Active Directory（AD）是一个由微软开发的目录服务，它作为数据库和一系列服务，用于将用户与他们完成工作所需的网络资源关联起来。AD的核心服务是Active Directory域服务（AD DS），它是Windows Server操作系统的一部分。AD DS运行的服务器称为域控制器（DC），通常企业会部署多个DC以保证高可用性和数据一致性 。

       集中身份验证和授权：AD域允许用户使用单一的登录凭证访问网络中的资源。域控制器负责验证用户的凭证，并根据用户的身份和权限控制其对资源的访问。

        组织结构：通过域、组织单位（OU）和容器，AD域提供了一种灵活的方式来组织网络中的用户和资源，便于管理和应用策略。

组策略管理：AD域支持使用组策略来管理用户和计算机的配置。管理员可以创建策略，如密码策略、软件安装、安全设置等，并将其应用到特定的用户或计算机组。

        资源共享和发布：AD域可以简化网络资源（如打印机、文件服务器等）的共享和管理。用户可以通过网络来访问这些资源，而无需知道资源的具体位置。

        信任关系：AD域支持在域、域树和森林之间建立信任关系，这允许用户在不同的域中无缝地访问资源。

        AD 的认证过程是网络中验证用户身份的关键环节，确保了只有合法用户才能访问网络资源。以下是AD认证过程的一般步骤，流程如图1所示：

         用户登录尝试：

         用户在计算机上输入用户名和密码尝试登录。这个计算机可以是加入到域中的成员服务器，也可以是工作站。

       认证请求：

      用户的登录请求被发送到域控制器。域控制器是负责处理身份验证请求的服务器，它存储着AD数据库，其中包含了所有用户账户和凭据的信息。

     身份信息比对：

    域控制器接收到认证请求后，会从数据库中检索用户账户的哈希值密码或安全标识符（SID）。然后，它会将用户输入的凭据与存储的哈希值进行比对。

    密码验证：

    如果用户输入的密码正确，域控制器会使用一种称为Kerberos的协议来验证密码。Kerberos认证过程中，用户会获得一个称为票据授权（Ticket Granting，TGT）的票据。这个票据用于后续请求服务时的身份验证。

    票据授权：

    用户成功登录后，会请求一个服务票据（Service Ticket），这个票据允许用户访问特定的服务或资源。用户使用TGT向票据授权服务器（Ticket Granting Server, TGS）请求服务票据。

    访问资源：

     一旦用户获得了服务票据，他们就可以使用这个票据来访问网络中的资源，如文件服务器、打印机或其他服务。资源服务器会验证服务票据的有效性，并根据票据授予相应的访问权限。

     会话管理：

     在用户登录会话期间，域控制器会持续监控用户的活动。如果用户的凭据被修改或用户的账户被锁定，域控制器会更新相关的认证信息，以确保安全策略得到执行。

    注销或超时：

    用户完成工作并注销，或者在一定时间内无活动后，登录会话将结束。此时，所有的认证票据将变得无效，用户若想再次访问资源，需要重新进行登录和认证过程。