风中人-cool

导航

域服务简介

1. AD DS 概述

1.1 部署 AD DS 的原因

AD DS 提供了一个集中式的系统,用于管理网络上的用户、计算机和其他资源

AD DS 功能包括:
  • 集中式目录
  • 单一登录访问
  • 集成安全性
  • 可伸缩性
  • 公共管理界面

1.2 身份验证

身份验证是在网络上验证用户身份的过程。
身份验证包含两个组成部分:
  • 交互式登录 –授予对本地计算机的访问权
  • 网络身份验证 – 授予对网络资源的访问权

1.3 授权

授权是验证通过身份验证的用户是否有权限来执行某个操作的过程。
  • 创建帐户时,安全标识符(SID) 将颁发给安全主体
  • 身份验证期间,安全令牌将颁发给用户帐户,令牌中包含用户的SID 以及所有相关的组 SID
  • 网络上的共享资源包括访问控制列表 (ACL),ACL 定义谁可以访问资源
  • 安全令牌与资源上的 DACL 进行比较,并相应地授予或拒绝访问。

1.4 使用 AD DS 集中管理网络

AD DS 通过以下几点实现集中管理网络:
  •  提供了一个集中的地方来管理用户和组帐户以及相应的工具集
  • 提供了一个集中的地方来分配对共享网络资源的访问权
  • 为支持 AD DS 的应用程序提供目录服务
  • 提供用于配置应用于所有用户和计算机的安全策略的多种选项
  • 提供用于管理用户桌面和安全设置的组策略

1.5 AD DS 组件概述

AD DS 由物理组件和逻辑组件组成。
物理组件:
  • 数据存储
  • 域控制器
  • 全局编录服务器
  • 只读域控制器 (RODC)
逻辑组件
  • 分区
  • 架构
  • 域树
  • 站点
  • 组织单位 (OU)

2. AD DS 逻辑组件概述

2.1 AD DS 架构
AD DS 架构:
  • 定义可存储在 AD DS 中的每一种对象类型
  • 强制实施与对象创建和配置有关的规则
对象类型 功能 实列
类对象 定义可在目录中创建何种对象
  • 用户类
  • 计算机类
属性对象 定义对于每种对象可存储哪些信息
  • 显示名

 

2.2 域
域是逻辑目录组件,用于分组和管理组织中的AD DS 对象
域提供:
  • 管理边界,用来将策略应用于对象组
  • 复制边界,用于在域控制器之间复制数据
  • 身份验证和授权边界,提供限制资源访问范围的方法
2.3 AD DS 信任
信任提供了一种使用户能访问另一个域中的资源的机制。

 

  •  林中的所有域信任林中的所有其他域
  • 信任可延伸到林之外
2.4 域树
域树是 AD DS 中域的层次结构。
域树中的所有域:
  • 其名称空间衔接父域的名称空间
  • 可以在其名称空间中添加更多子域
  • 与树中的其他域之间有双向可传递信任关系
2.5 林
林是一个或多个域树的集合。
林:
  • 共享同一架构
  • 共享同一配置分区
  • 共享同一全局编录以支持搜索
  • 实现林中所有域之间的信任
  • 共用 Enterprise Admins 和 Schema Admins 组
2.6 OU
OU 是可包含用户、组、计算机和其他 OU 的 Active Directory 容器。
OU 用于:
  • 层次化地、逻辑地表示公司组织结构
  • 以统一的方式管理一系列对象
  • 将权限委派给对象的管理员组
  • 应用策略
2.7 讨论:实施 AD DS 逻辑组件的场景
2.8 AD DS 对象

 

 

2.9 演示:管理 AD DS 逻辑组件的工具

 

3. AD DS 物理组件概述

3.1 AD DS 域控制器
域控制器是安装了 AD DS 服务器角色的服务器。
域控制器:
  •  承载 AD DS 目录存储的副本
  • 提供身份验证和授权服务
  • 将更新复制到域和林中的其他域控制器
  • 允许在服务器上管理用户帐户和网络资源
3.2 DNS 和 AD DS 概述
  • AD DS 需要 DNS 基础结构
  • AD DS 域名必须是 DNS 域名
  • AD DS 域控制器记录必须在DNS 中注册才能使其他域控制器和客户端计算机能找到该域控制器
  • DNS 区域可作为 ActiveDirectory 集成区域存储在AD DS 中
3.3 全局编录服务器
全局编录:
  • 包含林中所有 AD DS 对象的副本,但是该副本仅包含林中每个对象的部分属性
  • 提高搜索对象的效率,因为它避免了不必要地引用域控制器
  • 是用户登录到域中所必需的
 
3.4 AD DS 数据存储
AD DS 数据存储包含存储和管理用户、服务和应用程序的目录信息的数据库文件和文件进程。
AD DS 数据存储:
  • 由 Ntds.dit 文件构成
  • 默认存储在所有域控制器上的 %SystemRoot%\NTDS 文件夹中
  • 只能通过域控制器进程和协议访问
3.5 AD DS 复制
AD DS 复制将 AD DS 数据库的所有更新复制到域中或林中的所有其他域控制器。
AD DS 复制:
  • 确保所有域控制器都有相同的信息
  • 使用多主机 (multimaster) 复制模型
  • 可通过创建 AD DS 站点来进行管理
AD DS 复制拓扑是在新的域控制器添加到域中时自动创建的。
 
3.6 站点
AD DS 站点用于表示一个网段,在该网段中,所有域控制器都通过快速可靠的网络连接相连。
站点:
  • 与 IP 子网关联
  • 用于管理复制流量
  • 用于管理客户端登录流量
  • 由可识别站点的应用程序使用,如分布式文件系统 (DFS) 或Exchange Server 2003
  • 用于将组策略对象分配给公司位置中的所有用户和计算机
3.7 讨论:实施 AD DS 物理组件的场景
3.8 演示:管理 AD DS 物理组件的工具

posted on 2021-02-13 10:36  风中人-cool  阅读(451)  评论(0编辑  收藏  举报