檢視 ActiveDirectory 的原始碼

'''Active Directory'''（簡稱'''AD'''。中國大陸的譯名做「'''活動 kha-tá-lok-guh'''」，臺灣維持英文無譯）是微軟 Windows Server 中，負責架構中大型網路環境的集中式 kha-tá-lok-guh 管理服務（Directory Services）， 佇咧 Windows 兩千 Server 開始內底起佇咧 Windows Server 產品內底，伊處理佇組織中的網路物件，物件會當是使用者、群組、電腦、網域控制站、郵件、設定檔、組織單元、樹系等等，只要是佇咧 Active Directory 結構定義檔（schema）中定義的東西，就會當儉佇咧 Active Directory 資料檔中，並利用 Active Directory Service Interface 來儉取，實際上，真濟 Active Directory 的管理工具攏是利用這个介面來呼叫並使用 Active Directory 的資料。

Active Directory 嘛予人做兩軟部份侍服器軟體佮網域構連的資料結構，比如講 Microsoft Exchange Server 二千空三石二千空七，攏總使用 AD 來儉其個人信箱資料（透過建立新的 Active Directory Schema）， 並將 AD 列做建置 Exchange Server 的必要條件。

Active Directory 上早佇一九九六年出現，並佇咧 Windows 二千中頭擺問世，研發代號做'''Cascade'''，並歷經 Windows 兩千、Windows Server 二千空三的演化，目前 AD 已經成為成熟的 kha-tá-lok-guh 服務元件，佇咧 Windows Server 兩千空八中，AD 閣較擴充其他的角色至五種服務（包括憑證的、聯合、權限控制佮輕量級服務等）。

==kha-tá-lok-guh 結構==

Active Directory ( AD ) 用樹仔款的資料結構來組成網路服務的資訊，佇咧簡單的網路環境內底（比如講小公司）， 通常網路攏干焦一个，佇中型抑是大型的網路內底，網域可能會有足濟个，猶是佮其他公司閣組織的 AD 相連結（此連結叫做信任關係，佇後壁說明）。

===東西===

Active Directory 的最小儲存單元為物件（object）， 逐个物件攏有家己的 schema 屬性，會當儉無仝款的資料，親像使用者、群組、電腦、信箱抑是其他的基本物件等等。

一个 AD 網域下底的基本物件，有以下幾種

* Domain Controllers，儲存網域所屬的網域控制站（簡稱 DC、域控）。
* Computers，儲存加入網域的電腦物件。
* Builtin，儉內底起的口座。
* Users，儲存 AD 中的使用者物件。

若公司需要以無仝的組織結構來管理公司的口座，著會當佇 AD 中建立一个抑是濟个組織單元（Organization Unit，簡稱 OU）， 組織單元是一个有收納能力的 Active Directory 東西（其在 ADSI 中是 IADsContainer 介面）， 會當佇 OU 內底寄囥 AD 的東西，包括使用者，群組，電腦等等，予組織結構佇咧 AD 中會當予真實的反映出來，閣方便啦 AD 中的另外一个功能—— 群組原則（Group Policy）的套用佮集中管理。

===樹系佮濟網路===

若組織的網路環境是真大佮複雜的時陣，網域可能會有真濟个，佇咧 AD 之中，網域會當有一个抑是偌个，啊若一个大型公司可能會利用分公司抑是辦公室的方式來組織網域物件，按呢喔一來，佇咧 AD 中會有數一个網域，若是需要佇咧網域內底共享資料抑是做委派管理佮組態設定時陣，就需要建立彼此間的組織關係，微軟將 AD 中多網域互相的關係階層化，號做網域樹（domain tree）， 網域樹結構以 DNS 對別的方式來分別，比如講一間公司可能有業務部門，工程部門佮管理部門，若欲以部門來建立網路的時陣，著會使按呢建立（若正圖）：

* acme . com . tw：根網域。
* sales . acme . com . tw：業務部門。
* engineering . acme . com . tw：工程部門。
* admin . acme . com . tw：管理部門。

遮爾便可佇咧 AD 內底反映出組織的結構，按呢仝款，網域內底猶是會當閣建立無仝款的網域，譬如講佇工程部門內底若是需要分做軟體部門佮硬體部門的時陣，閣會當佇工程部門的網仔內底建立：

* software . engineering . acme . com . tw：軟體部門的網域。
* hardware . engineering . acme . com . tw：硬體部門的網路。

毋過軟體部門佮硬體部門的設定，會自動的繼承工程部門網域內面的群組原則設定，啊若佇咧軟體部門的組態，是袂去影響著硬體部門（通過設定來套用）。

===森林===

佇這个網域的環境之下，可能佇咧無仝的網域之間會需要交換佮共享資料，親像組態設定、使用者口座佮群組原則設定等，佇這个時陣著愛有一个角色來做為無仝網域間的資訊交換角色，仝時陣又閣著愛符合 AD 樹狀結構的規範，所以微軟佇網路中間建立了一个中介用的角色，號做森林（Forest）， 一个組織內底上濟是干焦會當有一个 Forest，佇咧 Forest 下則是隨人的網域樹系，啊若佇咧 Forest 下跤的網域抑是網路樹系間，會當共享資訊。

==實體結構==

Active Directory 背後，是一个植基於 Windows Server 網路基礎結構（infrastructure）的網路服務佮通訊的方式所組成，遮的網路服務佮通訊的方式予 Active Directory 有高度的擴充性佮向後相容性等，管理人員愛妥當的設定佮監控遮的網路服務佮通訊的方式，以上 Active Directory 會當正常而且順利的運作。

佇咧往過的 Windows NT 網域環境中，網域的實體結構分做三種角色，即主要網路控制站（Primary Domain Controller , PDC）、 備份網域控制站（Backup Domain Controller , BDC）嘛參成員侍服器（Member Server）三種，網域的資料攏存在 PDC 和 BDC 中，並且佇咧 PDC 和 BDC 間交換資料，猶毋過 PDC 和 BDC 的部署方式並無方便（一个網仔只會使有一个 PDC）， 佇咧無仝款的地理環境嘛袂當設定 PDC，而且所有網域的查詢攏會予人導向 PDC，遮爾仔簡單造成網域登入佮存取的窒車情況，這个問題佇咧 Active Directory 中已經得著改善，即不再有 BDC（只有 DC 和 Member Server 兩種角色）， 佇網域內面的任何一台網域控制站攏會當負責處理來自使用者捀的網域查詢，按呢佇咧分散部署頂懸會有相當的彈性。

===Global Catalog===

佇咧 AD 的實體結構當中，上蓋重要的角色非 Global Catalog（全域 kha-tá-lok-guh，簡稱 GC）不屬，伊儉上完整的 Active Directory 的結構資料，嘛是以 kha-tá-lok-guh 為主（directory-enabled）的應用程式嘿 AD 的查詢的主要標的，通常佇咧無仝款的地理位置（譬如講佇中國大陸、台灣、美國佮英國各有分公司，而且嘛有網路）時，GC 搬演重要的緊取結構角色，若是台灣的員工出差著英國分公司，閣試圖登入去網路，Windows 會先搜揣上近的 Global Catalog Server（由 DNS 設定提供）， 若揣無的時陣，才有連結著其他地區的 GC，但是若分公司的網路足慢的，這種跨地理位置的 AD 資料存取會直接影響著登入的時間，毋才會謹慎的 GC 彼號佈署著 AD 的推捒是真重要的喔。

===Operation Masters===

營運主機（Operation Masters，閣叫做 Flexible Single Master Operation，即 FSMO）是被設定做擔任提供特定角色資訊的網域控制站，佇每一个 Active Directory 網域中，上無會存在三種營運主機的角色。

* Primary Domain Controller Emulator Master：設定做這个角色的網域控制站，會當予目前猶閣佇網域內底的 Windows NT Backup Domain Controller（備份網域控制站）當做 Primary Domain Controller（是主要網路控制站）來呼叫使用，同時伊嘛是樹系中提供 Windows Time Service 時間仝步的主機。
* RID Master：佇網域控制站內底會儉 AD 物件的 relative ID（關聯識別碼）， 會當分散以 RID 為主的查詢的流量。
* Infrastructure Master：負責處理對目前網域的物件參考，閣有對應其他網域的物件參考，並會當負責處理針對 AD 物件的變更加（譬論刣掉佮閣較名）。

另外閣有兩種角色喔，是有額外功能，但是無強制部署佇網域的：

* Schema Master：負責處理網域中所有針對物件結構的變更。
* Domain Naming Master：負責處理網域內底的 kha-tá-lok-guh 分割以及應用 kha-tá-lok-guh 分割的工課。

===Site===

Active Directory 徛台（site）， 是講一个實體的網路位置，佇一个站台中可能會有足濟網仔域控制站，AD 網域資料的複製，就是以徛台為主，實際處理複製作業的工具叫做 KCC（Knowledge Consistency Checker，智識一致性檢查器）， 伊會佇咧特定時間對徛台設定中的網域來進行資料的同步化，複製活動是分做對內複製（intra-site replication）佮對外複製（抑是講徛家複製，inter-site replication）， 對內複製是仝一个網域間的控制站交換資訊，對外複製是佇咧網路管理人員的設定之下，透過指定的通訊方法（IP 抑是 SMTP）猶閣有拓樸進行複製。

預設的情況下，徛台灣的通訊方式是使用 IP（即 RPC over IP）來通訊，這个方式是上緊的，而且伊會當利用 TCP / IP 來執行遠端呼叫有處理，但是毋是網路的資料（架構、設定佮通用類別 kha-tá-lok-guh 更新，亦即無 AD 東西）的複製，會當利用 SMTP 通訊方法，毋過這个方法需要另外建立企業級的憑證服務才會當使用，目的是有影保 SMTP 的資料會當確認佮保全。

佇中大型的網路環境內底，適當的分散網路流量以及設計網路拓樸是真重要的代誌，KCC 會利用設定好的網路通訊成本（cost）來選擇愛用佗一條網路來做複製，比如講可能公司佮辦公室間有一條 T 一和 ISDN 六十四 Kbps 的線路，而且 T 一的成本設做五百（因為會有真大港）， 而且 ISDN 干焦有一百時，KCC 會選擇 ISDN 做複製，按呢代表網路的管理員會當家己決定欲使用佗一條網路來進行複製，KCC 的複製演算法會判斷佗一个網路上適合複製 AD 的資料。除了成本以外，AD 嘛支援矣橋接徛台（site bridge）的結構，徛台橋接能力予複製的成本著愛分散，並會當予仝一台 GC 複製流量分散，也適合佇無仝款地理區域之間的 AD 資訊複製佮散發工課。

===DNS===

Active Directory 極度依賴 DNS，因為乎 DNS 會當予 AD 表現出階層化的樹狀結構，仝時陣嘛會當佮開放的 kha-tá-lok-guh 標準接軌，所以佇咧建置網路的時陣，DNS 服務（抑是另外有架設 DNS Server）一定愛佇網路抑是網路控制站內底，AD 以 SRV 記錄（SRV Record）來捌別網路控制站，以提供網域處理的服務，而佮 Windows NT 網域無仝款的是，Windows NT 使用的是 NetBIOS 通訊協定，猶毋過 AD 使用的著無 TCP / IP，猶毋過 AD 猶閣提供會當佇 Windows NT 口座格式（DOMAIN \ User）和 AD 口座格式（user @ domain）的格式互轉。

===實體儲存===

Active Directory 使用強化過的 Microsoft Jet Database Engine（是因為 Microsoft Jet Blue 計畫）， 即 Extensible Storage Engine（ESE 九十八）， 可儲存十六 TB 的資料量，理論上可容納十億的網域物件，檔案名號做 NTDS . dit，伊儲存佇咧 % system \ _ root % \ NTDS kha-tá-lok-guh 中（這乎 kha-tá-lok-guh 所在的磁仔嘛必須愛是 NTFS 格式）， 內底有一寡物件的資料表示猶閣有連結的資料表示，佇咧 Windows Server 二千空三中加入一个描述安全資訊的新資料表示。

啊若佇咧 AD 更新的資料時陣的記錄，攏去予人儉佇咧 edb \ * . log，預設的名叫做 edb . log，其他的檔案使用 " edb " + 數字 + " . log " 來記錄，另外配搭 edb . chk 做檢查點記錄檔，以及 Res 一 . log 和 Res 二 . log 做系統的保留檔案。

AD 實體儲存的元件有：

* 上層介面（interface）： 做為 kha-tá-lok-guh 服務使用者捀抑是 kha-tá-lok-guh 服務中的其他侍服器的連接介面，像講 LDAP、REPL、MAPI 佮 SAM 等。
* kha-tá-lok-guh 服務代理人（Directory Service Agent）： 實作於 NTDSA . DLL，負責接收佮處理來自使用者捀的要求就是其他侍服器的要求（比如講 KCC 的要求）。
* 資料庫存取層：內底和 ntdsa . dll 中，負責直接存取資料庫。
* 延伸儲存 ia̋n-jín（Extensible Storage Engine）： 負責處理資料庫佮其名稱（DN）的記錄對應。
* 資料庫檔案：即 NTDS . dit，猶閣有負責處理無認可交易的記錄檔。

網域控制站會定時（預設做十二點鐘）著 NTDS . dit 做重組的（defragment）， 閣清除資料檔中的糞埽，佇重組前會檢查磁碟空間敢有較大的資料庫檔案一直抹五倍的空間會當用。若是資料庫在的 kha-tá-lok-guh 無夠的通用空間，就愛共資料庫徙對其他的所在去。毋過，因為 Windows 兩千佮 Windows Server 兩千空三佇吸碟區陰影複服務（VSS）機制有無仝款，使這移動的過程有可能失敗。對於 Windows 兩千，log files 佮資料庫會當分別囥佇無仝款的磁碟頂懸，猶毋過 Windows Server 兩千空三則必須愛囥佇仝一个磁碟頂懸。欲徙彼个資料庫，著愛重新啟動侍服器，閣進入 Active Directory Restore Mode 內底，利用 ntdsutil 工具進行移動。

===唯讀網域控制站===

佇咧 Windows Server 兩千空八中，有加入一个新的網域控制站角色，號做唯讀型網域控制站（Read-Only Domain Controller，簡稱 RODC）， RODC 為組織的分部、分公司、辦公室抑是臨時單位等，共網域控制站囥佇這間所在會有安全性疑慮抑是風險的時陣使用，顧名思義就著矣，RODC 袂曉寫入任何資料到 Active Directory，佮其他網域的複寫嘛是有限度的，而且干焦會當系統管理員定義的 Password Replication Policy（密碼複製原則）控制之下的口座才會緊取密碼等功能。

若欲佇 AD 加入唯讀網域控制站，則網路的功能層級必須愛佇 Windows Server 兩千空三以上。

==安全性==

Active Directory 的安全性會當分做物件的安全性識別、階層的安全性佮森林之間的信任關係等。

===安全性識別===

AD 以 Kerberos V 五作為其安全驗證的主要架構，並且逐个 AD 東西攏有一个獨一無二的安全性識別碼（Security Identifier，SID）， 範例做 S 知影一石川二十一孵七十六曲痀二千三百八十一孵一千空一十五孵三十三孵六千一百空四撨四千三百四十八撨三千空三十五空八百二十五一千空一十三，每一組代碼攏有意義，這組識別碼儲存佇咧 AD 的 objectSid 屬性中。

===階層的安全性===

佇咧 AD 中，無仝階層的 OU 會當定義無仝款的安全性的資訊，佮無仝的使用者權限，啊若無仝的網路階層之間嘛會當定義無仝的使用者權限，管理員嘛會當利用安全性管理範本（Secutiy Template）來定義無仝款的安全性的資訊，抑是使用群組原則（Group Policy）來定義，佇大型網路內底，使用群組原則會比安全性範本欲來的方便，將兩者合做伙使用閣較會當達到事半功倍之效（比如講和 Microsoft Base Security Analyzer 的整合）。

佇爸階層定義的安全性，會當予人繼承到子階層。

===信任關係===

佇大型的網路環境內底，可能組織間有伴關係，或者是專案間合作的，需要佇咧兩个 Forest 互相共享抑是授權存取的時陣，會當利用信任關係（trust relationship）來建立 Forest 間的信任，授權佇樹系間的存取權，佇咧 Windows Server 二千空三以後版本的 AD 環境會當支援四種信任關係：

*'''捷徑式信任（shortcut trust）'''，若是為著加速驗證流程所設計的信任法，佇幾若層次的網路內底，使用者只要連接著上近的網域即可登入，無需要共訊息轉到授權的根服器。
*'''外部式信任（external trust）'''，為此為跨森林的授權方法。
*'''領域式信任（realm trust）'''，成做與非 Kerberos 驗證的 LDAP kha-tá-lok-guh 服務佮 Windows 網域的信任模式。
*'''森林式信任（forest trust）'''，現此為強化型的外部式信任法，會當經由一个中介的森林信任來取得信任關係，比如講 acme . com . tw 信任 aspvendor . com，而且 contoso . com . tw 也信任 aspvendor . com，著 acme . com . tw 會當取得佮 contoso . com . tw 的信任關係。

信任關係的設定會當分做單向（one-way）和雙向（two-way）兩種，單向信任表示被信任的一方會當存取信任的一方的資源，若雙向信任是會當存取各自的資源。

信任關係的傳遞會分做會當遞移（transitive）拄好佮𪜶遐的移送（non-transitive）兩種，會當遞移表示建立信任關係的網域佇仝一樹系內底的其他網域嘛會當使用佇建立信任關係網域內底的信任資訊，袂當遞移則表示干焦建立信任關係的網域（無論講敢有階層）才會當使用信任資訊。

==號名系統==

Active Directory 的號名預設是以 LDAP（輕量級 kha-tá-lok-guh 存取協定）版本的 X . 五百協定做主（由 ADSI LDAP Directory Service Provider）， 對於 AD 這種按呢規模的 kha-tá-lok-guh 服務來講，LDAP 這種有階層識別能力的協定，非常適合作為 kha-tá-lok-guh 服務的存取協定，猶毋過 AD 抑是會當支援 NT 時代的 UNC 格式（由 ADSI Windows NT Directory Service Provider 提供）， 佇咧 UNC 佮 LDAP 名稱間的轉換則由 ADSI 的 ` IADsNameTranslate ` 介面來提供。

===識別名===

彼每一个 AD 物件攏有一个以 LDAP 組成的名，叫做識別名（Distinguished name，簡稱 DN）， 這个識別名是作為使用 LDAP 查詢 AD kha-tá-lok-guh 中識別个物件的名稱，其實類似下列：

佇咧 LDAP 字捾中四常使用的代字有：

*'''DC'''：domainComponent
*'''CN'''：commonName
*'''OU'''：organizationalUnitName
*'''O'''：organizationName
*'''STREET'''：streetAddress
*'''L'''：localityName
*'''ST'''：stateOrProvinceName
*'''C'''：countryName
*'''UID'''：userid

當使用者捀佇下達 LDAP 查詢字攕的時陣，若無法度符合 AD 物件的 LDAP DN，著會揣無資料，LDAP 代字亦通使用佇咧搜揣（IADsDSObject 佮 ADsDSObject (）， 參見 Active Directory Service Interface 條目）。

===一般號名===

彼每一个 AD 中的物件攏會有一个一般的名，閣叫別名（Canonical Name）， 佇咧 Schema 中的屬性為 cn（Common Name）， 但組織單元（OU）基本上是外口例，伊家己有一个代字 ou 作為識別符。

===關聯識別名===

為著欲佇容器佮物件間作識別，佇咧 Schema 中設定一个 Relative Distinguished name（簡稱 RDN）， 儉佇咧 rDnAttId 屬性中，有咧搜揣 AD 時會當快速的對應容器內的物件。

===GUID===

每一个物件攏有一个唯一的 GUID 物件識別碼，儉佇咧 objectGUID 屬性中，其編碼方式佮 GUID 相仝。

===其他的名===

* Windows NT 使用者號名系統：即 SAM（Security Account Manager）的名稱系統，儲存佇咧使用者的 ` sAMAccountName ` 屬性中。
* 使用者主體名稱：即 User Principal Name，佇咧 AD 中使用者是以 ` user @ domain ` 的方式表現，這个價值儉佇咧 ` userPrincipalName ` 屬性。

==功能層次==

Active Directory 所以就是一个開放式的 kha-tá-lok-guh 服務，而且為著欲會用得納無仝款版本的 Windows 作業系統佮其網域，因此特別佇咧 AD 著使用一種版本控制的機制，號做功能層次（functional level）， 功能層次定義了目前佇網域環境中會當使用的上大的版本層次，同時這个修改是單向無法度復原的修改。若網域內底有無仝款的版本宿題系統的網域控制站，為著上大的相容性，功能層次的設定應該以上低版本為主，比如講一个網域內底有 Windows Server 兩千空三和 Windows 兩千个時，則網路的功能層次應該做設 Windows 兩千混合模式（Mixed Mode）， 若設為講 Windows Server 二千空三原生模式（Native Mode）時，Windows 二千的網域控制站會失效。但是因為新版本的 AD 設定定講正常攏會比前版的較強（尤其是安全性的改進）， 若是網牢內底無前版本的作業系統，則應該將功能層次設定到上新版本，以開放 AD 的所有功能。

另外咧，若欲佇網路內底安裝新版本的宿題系統（譬如講佇 Windows Server 二千空三網域內底愛安裝 Windows Server 兩千空八）成做網路咧控制站的時陣，必須愛先將 Active Directory 中的 Schema 資訊做擴充以相較新版本的作業系統，就按呢微軟佇安裝光碟內底攏會提供一个 Active Directory 款家私 ( adprep . exe）， 伊會當予系統管理員以簡單的方式升級 Active Directory 中的資料結構，包含樹系佮網域的資料結構（使用參數設定）， 以相容佇新版本作業系統內底。

* ` adprep / forestprep `：升級樹系的資料結構。
* ` adprep / domainprep `：升級網域的資料結構。
* ` adprep / rodcprep `：準備網域以提供 RODC（唯讀網域控制站）的功能（Windows Server 二千空八了後版本才來支援）。

對於 Windows NT 的 BDC，是毋是透過功能層次的設定，是用 Operation Master 的 PDC Emulator 來保持相容性。

==物件結構==

因為微軟咧設計 Active Directory 是使用開放型的 kha-tá-lok-guh 服務為方針，而且 kha-tá-lok-guh 服務的上基本的特性之一就是愛會當「廣納百川」，除了基本的網路服務資料以外，猶閣需要會當佮其他異質型服務連接佮整合，就按呢微微仔軟軟佇 AD 內底實際做一个物件的儲存單位，這號做「物件結構」（schema）， 物件結構會當看做是 AD 物件的遮的資料（metadata）。 每一个物件（無論是單元抑是容器物件）攏有家己的 schema，用儲存識別該物件的無仝資料，schema 是由 class 和 attribute 所組成，attribute 是上細的儲存單元，class 著是包括 attribute 的集合體。

儉佇咧 attribute 中的資料有足濟種格式，衰微共遮的格式定義成二十七種 Schema 資料型態，親像講戶頭過期日的 ` Account-Expires ` 屬性，其值是 interval 資料型態（代表時間禮拜，為一个六十四位元整數值）， 閣親像指示戶頭 SAM 名稱的 ` sAMAccountName ` 屬性，其值是 String（Unicode）值（支援 Unicode 的字串值）， 閣如儲存使用者的相片的 ` Picture ` 屬性，其值是 Object ( Repl-Link，代表是位元組資料，而且會當複製到其他的網域控制站）。

微軟嘛開放矣會當延伸 schema 的方法，開發人員會當用這套方法來延伸 Active Directory Schema 中的資料，但是一旦寫入去 AD 後，就無法度刣掉矣（因為物件識別碼袂當閣較動）， 但是會使停用，延伸 AD Schema 上好的例就是講 Microsoft Exchange Server。

==服務==

Active Directory 本身除基本的網路 kha-tá-lok-guh 服務外，微軟嘛應用這个基礎架構設計無仝的服務，並且佇咧 Windows Server 二千空三無仝的版次內底加入，以提升 Active Directory 的應用範圍。

===聯合服務===

因為 AD 本身有可分散式的身份驗證佮授權能力，而且佇二空空三年的時陣 Web 當咧歕去矣單一簽入（single-sign on）彼个架構研究風，微軟嘛開始咧利用 AD 來設計一个會當支援濟个網站（抑是應用程式）的單一簽入功能，其實作品即為 Active Directory Federation Services（AD 聯合服務，簡稱 ADFS）， 伊顯露幾个主要的成員：

* Federation Service：負責佇咧 ADFS 的 SSO 架構內底處理驗證的侍服器。
* Federation Service Proxy：佇外部網路抑是 WS-I 服務中，扮演 Federation Service 的代理角色，並支援 WS-Federation 規格的驗證設定。
* Claim-aware client：由 ADFS 開放的 Claim-aware（宣告感知）元件的 Web 使用者捀，抑是講 ASP . NET 應用程式，會當直接共支援 ADFS 的 SSO 架構。
* Windows Token-based Agent：以 Windows 驗證為主的 Web 應用程式，ADFS 可支援 AD 權仗佮 Windows NT 權靠的類比佮交換。

此服務在 Windows Server 兩千空三 R 二版本中第一擺出現，並佇咧 Windows Server 兩千空八中升級做 Active Directory Federation Service 角色。

===輕量級服務===

輕量級服務（Lightweight Directory Service）佇咧 Windows Server 二千空三中被稱做 Active Directory Application Mode（ADAM）， 伊是一个無需要佮 AD 基礎架構整合就會使獨立運作的 kha-tá-lok-guh 服務，適合用來表現企業的階層化概念佮物件的管理，而且開發人員只要共使用 ADSI 的經驗搬過來就會當使用，毋免另外學習 ADAM 操作的方法，伊嘛會使做 ADFS 的外部驗證提供者。輕量級 kha-tá-lok-guh 會當佇仝一个電腦內底安裝幾个執行個體，所以伊嘛足適合用 ADAM 來實作 Directory-Enabled 的應用程式，尤其是佮組織結構相關的（比如講人事抑是人力資源系統）， ADAM 本身嘛會使延伸 schema，開發人員會當將 ADAM 當做另外一種型式的資料庫，嘛會使由 AD 中複製資料到 ADAM，猶毋過 ADAM 袂嘿 AD 徛台複製的，開發人員需要家己編寫程式來複製資料。

輕量級服務佇咧 Windows Server 二千空八中改名做 Active Directory Lightweight Directory Service（簡稱 AD LDS）， 並且提升做 AD 的應用角色之一。

===憑證服務===

憑證服務（Certificate Service）是佇咧 Windows Server 兩千空八中第一擺納入 Active Directory 體系的服務，伊原本是佇 Windows 兩千佮 Windows Server 二千空三的憑證侍服器（Certificate Server）， 用來建立企業中的公開金鎖基礎建設，佇咧 Windows Server 兩千空八中，憑證佮 AD 物件有閣較強閣較峇的整合，所以有了 Active Directory Certificate Service（AD CS）的角色，這个角色閣會當和權限管理的 Right Management Service（RMS）整合做伙，提供對檔案或者是應用程式層次的權利管理。

===權利管理服務===

權利管理服務（Right Management Service）嘛是佇咧 Windows Server 兩千空八中第一擺納入 Active Directory 體系的服務，上早的時陣，伊是佇咧 Microsoft Office 兩千空三開始提出的資訊權利管理（Information Right Management）功能，會當用伊來控制 Office 檔案咧散佈的時陣的權限，譬如講列印佮儲存檔案等等，來微軟仔發表矣 Right Management Server 以及 RMS SDK，供 Windows Server 兩千空三平台使用，啊若佇咧 Windows Server 二千空八中咧欲伊整合甲 Active Directory 中，變做是 AD 服務的一部份。

==整合 Unix 到 Active Directory 中==

Active Directory 互通的多樣性層次得以透過符合標準的 LDAP 使用者捀佇大多數的類 Unix 作業系統記錄，毋過遮的系統通常是欠缺佮 Windows 元件親像群組原則佮單向信任關聯的濟濟屬性的自動直譯，目前嘛真濟第三方軟體廠商提供將 Unix 平台（包含 UNIX、Linux、Mac OS X 和數個 Java 佮 Unix-based 應用程式）整合 Active Directory 方法，這寡供應商的一部份，包含 Thursby Software System（ADmitMac）, Quest Software（Vintela Authentication Services）, Centrify（DirectControl）， 佮 Likewise Software（Likewise Open and Likewise Enterprise）。 Microsoft 也佇這个市場內底有咧為 UNIX 產品所設計的免費 Microsoft Windows 服務（即 Windows Service for Unix）。

遮的額外的物件結構佇咧 Windows Server 兩千空三 R 二版本內底被釋出講，包括完全對應 RFC 兩千三百空七的一般用途的屬性。這是 RFC 兩千三百空七、nss \ _ ldap 佮 pam \ _ ldap 的參考實作攏提供自 PADL . com，包含直接使用這屬性佮添充資訊的支援。預設群組成員（group membership）的 Active Directory Schema 佮被提議的 RFC 兩千三百空七 bis 延伸功能做伙編譯。RFC 兩千三百空七 bis 使用 LDAP 成員屬性儲存 Unix 的群組成員資料，佮基礎 RFC 兩千三百空七，以儲存群組成員為著以弄號分隔的使用者識別碼清單有無仝。Windows Server 兩千空三 R 兩包含一个 MMC snap-in 以建立佮編輯遮的屬性。

一个替代選項是使用其他的 kha-tá-lok-guh 服務，像講 Fedora Directory Server（進前的 Netscape Directory Server）抑是講 Sun 的 Java System Directory Server，伊會當執行佮 Active Directory 雙向同步化，進一步需要使用 FDS 驗證的 Unix 佮 Linux 平台佮需要使用 Windows 驗證的 Windows 使用者捀之間，提供一个佮 Active Directory 之間'''斡向'''（deflected）的整合。另外一个選項就是使用 OpenLDAP 佮伊的透通崁（translucent overlay）功能會使延伸項目於使用額外屬性儲存佇本機資料庫的任何遠端 LDAP 侍服器上。佇本機資料庫內底指示的使用者捀將會看著包含佇遠端和地的屬性，當遠端資料庫猶是保持變整無變的情況下。

Samba 四，佇二空一二年十二月十一發布的 Samba 四中包含一個 Active Directory 相容侍服器。

==參考文獻==

==參見==

* Active Directory 服務介面
* Windows 開放服務架構
* 微軟 kha-tá-lok-guh 仝步的服務
* 群組原則
* AGDLP

[[分類: 待校正]]