Enterprise software - Active Directory
What is Active Directory(AD) ?
今天要講的主題是當企業或組織再導入各類資訊系統時,各類系統一定都要有帳號跟密碼以及名稱等等的使用者資訊,但是當組織或機構所使用的資訊系統數(不同種類)越多、光要建立這些使用者資訊就會是相當大的工程,且耗費時間跟金錢等以及各種無形成本(所投入的人力),而此時有個東西就因應而生了,就是Active Directory-AD。AD是一種統一管理使用者資訊的系統,一般如果是一些大型的組織或大規模的機構,都會建立組織裡面成員的帳密(方便控管權限)以及各種使用者的用戶端電腦、工作站、伺服器、儲存設備等,組織規模小的時候還好,但當規模一龐大起來,可能會在工作時使用不同的系統上的各種服務,Ex: Microsoft、Linux等大公司提供的雲端服務,都需要使用這些這些使用者資訊來做為登入使用,如果每外接一個系統就要在註冊這些使用者資訊一次,會相當費時費力,且多組帳密也對於人的來說也是個麻煩,因為有時候記不了多組的帳密等資訊,且資訊安全也是個相當棘手的問題,此時為了方便統一管理就需要Active Directory;再來講關於Active Directory的密碼管理機制,一般我們再登入的時候(Ex: gmail),如果是在該系統的主要網站(伺服器 )入口登入就是跟該系統的資料庫確認密碼是否正確,此處舉例就是跟google伺服器的資料庫確認,如果是使用AD系統在AD以外的地方(A 伺服器)登入的話,A伺服器會將使用者使用者的帳密傳給AD伺服器,由AD伺服器確認密碼是否正確,正確則回傳結果(使用者資訊等檔案目錄)給A伺服器,所以密碼是AD伺服器統一管理,而一般AD以外的伺服器只管理使用者帳號、用戶端電腦、工作站、檔案目錄等資訊。
以下有AD的詳細資訊介紹(引用Reference資料)
一個中大型企業,員工人數眾多,其中使用者帳戶、用戶端電腦、工作站、伺服器、儲存設備、印表機等數量與日俱增,為了方便統一集中控管、簡化管理工作、加強網路安全性,於是 Active Directory(簡稱 AD)這概念就出現。歷史
最早是在 1996 年誕生,並於 Windows 2000 中首次出現,歷經 10 多年的發展,目前 AD 已成為成熟的目錄服務元件。
結構
AD 以樹狀的資料結構來組成網路服務的資訊,在簡單的網路環境中(例如小公司),通常網域都只有一個(上圖),在中型或大型的網路中,網域可能會有很多個,或是和其他公司或組織的 AD 相互連結(下圖)。
Golssary
物件
AD 最小儲存單元為物件(Object),每個物件均有自己的 schema 屬性,可以儲存不同的資料,像是使用者、群組、電腦、信箱或其他的基本物件等。
所有 AD 物件均具有全域唯一識別元(GUID,Globally Unique Identifier)與存取控制清單(ACL,Access Control List)等兩項特性,物件的 GUID 永遠不會改變,無論物件的名稱或屬性如何變更,應用程式仍可透過 GUID 找到物件。
容器
容器(Container)並不是一個實體,雖然他跟物件很類似,但容器可以包含一群物件,預設會有以下 5 種容器(Container):
Builtin:存放本機內建的帳戶群組
Computers,存放加入網域的電腦物件
Domain Controllers,存放網域控制站(簡稱 DC)
ForeignSecurityPrincipals:存放來自信任關係網域的物件
Users:存放網域內使用者帳戶與群組
組織單位
若公司需要以不同的組織結構來管理公司的帳戶,則可以在 AD 中建立一個或多個組織單位(OU,Organization Unit),組織單位是一個具有收納能力的 AD 物件,可以在 OU 之中存放 AD 物件,包括使用者、群組、電腦等,讓組織結構在 AD 中可以被真實地呈現出來,也方便群組原則(Group Policy)的套用與集中管理。
網域
網域(Domain)是由一群共用同一份 AD 資料庫的電腦所組成的集合,網域為 AD 的分割單位,AD 是由至少一個網域所構成的集合。在 Windows Server 2003 R2 的網路環境,各網域至少要有一部網域控制站儲存此 AD 資料庫,並提供網域相關服務,例如:登入驗證、名稱解析等。
沒有 DC,就沒有所謂的網域。在一個網域中可以設置多台 DC,以提高網域的容錯能力,彌補某一台 DC 故障時,還有其他 DC 可以維持網域的運作,不致於造成網域全面停擺,另外也可以改善使用者登入的效率,因為多台 DC 可以分攤驗證使用者身份的負擔。
**P.S. / Reference: 【測試環境】Active Directory 網域服務 - 第一次建 AD 就上手