​在上期《关于微软 AD 的常见问答——基础篇》中，已经介绍了微软 AD 的基本概念，包括使用的协议和目标受众。本期将重点介绍微软 AD 中的重点构成，包括域服务和林结构。

1. Active Directory 中的对象和组指什么？

对象泛指存储在 AD 数据库中的任何信息单元，具体可以包括用户、终端、服务器，甚至是其他对象组（见下文）。

AD 中，多个对象的集合就称为组。管理员可以使用组策略对象（GPOs，group policy objects）对一个组进行更改，并将该更改应用于该组中的所有对象。组通常按部门或许可权限对用户或系统进行划分。基于组的管理能使 IT 管理更加高效。

2. Active Directory 中的林、树和域指什么？

域、树、林可以说是 AD 的核心概念，三者之间存在从属关系。

域是指属于同一个 AD 数据库中用户、计算机和设备的集合。如果一个组织有多个分支，每个分支可能都有一个单独的域。例如，一个跨国企业的伦敦办事处、纽约办事处、东京办事处分别有各自的域。这三个分支的域组合在一起就成了树，多个树又可以组成林。林是 AD 逻辑结构中最顶层的部分，逻辑结构的其他要素包括对象、树、域和组织单位（OU）。

用一句话总结来说，树是域的集合，林是树的集合。

3. Active Directory 中的域控制器和域服务指什么？

域控制器（domain controller）是指运行 AD 域服务的服务器。使用 AD 至少需要一个域控制器，大多数企业在每个实体办公地点至少会设置两个域控制器，而大型跨国企业可能需要数十个域控制器，确保 AD 实例的高可用性。一般来说，域控制器可以看作是和实体办公地点绑定的，这对于远程办公较为普及的现代环境无疑是一大挑战。

个人用户及其系统通过网络连接到域控制器。当用户请求访问 AD 数据库中的对象时，AD 会处理该请求，通常是两种结果：授权或阻止该访问。 进入域后，用户无需再次输入用户名和密码即可访问权限内连接到域的资源。整个验证和访问过程也是无缝进行。这就是域的魅力所在。然而，非 Windows 资源的介入逐渐瓦解了域的概念。如果用户是远程的并且没有以物理形式连接到域，访问 AD 也会很困难——在这种情况下，终端用户需要通过 VPN 进入网络并通过域控制器的身份验证后，才能访问Windows 中的本地资源。

微软还将域的概念扩展到了旗下的云计算服务 Azure。企业可以通过 Azure AD DS 在 Azure 中创建单独的域，独立于本地域，这两种域也可以通过 Azure AD Connect 和 Azure AD 等连接技术进行桥接。

此外，还有一个新概念叫作“无域企业”，这类企业消除了域的概念，但仍然注重安全、无缝地访问 IT 资源。无域的概念对于使用 Web 应用、云基础设施和非 Windows 平台（macOS、Linux）的企业特别有用。

AD 域服务（AD DS）建立的对象数据库是 AD 管理的基础。虽然 AD DS 不是唯一一个与 AD 关联的服务器角色，但 AD DS是与用户使用的 AD 核心功能最直接对应的服务器角色。

4. Active Directory 如何运作？

装有 AD DS 的服务器就是之前提到的域控制器。服务器上会存储 AD 数据库，包含域对象的层次结构及其相互关系。 AD 由管理员通过胖客户端图形用户界面（GUI）进行管理，功能类似Windows的文件管理器（见上图）。AD在 Windows 服务器上运行，而不是基于浏览器的现代应用程序。管理员可以在 AD 中指向、单击和拖动对象，并通过右键单击访问下拉菜单来调整设置。

AD 也可以通过命令行和 PowerShell 工具操作，PowerShell 是微软用于自动化和 API 级任务的语言。

5. Azure Active Directory 和 Azure AD Connect 分别指什么？

人们对 Azure AD 最大的误解是把它当成云上的 AD。但其实 Azure AD 并不单单是把 AD 上云。相反，搭建 Azure AD 是为了将现有的 AD 实例扩展到云。

将 AD 实例扩展到云涉及的工作量很大，其中包括：将本地 AD 同步到 Azure AD Connect；将现有的用户身份和组的数据库连接到 Azure 云资源。如果想在 Azure 中创建域，除了 Azure AD 外还需要 Azure AD DS。 Azure AD 实际上增加了很多 AD 没有的功能，例如集成的 Web 应用单点登录组件。Azure 平台的功能涵盖相当广泛，一定程度上可以看作亚马逊云计算平台 AWS 的竞品。但需要注意的是，Azure AD 并没有完全覆盖本地 AD 的所有功能。

Azure AD Connect 工具用于将本地 AD 身份与 Azure AD 托管在 Azure 平台内的资源联合，这些资源包括 Office 365和 Azure 系统、服务器和应用程序。

装有 AD DS 的服务器就是之前提到的域控制器。服务器上会存储 AD 数据库，包含域对象的层次结构及其相互关系。 AD 由管理员通过胖客户端图形用户界面（GUI）进行管理，功能类似Windows的文件管理器（见上图）。AD在 Windows 服务器上运行，而不是基于浏览器的现代应用程序。管理员可以在 AD 中指向、单击和拖动对象，并通过右键单击访问下拉菜单来调整设置。

AD 也可以通过命令行和 PowerShell 工具操作，PowerShell 是微软用于自动化和 API 级任务的语言。