什么是Active Directory(活动目录)?
Active Directory简称AD,译名为活动目录,负责架构大型网络环境的集中式目录管理服务(Directory Services),它面向的服务器版本有
Windows Standard Server
Windows Enterprise Server
Windows Datacenter Server
Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
Active Directory的主要功能:
①管理服务器及客户端计算机账户
②管理用户域账户,用户信息,企业通讯录等
③管理打印机,文件共享服务器
④系统管理员可以集中配置桌面配置策略
⑤支持财务,人事,电子邮件等各种应用系统
基础概念
域(Domain)
域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可。
在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户。计算机帐户的密码在域中称为登录票据,它是由DC(域控制器)上的KDC服务来颁发和维护的。域是一个树型结构
森林(Forest)
在多个网域的情况下,可能不同的网域之间需要交换与共享数据,这个时候就需要有一个角色来作为不同网域间的信息交换角色,同时又要符合AD的树状结构规范,因此微软就在多网域之间创建了一个中介用的角色,森林(Forest),一个组织中最多只能有一个Forest,如图为森林结构
站点(Site)
活动目录站点(site),是指一个实体的网络位置,在一个站点中可能会有很多个网域控制站,AD网域数据的复制,就是以站点为主,实际处理复制作业的工具称为KCC(Knowledge Consistency Checker,知识一致性检查器),它会在特定时间对站点设置中的网域进行数据的同步化,复制活动则分为对内复制(intra-site replication)与对外复制(或站间复制,inter-site replication),对内复制是同一个网域间的控制站交换信息,对外复制则是在网络管理人员的设置下,透过指定的通信方法(IP或SMTP)以及拓朴进行复制。
站点和域的很相像,都是指相关联的一组计算机,域强调的时共享活动目录,站点强调的是计算机之间传递信息的速度。域内的计算机重点考虑的是能够共享,所以域内的机器网络传输速度有快有慢,而站点内的计算机都保持高速的联通,保证信息传递的速度。
信任关系(Trust relationship)
在大型的网络环境中,有时可能需要在两个Forest之间共享或授权访问,可以利用信任关系(trust relationship)来创建Forset间的信任,以授权在彼此数系间的访问权,AD环境可支持的四种信任关系包括:
- 快捷方式式信任(shortcut trust),此为加速验证流程所设计的信任法,在多层次的网域中,用户只要连接到最近的网域即可登录,无需要将消息转到授权的根服器。
- 外部式信任(external trust),此为跨森林的授权方法。
- 领域式信任(realm trust),作为与非Kerberos验证的LDAP目录服务与Windows网域的信任模式。
- 森林式信任(forest trust),此为强化型的外部式信任法,可以经由一个中介的森林信任来获取信任关系,例如acme.com.tw信任aspvendor.com,而contoso.com.tw也信任aspvendor.com,则acme.com.tw可以获取和contoso.com.tw的信任关系。
信任关系的设置可以分为单向(one-way)和双向(two-way)两种,单向信任表示被信任的一方可以访问信任的一方的资源,而双向信任则是可以访问各自的资源。
信任关系的传递可分为可递移(transitive)与不可递移(non-transitive)两种,可递移表示创建信任关系的网域在同一树系内的其他网域也可以使用在创建信任关系网域中的信任信息,不可递移则表示只有创建信任关系的网域(不论是否有层次结构)才可以使用信任信息。
组织单元(Organizational unit)
组织单元是域中包含的一类目录对象如用户、计算机和组、文件与打印机等资源。是一个容器。组织单元还具有分层结构可用来建立域的分层结构模型,进而可使用户把网络所需的域的数量减至最小。组织单元具有继承性,子单元能够继承父单元的acl。同时域管理员可授予用户对域中所有组织单位或单个组织单位的管理权限。就像一个公司的各个部门的主管,权力平均化能更有效的管理。
组策略(Group Policy)
组策略是微软Windows NT家族操作系统的一个特性,它可以控制用户账户和计算机账户的工作环境。组策略提供了操作系统,应用程序和活动目录中用户设置的集中化管理和配置。
组策略依赖于活动目录进行分发,活动目录可以分发组策略对象到一个Windows域中的计算机。
组策略会按照以下的顺序处理:
1.本地- 任何在本地计算机的设置。在Windows Vista之前,每台计算机只能有一份本地组策略。在Windows Vista和之后的Windows版本中,允许每个用户帐户分别拥有组策略。
2.站点- 任何与计算机所在的活动目录站点关联的组策略。(活动目录站点是旨在管理促进物理上接近的计算机的一种逻辑分组)。如果多个策略已链接到一个站点,将按照管理员设置的顺序处理。
3.域- 任何与计算机所在Windows域关联的组策略。如果多个策略已链接到一个域,将按照管理员设置的顺序处理。
4.组织单元- 任何与计算机或用户所在的活动目录组织单元(OU)关联的组策略。(OU是帮助组织和管理一组用户、计算机或其他活动目录对象的逻辑单元)。如果多个策略已链接到一个OU,将按照管理员设置的顺序处理。
识别名(Distinguished Name)
每个D对象均有一个以LDAP组成的名称,称为识别名(DN),这个识别名是作为使用LDAP查询AD目录中识别对象的名称,格式类似
LDAP://cn=John Smith, ou=Software Engineering, dc=engineering, dc=acme, dc=com, dc=tw
LDAP://cn=COMP1024, ou=Computers, dc=acme, dc=com, dc=tw
在LDAP字符串中经常使用的代字有:
- DC:domainComponent
- CN:commonName
- OU:organizationalUnitName
- O:organizationName
- STREET:streetAddress
- L:localityName
- ST:stateOrProvinceName
- C:countryName
- UID:userid
工作组和域的区别
什么是工作组?
工作组是把一些具有相同职能的机器放到同一个组里,这样一来,在整个办公内网中的机器就一目了然了,不会那么杂乱无章的样子。
工作组的特点
- 在工作组中的每台机器对其自身都拥有绝对的掌控权,也就是说,你可以随意进出任何一个工作组,所谓的工作组只是形式上的把大家放在了一起而已,并不存在真正的集中管理作用,工作组内的每台机器依然是相互独立,互不干涉,各自为政的。
- 工作组中的身份验证方式,是直接在被访问的机器上进行的。当你本地系统的账号密码和工作组的中的某台机器的账号密码恰巧一样时,这时当你在登录状态去访问那台机器,就不再需要提供账号密码,而是直接就能访问到对方的系统资源,虽然这种’撞号’的几率很小,但不代表不可能。所以存在着一定的风险。
工作组优缺点
优点:它只是形式上的整体(并非真正的安全边界),但相对来说网络性能较高
缺点:可以看到,所谓的工作组,实质上还是一盘散沙,基本没有任何安全性可言,如果你想进行安全部署,可能就只能一台一台的来配置,过程非常的繁琐,如果你只是想单单对某个几台机器进行集中管理,那就更麻烦了,因为诸多的原因,所以后来就有了windows’域’
域相对于工作组的优点
诸多的原因,所以后来就有了windows’域’
域相对于工作组的优点
相对工作组这种’松散自由’的管理方式来讲,域就是一个权限控制相当严格的’工作组’,你甚至可以把它粗略理解成升级版的’工作组’,大家貌似都喜欢把域叫做’安全边界’,其实,个人觉得这确实已经说的够形象了,因为,相比工作组而言,它有一个更加严格的安全管理控制机制,不像工作组那样,在域内可以很方便的对某台或者几台机器,对某个用户或者几个用户进行非常详细的权限控制,另外,域也不像工作组,如果是工作组,只要处在同一内网下(默认是workgroup组),就可以随意访问组中的机器和共享的资源,但,如果是域,只是单单处在同一内网下,还是远远不够的,如果你想访问域内的资源,就必须先要以一个合法的身份加到域中,然后登陆到该域中才可以,至于你对域内的资源有什么样的权限,还需要看你当前的域用户身份,到这里,相信大家已经大概理解域和工作组之间的区别了。