角色名词
1. 林(Forest)
英文名称: Forest
英文缩写: 无
详细解释: 在 Active Directory(AD)中,林是最顶层的逻辑结构。一个林可以包含一个或多个域,这些域共享一个共同的全局目录、架构、配置和信任关系。林为企业提供了一个统一的目录服务环境,允许跨域用户和资源的访问。
2. 域(Domain)
英文名称: Domain
详细解释: 域是林中的一个逻辑分区,是 Active Directory 的基本单元。每个域都有自己的目录数据库,负责管理域内的用户、计算机、组和其他对象。域提供身份验证、授权和策略管理服务。
3. 域环境(Domain Environment)
英文名称: Domain Environment
英文缩写: 无
详细解释: 域环境是指由一个或多个域组成的网络结构,域是 Active Directory 的基本单元。域环境中,域控制器管理用户、计算机和其他资源,并提供身份验证和授权服务。域之间可以存在信任关系,以允许跨域访问。
4. 域服务(Domain Services)
英文名称: Domain Services
详细解释: 域服务通常指 Active Directory 域服务(Active Directory Domain Services,AD DS)。AD DS 提供目录服务和身份验证功能,使管理员能够集中管理用户和资源。域服务是 Active Directory 中实现和管理域及其功能的核心服务。
5. 域服务器(Domain Server)
英文名称: Domain Server
英文缩写: 无
详细解释: 域服务器是指在域环境中运行的服务器,包括域控制器和成员服务器。域服务器在域中提供各种网络服务,如身份验证、文件共享和应用程序服务。
6. 域控制器(Domain Controller)
英文名称: Domain Controller
英文缩写: DC
详细解释: 域控制器是负责管理 Active Directory 中的域的服务器。它处理域中的身份验证请求,维护域中所有对象(如用户、计算机和组)的目录信息,并应用安全策略。域控制器是域环境的核心组件。
7. 成员服务器(Member Server)
英文名称: Member Server
英文缩写: 无
详细解释: 成员服务器是加入到域但不充当域控制器的服务器。这些服务器提供各种网络服务(如文件、打印、应用程序服务),并依赖域控制器进行身份验证和权限管理。
8. 独立服务器(Standalone Server)
英文名称: Standalone Server
英文缩写: 无
详细解释: 独立服务器是未加入任何域的服务器,通常作为工作组的一部分。它独立管理其资源和用户,不依赖域控制器进行身份验证和授权。独立服务器适用于小型网络或需要高自主性和控制的环境。
深入理解
架构关系
-
林(Forest):
- 林是最高层次的容器,包含多个域。
- 林中的域共享全局目录和信任关系。
-
域(Domain):
- 域是林中的一个独立单元。
- 每个域有自己的目录数据库,管理域内的对象。
- 域之间可以建立信任关系,以允许跨域访问。
-
域环境(Domain Environment):
- 域环境包括域和域内所有的资源和安全策略。
- 域环境指的是域的实际网络部署,包括域控制器、成员服务器和客户端计算机。
-
域服务(Domain Services):
- 域服务(AD DS)是实现域功能的服务,运行在域控制器上。
- 提供目录服务、身份验证、授权和策略管理。
现实类比
为了更容易理解林、域、域环境和域服务的架构关系,可以用现实中的组织结构来比喻。假设一个大型跨国公司,我们可以这样类比:
1. 林(Forest)= 公司集团
比喻: 林可以比喻成一个大型的公司集团。这个集团由多个子公司组成,每个子公司都有自己的管理层和员工,但整个集团共享一些共同的资源和政策。
2. 域(Domain)= 子公司
比喻: 域可以比喻成公司集团中的各个子公司。每个子公司有自己独立的运营管理系统和员工记录,但它们都在同一个公司集团内,遵循集团的总体政策和规范。
3. 域环境(Domain Environment)= 子公司内的办公环境
比喻: 域环境可以比喻成每个子公司的实际办公环境,包括办公室、工作站、会议室和其他工作设施。这个环境中有员工、计算机、打印机等各种资源。域环境中的所有资源和活动都由子公司(域)管理。
4. 域服务(Domain Services)= 子公司管理和运营服务
比喻: 域服务可以比喻成子公司内部的管理和运营服务系统,比如员工考勤系统、内部通讯系统、安保系统等。这些服务系统帮助子公司管理员工的活动、权限和资源使用。
现实中的比喻总结
- 林(Forest) 就像一个公司集团,包含多个子公司(域)。
- 域(Domain) 就像公司集团中的子公司,每个子公司独立管理自己的员工和资源。
- 域环境(Domain Environment) 就像子公司的办公环境,包括所有实际存在的设施和资源。
- 域服务(Domain Services) 就像子公司内部的管理和运营服务系统,帮助管理和维护办公环境中的资源和活动。
举例
-
公司集团(林):全球 IT 公司集团
-
子公司(域):美国分公司、欧洲分公司、亚洲分公司
- 办公环境(域环境):每个子公司内部的办公楼、工作站、设备
- 管理服务(域服务):员工管理系统、资源分配系统、安保系统
-
子公司(域):美国分公司、欧洲分公司、亚洲分公司
拓展理解
1. 域名系统(Domain Name System)
- 英文名称: Domain Name System
- 英文缩写: DNS
- 详细解释: DNS 是用于将域名解析为 IP 地址的系统。它是互联网和许多企业网络的核心组件,允许用户使用易记的域名访问网站和其他网络资源。Active Directory 依赖 DNS 来定位域控制器和其他服务。
2. 全局目录(Global Catalog)
- 英文名称: Global Catalog
- 英文缩写: GC
- 详细解释: 全局目录是 Active Directory 中存储域中所有对象的部分属性的目录。全局目录服务器(通常是域控制器)在跨域查询和登录过程中扮演关键角色,提供快速的目录查询和查找服务。
3. 组策略(Group Policy)
- 英文名称: Group Policy
- 英文缩写: GP
- 详细解释: 组策略是用于集中管理和配置操作系统、应用程序和用户设置的功能。通过组策略,管理员可以定义安全设置、软件安装、脚本和其他配置,确保域内的一致性和安全性。
4. 读写域控制器(Read-Write Domain Controller)
- 英文名称: Read-Write Domain Controller
- 英文缩写: RWDC
- 详细解释: 读写域控制器是可以对 Active Directory 进行读写操作的域控制器,允许进行更改并复制这些更改到其他域控制器。
5. 只读域控制器(Read-Only Domain Controller)
- 英文名称: Read-Only Domain Controller
- 英文缩写: RODC
- 详细解释: 只读域控制器是只能对 Active Directory 进行读取操作的域控制器,不能进行更改。RODC 通常用于分支机构或安全性要求较高的环境,以降低数据篡改的风险。
6. 组织单位(Organizational Unit)
- 英文名称: Organizational Unit
- 英文缩写: OU
- 详细解释: 组织单位是 Active Directory 中的一个容器,用于组织和管理域中的对象(如用户、组、计算机和其他 OU)。管理员可以对 OU 应用组策略和委派权限,以便更细粒度地管理域中的资源。
7. 活动目录联合身份验证服务(Active Directory Federation Services)
- 英文名称: Active Directory Federation Services
- 英文缩写: AD FS
- 详细解释: AD FS 是用于提供单点登录(SSO)和跨组织、跨平台的身份联合服务。它允许用户在多个应用程序和系统之间使用单一的身份进行访问和认证。
8. 轻量级目录访问协议(Lightweight Directory Access Protocol)
- 英文名称: Lightweight Directory Access Protocol
- 英文缩写: LDAP
- 详细解释: LDAP 是一种应用协议,用于访问和维护分布式目录信息服务。Active Directory 使用 LDAP 作为其主要访问协议,使客户端能够查询和修改目录数据。
9. 多因素认证(Multi-Factor Authentication)
- 英文名称: Multi-Factor Authentication
- 英文缩写: MFA
- 详细解释: 多因素认证是一种安全机制,通过要求用户提供两个或更多的身份验证因素来增加访问控制的安全性。除了用户名和密码,可能还需要额外的因素,如短信验证码、手机应用程序生成的代码或生物识别信息。
10. 域信任(Domain Trust)
- 英文名称: Domain Trust
- 英文缩写: 无
- 详细解释: 域信任是两个域之间建立的信任关系,允许用户在一个域中访问另一个域中的资源。信任关系可以是单向的或双向的,也可以是隐含的或显式的。
11. 灵活单主操作(Flexible Single Master Operation)
- 英文名称: Flexible Single Master Operation
- 英文缩写: FSMO
- 详细解释: FSMO 角色是 Active Directory 中的特定任务角色,分布在一个或多个域控制器上,以确保某些操作的唯一性和一致性。主要包括架构主、域命名主、RID 主、PDC 模拟器和基础结构主五种角色。
12. 目录复制服务(Directory Replication Service)
- 英文名称: Directory Replication Service
- 英文缩写: DRS
- 详细解释: 目录复制服务是 Active Directory 中用于在域控制器之间复制目录数据的机制。它确保所有域控制器拥有一致的目录信息,实现高可用性和数据冗余。
13. 操作主机角色(Operations Master Roles)
- 英文名称: Operations Master Roles
- 英文缩写: 无
- 详细解释: 操作主机角色是指在 Active Directory 中某些特定功能的责任被指定到特定的域控制器上。包括架构主(Schema Master)、域命名主(Domain Naming Master)、RID 主(RID Master)、PDC 模拟器(PDC Emulator)和基础结构主(Infrastructure Master)。
14. 站点和服务(Sites and Services)
- 英文名称: Sites and Services
- 英文缩写: 无
- 详细解释: 站点和服务是 Active Directory 中的一个工具,用于管理网络中不同物理位置(站点)之间的复制流量和服务定位。站点通常对应于不同的地理位置,可以优化带宽使用和提高目录访问的效率。
15. 安全组(Security Group)
- 英文名称: Security Group
- 英文缩写: 无
- 详细解释: 安全组是 Active Directory 中的一种对象,用于将多个用户、计算机或其他组组合在一起,以便统一管理权限和访问控制。安全组可以分配给文件夹、共享资源和其他对象的访问权限。
16. 分发组(Distribution Group)
- 英文名称: Distribution Group
- 英文缩写: 无
- 详细解释: 分发组是 Active Directory 中的一种对象,用于电子邮件分发列表。与安全组不同,分发组不用于访问控制,而是用于在电子邮件系统中发送邮件给一组用户。
17. 用户主体名称(User Principal Name)
- 英文名称: User Principal Name
- 英文缩写: UPN
- 详细解释: 用户主体名称是用于登录 Active Directory 的用户标识符,通常以电子邮件地址的形式表示(如 username@domain.com)。UPN 提供了一种统一的身份标识方式。
18. Active Directory 证书服务(Active Directory Certificate Services)
- 英文名称: Active Directory Certificate Services
- 英文缩写: AD CS
- 详细解释: AD CS 是 Windows Server 提供的一套服务,用于创建、管理和分发数字证书。它提供公钥基础设施(PKI)功能,支持安全通信、文档签名和身份验证。
19. Active Directory Web 服务(Active Directory Web Services)
- 英文名称: Active Directory Web Services
- 英文缩写: ADWS
- 详细解释: ADWS 是 Windows Server 提供的一种服务,使客户端应用程序能够通过标准的 Web 协议(如 SOAP)访问 Active Directory。它提供了跨平台和跨语言的访问能力。
20. Active Directory 轻量级目录服务(Active Directory Lightweight Directory Services)
- 英文名称: Active Directory Lightweight Directory Services
- 英文缩写: AD LDS
- 详细解释: AD LDS 是 Active Directory 的一种轻量级实现,提供目录服务功能,但不依赖于 Active Directory 域。它适用于需要目录服务但不需要完整域功能的应用程序。
其他名词
- 域功能级别(Domain Functional Level)
- 林功能级别(Forest Functional Level)
- 动态 DNS(Dynamic DNS)
- 策略优先级(Policy Precedence)
- 权限提升(Privilege Escalation)
- Kerberos 认证协议(Kerberos Authentication Protocol)
- Active Directory 集成区域(Active Directory Integrated Zone)
- 目录林信任(Forest Trust)
- 复制(Replication)
- 目录服务还原模式(Directory Services Restore Mode)
- 组织单位策略(Organizational Unit Policy)
- ADFS(Active Directory Federation Services)
- 基于角色的访问控制(Role-Based Access Control)
- 凭据缓存(Credential Caching)
- 目录服务操作主机(Directory Services Operations Master)
- 策略对象(Policy Object)
- 组策略对象(Group Policy Object)
- 站点(Site)
- Active Directory 组(Active Directory Groups)
- AD RMS(Active Directory Rights Management Services)
- 用户账户控制(User Account Control)
- 目录服务还原模式密码(Directory Services Restore Mode Password)
- 活动目录管理中心(Active Directory Administrative Center)
- 多重域控制器(Multi-Master Replication)
- 帐户策略(Account Policy)
- 网络策略服务器(Network Policy Server)
- 证书颁发机构(Certification Authority)
- 受限访问(Restricted Access)
- 域控制器的全局目录(Global Catalog)
- 活动目录日志(Active Directory Logs)
- 功能级别(Functional Levels)
- 安全组筛选(Security Group Filtering)
- 组策略结果集(Group Policy Results)
- 委派(Delegation)
- LDAP 目录服务(LDAP Directory Services)
- 审核策略(Audit Policy)
0 条评论