简介
将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域,域是组织与存储资源的核心管理单元,在域中,至少有一台域控制器,域控制器中保存着整个域的用户帐号和安全数据库。
域是一个有安全边界的计算机集合(安全边界是在两个域中,一个域中的用户无法访问另一个域中的资源),在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。
域管理优势
1、权限管理比较集中,管理成本降低
域环境中,所有的网络资源,包括用户均是在域控制器上维护的,便于集中管理,所有用户只要登入到域,均能在域内进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低;同时在域环境中也可以防止企业员工在域成员主机上违规安装软件,增强客户端安全性,减少客户端故障,降低维护成本。
2、保密性加强
有利于企业的一些保密资料的管理,可以单独对资源进行权限控制,允许或拒绝特定的域账户对资源的请求。
3、安全性加强
使用漫游账户和文件夹重定向,个人账户的工作文件及数据等可以存储在服务器上,进行统一备份及管理,使用户的数据更加安全有保障;同时域控制器能够分发应用程序、系统补丁,用户可以选择安装,也可以由系统管理员指派自动安装,数据及系统安全性大大提高。
4、提高了便捷性
可由管理员指派登陆脚本映射,用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需要再次输入密码。
域控制器(DC)
域控制器是指在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”
如果网络规模较大,就要把网络中的众多对象,例如计算机、用户、用户组、打印机、共享文件等,分门别类、井然有序地放在一个大仓库中,并将检索信息整理好,以便查找、管理和使用这些对象(资源)。这个拥有层次结构的数据库,就是活动目录数据库,简称AD库。
那么,我们应该把这个数据库放在哪台计算机上呢?要实现域环境,其实就是要安装AD。如果内网中的一台计算机上安装了AD,它就变成了DC(用于存储活动目录数据库的计算机)。在域环境中,只需要在活动目录中创建xiaotudou001账户一次,就可以在200台计算机中的任意一台上使用该账户登录;如果要更改xiaotudou001账户的密码,只需要在活动目录中更改一次就可以了。
域登录过程中的身份验证简述
登陆到域中的时候,身份验证是采用Kerberos协议在域控制器上进行的,登陆到此计算机则是通过SAM来进行NTLM验证的。默认情况下,域用户可以登录到域中所有的工作站,不包括域控制器,管理员也可以指定具体的计算机,域用户信息保存在活动目录中。
活动目录
活动目录是一种目录服务,它存储有关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等信息,并使管理员和用户可以方便的查找和使用这些网络信息。
OU是活动目录中最小的管理单元,他不仅可以包括对象,而且可以进行组策略的委派和管理。
管理员可以在活动目录中忽略被管理对象的具体地理位置,而将这些对象按照一定的方式放置在不同的容器中,这种组织架构称之为逻辑架构
活动目录的逻辑架构包括上面讲到的组织单元(OU)、域、域树、域森林
478
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
