Domain services что это
Доменные службы Active Directory
Назначение
Службы Microsoft домен Active Directory Services являются основой для распределенных сетей, построенных на базе Windows 2000 Server, Windows Server 2003 и Microsoft Windows Server 2008, которые используют контроллеры домена. Домен Active Directory Services предоставляют безопасное, структурированное, иерархическое хранилище данных для объектов в сети, таких как пользователи, компьютеры, принтеры и службы. Службы домен Active Directory предоставляют поддержку для поиска этих объектов и работы с ними.
В этом разделе представлен обзор служб домен Active Directory и примеры кода для основных задач, таких как поиск объектов и чтение свойств, в более сложные задачи, такие как публикация службы.
Windows 2000 Server и более поздние операционные системы предоставляют пользователям пользовательский интерфейс для работы с объектами и данными в службах домен Active Directory Services. В этом руководство описывается, как расширить и настроить этот пользовательский интерфейс. В нем также описывается расширение служб домен Active Directory путем определения новых классов и атрибутов объектов.
Следующая документация предназначена для компьютерных программистов. Если вы являетесь конечным пользователем, пытающимся выполнить отладку ошибки печати или проблемы с домашней сетью, см. форумы сообщества Майкрософт.
Где применимо
Сетевые администраторы пишут сценарии и приложения, обращающиеся к службам домен Active Directory для автоматизации общих административных задач, таких как добавление пользователей и групп, Управление принтерами и настройка разрешений для сетевых ресурсов.
Независимые поставщики программного обеспечения и разработчики конечных пользователей могут использовать программирование служб домен Active Directory Services для включения в каталог своих продуктов и приложений. Службы могут публиковать себя в домен Active Directory Services; Клиенты могут использовать службы домен Active Directory для поиска служб, и они могут использовать службы домен Active Directory для поиска и работы с другими объектами в сети.
Аудитория разработчиков
Требования к среде выполнения
Службы домен Active Directory работают на контроллерах домена Windows 2000 и более поздних версий. Однако клиентские приложения могут быть написаны для и запускаться в Windows Vista, Windows Server 2003, Windows XP, Windows 2000, Windows NT 4,0, Windows 98 и Windows 95.
Содержание раздела
Общие сведения о службах домен Active Directory.
Руководством по программированию служб домен Active Directory Services.
Справочник по программированию домен Active Directory Services.
Что такое «Доменные службы Azure Active Directory»?
Доменные службы Azure Active Directory (Azure AD DS) предоставляют управляемые доменные службы, отвечающие за присоединение к домену, применение групповой политики, использование протокола LDAP (упрощенный протокол доступа к каталогам), выполнение аутентификации Kerberos или NTLM. Вы можете использовать эти доменные службы без необходимости развертывать и исправлять контроллеры домена в облаке или управлять ими.
Управляемый домен Azure AD DS позволяет запускать в облаке устаревшие приложения, если они не могут использовать необходимые современные методы проверки подлинности или необходимо избежать постоянного переключения функции поиска в каталогах на локальную среду AD DS. Эти устаревшие приложения можно перенести из локальной среды в управляемый домен, чтобы избавиться от необходимости управлять средой AD DS в облаке.
Azure AD DS интегрируется с существующим клиентом Azure AD. Такая интеграция позволяет пользователям входить в службы и приложения, подключенные к управляемому домену, используя существующие учетные данные. Для безопасного доступа к ресурсам можно также использовать существующие группы и учетные записи пользователей. Эти функции обеспечивают более гладкий перенос lift-and-shift локальных ресурсов в Azure.
Посмотрите наше короткое видео, чтобы узнать больше об Azure AD DS.
Как работает Azure AD DS?
При создании управляемого домена Azure AD DS вы должны определить уникальное пространство имен. Это пространство имен является доменным именем, например aaddscontoso.com. Затем в выбранном регионе Azure развертываются два контроллера домена Windows Server. Такое развертывание контроллеров домена называется набором реплик.
Вам не нужно управлять этими контроллерами домена, а также настраивать или обновлять их. Платформа Azure работает с контроллерами домена как с компонентом управляемого домена, в том числе выполняет резервное копирование и шифрование хранимых данных с помощью Шифрования дисков Azure.
Управляемый домен настроен для выполнения односторонней синхронизации из Azure AD, чтобы предоставлять доступ к централизованному хранилищу данных о пользователях, группах и учетных данных. Вы можете создавать ресурсы непосредственно в управляемом домене, но они не будут синхронизироваться в Azure AD. Приложения, службы и виртуальные машины, которые размещены в Azure и подключаются к управляемому домену, смогут использовать стандартные функции AD DS, такие как присоединение к домену, групповая политика, LDAP и аутентификация Kerberos/NTLM.
В гибридной среде с локальной средой AD DS применяется Azure AD Connect для синхронизации сведений об удостоверениях в Azure AD, которые затем синхронизируются с управляемым доменом.
Azure AD DS реплицирует сведения об удостоверениях из Azure AD, а значит работает с полностью облачными клиентами Azure AD или клиентами, синхронизируемыми с локальной средой AD DS. Набор функций Azure AD DS в обоих средах идентичен.
Вы можете расширить управляемый домен для использования более одного набора реплик в каждом арендаторе Azure AD. Наборы реплик можно добавить к любой пиринговой виртуальной сети в любом регионе Azure, который поддерживает Azure AD DS. Дополнительные наборы реплик в разных регионах Azure предоставляют возможности географического аварийного восстановления для устаревших приложений, если регион Azure становится недоступен. Дополнительные сведения см. в статье Основные понятия и функции наборов реплик для управляемых доменов.
Просмотрите это видео об особенностях интеграции Azure AD DS с приложениями и рабочими нагрузками для создания облачных служб идентификации.
Чтобы увидеть сценарии развертывания Azure AD DS в действии, можно изучить следующие примеры:
Возможности и преимущества Azure AD DS
Чтобы предоставить службы идентификации для приложений и виртуальных машин в облаке, Azure AD DS поддерживает полную совместимость с традиционной средой AD DS для таких операций, как присоединение к домену, использование защищенного протокола LDAP (LDAPS) и групповой политики, управление DNS, а также привязка и чтение LDAP. Поддержка записи LDAP доступна для объектов, созданных в управляемом домене, но не для ресурсов, синхронизируемых с Azure AD.
Следующие функции Azure AD DS упрощают операции развертывания и управления.
Ниже приведены некоторые ключевые аспекты управляемого домена.
В гибридных средах, использующих локальную службу AD DS, вам не нужно управлять репликацией AD в управляемый домен. Расположенные в локальном каталоге учетные записи и учетные данные пользователей, а также сведения о членстве в группах, синхронизируются в Azure AD через Azure AD Connect. Эти учетные записи и учетные данные пользователей, а также сведения о членстве в группах автоматически становятся доступными в управляемом домене.
Дальнейшие действия
Дополнительные сведения о сравнении Azure AD DS с другими решениями для идентификации и о том, как работает синхронизация, см. в следующих статьях: