AD DS概述

AAA
身份验证、授权、审核

=================================================

ad ds提供了一个集中式的系统,用于网络上的用户、计算机和其他资源

主要功能:
集中式目录
单一登录访问
集成安全性
可伸缩性
公共管理界面

=================================================

组件:
物理组件:数据存储、域控制器、全局编录服务器、只读域控制器(RODC)

逻辑组件:分区、架构、域、域树、林、站点、组织单位(OU)

 

------------------逻辑组件------------------

AD DS架构(schema):

定义可存储的AD DS中的每一种对象类型
强制实施与对象创建和配置有关的规则

 

域:

域是逻辑目录组件,用于分组和管理阻止中的AD DS对象

域提供:

管理边界,用来将策略应用于对象组
复制边界,用于在域控制器之间复制数据
身份验证和授权边界,提供限制资源访问范围的方法

 

AD DS信任:

信任提供了一种使用户能访问另一个域中的资源的机制

 

域树:

域树使AD DS中域的层次结构

作用:
域树中的所有域:
其名称空间衔接父域的名称空间
可以在其名称空间中添加更多子域
与树中的其他域之间有双向可传递信任关系


林:

林是一个或多个域树的集合

用于:
共享同一个架构
共享同一配置分区
共享同一局编录以支持搜索
实现林中所有域之间的信任
共用Enterprise Admins和Schema Admins组


OU(组织单元):

OU是可包含用户、组、计算机和其他OU的AD容器

用于:
层次化的、逻辑的表示公司组织结构
以统一的方式管理一系列对象
将权限委派给对象的管理员组
应用策略

 

------------------物理组件------------------

AD DS域控制器:

域控制器是安装了AD DS服务器角色的服务器

域控制器:
承载AD DS目录存储的副本
提供身份验证和授权服务
将更新复制到域和林中的其他域控制器
允许在服务器上管理用户账户和网络资源

win server2008支持RODC

全局编录服务器:

存储了全局编录的副本的域控制器

全局编录:
包含林中所有AD DS对象的副本,但是该副本仅包含林中每个对象的部分属性
提高搜索对象的效率,因为它避免了不必要地引用域控制器
是用户登录到域中所必需的


AD DS数据存储:

包含存储和管理用户、服务和应用程序的目录信息的数据库文件和文件进程

作用:
AD DS数据存储:
由Ntds.dit文件构成
默认存储在所有域控制器上的%SystemRoot%\NTDS文件夹中
只能通过域控制器进程和协议访问


AD DS复制:

将AD DS数据库的所有更新复制到域中或林中的所有其他域控制器

作用:
确保所有域控制器都有相同的信息
使用多主机复制模型
可通过创建AD DS站点来进行管理


站点:

AD DS站点用于表示一个网段,在该网段中,所有域控制器都通过快速可靠的网络连接相连

作用:
与IP子网关联
用于管理复制流量
用于管理客户端登录流量
由可识别站点的应用程序使用,如分布式文件系统(DFS)或Exchange Server2007
用于将组策略对象分配给公司位置中的所有用户和计算机

posted @ 2021-02-25 21:32  f1veseven  阅读(1402)  评论(0编辑  收藏  举报