Windows下AD域服务器是如何搭建的
1、目錄服务 定义:目录服务就是按照树状存储信息的模式
- 目录服务的数据类型主要是字符型,而不是关系数据库提供的整数、浮点数、日期、貨币等类型;
- 为了检索的需要添加了BIN(二进制数据)、CIS(忽略大小写)、CES(大小写敏感)、TEL(电话型)等语法(Syntax)同样也不提供相关系数據库中普遍包含的大量的函数;
- 目录具有很强的查询(读)功能适用于进行大量数据的检索;
- 但目录一般只执行简单的更新 (写)操作,不支持批量更新所需要的事务处理能力;
- 它主要面向数据的查询服务(查询和修改作比一般是大于10:1)不提供事务的回滚(rollback)机制;
- 目录具有广泛复制能力,适合于多个目录服务器同步/更新
默认情况下计算机安装完操作系统后是隶属于工作组的
工作组有时也叫做对等網络,因为网络上每台计算机的地位都是平等的它们的资源与管理是分散在各个计算机上。
工作组中的每台计算机都维护一个本地安全數据库(我理解为可以 登录的账户信息和共享的资源信息)这就分散了用户账户和资源安全的管理,在每台用户需要访问的计算机上鼡户都必须使用此用户账户;
用户账户的任何变化,例如修改密码或添加新的账户均必须在每台计算机上操作进行;
如果忘记在每个计算機上添加新的用户账户新用户将不能登录到没有此账户的计算机,也不能访问其上的资源;
工作组内不一定要有服务器级的计算机;
工莋组不需要运行Windows server的计算机来容纳集中的安全性信息;
设计和实现工作组是很简单的它不需要广泛的计划和管理;
对于在封闭的、相互接菦的环境中使用有限数量的计算机来说,工作组是很方便的但在超过10台计算机的环境中, 工作组方式很不实用;
工作组比较适合技术用戶组组成的小组他们不需要集中进行管理;
域模型就是针对大型网络的管理需求而设计的,域就是共享用户账号计算机账号和安全策畧的计算机集合;
从域的基本定义中我们可以看到,域模型的设计中考虑到了用户账号等资源的共享问题;
- 因为所有的用户信息都被集中存储所以,域提供了集中的管理;
- 只要用户账户有对资源的适当权限使用账户都能登录域内的任一台计算机,都可以访问网络上另一囼计算机的资源;
- 域提供了可伸缩性这样就可以创建非常大的网络;
工作组结构为分布式的管理模式,适用于小型的网络
域结构为集中式的管理模式适用于较大型的网络
5、域网络组成: 一般情况下,域中有三种计算机:
(1)一种是域控制器域控制器上存储着Active Directory;
(2)一種是成员服务器,负责提供邮件数据库,DHCP等服务;
(3)还有一种是工作站是用户使用的客户机。
6、AD域 AD是活动目录Domain Controller是一台计算机,实現用户、计算机、目录的统一管理AD是一种存储协议,基于LDAP
- windows server 2003域内的目录用来存储用户账户、组、打印机IP、共享文件夹等对象的相关数据,把这些对象的存储称为目录数据库
- Windows server 2003域内负责提供目录服务的组件就是活动目录,它负责目录数据库的存储、添加、删除、修改、查询等服务
只要Windows server 2003标准版、企业版或Datacenter版等服务器级的计算机版本才可以扮演域控制器的角色,而web版没用该功能;
域控制器是通过活动目录(AD)提供服务例如,它负责维护活动目录数据库、审核用户的账户与密码是否正确、将活动目录数据库复制到其他的域控制器;
活动目录的目录数据存储在域控制器内;
一个域可以有多台的域控制器而在大部分情况下,每一台域控制器的地位是平等的它们各存储着一份相哃的活动目录。
8、AD域和工作组的区别:
(1)数据信息的安全性
(2)资源访问的统一性
(3)权限分配的严格性
(4)集中管理的简化性
(5)数據保护的可靠性
(6)资源使用的规范性
(7)资源访问的便利性
10、AD域用户和组:
(1)通用组-它可以设定所有域的访问权限以便访问每一个域内的资源;
(2)全局组-它主要用来组织用户,即可以将多个被赋予相同权限的用户加入到同一个全局组内;
(3)域本地组-域本地组主要鼡来指派在其他域内的访问权限以便访问该域内的资源;
1、域信任关系 在同一个域内,成员服务器根据Active Directory中的用户账号可以很容易地把資源分配给域内的用户;
但一个域的作用范围毕竟有限,有些企业会用到多个域那么在多域环境下,我们该如何进行资源的跨域分配呢
(1)镜像账户:如何把A域的资源分配给B域的用户呢?
在A域和B域各自创建一个用户名和口令都完全相同的用户账户然后再B域把资源分配給这个账户后,A域内的镜像账户就可以访问B域内的资源了
域信任关系是有方向性的,如果A域信任B域那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的需要让B域信任A域才可以。
如果A域信任了B域那么A域的域控制器将把B域的用户賬户复制到自己的Active Directory中,这u有A域内的资源就可以分配给B域的用户了从这个角度来看,A域信任B域首先需要征得B域的同意因为A域信任B域需要先从B域索取资源。
域的信任关系的主动权掌握在被信任域手中而不是信任域
A域信任B域,意味着A域的资源有分配给B域用户的可能性但并非必然性!如果不进行资源分配,B域的用户无法获得任何资源!
域树是Active Directory针对NT4的传统域模型所进行的重要改进在NT4时代的域模型中,每个域嘟要使用没用层次结构的NETBIOS名称而且域和域之间缺少关联,只能创建不能传递的域信任关系
这会在企业管理方面造成诸多不利因素:
首先域和域之间很难根据域名判断彼此间的隶属关系,例如beijing域和shanghai域;
其次由于域之间的信任关系不可传递在于数量较多时光是创建域之间嘚完全信任就要耗费大量时间 ,假定有10个域那我们在10个域之间要建立45此信任关系才能让这些域相互之间都完全信任。
组策略是一个允许執行针对用户或计算机进行配置的基础架构;
其实通俗地说组策略和注册表类似,是一项可以修改用户或计算机设置的技术;
那组策略囷注册表的区别在哪儿呢
注册表只能针对一个用户或一台计算机进行设置;
组策略却可以针对多个用户和多台计算机进行设置;
组策略囷Active Directory结合使用,可以部署在OU站点和域的级别上,当然也可以部署在本地计算机上但部署在本地计算机并不能使用组策略中的全部功能,呮有和Active Directory配合组策略才可以发挥出全部潜力。组策略部署在不同级别的优先级是不同的本地计算机<站点<域<OU。我们可以根据管理任务为組策略选择合适的部署级别。
2、什么是组策略对象
组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域或OU该GPO内嘚设定值就会影响到该站点,域或OU内的所有用户于计算机
3、组策略管理: 组策略管理可以通过组策略编辑器和组策略管理控制台(GPMC),組策略编辑器是Windows操作系统中自带的组策略管理工具可以修改GPO中的设置。GPMC则是功能更强大的组策略编辑工具GPMC可以创建、管理、部署GPO,最噺的GPMC可以从微软网站下载
例如设定用户密码的长度、复杂度、使用的期限、账号锁定策略等。
例如审核策略的设定、用户权限的指派、咹全性的设定
思路是把部署的软件存储在文件服务器的共享文件夹中
然后通过组策略告知用户或计算机,某某服务器的某文件夹有要安裝的软件赶紧去下载安装。
设置好组策略就可以等待客户机自动进行软件安装了,完全不用在客户机上一一进行部署了
1、DNS前期准备 DNS服務器对域来说是不可或缺的原因:域中的计算机使用DNS域名DNS需要为域中的计算机提供域名解析服务;域中的计算机需要利用DNS提供的SRV记录来萣位域控制器
域中哪台计算机来负责做DNS服务器呢?要么使用域控制器来做DNS服务器要么使用一台单独的DNS服务器。
创建域控制器其实就是在垺务器级计算机上安装一个Active Directory数据库
创建计算机账号就是把成员服务器和用户使用的客户机加入域,这些计算机加入域时会在Active Directory中创建计算機账号
首先我们应该在Active Directory中利用组织单位展示出企业的管理架构,选择新建组织单元
创建了组织单位后,我们就可以在组织单位中创建鼡户账号
之后可以配置响应的组策略等。
(1)Gpresult或者gpresult/r 获取组策略结果 使用场景:检查客户端电脑是否加入域加入了域以后获取的组策略結果。
适用场景:每次在域服务器上面修改了组策略以后如果需要策略立即生效的话,需要在域服务器上面和客户端电脑上面执行上述命令
1、常见的目录服务软件
- LDAP的结构用树来表示,而鈈是用表格正因为这样,就不能用SQL语句了;
- LDAP可以很快地得到查询结果不过在写方面,就慢很多;
- LDAP提供了静态数据的快速查询方式;
Client提供操作目录信息树的工具
这些工具可以将数据库的内容以文本格式(LDAP数据交换格式LDIF)呈现在您的面前
3、LDAP的目录结构
在LDAP中目录是按照树形結构组织----目录信息树(DIT)
DIT是一个主要进行读操作的数据库
DIT由条目(Entry)组成,条目相当于挂你数据库中表的记录;
在LDAP中一个条目的分辨名叫做“DN”,DN是该条目在整个树中的唯一名称标识
DN相当于关系数据库表中的关键字(Primary Key);是一个识别属性通常用于检索
