AD活动目录和域网络

AD是Active Directory，即活动目录，用于管理网络资源。
AD提供的是目录服务，目录服务是CS模式，可以看作一个数据库。
为什么不用传统的关系型数据库来做这个功能，而要搞一个AD呢？因为它的特点是读取查询多，变更少，数据结构与现实世界的层级结构很类似，维持目录对象名称的唯一性，所以针对这些特点呢专门搞一个最适合的东西，就是目录服务。
目录和现实中的层次：

上面这些特点，就适合于一些基础性、关键性的信息管理，比如通讯录啊、公司人员信息啊、组织机构啊、计算机网络资源啊、数字证书和公钥啊等，这些都适合用目录数据库管理。
目录服务也有标准。一个是X.500，协议是DAP（目录访问协议），它不是事实标准，事实标准和工业标准另有其人，那就是LDAP。
看LDAP里的目录层次结构：

使用目录条目的识别名称（Distinguished Name DN）来读取某个条目。比如这个条目：

cn=zhong, ou=office, dc=abc, dc=com

它是由 RDN（相对识别名称） + 记录在LDAP目录中的位置组成。这个顺序一看就是外国的地址顺序，把最细节的放在最前面。其实就类似于文件名 + 文件目录。

CN（Common Name）是末端的叶子节点，就是这个人zhong，OU（Organization Unit）是组织单位，可以有多层，OU是offcie，DC（Domain Component）是域名组件，也可以有多层，这里DC是abc和com。

目录的最顶层是根。也称为基本DN。目前最常用的格式是使用公司的DNS域名，比如 o = abc.com。也可以将 dc = com 做为基本DN。
RDMS要定义表结构，目录数据库要定义的是目录的对象类型，数据对象可以用属性来表示。

Windows网络结构有2种：Workgroup 和 Domain。
小型网络用Workgroup。网络中计算机都是对等的，自个管理自个，其中的计算机都有本机的本地安全账户数据库（SAM数据库）

中大型用Domain，实行集中管理。

集中管理当然是有些好处的，可以解决workgroup网络结构的一些缺点：

1. 一个用户账号要在多个计算上访问，放羊管理方式就要在这多个计算机上一一创建这个用户账号。
2. 安全配置要在多个计算机上一一设置

计算机要加入域，用户才能在计算机上使用域账户登录，否则只能利用本地安全账户登录。