一、windowsserver2008共包含4中活动目录服务角色

1、活动目录轻量级目录服务activedirectorylightweightdirectoryservicesADLDS

2、活动目录联合目录activedirectoryfederationservicesADFS

3、活动目录证书服务activedirectorycertificateservicesADCS

4、活动目录权限管理服务activedirectoryrightsmanamgementservicesADRMS

二、了解ADDS域

ADDS充当对象的管理安全性边界

ADDS多个双向可传递信任连接的域构成

ADDS中每个共享一个公共的模式和全局目录

森林是一组互联的域树,隐式的信任将每棵树的根连在一起构成一个公共的森林

森林是ADDS主要的组织安全性边界

三、域间的信任

信任是可传递的,但是并不意味着所有用户可以完全获得访问权限,即使是域之间的管理员

信任权是提供一个域到另一个域的一条路径,默认情况下并不允许访问权限从一个域传递到另一个域

管理员必须为另一个域的用户或管理员下发权限,才能访问其域中的资源!

四、ADDS的认证模式

windowsNT.4使用了一种称为NT局域网管理器NTLANManagerNTLM的认证系统,这种认证方式采用散列的形式跨越网络传送加密的口令,这种认证方式随着第三方解密工具的产生,则显得很不安全

windows200020032008采用Kerberos认证方法

Kerveros不在网络上发送口令信息,比NTLM安全,但是默认ADDS并不要求Kerveros认证,因为默然建立的ADDS是与传统windows客户程序后兼容的

五、ADDS的组件

1、了解ADDS的x500根

x.500通过一种目录信息树DirectoryInformationTreeDIT定义的分布式方法来定义目录服务,从而在逻辑上将目录服务结构划分成此案在所熟悉的servername.subdomainname.domainname形式

在x.500中,目录信息跨越分层布局存储在所谓的目录系统代理DirectorySystemAgentDSA

微软根据X.500定义的很多基本原则来设计ADDS,但是ADDS与x.500不兼容

2、ADDS模式

a、模式对象:ADDS结构内的对象:用户、计算机、打印机

每个对象有一个用于定义它的属性列表并可用于搜索该对象

eg:firstnamelastnamedepartmentemailaddress

b、扩充模式:可直接修改和扩充模式--------------提供自定义属性

c、使用ADDS服务接口执行模式修改

ADDA服务接口---------ADServiceInterfaces------------ADSI

3、定义轻量级目录访问协议LDAPlightweightdirectoryaccessprotol

ldap允许对ADDS执行查询和更新

a、ad中可分辨名称

CN=wendy,OU=mis,DC=WEN,DC=COM

b、ad中相对可分辨名称

OU=mis,DC=WEN,DC=COM

4、ADDS域控制器的多主机复制

ADDS使用DC来认证用户,DC利用多域控制器概念,每个域包含一个域信息的主控读/写副本

对环境中的域控制器的更改都会复制到所有其他域控制器上

5、全局目录和全局目录服务器

全局目录是ADDS数据库的一个索引,包含其中内容的部分副本,仅仅复制那些常用于搜索操作的属性

全局目录服务器,GC,是一种特殊的DC,是包含全局目录副本的ADDS域控制器

六、windowsserver2008ADDS的改进

1、只读域控制器(Read-onlydomaincontrollerRODC):windows2008具有使用域的只读副本来部署域控制器的能力

2、组策略GroupPolicy

3、Sysvol的DFS-R复制---windows2008功能域使用改进的分布式文件系统复制(DistributesFileSystemReplication)

4、活动目录数据库安装工具DSAMain

5、GlobalNamesDNS区域