Windows Active Directory是对象的分层框架。它提供各种Active
Directory对象的信息,例如资源,服务,用户帐户,组等,并设置这些对象的访问权限和安全性。Active Directory网络组件的结构是:
域:共享公共目录数据库的一组计算机。
域树:共享连续命名空间的一个或多个域。
域林:共享公共目录信息的一个或多个域树。
组织单位:用于将域中的对象组织到逻辑管理组中的容器或子组。
对象:对象表示具有其属性的单个实体,例如计算机,资源,用户,应用程序等。
Active Directory组
组是可以包含用户,计算机和其他组(嵌套组)的Active
Directory对象。有两种类型的组,即安全组和通讯组。虽然安全组用于将用户,计算机和其他组分组以分配对资源的权限,但通讯组仅用于创建电子邮件分发列表。
该组的范围可以是本地,域本地,全局或通用。
本地组:其范围仅限于其所在的机器。它可用于授予访问计算机资源的权限。
域本地组:它具有域范围,这意味着它可以在该域中的任何Windows机器上授予资源权限。
全局组:它还具有域范围,但可以在任何域中授予权限。
通用组:可以在任何域中授予此组权限。包括其他森林中的域(基于信任关系)。
Active Directory用户
用户为了登录计算机或域,需要Active
Directory中的用户帐户,该帐户为他/她建立身份。基于此标识,操作系统对用户进行身份验证并授予对域资源的访问权限。有两个预定义的用户帐户(管理员和来宾),用于初始登录以进行必要的配置。
Active Directory计算机
与用户帐户类似,计算机帐户用于为计算机提供必要的授权以使用网络和域资源。
管理安全权限
Windows支持的基本安全权限(如“读取”,“写入”和“完全控制”)可用于Active
Directory上的每个对象。除了这些标准权限,AD还提供了一些基于对象类的特殊权限,例如列表内容,删除树,列表对象,自写,控制访问,创建子项,删除子项,读取属性,写入属性等等。
必须将这些权限分配给用户或组,以限制或授予对Active
Directory对象的访问权限。对用户或组的每个权限分配称为访问控制条目(ACE)。
继承权限
在容器(或父对象)上设置的权限也可以应用于其子对象。这称为继承权限。Active
Directory安全模型允许您定义显式权限或将权限传播到其子对象。例如,您可以 为传播指定以下条件:
仅此对象
此对象和所有子对象
电脑对象
组对象
组织单位对象
用户对象
容器可以是任何Active Directory组件,如域,组织单位,并且只有这些容器中的对象才能从父级继承权限。