域、域控制器和活动目录之间的区别?

域、域控制器和活动目录之间的区别?

我对这三个术语很困惑。我知道:

Active Directory 是一组用于存储有关计算机网络的信息的服务

域控制器是用于运行活动目录的服务器计算机。

但是域名是什么意思???

答案1

微软首次推出(Windows)使用 Windows NT Server 作为其与 Novell Netware 竞争商业服务器市场控制权的一部分。

如果您没有 Windows 域或 Novell Netware 之类的东西,那么每次您想要访问另一台受密码保护的计算机上的资源时,您都必须输入或重新输入密码。而且每个不同的服务器可能会要求您输入完全不同的密码。Windows 域和 Netware 域旨在让您可以一次登录到您正在使用的计算机,然后在后台被授予或拒绝访问许多其他服务器上的资源,而无需您每次访问不同的资源时都提交凭据。

了解 Windows 域的一个简单方法是将其视为两个列表。一个列表是用户名和密码。这些是用户人类会知道的凭证,他们会在登录到他们所在的计算机时输入这些凭证。然后,这些用户凭证的验证将提供给拥有用户想要访问的资源的所有其他计算机。但我们不希望任何计算机都能检查用户的凭证。

这就是为什么第二个“列表”是电脑名称和密码。乍一听可能有点奇怪,但其实很有道理。我们想要控制域用户可以访问哪些计算机,我们想要控制哪些计算机甚至可以查询域中的用户信息。因此,计算机也有自己的凭据,每当计算机启动时,它都会使用计算机名称和密码登录域。有一个在域上创建计算机帐户并建立凭据的过程,称为“将计算机加入域”。

自 NT 4.0 鼎盛时期以来的近 20 年里,Windows 域发生了很大变化,但这两个凭证“列表”(一个用于用户,一个用于计算机)仍然是 Windows 域的核心和关键元素。

域控制器

回顾一下,域控制器Domain Controller本质上是一个 Microsoft Windows 服务器,它既存储域信息的副本(上面提到的两个列表以及许多其他数据),又提供访问和保护和使用该数据的机制。

回想一下用户和计算机凭据列表的重要性,它们是 Windows 域的核心信息,您应该不会惊讶地知道域控制器最重要的功能之一是验证。为了简化用户体验(第二段中我们最初的目标),托管资源的服务器需要能够查询用户凭据列表,以查看相关用户是否是他们所说的身份,并且是否有权访问所服务的资源。域控制器是资源服务器可以查询以验证用户身份和访问权限的服务器。

关于 Windows 域身份验证有很多内容需要深入研究,但您可以进一步研究的两个重要概念是Kerberos 身份验证,这是 Windows 2000 及更高版本的域中使用的身份验证机制,以及传递身份验证,这使得无缝的用户体验成为可能。

域控制器提供的另一项非常重要的服务是存储和复制所有域信息。从 Windows 2000 开始,构成域的信息量大大超过 Windows NT 存储的两个凭据列表和一些其他零碎信息。通过将这些数据的全部或部分复制到其他域控制器,Windows 域机制使其具有更高的可用性和更强的容错能力。

活动目录

与 Windows 2000 一起发布,活动目录是对整个 Windows 域系统的彻底重新设计和重塑。术语“Active Directory”可以指管理 Windows 2000 及更高版本域的整个系统,也可以指包含 Windows 域信息(两个列表和许多其他列表)的数据库,或者两者兼而有之。

构成 Active Directory 的所有信息都存储在 X.500 兼容数据库中。500系列是一套网络目录标准,Windows 域是一种网络目录,因此用 Active Directory 来代替它。如上所述,此 X.500 数据库在域控制器之间进行复制,以使其可访问且具有容错能力。

与“什么是域?”这个问题相关,Active Directory 引入了一种重要的新类型对象和概念,森林。Active Directory 林是一种列表列表,也就是说,它是出于安全和管理目的而相互关联的域的集合。

Active Directory 域和林中涉及的内容很多,域控制器提供的服务也很多。希望这些内容足以补充您现有的信息,并为您提供一些未来的研究方向。显然,您可以通过以下方式进行搜索和/或收藏在此网站上标记,并可能按投票排序,以了解有关 AD 的更多信息。

答案2

Active Directory [AD] 是在您的域控制器 [DC(s)] 上运行并向您的域(您的网络)上的主机提供的一组服务。

例如:您在“Company Org”工作。您位于 172.1.xx /16 网络上。域(即您的网络)将配置为“company.org”。您的域控制器位于 dc1.company.org,它可能映射到 172.1.1.10 之类的地址。dc1.company.org 为您“company.org”域中的计算机提供 AD 服务(LDAP、kerberos 等)。

域更为通用,“AD”是微软的特定实现。“DC”只是在网络/域上管理和运行“AD”的服务器(物理或虚拟)。希望这能有所帮助!:)

相关内容