一、windowsserver2008共包含4中活动目录服务角色:
1、活动目录轻量级目录服务activedirectorylightweightdirectoryservicesADLDS
2、活动目录联合目录activedirectoryfederationservicesADFS
3、活动目录证书服务activedirectorycertificateservicesADCS
4、活动目录权限管理服务activedirectoryrightsmanamgementservicesADRMS
二、了解ADDS域
ADDS域充当对象的管理安全性边界
ADDS树由多个双向可传递信任连接的域构成
ADDS树中每个域共享一个公共的模式和全局目录
森林是一组互联的域树,隐式的信任将每棵树的根连在一起构成一个公共的森林
森林是ADDS主要的组织安全性边界
三、域间的信任
信任是可传递的,但是并不意味着所有用户可以完全获得访问权限,即使是域之间的管理员
信任权是提供一个域到另一个域的一条路径,默认情况下并不允许访问权限从一个域传递到另一个域
域管理员必须为另一个域的用户或管理员下发权限,才能访问其域中的资源!
四、ADDS的认证模式
windowsNT.4使用了一种称为NT局域网管理器NTLANManagerNTLM的认证系统,这种认证方式采用散列的形式跨越网络传送加密的口令,这种认证方式随着第三方解密工具的产生,则显得很不安全
windows200020032008采用Kerberos认证方法
Kerveros不在网络上发送口令信息,比NTLM安全,但是默认ADDS并不要求Kerveros认证,因为默然建立的ADDS是与传统windows客户程序后兼容的
五、ADDS的组件
1、了解ADDS的x500根
x.500通过一种目录信息树DirectoryInformationTreeDIT定义的分布式方法来定义目录服务,从而在逻辑上将目录服务结构划分成此案在所熟悉的servername.subdomainname.domainname形式
在x.500中,目录信息跨越分层布局存储在所谓的目录系统代理DirectorySystemAgentDSA
微软根据X.500定义的很多基本原则来设计ADDS,但是ADDS与x.500不兼容
2、ADDS模式
a、模式对象:ADDS结构内的对象:用户、计算机、打印机
每个对象有一个用于定义它的属性列表并可用于搜索该对象
eg:firstnamelastnamedepartmentemailaddress
b、扩充模式:可直接修改和扩充模式--------------提供自定义属性
c、使用ADDS服务接口执行模式修改
ADDA服务接口---------ADServiceInterfaces------------ADSI
3、定义轻量级目录访问协议LDAPlightweightdirectoryaccessprotol
ldap允许对ADDS执行查询和更新
a、ad中可分辨名称
CN=wendy,OU=mis,DC=WEN,DC=COM
b、ad中相对可分辨名称
OU=mis,DC=WEN,DC=COM
4、ADDS域控制器的多主机复制
ADDS使用DC来认证用户,DC利用多域控制器概念,每个域包含一个域信息的主控读/写副本
对环境中的域控制器的更改都会复制到所有其他域控制器上
5、全局目录和全局目录服务器
全局目录是ADDS数据库的一个索引,包含其中内容的部分副本,仅仅复制那些常用于搜索操作的属性
全局目录服务器,GC,是一种特殊的DC,是包含全局目录副本的ADDS域控制器
六、windowsserver2008ADDS的改进
1、只读域控制器(Read-onlydomaincontrollerRODC):windows2008具有使用域的只读副本来部署域控制器的能力
2、组策略GroupPolicy
3、Sysvol的DFS-R复制---windows2008功能域使用改进的分布式文件系统复制(DistributesFileSystemReplication)
4、活动目录数据库安装工具DSAMain
5、GlobalNamesDNS区域
转载于:https://blog.51cto.com/wendya/1299036