Active Directory® - это как неотъемлемый концептуальный компонент, так и название программной технологии, созданной Microsoft®. Его можно рассматривать как каталог, предоставляя необходимый список ссылок практически для всего, что может управляться в инфраструктуре компьютерной сети. Каталог структурирован иерархически и может включать компьютеры, людей и даже целые сети. Система предоставляет средства для централизованного управления компьютерной сетью и ее безопасности, которая масштабируется, синхронизируется и стандартизируется во всей сети.

В основе Active Directory® лежит протокол службы каталогов, известный как облегченный протокол доступа к каталогам (LDAP). Этот протокол устанавливает средства, с помощью которых структура каталогов организована и считывается или записывается. В целях безопасности Active Directory® использует протокол сетевой аутентификации Kerberos. Служба также предоставляет систему доменных имен (DNS) для преобразования адресов интернет-протокола (IP) в узнаваемые имена.

Все, что входит в Active Directory®, считается объектом. Существует два основных типа объектов: ресурс и принцип безопасности. Там, где ресурсы обычно являются физическими конструкциями, такими как принтеры, объекты принципа безопасности немного более абстрактны. Каждому принципу безопасности присваивается идентификатор безопасности (SID) в системе Active Directory®, а затем он представляет все, что может быть аутентифицировано системой и имеет связанные с ним разрешения. Поскольку некоторые объекты, очевидно, могут относиться к обоим типам, например, компьютер в сети, который является как ресурсом, так и принципом, в некоторых случаях они могут быть вложены друг в друга.

Если смотреть с трех разных уровней иерархии, Active Directory® состоит из так называемых лесов, деревьев и доменов. Это может отражать фактическую структуру организации, как географически, так и организационно. Например, лес компании может состоять из двух основных доменов, один для Чикаго и другой для Нью-Йорка. Под каждым могут быть созданы дополнительные домены для управления бизнес-операциями в каждом городе, такие как бухгалтерия, отдел продаж, исследования и разработки и т. Д. Эти два дерева доменов затем устанавливают доверительные отношения друг с другом, так что пользователи в одном домене могут иметь доступ к ресурсам в другом при необходимости.

В основе Active Directory® лежит то, что называется организационной единицей (OU). Любое количество подразделений может быть вложено в домен. Они позволяют структуре Active Directory® соответствовать структуре организации и предоставляют централизованные средства для распределенного управления объектами в каталоге. При установленной организационной структуре дополнительное управление может быть затем делегировано субдоменам в дереве, что позволяет использовать разные уровни привилегий для различных подразделений в организации.

Вся информация в Active Directory® хранится в базе данных, называемой хранилищем каталогов. Система позволяет этой базе данных копировать себя среди других в дереве доменов и далее в лес. Домены внутри дерева периодически проверяют наличие изменений в хранилище каталогов в других доменах, а затем извлекают данные в свои собственные в случае каких-либо изменений.