工作組和域
工作組(Work Group):工作組是一種平等身份環(huán)境拄养,各個(gè)計(jì)算機(jī)之間各為一個(gè)獨(dú)立體猿棉,不方便管理和資源共享,在高端應(yīng)用中残邀,支持度不夠皆辽,發(fā)揮不了高端應(yīng)用的更多功能。
域(Domain):域是一種管理單元芥挣,也是一個(gè)管理安全邊界驱闷。域管理員只能管理域的內(nèi)部,除非其他的域顯式地賦予他管理權(quán)限空免,他才能夠訪問(wèn)或者管理其他的域空另。每個(gè)域都有自己的安全策略,以及它與其他域的安全信任關(guān)系蹋砚。
域環(huán)境一般情況下滿足兩類(lèi)需求扼菠,一類(lèi)是應(yīng)用需求,比如微軟的系列產(chǎn)品Exchange坝咐、Hyper-v循榆、群集技術(shù)都需要域環(huán)境;第二類(lèi)是管理需求墨坚,比如組策略的控制秧饮、集中控制用戶和組身份、共享計(jì)算機(jī)資源,都可以在域環(huán)境中發(fā)揮極致的性能浦楣。
目錄(Directory):目錄是存儲(chǔ)有對(duì)象的信息的層次結(jié)構(gòu)。
書(shū)籍的目錄按照一定的次序編排而成咪辱,為反映館藏振劳、指導(dǎo)閱讀、檢索圖書(shū)的工具油狂;電話目錄(Telephone Directory)是記錄著親朋好友的姓名和電話號(hào)碼等數(shù)據(jù)的電話簿历恐;一個(gè)計(jì)算機(jī)系統(tǒng)中有成千上萬(wàn)個(gè)文件,為了便于對(duì)文件進(jìn)行存取和管理专筷,計(jì)算機(jī)系統(tǒng)建立文件的索引弱贼,即文件名和文件物理位置之間的映射關(guān)系,這種文件的索引稱(chēng)為文件目錄(File Directory)磷蛹,它記錄著文件的文件名吮旅、文件類(lèi)型、文件大小味咳、建立時(shí)間等庇勃。
Active Directory中文意思為活動(dòng)目錄,Active Directory域內(nèi)的Directory Database(目錄數(shù)據(jù)庫(kù))被用來(lái)存儲(chǔ)用戶賬戶槽驶、計(jì)算機(jī)賬號(hào)责嚷、打印機(jī)域共享文件夾等對(duì)象,提供目錄服務(wù)的組件就是Active Directory域服務(wù)(Active Directory Domain Service掂铐,AD DS)罕拂。AD DS負(fù)責(zé)目錄數(shù)據(jù)庫(kù)的存儲(chǔ)、創(chuàng)建全陨、刪除爆班、修改、查詢等工作辱姨。
Active Directory 存儲(chǔ)有關(guān)網(wǎng)絡(luò)上對(duì)象的信息蛋济,并讓管理員和用戶可以更容易地使用這些信息。 Active Directory 使用結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)作為目錄信息的邏輯層次組織的基礎(chǔ)炮叶。
Namespace
Namespace即名稱(chēng)空間或命名空間碗旅,名稱(chēng)空間是有特定邊界的指定區(qū)域,主要用途是組織資源的說(shuō)明镜悉,使用戶按其特性或?qū)傩詠?lái)查找資源祟辟。例如Windows系統(tǒng)的NTFS也是一個(gè)名稱(chēng)空間,在文件系統(tǒng)內(nèi)侣肄,我們可以用文件名找到文件旧困。
AD域服務(wù)也是一個(gè)名稱(chēng)空間,我們可以利用AD DS通過(guò)對(duì)象名稱(chēng)來(lái)找到與此對(duì)象有關(guān)的所有信息。
對(duì)象(Object)與屬性(Attribute)
在Active Directory中吼具,主要有兩個(gè)信息類(lèi)型的存儲(chǔ):
- 對(duì)象(Object):對(duì)象的邏輯位置
-
屬性 (Attribute):對(duì)象的屬性列表
AD DS內(nèi)的資源是以對(duì)象的形式存在的僚纷,例如用戶、計(jì)算機(jī)拗盒、打印機(jī)等都是對(duì)象怖竭,對(duì)象是通過(guò)屬性來(lái)描述其特征的。例如對(duì)象是一個(gè)用戶陡蝇,屬性就是姓名痊臭,地址、顯示名稱(chēng)登夫、電話號(hào)碼广匙、電子郵件···等,它是對(duì)象本身屬性的合集恼策。
image.png
容器(Container)與組織單位(Organization Units鸦致,OU)
容器:在生活中容器可以裝水,裝酒等涣楷,它是用來(lái)包裝或裝載物品的貯存器蹋凝。在計(jì)算機(jī)中也是一樣的概念,它里面存放的大部分是對(duì)象总棵,它里面既可以包含其他對(duì)象鳍寂,也可以包含其他容器。
組織單位:組織單位和容器的概念非常相似情龄,其內(nèi)除了可以包含其他對(duì)象與組織單位之外迄汛,還有組策略(Group Policy)的功能。
總結(jié):
1.容器內(nèi)可包含:容器=對(duì)象(用戶骤视、計(jì)算機(jī)等)+其他容器
2.組織單位可包含:組織單位=對(duì)象+組織單位+策略
3.AD DS是以層次式架構(gòu)將對(duì)象鞍爱、容器和組織單位等組合在一起,并將其存儲(chǔ)到AD DS數(shù)據(jù)庫(kù)中
4.組織單位可以理解為一種特殊的容器
域樹(shù)(Domain Tree)
域樹(shù):
當(dāng)搭建包含多個(gè)域的網(wǎng)絡(luò)专酗,通過(guò)信任關(guān)系連接起來(lái)之后睹逃,所有的域共享公共的表結(jié)構(gòu)(schema) 、配置和全局目錄(global catalog)祷肯,從而形成**域樹(shù) **沉填。域樹(shù)由多個(gè)域組成,如圖中域樹(shù)符合DNS域名空間的命名原則佑笋,而且是有連續(xù)性的翼闹,也就是子域的域內(nèi)包含著父域的域名,例如y.x.com的后綴內(nèi)包含著上一層(父域)的域名x.com蒋纬。這些域共享同一個(gè)表結(jié)構(gòu)和配置猎荠,形成一個(gè)連續(xù)的名字空間坚弱。樹(shù)中的域通過(guò)信任關(guān)系連接起來(lái)」匾。活動(dòng)目錄包含一個(gè)或多個(gè)域樹(shù)荒叶。
在域樹(shù)內(nèi)的所有域共享一個(gè)AD DS。也就是在此域樹(shù)之下只有一個(gè)AD DS输虱,不過(guò)其中的數(shù)據(jù)是分散存儲(chǔ)在各域內(nèi)些楣,每一個(gè)域內(nèi)只有存儲(chǔ)隸屬于該域的數(shù)據(jù)。
林(Forest)
林是由一個(gè)或多個(gè)域樹(shù)所組成的悼瓮,每一個(gè)域樹(shù)都有自己唯一的一個(gè)名稱(chēng)空間,如圖中所示艰猬,例如其中一個(gè)域樹(shù)內(nèi)的每一個(gè)域名都是以x.com結(jié)尾横堡,而另一個(gè)則都是以a.com結(jié)尾。
第一個(gè)域樹(shù)的根域就是整個(gè)林的根域(Forest Root Domain)冠桃,同時(shí)其域名就是林的林名稱(chēng)命贴。如圖中x.com就是第一個(gè)域樹(shù)的根域,也是整個(gè)林的根域食听,而林的名稱(chēng)就是x.com胸蛛。
當(dāng)你在建立林時(shí),每一個(gè)域樹(shù)的根域與林根域之間雙向的樱报、可傳遞的信任關(guān)系都會(huì)自動(dòng)被建立起來(lái)葬项,因此每一個(gè)域樹(shù)中的每一個(gè)域內(nèi)的用戶只要擁有權(quán)限就可以訪問(wèn)其他任意域樹(shù)內(nèi)的資源,也可以到其他任何一個(gè)域樹(shù)內(nèi)的成員計(jì)算機(jī)登錄迹蛤。
信任(Trust)
兩個(gè)域之間必須擁有信任關(guān)系(Trust Relationship)民珍,才可以訪問(wèn)對(duì)方域內(nèi)的資源。而任何一個(gè)新的AD DS域被加入到域樹(shù)后盗飒,這個(gè)域都會(huì)自動(dòng)信任其上一層的父域嚷量,同時(shí)父域也會(huì)自動(dòng)信任這個(gè)新子域。
一個(gè)林中的域之間所有的Active Directory信任關(guān)系都具備雙向傳遞性(Two-Way Transitive)逆趣。如圖中:域A信任域B蝶溶,且域B信任域C,則域C中的用戶訪問(wèn)域A中的資源宣渗。(這些用戶被分配了訪問(wèn)權(quán)限)由于此信任工作是通過(guò)Kerberos security protocol來(lái)完成的抖所,因此也被稱(chēng)為Kerveros trust崔涂。
圖中域A信任域B辽狈、域B又信任域C、因此域A自動(dòng)信任域C狈涮;另外域C信任域B咐蝇、域B又信任域A涯鲁,因此域C自動(dòng)信任域A巷查。結(jié)果是域A和域C之間會(huì)自動(dòng)建立起雙向的信任關(guān)系。
所以當(dāng)任何一個(gè)新域加入到域樹(shù)后抹腿,都會(huì)自動(dòng)雙向信任這個(gè)域樹(shù)內(nèi)所有的域岛请,只要擁有適當(dāng)?shù)臋?quán)限,這個(gè)新域內(nèi)的用戶就可以訪問(wèn)其他域內(nèi)的資源警绩。同理崇败,其他域內(nèi)的用戶也可以訪問(wèn)這個(gè)新域內(nèi)的資源。
信任協(xié)議
域控制器使用兩種協(xié)議對(duì)用戶和應(yīng)用程序進(jìn)行身份驗(yàn)證:
Kerberos version 5(V5)或 NTML肩祥。Kerberos V5協(xié)議是Active Directory域中的計(jì)算機(jī)的默認(rèn)協(xié)議后室。如果事務(wù)中的任何計(jì)算機(jī)都不支持Kerberos V5協(xié)議,則使用NTML協(xié)議混狠。
信任方向
單向信任:?jiǎn)蜗蛐湃问窃趦蓚€(gè)域之間創(chuàng)建的單向身份驗(yàn)證路徑岸霹。這表示在域A和域B之間的單向信任中,域A中的用戶可以訪問(wèn)域B中的資源将饺,但是域B中的用戶無(wú)法訪問(wèn)域A中的資源贡避。單向信任可以是不可傳遞,也可以是可傳遞信任予弧,這取決于創(chuàng)建的信任類(lèi)型刮吧。
雙向信任:Active Directory林中的所有域信任都是雙向的、可傳遞的信任掖蛤。創(chuàng)建新的子域時(shí)杀捻,系統(tǒng)將在新的子域和父域之間自動(dòng)創(chuàng)建雙向可傳遞信任。在雙向信任中蚓庭,域A信任域B水醋,并且域B信任域A。這表示可以在兩個(gè)域之間雙向傳遞身份驗(yàn)證請(qǐng)求彪置。雙向關(guān)系可以是不可傳遞的拄踪,也可以是可傳遞的,這取決于所創(chuàng)建的信任類(lèi)型拳魁。
信任類(lèi)型
包括外部信任(不可傳遞)惶桐、快捷方式信任(可傳遞)、領(lǐng)域信任(可傳遞或不可傳遞)潘懊、林信任(可傳遞)姚糊。
架構(gòu)(Schema)
AD DS對(duì)象類(lèi)型與屬性數(shù)據(jù)是定義在架構(gòu)內(nèi)的。隸屬于Schema Admins組的用戶可以修改架構(gòu)內(nèi)的數(shù)據(jù)授舟,應(yīng)用程序也可以自行在架構(gòu)內(nèi)添加其所需的對(duì)象類(lèi)型或?qū)傩跃群蕖T谝粋€(gè)林內(nèi)的所有域樹(shù)共享相同的架構(gòu)。
域控制器(Domain Controller)
Active Directory 域服務(wù)(AD DS)的目錄是存儲(chǔ)在域控制器內(nèi)的释树。一個(gè)域內(nèi)可以有多臺(tái)域控制器肠槽,每一臺(tái)域控制器的地位(幾乎)是平等的擎淤,它們各自存儲(chǔ)著一份相同的AD DS數(shù)據(jù)庫(kù)。當(dāng)你在任何一臺(tái)域控制器內(nèi)新建一個(gè)用戶賬戶后秸仙,此賬戶默認(rèn)是被建立在此域控制器的AD DS數(shù)據(jù)庫(kù)中嘴拢,之后會(huì)被自動(dòng)復(fù)制到其他域控制器的AD DS數(shù)據(jù)庫(kù),以便讓所有域控制器內(nèi)的AD DS數(shù)據(jù)庫(kù)都能夠同步寂纪。
當(dāng)用戶在域內(nèi)某臺(tái)計(jì)算機(jī)上登錄時(shí)席吴,會(huì)由其中一臺(tái)域控制器根據(jù)其AD DS數(shù)據(jù)庫(kù)內(nèi)的賬戶數(shù)據(jù)來(lái)審核用戶所輸入的用戶名與密碼是否正確。若是正確的捞蛋,用戶就可以成功登錄孝冒;反之會(huì)被拒絕登錄。
多臺(tái)域控制器可以提供容錯(cuò)功能拟杉,例如其中一臺(tái)域控制器出現(xiàn)故障了庄涡,仍然能夠由其他域控制器來(lái)繼續(xù)服務(wù)。另外它因?yàn)槎嗯_(tái)域控制器可以分擔(dān)審核用戶登錄身份(賬戶名稱(chēng)與密碼)的負(fù)擔(dān)捣域,從而可以改善用戶登錄效率啼染。
Lightweight DIrectory Access Protocol(LDAP)
LDAP(Lightweight DIrectory Access Protocol)輕型目錄訪問(wèn)協(xié)議:是一種用來(lái)查詢與更新AD DS數(shù)據(jù)庫(kù)的目錄服務(wù)通信協(xié)議宴合,通過(guò)IP協(xié)議提供訪問(wèn)控制和維護(hù)分布式信息的目錄信息焕梅。AD DS利用 LDAP名稱(chēng)路徑(LDAP naming path)來(lái)表示對(duì)象在AD DS數(shù)據(jù)庫(kù)內(nèi)的位置,以便訪問(wèn)AD DS數(shù)據(jù)庫(kù)內(nèi)的對(duì)象卦洽。
- 在LDAP中信息以樹(shù)狀方式組織贞言,在樹(shù)狀信息中的基本數(shù)據(jù)單元是條目,而每個(gè)條母由屬性構(gòu)成阀蒂,屬性中存儲(chǔ)有屬性值该窗;
- 在LDAP中的每個(gè)條目均有自己的DN,DN是該條目在整個(gè)樹(shù)中的唯一名稱(chēng)標(biāo)識(shí)蚤霞,如同文件系統(tǒng)中酗失,帶路徑的文件名就是DN;
- 在LDAP中共有四類(lèi)操作:
????查詢類(lèi)操作:如搜索昧绣、比較
????更新類(lèi)操作:如添加條目规肴、刪除條目、修改條目夜畴、修改條目名
????認(rèn)證類(lèi)操作:如綁定拖刃、解綁定
????放棄和擴(kuò)張操作 - LDAP主要通過(guò)身份認(rèn)證、安全通道和訪問(wèn)控制來(lái)實(shí)現(xiàn)贪绘。
LDAP名稱(chēng)路徑包含:
????Distinguished Name(DN):它是對(duì)象在AD DS數(shù)據(jù)庫(kù)內(nèi)的完整路徑兑牡。
????Relative Distinguished Name(RDN):它是用來(lái)代表DN完整路徑中的部分路徑。
????Global Unique Identifier (GUID):它是一個(gè)128位的數(shù)值税灌,系統(tǒng)會(huì)自動(dòng)為每一個(gè)對(duì)象指定一個(gè)唯一的GUID均函。
????User Principal Name (UPN):每一個(gè)用戶還可以有一個(gè)比DN更短的亿虽、更容易記憶的UPN。
全局編錄(Global Catalog)
域樹(shù)內(nèi)的所有域共享一個(gè)AD DS數(shù)據(jù)庫(kù)边酒,但是其數(shù)據(jù)卻是分散在各個(gè)域內(nèi)的经柴,而每一個(gè)域只存儲(chǔ)該域本身的數(shù)據(jù)。為了讓用戶墩朦、應(yīng)用程序能夠快速找到位于其他域內(nèi)的資源坯认,在AD DS內(nèi)便設(shè)計(jì)了全局編錄(GC)。一個(gè)林內(nèi)的所有域樹(shù)共享相同的全局編錄氓涣。
全局編錄包含了各個(gè)活動(dòng)目錄中每一個(gè)對(duì)象的最重要的屬性牛哺,是域林中所有對(duì)象的集合。 全局編錄所在的域服務(wù)器稱(chēng)為全局編錄服務(wù)器(GC server)劳吠,它存儲(chǔ)著林內(nèi)所有域的AD DS是數(shù)據(jù)庫(kù)內(nèi)的每一個(gè)對(duì)象引润,不過(guò)只是存儲(chǔ)對(duì)象的部分屬性,這些屬性都是常用的被用來(lái)查找的屬性痒玩,例如用戶的登錄名等淳附。全局編錄讓用戶及時(shí)不知道對(duì)象是位于哪一個(gè)域內(nèi),任然可以很快速的找到所需對(duì)象蠢古。用戶登錄時(shí)奴曙,全局編錄服務(wù)器還負(fù)責(zé)提供該用戶所隸屬的通用組信息,用戶利用UPN登錄時(shí)草讶,它也負(fù)責(zé)提供該用戶是隸屬于哪一個(gè)域的信息洽糟。默認(rèn)部署的活動(dòng)目錄中創(chuàng)建的第一個(gè)DC必須是全局編錄服務(wù)器,其他的域服務(wù)器可以指派成額外的全局編錄服務(wù)器來(lái)平衡網(wǎng)絡(luò)流量堕战。
