Active Directory是什么？工作原理

Active Directory数据库（目录）包含有关域中AD对象的信息。常见类型的AD对象包括用户、计算机、应用程序、打印机和共享文件夹。某些对象还包含其他对象（因此您将看到以“层次结构”形式描述的AD）。尤其是，组织通常通过将AD对象组织到组织单位(OU)中来简化管理，并通过将用户分到组中来简化安全性。这些OU和组本身就是存储在目录中的对象。

对象具有属性。某些属性很明显，某些属性则较为隐蔽。例如，用户对象通常具有人员姓名、密码、部门和电子邮件地址等属性，但是还有一些大多数人从未见过的属性，例如唯一的全局唯一标识符(GUID)、安全标识符(SID)、上次登录时间和组成员身份。

数据库是结构化的，这意味着存在某种设计用来确定存储的数据类型以及数据的组织方式。该设计称为架构。Active Directory也不例外：其架构包含可在Active Directory林中创建的每个对象类的正式定义，以及Active Directory对象中存在的每个属性。AD附带默认架构，但是管理员可以对其进行修改以符合业务需求。要了解的关键之处在于，最好提前仔细规划好架构；因为AD在身份验证和授权方面具有核心地位，以后更改AD数据库的架构会严重影响您的业务。