Windows活动目录关键概念解析：AD、FSMO与GC

"本文介绍了AD（活动目录）、FSMO（ Flexible Single Master Operation，灵活单操作主机）和GC（Global Catalog，全局编录）的概念，以及与它们相关的若干关键知识点，包括DNS、UPN、SID、目录分区、Site和域等。" 在Windows服务器环境中，AD（活动目录）是一种用于组织和管理网络资源的目录服务。它允许管理员在一个集中式系统中存储和管理用户账户、计算机账户、安全策略以及其他网络对象。AD的主要组件包括： 1. DN（可辨别名称）：是AD中对象的唯一标识，类似于文件系统的路径。例如，`cn=user1,ou=sails,dc=blog,dc=com` 表示用户1存在于blog.com域的sails组织单位（OU）下。 2. UPN（用户主名）：是用户登录时使用的格式，如`jack@net.com`，可以在域控制器的管理工具中进行设置和修改。 3. SID（安全标识符）：每个用户或组都有一个唯一的SID，用于标识权限和访问控制。`whoami/user`和`whoami/all`命令可以显示当前用户的SID和详细信息。 AD数据库由不同的目录分区组成，每个分区负责存储特定类型的信息： - 架构分区（Schema）：定义了森林中所有对象的类和属性，存在于所有森林级别。 - 配置分区（Configuration）：存储所有域控制器的位置和站点信息，也在森林级别复制。 - 域分区（Domain）：包含域内的对象，如用户、计算机，按域级别复制。 - 应用程序分区（Application）：自定义分区，通常用于DNS等特定应用。 Site是AD中的物理概念，用于根据网络拓扑和子网划分，优化复制和登录速度。通过设置Site，可以更好地管理和控制AD复制，提高性能。 FSMO（灵活单操作主机）角色在AD中扮演着关键角色，包括： - 架构主机（Schema Master）：控制森林中对象和属性的定义，是修改AD架构的唯一位置。 - 配置主机（Domain Naming Master）：负责添加或删除域，更改森林结构。 - 域命名主机（Infrastructure Master）：更新其他域中的引用，避免环路。 - PDC仿真器（PDC Emulator）：模拟主域控制器，处理密码更改等操作。 - RID主机（RID Master）：分配全局唯一的RID（相对标识符），用于创建新对象。 全局编录服务器（GC）是AD中的一个重要组件，它包含森林中所有域的部分信息，用于快速用户登录和查询。GC减少了域间查找的时间，当用户登录时，GC会验证UPN，提供更快的身份验证。 了解这些概念对于管理和维护基于AD的网络环境至关重要，它们有助于优化网络性能、安全性和管理效率。