Active Directory 服务器和 PDC 之间的差异

高水平

Active Directory 域控制器基本上是一个服务器，它提供对 Active Directory 分布式系统的访问。在 Active Directory 域中，任何域控制器都可以提供对该域的完全读写访问权限。NT4 域中的 PDC（主域控制器）提供写访问，然后向下同步到 BDC（备份域控制器）。

Active Directory 域中的一台服务器将担任 PDC 仿真器的角色，以便向后兼容旧的 NT4 域。担任此角色的服务器充当 AD 和旧域的 BDC 之间的中间人，以实现同步等目的。

如果您让 Samba 知道 PDC 是域中拥有 PDC Emulator 角色的 AD 服务器，那么您就可以很好地使用 Samba。

编辑：我假设您已经在您的环境中运行了 AD。不太确定这是否是一个安全的假设，但由于你已经有一些 Windows 机器，我想我的大脑刚刚去了那里。

EDIT2：好的，由于目前不存在域，我真的建议设置 Active Directory 并将其集成到其中。设置小型 AD 环境非常简单，并且有大量资源可以帮助您入门。

我不确定在哪里可以找到这样的逐点比较。我已经进行了快速搜索，但我并没有太多。在官方 Samba HOWTO 中有一些比较：http: //us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/samba-pdc.html

以下是根据我所知道的一些比较：

• 使用 Samba “PDC”，您可以为您的成员计算机获得一个集中的帐户/组数据库，就像使用 Active Directory 域一样。

• 您可以使用 NT 4.0“域用户管理器”工具来管理 Samba PDC 用户。Active Directory 可以使用（恕我直言，更干净且更易于使用）“Active Directory 用户和计算机”工具进行管理。

• 您可以在多台域控制器计算机之间以单主机方式或多主机方式复制 Samba PDC 的安全数据库（取决于您选择存储密码数据的后端）。Active Directory 是多主控。

• Samba PDC 将执行基于 NTLM 的身份验证。Active Directory 还可以执行 NTLMV2 和基于 Kerberos 的身份验证。

• Samba PDC 无法像 Active Directory 域控制器计算机那样提供组策略功能。

在功能上，Samba 充当 NT 4.0 “PDC”，因此您可以使用 Windows NT 4.0 域系统和 Active Directory 之间的比较文档来给您一些额外的想法。

仍在开发中的 Samba 4.0 应该能够实现 Active Directory 域控制器功能。Samba 代码的一个实验分支，称为 Frankly，也试图实现 Active Directory 域控制器功能（请参阅http://wiki.samba.org/index.php/Franky）。

PDC 风格的设置是“平面”安排，其中安全性处于对等级别。身份/身份验证在“域”内执行；把它想象成一堵城堡墙，里面有所有“经过身份验证的”用户、计算机和其他表示。当您需要在不同的域中做某事时，您必须在两者之间建立信任关系。

ADS 以树状结构提供分层控制。它将 Kerberos、DNS 和 LDAP 概念集成到一个统一的、有凝聚力的整体方法中。使用此结构的域现在可以嵌套在主域中。

仅使用单个服务器进行身份验证，就像问题中的情况一样，可能没有区别。要么选择 Linux，因为这就是你所知道的，要么选择 Windows 来学习新东西。

Samba“PDC”模式类似于 Windows NT 4.0 风格的域。Windows 2000 附带的 Active Directory 在此基础上增加了更多功能。您拥有的 Windows Server 版本越新，Active Directory 的功能就越多。（您是否需要它们是另一回事。）

Active Directory 域控制器将提供中央身份验证，并且还允许使用其他 AD 功能，例如组策略。

除了组策略之外，Active Directory 中的许多其他改进实际上只是随着规模的扩大而发挥作用：在更多位置的更大网络上的更多客户端，或者具有更多域控制器。