甚至可以包括其他的OU，所以可以利用OU把域中的對象形成一個完全邏輯上的層次結(jié)構(gòu)。對于企業(yè)來講，可以按部門把所有的用戶和設(shè)備組成一個OU層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個OU層次結(jié)構(gòu)。很明顯，通過組織單元的包容，組織單元具有很清楚的層次結(jié)構(gòu)，這種包容結(jié)構(gòu)可以使管理者把組織單元切入到域中以反應(yīng)出企業(yè)的組織結(jié)構(gòu)并且可以委派任務(wù)與授權(quán)。建立包容結(jié)構(gòu)的組織模型能夠幫助用戶解決許多問題，同時仍然可以使用大型的域、域樹中每個對象都可以顯示在全局目錄，從而用戶就可以利用一個服務(wù)功能輕易地找到某個對象而不管它在域樹結(jié)構(gòu)中的位置。

下圖給出了AD中，域、容器、目錄樹、OU等邏輯概念的示意：

由于OU層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個域中的OU層次結(jié)構(gòu)與另一個域中的OU層次結(jié)構(gòu)沒有任何關(guān)系。組織中的不同部門可以成為不同的域，或者一個組織單元，從而采用層次化的命名方法來反映組織結(jié)構(gòu)和進(jìn)行管理授權(quán)。順著組織結(jié)構(gòu)進(jìn)行顆?；墓芾硎跈?quán)可以解決很多管理上的頭疼問題，在加強(qiáng)中央管理的同時，又不失機(jī)動靈活性。#p#

4. 活動目錄的物理結(jié)構(gòu)

活動目錄中，物理結(jié)構(gòu)與邏輯結(jié)構(gòu)有很大的不同，它們是彼此獨(dú)立的兩個概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)資源的管理，而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化?；顒幽夸浀奈锢斫Y(jié)構(gòu)主要著眼于活動目錄信息的復(fù)制和用戶登錄網(wǎng)絡(luò)時的性能優(yōu)化。物理結(jié)構(gòu)的兩個重要概念是站點(diǎn)和域控制器。

4.1 站點(diǎn)

站點(diǎn)是由一個或多個IP子網(wǎng)組成，這些子網(wǎng)通過高速網(wǎng)絡(luò)設(shè)備連接在一起。站點(diǎn)往往由企業(yè)的物理位置分布情況決定，可以依據(jù)站點(diǎn)結(jié)構(gòu)配置活動目錄的訪問和復(fù)制拓?fù)潢P(guān)系，這樣能使得網(wǎng)絡(luò)更有效地連接，并且可使復(fù)制策略更合理，用戶登錄更快速， 活動目錄中的站點(diǎn)與域是兩個完全獨(dú)立的概念，一個站點(diǎn)中可以有多個域，多個站點(diǎn)也可以位于同一域中。

4.2 域控制器

域控制器是指運(yùn)行Windows服務(wù)器版本（Windows 2000、Windows Server 2003、Windows Server 2008）的服務(wù)器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個域中的其他域控制器上，使各域控制器上的目錄信息處于同步。域控制器也負(fù)責(zé)用戶的登錄過程以及其他與域有關(guān)的操作，比如身份認(rèn)證、目錄信息查找等。一個域可以有多個域控制器。規(guī)模較小的域可以只需要兩個域控制器，一個實(shí)際使用，另一個用于容錯性檢查。規(guī)模較大的域可以使用多個域控制器。

5. LDAP協(xié)議簡介

LDAP的英文全稱是Lightweight Directory Access Protocol，簡稱為LDAP。它是基于X.500標(biāo)準(zhǔn)的，但是又比它簡單許多，并且可以根據(jù)需要定制的一種目錄服務(wù)協(xié)議。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。LDAP的核心規(guī)范在RFC中都有定義，所有與LDAP相關(guān)的RFC都可以在LDAPman RFC網(wǎng)頁中找到。

目錄服務(wù)的工作模型是客戶機(jī)/服務(wù)器模型。1988年，CCITT組織首先創(chuàng)建了X.500標(biāo)準(zhǔn)全面描述了這一模型，包括目錄服務(wù)器的目錄結(jié)構(gòu)、命名方法、搜索機(jī)制以及用于客戶機(jī)與服務(wù)器通信的協(xié)議DAP(Directory Access Protocol)。此標(biāo)準(zhǔn)很快被ISO組織引用，編號為ISO 9594。但是，在實(shí)際應(yīng)用的過程中，X.500存在著不少障礙。由于DAP這種應(yīng)用層的協(xié)議是嚴(yán)格遵照復(fù)雜的ISO七層協(xié)議模型制定的，對相關(guān)層協(xié)議環(huán)境要求過多，在許多小系統(tǒng)上無法使用，TCP/IP協(xié)議體系的普及更使這種協(xié)議越來越不適應(yīng)需要。在這種情況下，DAP的簡化版棗LDAP應(yīng)運(yùn)而生。早期設(shè)計的LDAP服務(wù)器不是獨(dú)立的目錄服務(wù)器，主要扮演LDAP客戶機(jī)與X.500服務(wù)器間網(wǎng)關(guān)的角色，既是LDAP的服務(wù)器又是X.500的客戶機(jī)。

如今的LDAP服務(wù)器可取代X.500服務(wù)器而獨(dú)立提供服務(wù)。LDAP服務(wù)器的目錄組織以“條目”為基本單位，結(jié)構(gòu)類似樹形，每一個條目即是樹上的一個分枝節(jié)點(diǎn)或葉子。一個條目由多個“屬性”組成，每個屬性又由一個“類型”和一到多個“值”組成。LDAP協(xié)議直接基于面向連接的TCP協(xié)議實(shí)現(xiàn)，定義了LDAP客戶機(jī)和LDAP服務(wù)器間的通信過程和信息格式。LDAP服務(wù)器在服務(wù)端口(缺省端口號為389)監(jiān)聽，收到客戶機(jī)的請求后，建立連接，開始會話?；顒幽夸浥cDNS協(xié)議的結(jié)合的意義在于使內(nèi)部網(wǎng)與外部網(wǎng)命名方式保持一致，這樣便于整個網(wǎng)絡(luò)的管理。

LDAP協(xié)議是用于查詢和檢索活動目錄信息的目錄訪問協(xié)議。由于它是基于工業(yè)標(biāo)準(zhǔn)的目錄服務(wù)協(xié)議，使用 LDAP 的程序可以發(fā)展成與其他目錄服務(wù)共享活動目錄信息，這些目錄服務(wù)同樣支持LDAP?；顒幽夸浭褂肔DAP 目錄訪問協(xié)議作為它與其他應(yīng)用或者目錄服務(wù)交換信息的手段。LDAP已經(jīng)成為 目錄服務(wù)的標(biāo)準(zhǔn)，它比X.500 DAP 協(xié)議更為簡單實(shí)用一些。Microsoft 已經(jīng)在Exchange Server 系統(tǒng)中提供了LDAP v2 和LDAP v3 的支持， 在Windows Server的活動目錄服務(wù)中將提供更為全面的支持。#p#

6. AD服務(wù)與DNS的關(guān)系

DNS(Domain Name Server, 域名服務(wù)器)是活動目錄的基礎(chǔ)?？偨Y(jié)來說，AD用于組織資源，DNS用于尋找資源。在活動目錄中命名策略基本按照Internet標(biāo)準(zhǔn)來實(shí)現(xiàn)，遵照DNS和LDAP3.0兩種標(biāo)準(zhǔn)，活動目錄中的域和DNS系統(tǒng)中的域采用完全相同的命名方式，即活動目錄中的域名就是DNS域名。那么在活動目錄中依賴于DNS作為定位服務(wù)，實(shí)現(xiàn)將名字解析為IP地址。

所以構(gòu)建活動目錄時，必須同時安裝配置相應(yīng)的DNS，無論用戶實(shí)現(xiàn)IP地址解析還是登錄驗(yàn)證，都利用DNS在活動目錄中定位服務(wù)器?；顒幽夸浥cDNS系統(tǒng)的這種緊密集成，意味著活動目錄同時非常適合于Internet和Intranet環(huán)境，這也是微軟創(chuàng)建適用于Internet的網(wǎng)絡(luò)操作系統(tǒng)的思想的一種體現(xiàn)。企業(yè)可以把活動目錄直接連接到Internet以簡化與客戶和合作伙伴之間的信息通訊。

另外，DNS服務(wù)允許客戶使用DNS動態(tài)更新協(xié)議(RFC 2136)來動態(tài)更新資源記錄，通過縮短手工管理這些相同記錄的時間，提高DNS管理的性能。運(yùn)行Windows Server的計算機(jī)能動態(tài)地注冊他們的DNS名稱和IP地址。

下圖給出了AD與DNS的關(guān)系，以及對于域中一臺具體的計算機(jī)，AD命名與DNS命名的對應(yīng)關(guān)系：

7. AD中組策略簡介

組策略是Active Directory中非常重要的一項(xiàng)技術(shù)。組策略是一個允許執(zhí)行針對用戶或計算機(jī)進(jìn)行配置的基礎(chǔ)架構(gòu)。通俗地說，組策略和注冊表類似，是一項(xiàng)可以修改用戶或計算機(jī)設(shè)置的技術(shù)。組策略和注冊表的區(qū)別主要在于：注冊表只能針對一個用戶或一臺計算機(jī)進(jìn)行設(shè)置，但組策略卻可以針對多個用戶和多臺計算機(jī)進(jìn)行設(shè)置。舉個例子，在一個擁有1000用戶的企業(yè)中，如果用注冊表來進(jìn)行配置，可能需要在1000臺計算機(jī)上分別修改注冊表。但如果改用組策略，那只要創(chuàng)建好組策略，然后通過一個合適的級別部署到1000臺計算機(jī)上就可以了。

組策略和Active Directory結(jié)合使用，可以部署在OU，站點(diǎn)和域的級別上，當(dāng)然也可以部署在本地計算機(jī)上，但部署在本地計算機(jī)并不能使用組策略中的全部功能，只有和Active Directory配合，組策略才可以發(fā)揮出全部潛力。組策略部署在不同級別的優(yōu)先級是不同的，本地計算機(jī)<站點(diǎn)<域<OU。管理員可以根據(jù)管理任務(wù)，為組策略選擇合適的部署級別。

組策略對象存儲在兩個位置，鏈接GPO（Group Policy Object）的Active Directory容器和域控制器上的Sysvol文件夾。GPO是組策略設(shè)置的集合，是存儲在Active Directory中的一個虛擬對象。GPO由組策略容器和組策略模板組成，組策略容器包含GPO的屬性信息，存儲在域中每臺域控制器活動目錄中；組策略模板包含GPO的數(shù)據(jù)，存儲在系統(tǒng)盤的/Policies子目錄下。

組策略管理可以通過組策略編輯器和組策略管理控制臺，組策略編輯器是Windows操作系統(tǒng)中自帶的組策略管理工具，可以修改GPO中的設(shè)置。組策略管理控制臺則是功能更強(qiáng)大的組策略編輯工具，組策略管理控制臺可以創(chuàng)建，管理，部署GPO，***的GPMC可以從微軟網(wǎng)站下載。#p#

8. 基于AD的認(rèn)證過程

8.1 NTLM認(rèn)證

NTLM是用于Windows NT和 Windows 2000/2003/2008 Server 工作組環(huán)境的身份驗(yàn)證協(xié)議。下圖給出了NTLM認(rèn)證的過程，其基本流程如下：

1) 用戶請求訪問。用戶嘗試通過提供用戶憑據(jù)登錄到客戶端。登錄前，客戶端計算機(jī)緩存密碼的哈希值。客戶端向服務(wù)器發(fā)送一個請求，該請求包括用戶名以及純文本格式的請求。

2) 服務(wù)器發(fā)送質(zhì)詢消息。服務(wù)器生成一個稱為質(zhì)詢的 16 字節(jié)隨機(jī)數(shù)（即 NONCE），并將它發(fā)送到客戶端。

3) 客戶端發(fā)送應(yīng)答消息?？蛻舳耸褂糜捎脩舻拿艽a生成的一個密碼哈希值來加密服務(wù)器發(fā)送的質(zhì)詢。它以應(yīng)答的形式將這個加密的質(zhì)詢發(fā)回到服務(wù)器。

4) 服務(wù)器將質(zhì)詢和應(yīng)答發(fā)送到域控制器。服務(wù)器將用戶名、原始質(zhì)詢以及應(yīng)答從客戶端計算機(jī)發(fā)送到域控制器。

5) 域控制器比較質(zhì)詢和應(yīng)答以對用戶進(jìn)行身份驗(yàn)證。域控制器獲取該用戶的密碼哈希值，然后使用該哈希值對原始質(zhì)詢進(jìn)行加密。接下來，域控制器將加密的質(zhì)詢與客戶端計算機(jī)的應(yīng)答進(jìn)行比較。如果匹配，域控制器則發(fā)送該用戶已經(jīng)過身份驗(yàn)證的服務(wù)器確認(rèn)。

6) 服務(wù)器向客戶端發(fā)送應(yīng)答。假定憑據(jù)有效，服務(wù)器授予對所請求的服務(wù)或資源的客戶端訪問權(quán)。

8.2 Kerberos認(rèn)證

當(dāng)客戶端對網(wǎng)絡(luò)服務(wù)進(jìn)行身份驗(yàn)證之后，kerberos v5 協(xié)議遵循以下步驟：

1) 客戶端從 KDC 請求TGT.

用戶試圖通過提供用戶憑據(jù)登錄到客戶端?？蛻舳擞嬎銠C(jī)上的 Kerberos 服務(wù)向密鑰發(fā)行中心（KDC） 發(fā)送一個 Kerberos 身份驗(yàn)證服務(wù)請求。該請求包含用戶名、請求票證授予票證（ticket-granting ticket，TGT）所獲取的服務(wù)信息，以及使用用戶的長期密鑰（即密碼）加密的時間戳。（在Windows 2000 Server/Windows Server 2003/ Windows Server 2008操作系統(tǒng)上，域控制器充當(dāng) KDC，而 Active Directory 宿主安全帳戶數(shù)據(jù)庫）

2) 身份驗(yàn)證服務(wù)發(fā)送加密的

TGT 和會話密鑰。KDC 為來自 Active Directory 的用戶獲取長期密鑰（即密碼），然后解密隨請求一起傳送的時間戳。如果該時間戳有效，則用戶是真正的用戶。KDC 身份驗(yàn)證服務(wù)創(chuàng)建一個登錄會話密鑰，并使用用戶的長期密鑰對該副本進(jìn)行加密。然后，該身份驗(yàn)證服務(wù)創(chuàng)建一個 TGT，它包括用戶信息和登錄會話密鑰。***，該身份驗(yàn)證服務(wù)使用自己的密鑰加密 TGT，并將加密的會話密鑰和加密的 TGT 傳遞給客戶端。

3) 客戶端從 TGT 請求服務(wù)器訪問。

客戶端使用其長期密鑰（即密碼）解密登錄會話密鑰，并在本地緩存它。此外，客戶端還將加密的 TGT 存儲在它的緩存中。訪問網(wǎng)絡(luò)服務(wù)時，客戶端向 KDC 票證授予服務(wù)（ticket-granting service，TGS）發(fā)送一個包含信息的請求，這些信息包括用戶名、使用用戶登錄會話密鑰加密的驗(yàn)證者消息、TGT，以及用戶想訪問的服務(wù)（和服務(wù)器）名稱。

4) TGS 發(fā)送加密的會話密鑰和票證。

KDC 上的 TGS 使用自己的密鑰解密 KDC 并提取登錄會話密鑰。它使用該登錄會話密鑰解密驗(yàn)證者消息（通常是時間戳）。如果驗(yàn)證者消息成功解密，TGS 從 TGT 提取用戶信息，并使用用戶信息創(chuàng)建一個用于訪問該服務(wù)的服務(wù)會話密鑰。它使用該用戶的登錄會話密鑰對該服務(wù)會話密鑰的一個副本進(jìn)行加密，創(chuàng)建一個具有服務(wù)會話密鑰和用戶信息的服務(wù)票證，然后使用該服務(wù)的長期密鑰（密碼）對該服務(wù)票證進(jìn)行加密。然后，TGS 將加密的服務(wù)會話密鑰和服務(wù)票證添加到客戶端。

5) 客戶端發(fā)送服務(wù)票證?？蛻舳嗽L問服務(wù)時，向服務(wù)器發(fā)送一個請求。該請求包含驗(yàn)證者消息（時間戳），該消息使用服務(wù)會話密鑰和服務(wù)票證進(jìn)行加密。

6) 服務(wù)器發(fā)送加密的時間戳以進(jìn)行客戶端驗(yàn)證。

服務(wù)器解密服務(wù)票證并提取服務(wù)會話密鑰。通過使用服務(wù)會話密鑰，服務(wù)器解密驗(yàn)證者消息（時間戳）并計算它。如果驗(yàn)證者通過測試，則服務(wù)器使用服務(wù)會話密鑰對驗(yàn)證者（時間戳）進(jìn)行加密，然后將驗(yàn)證者傳回到客戶端?？蛻舳私饷軙r間戳，如果該時間戳與原始時間戳相同，則該服務(wù)是真正的，客戶端繼續(xù)連接。

【編輯推薦】

1. 活動目錄設(shè)計中需要遵循的七個原則
2. 如何在多域林中恢復(fù)活動目錄根域
3. 小心雙刃劍 Ntdsutil對活動目錄的管理
4. 提高活動目錄性能與安全的LSASS進(jìn)程
5. 替代活動目錄管理的PowerShell命令