AD验证是什么？

AD验证是什么？

 

老是在各路系统手册上看到AD验证的字样，不过AD验证到底是什么不甚了了。

 

AD-- Active Directory活动目录，是windows server特有的信息管理形式。

 

AD验证可以简单的理解为域验证，用户名/密码【用户凭据】放在一台服务器上,  每台计算机登陆时, 用服务器上的用户名/密码 验证。
    以下为基本原理，摘自百度百科。

Active Directory 首先是一种服务，是windows平台的核心组件之一。

 

活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务，（Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。）

 

Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。

 

Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

目录存储在被称为域控制器的服务器上，并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制，而且所有的域控制器都拥有目录的一个可写副本，所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。

 

目录数据存储在域控制器上的Ntds.dit文件中。我们建议将该文件存储在一个NTFS分区上。有些数据保存在目录数据库文件中，而有些数据则保存在一个被复制的文件系统上，例如登录脚本和组策略。

有三种类型的目录数据会在各台域控制器之间进行复制：

 

·域数据。域数据包含了与域中的对象有关的信息。一般来说，这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息，管理员和用户可能都会对这些信息感兴趣。

 

例如，在向网络中添加了一个用户帐户的时候，用户帐户对象以及属性数据便被保存在域数据中。如果您修改了组织的目录对象，例如创建、删除对象或者修改了某个对象的属性，相关的数据都会被保存在域数据中。

 

·配置数据。配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表，并且指出了域控制器和全局编录所处的位置。

 

·架构数据。架构是对目录中存储的所有对象和属性数据的正式定义。Windows Server 2003提供了一个默认架构，该架构定义了众多的对象类型，例如用户和计算机帐户、组、域、组织单位以及安全策略。管理员和程序开发人员可以通过定义新的对象类型和属性，或者为现有对象添加新的属性，从而对该架构进行扩展。架构对象受访问控制列表（ACL）的保护，这确保了只有经过授权的用户才能够改变架构。

 

Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为Active Directory不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需的权限。例如，在用户登录到网络上的时候，安全系统首先利用存储在Active Directory中的信息验证用户的身份。然后，在用户试图访问网络服务的时候，系统会检查在服务的自由访问控制列表（DCAL）中所定义的属性。

 

 

因为Active Directory允许管理员创建组帐户，管理员得以更加有效地管理系统的安全性。例如，通过调整文件的属性，管理员能够允许某个组中的所有用户读取该文件。通过这种办法，系统将根据用户的组成员身份控制其对Active Directory中对象的访问操作。