Windows Server 2012 - Active Directory

简介

Active Directory（AD）是一项基于LDAP的目录服务，最初由微软开发，用于在Windows域网络中管理用户和计算机。Windows Server 2012中的Active Directory提供了全面、可扩展的身份验证、访问控制和应用程序部署选项。

优点

组织结构

Active Directory提供了一个层级组织结构，是网络管理员可以创建、管理和使用的维护信息。层级从最高的林开始，包括多个树和一个或多个域。每个域可以包含多个组，每个组可以包含用户、计算机和其他资源。

身份验证和授权

Active Directory为用户管理身份验证和授权提供了全面的工具。用户可以使用自己的用户名和密码登录到企业网络中的任何计算机。系统管理员可以配置Active Directory以限制对敏感信息和应用程序的访问。

集中化部署

Active Directory可以帮助管理员将软件和应用程序部署到整个网络中的计算机。管理员只需在Active Directory中指定应用程序，并决定哪些用户可以访问。管理员还可以使用组策略来强制规则和限制。

相关技术

LDAP

Active Directory是基于LDAP，LDAP是一种开放式的协议，用于在Internet上访问分布式的信息目录。它是一种应用层协议，通常运行在TCP/IP协议之上。LDAP用于从Active Directory目录树中查询数据，例如用户、计算机和组。

Kerberos

Kerberos是一种网络认证协议，确保计算机和用户的身份验证和授权。在Active Directory中，Kerberos用于验证用户和计算机，并授权它们访问网络中的资源。Kerberos可确保安全停留在网络中，但仅在用户具有正确的凭据时才允许授权。

DNS

Active Directory要求网络中所有计算机都配置了正确的DNS设置。DNS用于解析计算机名称和IP地址之间的关系。此设置特别重要，因为Active Directory使用DNS来查找其数据。

示例代码

连接到Active Directory

Import-Module ActiveDirectory
Connect-ADServiceAccount -Credential (Get-Credential)

获取Active Directory中的所有用户

Get-ADUser -Filter * -Properties *

获取指定用户的详细信息

Get-ADUser -Identity jdoe -Properties *

获取成员组

Get-ADPrincipalGroupMembership -Identity jdoe

创建新用户

New-ADUser -Name jsmith -GivenName John -Surname Smith -SamAccountName jsmith -UserPrincipalName jsmith@contoso.com -AccountPassword (ConvertTo-SecureString -AsPlainText "P@ssw0rd" -Force) -Enabled $true -Path "OU=Users,DC=contoso,DC=com"

将用户添加到组中

Add-ADGroupMember -Identity "cn=Sales,ou=Groups,dc=contoso,dc=com" -Members jdoe

结论

Active Directory是网络管理员和开发人员必不可少的工具。它提供了一个统一的管理界面，用于访问并管理整个网络。无论您是在管理用户、计算机和其他资源，还是要将应用程序或软件部署到整个网络中，Active Directory都提供了许多有用的工具和技术。