本文转自 abner110 51CTO博客,原文链接:http://blog.51cto.com/abner/147391,如需转载请自行联系原作者虽然使用活动目录都快两年了,从windwos2003的AD升级到了windwos2008的ADDS、从单域单站点到二级域树、从站点复制再到规划林间信任。这些让越发觉得对它的了解还远远不够,所以打算深入学习一下,希望能略窥AD精华之一二
文章主要参考微软官方资料,还有一些前辈的总结,如有引用不当请大家指正
首先是第一篇,通过活动目录的一些名词来认识AD
1
:AD
Active Directory是windwos2000和windwos2003系统中的是一种网络服务,标识网络上所有资源,这些资源信息分散存放在一个树形结构数据库里,用户可通过LDAP协议来访问、修改、配置目录中的资源。
v
网络服务——在网络内任何节点以统一的界面提供给用户整个域内可访问的一切资源和服务。
v
资源——包括用户账户、文件数据、打印机、服务器、数据库、组、计算机和安全策略等。
v
分散存放——AD中提供负载均衡和容错的机制,即允许在单个域中使用多主机模式,这些域控制器之间可以通过文件复制(FRS)服务同步AD的数据库
v
树形数据库——各种资源在域中都有一个唯一的标识名(Distinguished Name,DN)它的命名方式是树状的,如elab.org域内hardware组织单元内AD01的计算机
“CN=AD01,OU=hardware,DC=elab,DC=org”
v
LDAP—Light Directory Access Protocol轻量级目录访问协议,用于在活动目录中检索和查询信息。是一种工业标准协议,所以可以使用LDAP开发程序与同时支持LDAP的其他目录服务共享活动目录信息。例如活动目录对Microsoft Exchange的支持
活动目录的作用:简单来说,活动目录的首要任务或者说主要目标是 客户端的安全管理,然后是客户端的标准化管理。再对这两个概念进行一下扩展:
安全管理:说的形象一些,举个例子。你的用户使用计算机是不是经常的乱装软件,乱拷东西,然后病毒一堆,而这些破事儿却要怪罪到你的头上?
标转化管理:也举个例子。你的老板是不是曾经让你把所有计算机的软件或者桌面都统一一下,不要在桌面上放超级女生快乐男孩的图片?如果这两点完成了,那么再往高级了说,活动目录将成为企业基础架构的根本,所有的高级服务都会向活动目录整合,以利用其统一的身份验证、安全管理以及资源公用。
标转化管理:也举个例子。你的老板是不是曾经让你把所有计算机的软件或者桌面都统一一下,不要在桌面上放超级女生快乐男孩的图片?如果这两点完成了,那么再往高级了说,活动目录将成为企业基础架构的根本,所有的高级服务都会向活动目录整合,以利用其统一的身份验证、安全管理以及资源公用。
2
Builtin
主要存放域中本地安全组的对象,其中的账户是用来操作管理本地域和域控制器
3
Users
主要存放安装AD时系统自动创建的用户组和登录到当前域控制器的所有用户账户。
4
DnsAdmin\Domain Admin\Schema Admin
这些账户都是不同管理内容、不同权限级别的域默认账户,在跨地区的多级域架构时会用到,分配给据有不同操作权限的各地管理员
5:DC
域控制器Domain Controller 用来承载AD不同服务角色的总称。
6
GC
全局编录Global Catalog.GC是除了5种FSMO操作主机角色之外,一个很重要的域控。它包含一份整个森里全局目录拷贝,存储着本域所有对象的所有属性,同时会存储林中其他域中的所有对象的部分属性。
GC使用户不需要知道搜索对象所处林中的具体位置,通过对GC的检索就可定位到所要查找的对象,相对需要遍历整个林的查找节省大量时间。
举例,一个用户需要查看林中某台计算机的共享资源,但是他只知道这台计算机的名称是com01,而不知道com01是林中的那个域,该用户在查找过程中会向本地域的GC发送查找请求,在本地GC上查找整个林的属性复制,很快就会将com01定位。
在跨地区的单域多站点架构中,每个集中的地区保证建立一个GC,各地GC之间规划好复制拓扑。从而达到快速检索,快速登录。(一个域中允许多台GC存在)
参考信息:
6829
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
