Windows NT Server 時代開始出現所謂的「網域(Domain)」這個名詞,什麼是網域呢?為什麼需要它的存在呢?它可以解決使用者帳戶與密碼的集中控管。如果沒有網域,可能需要在每一台伺服器中建立您的帳戶、密碼以及相對應的權限,才夠存取到所需要的資源,假如環境中只有一、二十部電腦或許還可以勉強接受,萬一環境是擁有上百台以上的數量呢?那將會是無法負擔的管理模式,因此目前才捨棄單機自我管理的時代。工作群組(Workgroup)的環境對於逐漸成長的企業網路環境來說,在管理上將會成為一項艱鉅的任務,因為沒有統一集中管理。
網域架構年代的開始便是各項服務、資源、安全集中控管的開始,不只有在使用者帳戶密碼以及權限的配置而已,為了更加強化網域管理上的能力,Microsoft 從Windows 2000 Server 開始有了全新的網域架構技術,那就是Active Directory 簡稱AD,由樹系(Forest) 、網域樹(Domain Tree)、網域(Domain)、組織(Organization Unit)、站台(Site)、架構綱要(Schema)、通用類別目錄(Global Catalog)所構成。
Organization Unit組織單位:
AD 階層式樹狀架構主要由網域所組成,為方便管理,可將網域切割成較小的組織單位,例如:在公司網域之下,再細分成業務部門、技術部門及系統部門等不同組織單位。同一組織單位的人,會形成一個獨立的安全體系,網域管理者可以將權限下放給組織單位的管理者,管理組織單位內部的使用者、群組或電腦等。
網域(Domain):
不同於工作群組,網域是由一群共用同一份 AD 資料庫的電腦所組成的集合,網域為 AD 的分割單位,AD 是由至少一個網域所構成的集合。在各網域至少要有一部網域控制站 (DC, Domain Controller) 儲存此 AD、資料庫,並提供網域相關服務,像是登入驗證、名稱解析等工作。 沒有 DC,就沒有所謂的網域。在一個網域中可設置多台 DC,以提高網域的容錯能力,以預防某一台 DC 故障時,還有其他 DC 可維持網域的運作,不致造成網域全面停擺;另外也可以改善使用者登入的效率,因為多台 DC 可以分攤驗證使用者身份的負擔。
網域樹狀目錄(Domain Tree):
網域樹狀目錄是由多個網域所組成,網域之間則是透過可雙向傳遞資訊的信任關係,以階層式架構組織起來。最上層的網域稱為根網域 (Root Domain)。
站台 (Site)
站台是指透過高速網路所連接的一群電腦,主要目的是為了提高存取與 AD 資料複寫的效率。一般高速連線的區域網路至少由一組 TCP/IP 子網路區段所形成,因此 AD 站台也至少由一個 TCP/IP 子網路所組成。一個站台可以包含多個網域,一個網域也可以包含多個站台。
通用類別目錄 (Global Catalog)
雖然網域樹狀目錄內的所有網域共用一個 AD 資料庫,但資料庫內資料卻是分散地儲存在各網域內,每個網域只儲存該網域本身的資料。因此,為了讓每一個使用者能夠存取其他網域內的資源,因此有通用類別目錄去儲存所有 Active Directory 物件資訊之處,不過只儲存每一個物件的部份屬性資料,而不是全部的屬性。換句話說,它是一個服務,會儲存搜尋作業中最經常使用的物件屬性 (例如使用者的姓氏、名字 、帳戶名稱等),以及尋找該物件的完整資訊。通用類別目錄是由樹系中第一部網域控制站自動建立,該控制站亦稱為通用類別目錄伺服器,除了協助物件資訊查詢,也提供跨網域使用者身份驗證。
認識Active Directory網域服務:
Active Directory(Active Directory Domain Services , ADDS)提供了組織、管理與控制網路資源。什麼是Directory呢?就像我們日常生活中,手機內的電話簿記錄著許多好友的電話與資料,或者是電腦中的檔案系統內記錄著檔案的檔案名稱、大小與日期等資料。將這些directory內的資料有系統地加以整理,使用者就能夠很容易、迅速的尋找到所需的資料,Directory Services所提供的服務,目的就是如此。
Active Directory網域內的Directory Database被用來儲存使用者帳戶、電腦帳戶、印表機與共用資料夾等物件,提供目錄服務的元件就是Active Directory 網域服務,負責目錄資料庫的儲存、新增、刪除、修改與查詢等工作。AD DS的適用範圍可以小至一台電腦,大至數個廣域網路的結合。
名稱空間(Namespace):
名稱空間是一塊界定好的區域,在這個區域範圍內我們可以利用某個名稱來找到與此名稱有關的資訊,舉例來說,日常生活常用的電話簿就是一個名稱空間,我們可以利用姓名來找到某個人的電話、地址與生日等資訊。Windows作業系統的NTFS系統也是一個名稱空間,在這個檔案空間內,我們可以利用檔案名稱來找到某個檔案的大小、檔案內容、修改日期等資訊。
Active Directory網域服務(AD DS)也是一個名稱空間。利用AD DS,我們透過物件名稱來找到與此物件有關的所有資訊。
TCP/IP網路環境內利用Domain Name System(DNS)來解析主機名稱和IP位址的對應關係,AD DS也與DNS緊密的整合在一起,AD DS的網域名稱寬間也是採用DNS架構,因此網域名稱是採用DNS格式來命名,例如將AD DS的網域名稱命名為Sandy.com
物件(Object)與屬性(Attribute): AD DS內的資源是以物件的形式存在,例如使用者、電腦等都是物件的一種,物件透過屬性來描述其特徵,物件本身是一些屬性的集合。舉例來說,我們要在環境中為王小明建立一個帳戶,則需要新增一個物件類型為使用者的物件,而姓、名、登入帳戶、地址等就是此物件的屬性。
認識容區(Container)與組織單位(Organization Unit ,OU):
容區與物件類似,也有自己的名稱,也是一些屬性的集合,不過容區內可以包含其他物件(EX:使用者、電腦等),也可以包含其他容區。組織單位是一個比較特殊的容區,除了可以包含其他物件與組織單位之外,還有群組原則的功能。
Active Directory 對企業環境的好處:
1.電腦帳號密碼集中伺服器管理,強化電腦安全性
電腦帳號密碼統一連到伺服器集中管理,任何沒有該員工帳號密碼的人,無法讀取該員工檔案,就算登入自己的帳號密碼也一樣,增加員工的安全和隱私性。員工離職後,即停用該員工帳號密碼,管理者登入該電腦帳號,備份該電腦重要資料,該員工帳號密碼往後再也無法登入。
2. 建立完整公司員工資料
在伺服器創建帳號密碼同時,可同樣建立該員工基本資料,方便聯絡該員工,員工離職後也保有該基本資料
3.控管所有電腦內軟體安裝
可控管員工在軟體使用上限制,排除員工安裝不必要的外來不明軟體,減少電腦病毒入侵情況。
4.方便使用資產管理系統,減少管理時間與成本
電腦資產軟體系統,要掃描區網內所有電腦,需要該電腦帳號密碼,有了AD環境下去執行軟體,可以觀看所有電腦內的安裝的軟體資訊,和電腦硬體配備資訊,不但增加管理上效率,減少人力時間和成本。
5.統一由AD伺服器派送軟體安裝到電腦
統一由伺服器去派送到該電腦進行軟體安裝,只要使用者一開機,軟體就會進行自動安裝,如果新購電腦或重灌電腦,不必花時間親手安裝軟體。
6.印表機 統一由AD伺服器集中管理
只需要連結到伺服器滑鼠點幾下就能輕鬆快速安裝印表機,無須下載驅動程式和手動設定。
7.網路磁碟機集中管理
員工電腦開機就能看見網路磁碟機。
8.網路分享資料夾和電腦資料夾權限控制,增加安全性
可劃分各個部門權限或者單一使用者權限,明確地輕鬆規劃資料夾使用人的限制。
9.外地分公司統一連線AD伺服器集中管理
利用VPN架構,輕鬆管理外地公司的員工帳號密碼、員工電腦,上述的優點輕鬆利於MIS人員管理,透過AD伺服器和電腦遠端連線,減少MIS人員負擔。