WinServer-AD域服务-学习记录-01

AD简介

相关术语解释

首先了解两个概念:

directory:

directory service(目录服务):对目录中的数据进行整理,使用户能够容易切迅速地查找到所需的数据;

AD[Active Directory]

首先AD中有一个directory database,用来存储用户账户、计算机账户、打印机和共享文件夹等对象的;

提供directory service的组件就是AD DS(Active Directory Domain Service),负责对directory database的存储、添加、删除、修改与查询等操作;在AD DS中,AD就是一个NameSpace,directory database就放在这个NameSpace中,利用AD,我们可以通过对象名称来找到与这个对象有关的所有信息;

在TCP/IP网络中使用DNS来解析主机名和IP地址的对应关系,也就是利用DNS来解析主机名从而得到主机的IP地址;

AD DS也与DNS紧密结合在一起,域的NameSpace也使用DNS架构,因此域名一般使用DNS格式来命名,比如将AD域的域名命名为good.com;

AD域对象与属性

AD域内的资源【用户、计算机、打印机、共享盘等】以object的形式存在,那么从编程的角度来看,object的一定属于特定的class,一定拥有特定的attributes;例如用户Bruce这一资源,它的class就是用户类,它的属性就是姓名、登录账号、登录密码、电话号码、电子邮件等信息;

AD域控制器DC

AD DS的数据存储在域控制器(Domain Controller DC)内,一个域内可以有多台域控制器(DC),每台与控制器的地位几乎是平等的,它们各自存储着一份几乎完全相同的Active Directory数据;当任何一台域控制器内添加一个用户账户后,此账户默认被创建在此域控制器的Active Directory,之后会自动被复制(replicate)到其他域控制器的Active Directory中,以便所有的DC的Active Directory是同步的(synchronize);

当用户在域内的某台计算机登录时,会由其中一台域控制器根据其Active Directory内的账户数据,来审核用户输入的信息是否正确,如果正确就允许其登录,向计算机发送access key【包含权限等信息】等;

通常的DC上的AD是可以被读写的,也存在一种DC叫做RODC(Read-Only Domain Controller)只能够读但不可以写入,这种一般放置在分公司那种安全级别不高的地方;

LDAP(Lightweight Directory Access Protocol)

轻量级目录访问协议,是一种用来查询与更新Active Directory的目录服务通信协议;

AD DS利用LDAP的命名路径(LDAP naming path)来表示对象在AD内的位置,以便用它来访问AD内的对象;

LDAP数据的组织方式:

image

LDAP naming path

标识名称(distinguished Name,DN):它是对象在 Active Directory 内的完整路径,DN 有三个属性,分别是 CN,OU,DC;

CN (Common Name):通用名称,一般为用户名或计算机名,如张三;

OU (Organizational Unit):组织单位,如软件研发部,Web前端组;

DC (Domain Component):表示DNS域名中的组件,例如monnxy.com中的monnxy及com;

那么DN【CN=张三,OU=Web前端组,OU=软件研发部,DC=moonxy,DC=com】就是表示name【张三】及其存储路径【path】。

image

其他路径相关的术语

相对标识名称(Relative Distinguished Name,RDN):RDN用来代表DN完整路径中的部分路径,例如上面路径中的 CN=张三与 OU=Web前端组等都是 RDN;

Base DN:LDAP 目录树的最顶部,也就是根,也就是所谓的 "Base DN",如 "DC=moonxy,DC=com";

全局唯一标识符(Global Unique Identifier,GUID):GUID 是一个128位的数值,系统会自动为每个对象指定一个唯一的GUID。虽然可以改变对象的名称,但是其GUID永远不会改变;

用户主体名称(User Principal Name,UPN):每个用户还可以有一个比DN更短、更容易记忆的 UPN,例如上面的张三隶属于 moonxy.com,则其 UPN 可以为 zhangsan@moonxy.com。用户登录时所输入的账户名最好是 UPN,因为无论此用户的账户被移动到哪一个OU下,其 UPN 都不会改变,因此用户可以一直使用同一个名称来登录;

AD与LDAP的关系

LDAP 是一种用来访问 AD 数据库的目录服务协议,AD DS 会通过 LDAP 名称路径来表示对象在 AD 数据库中的位置,以便用它来访问 AD 数据库内的对象。LDAP 的名称路径包括有 DN、RDN;

openLDAP(Linux),Active Directory(Microsoft)等是对 LDAP 目录访问协议的具体实现,除了实现协议的功能,还对它进行了扩展;

域林与域树

在一棵域树内所有的域共享一份ad数据库的数据,但是在整个域林中有多份这样的数据《每个ad有一棵》




end

posted @ 2021-03-09 10:10  FcBlogs  阅读(218)  评论(0编辑  收藏  举报