Active Directory（AD）是一种Microsoft产品，由在Windows Server上运行的多个服务组成，用于管理对网络资源的权限和访问权限。

Active Directory将数据存储为对象。对象是单个元素，例如用户，组，应用程序或设备，例如打印机。对象通常定义为资源（​​如打印机或计算机）或安全主体（如用户或组）。

Active Directory按名称和属性对对象进行分类。例如，用户名可能包括名称字符串以及与用户关联的信息，例如密码和Secure Shell（SSH）密钥。

Active Directory中的主要服务是域服务（AD DS），它存储目录信息并处理用户与域的交互。当用户登录设备或尝试通过网络连接到服务器时，AD DS会验证访问权限。AD DS控制哪些用户可以访问每个资源。例如，管理员通常具有与最终用户不同的数据访问级别。

其他Microsoft产品（如Exchange Server和SharePoint Server）依赖AD DS来提供资源访问。承载AD DS的服务器是域控制器。

Active Directory服务

其他一些服务包括Active Directory。它们是轻量级目录服务，证书服务，联合服务和权利管理服务。每项服务都扩展了产品的目录管理功能。

轻量级目录服务（AD LDS）与AD DS具有相同的代码库，共享类似的功能，例如API。但是，AD LDS可以在一台服务器上的多个实例中运行，并使用轻型目录访问协议（LDAP）将目录数据保存在数据存储中。

LDAP是一种用于通过网络访问和维护目录服务的应用程序协议。LDAP将对象（如用户名和密码）存储在目录服务（如Active Directory）中，并通过网络共享对象数据。

证书服务（AD CS）生成，管理和共享证书。证书使用加密使用户能够使用公钥安全地通过互联网交换信息。

Active Directory联合身份验证服务（AD FS）使用单点登录（SSO）对多个应用程序（甚至在不同网络上）的用户访问进行身份验证。如名称所示，SSO仅要求用户登录一次，而不是为每个服务使用多个专用身份验证密钥。

权利管理（AD RMS）控制信息权利和管理。AD RMS会对服务器上的内容（如电子邮件或Word文档）进行加密，以限制访问。

Active Directory域服务的主要功能

Active Directory域服务使用由域，树和林组成的分层布局来协调网络元素。

域是共享同一AD数据库的一组对象，例如用户或设备。域具有域名系统（DNS）结构。

Active Directory的组策略管理控制台为管理员提供了一种工具，用于自定义组织中的用户和计算机设置。

树是组合在一起的一个或多个域。树结构使用连续的命名空间来收集逻辑层次结构中的域集合。可以将树视为信任关系，其中在两个域之间共享安全连接或信任。可以信任多个域，其中一个域可以信任一个域，第二个域可以信任第三个域。由于此设置的分层特性，第一个域可以隐式信任第三个域而无需显式信任。

森林是一组多棵树。林由共享目录，目录模式，应用程序信息和域配置组成。模式在林中定义对象的类和属性。此外，全局编录服务器还提供林中所有对象的列表。

组织单位（OU）组织用户，组和设备。每个域都可以包含自己的OU。但是，OU不能具有单独的命名空间，因为域中的每个用户或对象必须是唯一的。例如，无法创建具有相同用户名的用户帐户。

Active Directory的历史和发展

微软在1999年提供了Active Directory预览版，并在一年后发布了Windows 2000 Server。Microsoft继续为每个连续的Windows Server版本开发新功能。

Windows Server 2003包含一个值得注意的更新，用于添加林以及编辑和更改林中域的位置的功能。Windows Server 2000上的域无法支持在Server 2003中运行的较新AD更新。

Windows Server 2008引入了AD FS。此外，Microsoft将域管理目录重新命名为AD DS，AD成为其支持的基于目录的服务的总称。

Windows Server 2016更新了AD DS，以提高AD安全性并将AD环境迁移到云或混合云环境。安全更新包括添加特权访问管理（PAM）。

PAM监视对象的访问，授予的访问类型以及用户采取的操作。PAM添加了堡垒AD森林，以提供额外的安全和隔离的森林环境。Windows Server 2016终止了对Windows Server 2003上的设备的支持。

2016年12月，Microsoft发布了Azure AD Connect，以使用Azure Active Directory（Azure AD）加入本地Active Directory系统，以便为Microsoft的云服务（如Office 365）启用SSO 。Azure AD Connect可与运行Windows Server 2008，Windows Server 2008 R2，Windows Server 2012，Windows Server 2012 R2和Windows Server 2016的系统配合使用。

Active Directory与Workgroup

Workgroup是另一个通过点对点网络连接Windows计算机的Microsoft程序。Workgroup允许这些计算机通过网络共享文件，Internet访问，打印机和其他资源。点对点网络消除了对服务器进行身份验证的需要。

Active Directory的主要竞争对手

Red Hat Directory Server管理用户对Unix环境中多个系统的访问。与AD类似，Red Hat Directory Server包括用户ID和基于证书的身份验证，以限制对目录中数据的访问。

Apache Directory是一个在Java上运行的开源项目，可在任何LDAP服务器上运行，包括Windows，macOS和Linux上的系统。Apache Directory包括模式浏览器和LDAP编辑器/浏览器。Apache Directory支持Ecl ip se插件。

OpenLDAP是一个基于Windows的开源LDAP目录。OpenLDAP使用户能够浏览，搜索和编辑LDAP服务器中的对象。OpenLDAP还具有复制，移动和删除目录中树的功能，以及启用模式浏览，密码管理，LDAP SSL支持等功能。