AD基本觀念

AD基本觀念：
1、Active Directory 網域內負責提供目錄服務的元件為AD DS (Active Directory Domain Services) 它負責目錄資料庫的儲存、新增、刪除、修改與查詢等工作。

2、名稱空間 (Namespace) 是一塊定好區域 (bounded area)，可以利用某個名稱找到與這個名稱相關的資訊。

3、物件 (Object) 與屬性 (attribute)
3-1、物件(Object)：在AD DS 網域內的資源是以物件的形式存在，例如使用者、電腦及印表機。
3-2、屬性(Attribute)：物件本身的特徵。

4、容區 (Container) 與組織單位 (Organization Unit, OU)
4-1、容區 (Container) ：和物料相似，內也是一屬性集合，不過容區 (Container) 可以包含其他物件 (使用者、電腦)，也可以包含其他容區 (Container)。
4-2、組織單位 (OU)：一個比較特殊容區，其容可以包含其他物件與組織單位 (OU)，還有群群原則的功能。


5、網域樹狀目錄 (Domain Tree)
5-1、有點類似樹狀結構，原理和DNS原理一樣。
5-2、網域樹狀目錄所有網域共用一個 Active Directory 資料庫，但此資料庫內的資料是分散的儲存在各各網域內，每一個網域內只儲專屬於該網域的資料。
5-3、兩個網域之間必須建立信任關係 (Trust Relationship)，才可以存取對方網域內的資源。
5-4、當有三個AD DS主機，分別為A(主要)、B、C ，當B加入A時，就建立信任，當C也加入B，則A透過B與C建立信任關於。
5-5、每個網域樹狀目錄 (Domain Tree)第一層，稱為根網域 (Root Domain)


6、樹系 (Forest)
6-1、簡單說就是多組網域樹狀目錄組成。
6-2、建立的第一個網域樹狀目錄的根網域，就是整個樹系(Forest)的根網域( Forest Root Domain)。
6-3、當建立樹系時，每一個網域樹狀目錄內的根網域 (Root Domain)之間雙向的、轉移性的信任關係會自動建立起來。

7、架構 (Schema)
7-1、AD DS內的物件種類與屬性資料是定義在架構內，例如每個屬性的資料類型等資訊。
7-2、只有 Schema Admins群組內的使用者可以修改架構內的資料。
7-3、在一個樹系內的所有網域樹狀目錄 (AD DS) 共用相的架構 (Schema)。

8、網域控制站 (Domain Controller,DC)
8-1、Active Directory 網域服務 (AD DS)的目錄資料是儲存在網域控制站內。
8-2、一個網域有可以有多台網域控制站 (Domain Controller,DC)，每一台網域控制站的地位是平等的，各自儲存著一份 (幾乎)完成相同的 Active Directory 資料庫。
8-3、多台網域控制站 (Domain Controller,DC)，可以提供容錯功能及效能提升 (如密碼審核)


9、Active Directory 的複製模式
9-1、更新AD DS資料庫資料。
9-2、多主機複製模式 (Multi-Master Replcation Model)，大部份採此模式，彼此可以複寫
9-3、單主機複製模式(Single-Master Replication Model)，指定一台主機負責更新其他 AD DS資料庫資料。


10、DNS 伺服器
10-1 網域控制站需要將自己登記到 DNS 伺服器內，以便讓其他電腦透過 DNS 伺服器來找到這台網域控制站。

11、LDAP ( Lightweight Directory Access Protocol)
11-1、是一種用來存取 Active Directory 資料庫的目錄服務通訊協定。
11-2、AD DS 是利用 LDAP 名稱路徑 (LDAP naming path) 來表示物件在 Active Directory 資料內的部置，以便用它來存取 Active Directory 資料庫內的物料。
11-3、LDAP 名稱路徑包含：

• Distinguished Name (DN)：完成路徑，例如sayms.com，
• 說明：
• CN=林小洋，OU=業務一組，OU=業務部，DC=sayms，DC=com
• 除了DC與OU之外，其他都CN來表示，例如使用者或電腦，此DN表示林小洋帳戶是儲存在sayms.com\業務部\業務一組\路徑內。
• Relative Distinguished (RDN)：RDN 是在DN的完整路徑中，表某物件的部份路徑。
• Global Unique Identifier (GUID)：GUID是一個128-bit的數值，當建立物件時，系統會指定一個唯一的GUID。
• User Principal Name (UPN)：可設定每個使用者可以有一個比DN更短、更容易記憶的UPN。
• Service Principal Name (SPN)：表某台電腦所支援的服務。

12、通用類別目錄 (Global Catalog)
12-1、雖然網域樹狀目錄的所有網域共用一個Acvitve Directory 資料庫，但其內的資料卻是分散在各個網域內，故為了讓使用者、應用程式能夠快速的找到位於其他網域內的資源，便設計了通用類別目錄 (Global Catalog) 。
12-2、一個樹系內的所有網域樹狀目錄共用相同的通用類別目錄 (Global Catalog)，而樹系內的第一台網域控制站 (DC) ，預設就是通用類別目錄 (Global Catalog)伺服器，可以額外指定。

13、站台 (Site)
13-1、可將網域控制站分成不同站台，加速之前的資料複寫速度。

14、網域與樹系功能等級
14-1、將網域與樹系劃分為不同的功能等級，每個等級各有不同的特色與限制。
14-2、網域功能等級 (Domain Functionality Level)，只會影響到該網域而已。
14-3、樹系功能等級 (Forest Functionality Level)，會影響到樹系所有網域。
14-3、詳細限制與功能，查相關資訊。