# Active Directory Domain Service (AD DS) 概觀 1. 又稱AD Windows Server、AD Domain。 2. 建立使用者、群組、電腦等，提供==集中身分驗證、存取授權管理==。 3. 支援Directory Service(LDAP)。 * （Lightweight Directory Access Protocol，輕量級目錄訪問協定）是一個開放、跨平台的標準協定，用於訪問和維護分佈式目錄信息服務。這些目錄通常包含組織內的用戶、計算機、資源和其他對象的信息，並且可以用於身份驗證、授權和其他目錄服務。 5. GPO(Group Policy Object)集中管理電腦開機後的設定與使用這登入後的環境。 6. 一個 AD DS 至少要有1個 AD DS 的 Domain Controller(writeable)，可有更多 writeable DC 或 RODC(0~多個)。 7. Security Boundary，是 AD DS 物件複寫的界線(Replication Boundary)。 8. 由邏輯元件與實體元件所組成。 ## AD DS 邏輯元件與實體元件組成 1. 邏輯元件 * 磁碟分割(Partition)： * 分割又稱命名內容(naming context)，是 AD DS資料庫的一部分。分割的複本可儲存在多個網域控制站，並透過目錄複寫進行資料更新。 * 主要有三種磁碟分割： * 架構磁碟分割（Schema Partition）：AD 架構的複本。 * 組態磁碟分割（Configuration Partition）：包含樹系的設定物件。 * 網域磁碟分割（Domain Partition）：包含使用者、群組、電腦和其他特定網域物件等。 * 架構(Schema)： * 是一個定義所有物件類別(classes，可以有User、Computer、Group、Organiztional Unit的容器)和屬性(attributes，表格中的欄位)的元件。 * 每個類別都有規則，以定義那些屬性是必須的或是可選用的。 * 樹系中所有的網域皆有包含一份使用於該樹系架構的複本。針對架構所做的任何變更皆會從架構主機(schema master，通常是樹系中的第一個DC)複寫到樹系中每個 DC。 * 只有 Schema Admins 群組的成員可以修改 AD DS 架構，只能藉由 AD DS 架構延伸(schema extensions)來延伸 AD DS 架構。 * 網域(Domain)： * 物件(如：使用者和電腦)的一個邏輯性管理容器。可對應到一個特定磁碟分割，並可與其他網域形成父子(parent-child)網域關係。是複寫邊界(replication boundary)也是管理中心(administrative center，網域中包含一個 Administrator 帳戶與 Domain Admins 群組)，更提供身分驗證(authentication，當一個加入網域的電腦啟動時，或使用者登入到一個加入網域的電腦，AD DS 都會對其進行身分驗證)，並提供授權(authorization)。 * AD DS Domain： * 每個 AD DS Domain 有自己 Domain Admins 群組的 Domain Admins，會自動成為此 Domain 中全部 Windows 電腦的 Administrator 群組成員。 * 是一個用來管理使用者、電腦、群組與其他物件的邏輯容器。所有網域物件都是存放在 AD DS 資料庫，每個 DC 都有一份 AD DS 資料庫的複本，以下簡單介紹3種物件類型。 * 使用者帳戶(User accounts)：使用者帳戶包含了使用者資訊，如：登入過程中驗證使用者所需的資訊、建立使用者的存取權杖。 * 電腦帳戶(Computer accounts)：每個加入網域的電腦在 AD DS 中都有一個帳戶。電腦帳戶是給加入網域的電腦使用，其使用方式和使用者帳戶相對於使用者是一樣的。 * 群組(Groups)：群組是用來組織使用者或電腦，使得網域中的權限與群組原則的管理變得容易。 * Domain Directory Partition 和 Domain DNS Zone 的完整複寫界線。 * 網域樹(Tree)：一個階層式網域集合，他們共用同一個根網域和連續的網域名稱系統(Domain Name System，DNS)名稱空間。 * 樹系(Forest)： * 一組擁有共同AD DS 根和架構的網域集合，這些網域具有雙向信任關係，同時也是 AD DS 最上層的容器。 * 每個樹系(Forest)都是一個或多個網域樹的集合，他們之間是共用同一個目錄架構(schema)與通用類別目錄(global catalog)。 * 一個 AD Forest：至少要有1個 AD DS 的 Domain，為1個 Domain，稱為 Forest Root Domain。或可以由跨多個網域樹的數百個網域所組成。 * 樹系根網域包含了少數不再樹系中其他網域的物件，而下列物件只存在樹系根網域： * 架構主機(schema master)角色：是個特殊且全樹系範圍的一個網域控制站角色。任何樹系只會存在一個架構主機。只能在擁有架構主機的 DC 上變更架構。 * Enterprise Admins群組：樹系根網域的系統管理員帳戶(Administrator)預設是 Enterprise Admins群組中的成員。 * Schema Admins群組：預設 Schema Admins 群組中是沒有任何成員的。 * 安全邊界(Security Boundary)：AD DS 樹系是一個安全邊界，預設樹系外的使用者不可以存取樹系內的任何資源，通常一個組織只會建立一個樹系。 * 複寫邊界(Replication Boundary)：AD DS 樹系是在 AD DS 資料庫中的組態和架構分割的複寫邊界。因此，所有樹戲中的 DC 必須共有同一個架構(schema)。AD DS 樹系也是通用類別目錄的複寫邊界，通用類別目錄可讓樹系中任何網域尋找物件。 * 站台(Site)：包含 AD DS 物件的容器。 * 子網路(Subnet)：是組織指派給站台中電腦的一個IP子網路區段，一個站台可以有一個以上的子網路。 * 組織單位(Organizational unit，OU)：是 Domain 中的一種子層容器，一個 OU 中也可有子層 OU，OU可直接連結 GPO(Group Policy Object)。是為了使用者、群組與電腦提供一個可委派管理權限與管理群組物件(GPOs)的架構並連結。 * 容器(Container)：是一個物件，提供 AD DS 中使用的組織架構，但無法與 GPOs 進行連結。 ### Domain vs Tree vs Forest  > 引用自： https://medium.com/@kawsaruddin238/active-directory-basics-tryhackme-548e4cb6e7fb 2. 實體元件 * 網域控制站(Domain Controller)： * 包含 AD DS 資料庫的複本。 * 每個 DC 可處理變更和將變更的結果複寫到網域中的其他所有 DC。 * 資料存放區(Data Store)： * 每個 DC 都存放一份資料存放區的複本。 * AD DS 資料庫使用 Microsoft Jet 資料庫技術，並將目錄資訊儲存在Ntds.dit檔案及關聯的紀錄檔。預設這些檔案是儲存在C:\\Windows\NTDS資料夾中。 * 通用類別目錄伺服器(Global Catalog server)： * 由 DC 兼任，一個 Forest 中至少要有1個 GC Server。 * 會儲存多個網域樹系中的所有物件之部分唯獨複本，加速搜尋可能儲存在樹系中不同網域的 DC 中的物件。 * 唯讀網域控制站(Read-Only Domain Controller，RODC)： * 是AD DS 一種特殊且唯讀的安裝。 * 常用在無法保證實體安全分支機構、主要企業中心的IT支援沒那麼先進、商務應用程式需在 DC 運行的情境下。 ### 影片資源補充： * Active Directory Domain Service Deep Dive {%youtube 4qC7H-y7oKI %} * Active Directory Domain Services For Beginners - Windows Server 2019 {%youtube 7uLhJ236VD8 %} * Active Directory Domain Services Installation & Configuration - Windows Server 2019 {%youtube h3AFR2hPEDM %} * Understanding Active Directory Domains, Trees, and Forest {%youtube 7xOUsirYLYU %} * How To Join A Windows 10 Computer To A Domain - Windows Server 2019 {%youtube 86TU6wZfPfk %} * What is Forest , Tree and Domain in Active Directory {%youtube GL-wKV3jD4U %} * Domains, Trees, And Forests Overview {%youtube QXI71bF3C0w %}