Active Directory網域服務(ADDS)

ADDS, Active Directory Domain Services(Active Directory 網域服務), 是微軟提供的一種目錄服務技術, 主要用於 Windows網域環境中管理網路資源和使用者帳戶, 它的核心目的是集中化管理網路中的用戶、電腦、群組、權限和資源(例如文件夾和列印機), ADDS提供了身份驗證與授權服務, 確保企業內的網路資源可以安全且高效地進行存取

w-studio.idv.tw

ADDS的主要功能

。集中化管理: 統一管理使用者帳戶、電腦和資源

。身份驗證: 提供安全的登入和資源存取機制

。授權: 基於權限設定, 允許或拒絕使用者對資源的存取

。目錄查詢: 快速查詢網路中的資源, 例如用戶、電腦、文件夾和列印機

。可擴展性與容錯性: 允許多個伺服器協同工作, 保證高可用性和資料同步

一些 ADDS元件解釋:

ADDS架構(Schema)

Schema(架構)是 ADDS的核心部分, 定義目錄服務中的資料結構及其屬性, 它決定可以儲存什麼類型的資訊以及如何儲存, 例如:

。類別(Classes): 例如使用者帳戶、電腦、群組等物件類型

。屬性(Attributes): 例如使用者名稱、電子郵件地址、電話號碼等屬性

。規則: 定義每個類別和屬性的關係, 例如哪些屬性適用於哪些物件類型

架構是全域性的, 對樹系中的所有網域都生效

ADDS樹系(Forest)

樹系是 ADDS中的最高邏輯結構, 由多個具有共享架構和全域目錄的網域組成, 特點如下:

。共用架構: 樹系內的所有網域共用相同的架構定義

。信任關係: 樹系內的所有網域之間具有自動建立的雙向信任關係, 允許跨網域的資源存取

。全域目錄(Global Catalog): 樹系內包含一個全域目錄, 用於儲存整個樹系中所有物件的部分屬性以加速查詢

ADDS網域(Domain)

網域是樹系中的基本單位, 是一組共享相同目錄資料庫的物件集合, 特點包括:

。唯一的 DNS名稱: 每個網域都有自己的唯一名稱, 例如 example.com w-studio.idv.tw

。安全邊界: 網域內部的資源可以設置為只對該網域中的使用者可見

。單一管理: 每個網域都由網域控制站(Domain Controller, DC)管理, 網域控制站負責身份驗證和資源授權

。信任關係: 不同網域之間可以透過信任關係進行資源共享

組織單位(OU)

組織單位(Organizational Unit, OU)是 ADDS中用來組織和管理物件(如使用者、群組、電腦)的邏輯容器, 特點如下:

。邏輯分類: OU可以按部門(如人事部、財務部)、地點(如台北、高雄)或功能(如伺服器、工作站)分類物件

。委派管理: 可以將 OU的管理權限委派給特定的管理者而無需授予整個網域的控制權限

。應用群組原則(GPOs): 可以對 OU內的物件套用特定的群組原則, 做更細緻的管理