"AD域配置详解"
AD域配置是微软技术中的一个重要概念,许多刚开始学习微软技术的朋友可能会感到头疼。AD域对初学者来说可能显得复杂了一些,但它的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持。
那么,为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。工作组属于分散管理,适合小型网络等等。但是,我们需要考虑一个问题,为什么工作组就不适合中大型网络呢?难道每台计算机分散管理不好吗?
让我们通过一个例子来讨论这个问题。假设现在工作组内有两台计算机,一台是服务器 Florence,一台是客户机Perth。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器 Florence 提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!
实现这个任务,我们可以在服务器上为张建国创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。我们在服务器上为张建国创建了用户账号。然后在共享文件夹中进行权限分配,我们只把共享文件夹的读权限授予了用户张建国。
但是,如果公司不是一台服务器,而是 500 台服务器,这大致是一个中型公司的规模,那么我们的麻烦就来了。如果这 500 台服务器上都有资源要分配给张建国,那会有什么样的后果呢?由于工作组的特点是分散管理,那么意味着每台服务器都要给张建国创建一个用户账号!张建国这个用户就必须痛不欲生地记住自己在每个服务器上的用户名和密码。而服务器管理员也好不到哪儿去,每个用户账号都重新创建 500 次!如果公司内有 1000 人呢?我们难以想象这么管理网络资源的后果,这一切的根源都是由于工作组的分散管理!
现在大家明白为什么工作组不适合在大型的网络环境下工作了吧,工作组这种散漫的管理方式和大型网络所要求的高效率是背道而驰的。既然工作组不适合大型网络的管理要求,那我们就要重新审视一下其他的管理模型了。域模型就是针对大型网络的管理需求而设计的,域就是共享用户账号,计算机账号和安全策略的计算机集合。
从域的基本定义中我们可以看到,域模型的设计中考虑到了用户账号等资源的共享问题,这样域中只要有一台计算机为公司员工创建了用户账号,其他计算机就可以共享账号了。这样就很好地解决刚才我们提到的账号重复创建的问题。域中的这台集中存储用户账号的计算机就是域控制器,用户账号,计算机账号和安全策略被存储在域控制器上一个名为 Active Directory 的数据库中。
部署第一个域是在域配置的重要一步骤。一般情况下,域中有三种计算机,一种是域控制器,域控制器上存储着 Active Directory;一种是成员服务器,负责提供邮件,数据库,DHCP 等服务;还有一种是工作站,是用户使用的客户机。我们准备搭建一个基本的域环境,拓扑如下图所示,Florence 是域控制器,Berlin 是成员服务器,Perth 是工作站。
在部署域时,我们需要考虑很多问题,例如域名的选择,域控制器的安装,成员服务器的配置等等。这些问题都是我们需要注意的重要细节。同时,在部署域时,我们还需要考虑安全问题,例如密码策略,访问控制,身份验证等等。这一切都是我们需要关注的重要问题。
AD域配置是一个复杂的问题,但它的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持。我们需要重新审视一下域模型,了解它的功能和特点,从而更好地管理我们的网络资源。
