活动目录概述


活动目录是一个包含各种对象的层次框架。为您提供了各种活动目录对象的信息,如资源,访问,用户帐户,组等等,可以对这些对象设置访问权限和安全策略。活动目录的网络组件的结构包括:

活动目录组

 

组是能够包含用户,计算机和其他组(嵌套组)的活动目录对象。组分为两种类型,分别叫做安全组和通讯组。安全组被用于对组用户,计算机以及其它组指派使用资源的权限,通讯组只用于创建邮件通讯列表。  组的范围可以是本地,本地域,全局,或者是通用。

活动目录用户

 

一个用户,要想登录到计算机或域,需要在活动目录中创建一个标识他/她身份的用户帐户。操作系统会基于这个身份来验证用户,并授予访问域资源的权限。有两个预定义用户帐户用于最初登录并进行必要的配置,他们是administrator和guest。

 

活动目录计算机

 

和用户帐户类似,计算机帐户被用于提供给计算机使用网络以及域资源的必要授权。

 

管理安全权限

 

Windows所支持的基本安全权限,如读,写,和完全控制,这些对于活动目录中的每一个用户对象都是可用的。除了这些标准权限,基于对象类(对象类包括:列出内容、删除树、列出对象、自身写入、访问控制、创建子对象、删除子对象、读属性、写属性等等),AD还提供了一些特殊权限。

 

这些权限必须指派到用户或组,从而限制或者授予用户访问活动目录对象的权限。指派给用户或组的权限,就被称为“访问控制条目”(ACE)。

 

继承权限

 

将一个容器(或父对象)的权限应用到他的子对象。这就被称为继承权限。活动目录安全模式允许您明确定义权限或传播权限给它们的子对象。例如,您可以将权限应用到如下对象:

容器可以是任意活动目录组件,比如域,组织单位,并且这些容器中的对象能够继承来自父对象的权限

 

接下来我们将要讨论一些常用的活动目录术语

 



版权所有 © 2022, 卓豪(中国)技术有限公司,保留一切权利