现代域架构

于 2025-01-10 09:39:11 发布
阅读量893 收藏 8
点赞数 22
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42020487/article/details/145048847
版权

现在的域架构,特别是在 Windows Server 环境中,已经经过了显著的发展和变化,从早期的 Windows NTWindows 2000 时代的简单结构发展为现代的 Active Directory(AD)架构。以下是当前域架构的关键特点和组成部分:

1. Active Directory 域服务(AD DS)

Active Directory Domain Services(简称 AD DS)是 Windows Server 中最核心的服务之一,负责身份验证、权限管理、资源访问控制和域管理。现代域架构基于 AD DS,可以支持多个域、域控制器、组织单位(OUs)等。

  • 功能

    • 身份验证:AD DS 处理用户、计算机和服务的身份验证,使用 KerberosNTLM 协议。
    • 授权:控制用户和计算机对网络资源(如共享文件夹、打印机、应用程序等)的访问权限。
    • 集中管理:提供一个集中式的数据库,存储网络中的所有对象信息(如用户、计算机、组、打印机等)。
    • 组策略:通过 组策略,管理整个域或组织单元(OU)中的计算机和用户配置。

  • 结构

    • (Domain):是 Active Directory 架构的基本单位,它包含用户、计算机、组、打印机等对象。一个域通常由一个或多个域控制器管理。
    • (Forest):是 Active Directory 中的最高级别容器,一个林可以包含多个域。域之间可能通过信任关系进行连接。
    • (Tree):在一个林中,多个域可以形成一棵树,这些域共享一个公共的命名空间。例如:example.comcorp.example.comsales.example.com 可以组成一棵树。

2. 域控制器(Domain Controller)

在现代的 Windows 域架构中,域控制器(DC)是提供域服务的核心服务器。它负责存储和管理域中的所有对象(如用户账户、计算机账户、组等),并为这些对象提供身份验证服务。

  • 功能

    • 身份验证和授权:域控制器负责处理用户和计算机的登录请求。
    • 存储 Active Directory 数据:域控制器存储域的数据,并负责将其同步到其他域控制器。
    • 同步:多个域控制器之间会相互同步 AD 数据,以确保一致性。通过 复制机制,所有的域控制器可以共享域中的信息。

  • 类型

    • 主域控制器(PDC Emulator):在多域控制器环境中,主域控制器处理某些特殊的任务,如密码更改、时间同步、组策略等。
    • 只读域控制器(RODC):只读域控制器是一种用于远程或不安全环境的域控制器,数据是只读的,只允许域的副本进行访问,不能修改。
    • 全局目录(Global Catalog):域控制器可以作为 全局目录 服务器,它存储整个林中的部分信息(如用户对象)并提供跨域查询服务。

3. 组织单位(Organizational Units, OUs)

组织单位(OU) 是 Active Directory 中的一个重要概念,它提供了一种将目录对象(如用户、计算机、组)进行逻辑分组的方式。

  • 功能

    • 管理和委派控制:通过 OUs,可以将特定的管理任务委派给不同的管理员。例如,可以为每个部门或地区创建一个 OU,并将管理员的权限限制在其特定 OU 上。
    • 应用组策略:可以在 OU 上应用 组策略,以对特定组的计算机和用户进行配置管理。

  • 例子:一个典型的 OU 结构可能是:

    • Sales:存放所有销售部门的用户、计算机、组。
    • HR:存放所有人力资源部门的用户、计算机、组。
    • Computers:存放所有计算机账户。

4. 组策略(Group Policy)

组策略(Group Policy)是用来集中管理计算机和用户配置的工具。在 Active Directory 环境中,组策略是管理计算机和用户设置的关键组件。

  • 功能

    • 配置管理:组策略用于配置操作系统、应用程序、网络设置等。
    • 安全控制:管理员可以通过组策略强制执行安全设置(如密码复杂性要求、帐户锁定策略等)。
    • 自动化任务:通过组策略可以自动化配置和管理任务,如软件部署、更新安装等。

  • 作用范围:组策略可以应用到不同的层级,包括林、域、组织单位(OU)等。

5. 信任关系(Trust Relationships)

在大型组织中,可能有多个域或者多个林。为了实现跨域和跨林的身份验证,域控制器之间建立了 信任关系

  • 单向信任:一个域信任另一个域,但反向信任不成立。
  • 双向信任:两个域互相信任。
  • 外部信任:允许域控制器之间跨域进行身份验证。
  • 林信任:跨林进行信任,通常用于两个不同林之间的身份验证。

信任关系确保用户可以在不同域或林中访问资源,前提是信任设置正确。

6. DNS 在域中的作用

DNS 是 Active Directory 中不可或缺的一部分,几乎所有的域控制器都充当 DNS 服务器。

  • 服务定位:域控制器使用 DNS 来解析其他域控制器的名称。
  • 集成:Active Directory 和 DNS 是紧密集成的,域名解析服务和身份验证都依赖 DNS。
  • 多域支持:当有多个域时,DNS 会帮助实现域之间的名称解析,以确保跨域的服务访问和资源共享。

7. 跨林架构(Forest)

是 Active Directory 的最大单位,可以包含多个域。每个林都有一个独立的 全局目录,用于存储所有域的信息。林的划分通常是基于不同的组织、地理位置或其他业务需求。

  • 跨林信任:通过跨林信任,组织可以在不同的林之间共享资源。
  • 全局目录:全局目录包含了整个林的部分对象信息,用于加速跨域查询。

现代域架构的总结:

现代的 Active Directory 域架构主要由以下几个重要部分组成:

  • (Domain):管理对象和身份验证的基本单位。
  • 域控制器(Domain Controllers):提供身份验证和管理服务的服务器。
  • 组织单位(OUs):为对象提供逻辑分组和权限管理。
  • 组策略:集中管理计算机和用户设置的工具。
  • 信任关系:跨域和跨林的身份验证与资源共享。
  • DNS:为 Active Directory 提供域名解析服务。

在现代的企业环境中,AD DS 提供了一个高度可扩展、灵活、和高可用性的身份管理系统。它支持多域、多林、跨域信任、跨地理位置的域控制器部署,以及集中管理和安全策略实施,能够满足各种规模组织的需求。

JNI_42020487
关注
快看软件架构风格总结: 各种历史和现代软件架构风格的快速总结​
AI天才研究院
06-02 8848
每个软件项目都是不同的,但这并不意味着我们没有可以挑选的趋势。大泥球(Big Ball of Mud)当您不选择架构时,您最终会得到 "Big Ball of Mud" 架构。泥泞的“大球”是指从一个没有计划如何构建他们的解决方案的团队中出现的非结构化的意大利面条式代码库。Big Ball of Mud 的名字来源于无组织的耦合和调用模式的网络,这些模式代表了没有清晰架构...
IP-GUARD服务器是否可以同步AD、LDAP服务器等服务器的组织架构
IP-Guard专栏
03-02 598
服务器对主数据库有灾备机制,会自动备份OCULAR3数据库,默认7天备份一次,备份路径为日志数据存储目录(DATA目录),为后缀名.bak,默认保留最近的10个备份。服务器支持同步服务器、LDAP服务器和IP-guard内置用户系统3种服务器的组织架构,同步设置在控制台菜单【工具】-【服务器管理】-【组织架构同步】中设置。控制台菜单进入【工具】-【服务器管理】-【中继服务器管理】,选中要升级的中继右键即可进行升级(带有#标记的为可以升级的中继);可以尝试修复数据库,如果无法修复,可以对主库进行还原。
java ldap组织架构信息定时同步AD
weixin_43164559的博客
06-07 3685
java ldap 连接 AD 同步组织架构流程及ldap接口使用详情
window活动目录与
2301_78117835的博客
12-12 1456
Microsoft Active Directory,简单地说,是一个数据库和一个目录服务。它是一种身份和访问管理解决方案,允许您定义谁可以在您的网络中执行哪些操作。企业依靠Active Directory来有效地管理他们的网络。作为数据库,Active Directory允许您存储用户信息,例如电子邮件,电话号码, 和密码。作为目录服务,它允许用户对自己进行身份验证以访问资源,并授权网络本身中的用户访问。
active directory基本知识
howard的技术之路
05-15 2432
Active Directory 是 Windows 2000 操作系统的新内容,它在实施组织的网络、进而实现组织的商业目标中占有重要地位。 可以从三个方面来介绍Activfe Directory 1)存储。 Active Directory,即 Windows? 2000 Server 目录服务,可分层存储网络对象的信息,并向管理员、用户和应用程序提供这些信息。 2)结构。使用 Active
Active Directory 架构
weixin_34128534的博客
07-13 343
Active Directory 架构这篇文章在讲述活动目录架构的同时,还会为您介绍一些 active directory教程的相关资料。Active Directory 架构是一组定义,用以定义对象类型,以及有关对象的信息类型,并可储存在 Active Directory 中。因为定义本身以对象方式储存,Active Directory能以管理目录中其他对象的相同对象管理方...
Active Directory 结构
cunzhangxp的专栏
05-18 8149
 Active Directory 结构操作系统 白皮书 摘要 要发挥 Microsoft® Windows® 2000 Server 操作系统的最大作用,必须首先了解 Active Directory™ 目录服务。Active Directory 是 Windows 2000 操作系统的新内容,它在实施组织的网络、进而实现组织的商业目标中占有重要地位。本文向网络管理员介绍
电子电器架构(EE)演化 - 主流主机厂集中架构概述
12-24
随着汽车技术的迅猛发展,电子电器架构(E/E架构)作为现代汽车的核心,其演进路径备受业界关注。从最初的分布式架构到如今的集中架构,再到正在兴起的区集中架构,E/E架构的每一次变革都深刻影响着汽车的性能和...
风控系统中的架构设计原型图分析与实践探讨
热门推荐
张彦峰的博客
07-26 4万+
本文探讨了风控系统的架构设计原型图在风险管理中的重要性。通过分析多个案例,文章展示了如何利用架构设计原型图提升团队沟通效率,优化系统结构与功能。强调了良好的架构设计不仅有助于系统的可扩展性和可维护性,还能增强对风险的应对能力。最后,呼吁金融行业持续关注技术进步与市场需求变化,以不断提升风控系统的设计与实施效果。
4-1 运营整体架构设计.pdf
01-31
### 4-1 运营整体架构设计 #### 领驱动设计(DDD)在运营的应用 本章节将深入探讨“运营整体架构设计”,重点介绍如何利用领驱动设计(DDD)来构建一个高效且灵活的运营系统。通过细致地分析各个子系统的...
电子电气架构发展趋势:从分布式到集中式动力系统与控制器的应用解析
最新发布
03-16
使用场景及目标:为读者提供了关于现代汽车架构转型的理解框架,便于他们深入研究和开发下一代智能网联交通工具,同时评估和应对相关技术难题。 其他说明:该文章强调了在向新型电子电气架构转换时需要注意的安全...
Windows AD集成登录、组织结构同步
初衷的博客
10-27 2626
此设置适合Windows AD(Windows LDAP),非Windows AD(比如 Free LDAP)请参考LDAP用户统一登录。 1、进入“系统常用管理功能 ” -> “Windows用户统一登录 ”, 如下图: 2、设置验证的方式,名称和IP等参数 3、设置参数后重启文档服务,可以用账号直接登录文档系统 可以用账号直接登录,也可以实现混合用户登录 4、同步组和用户 可以导入选择的组、用户账号,实现组织结构同步
AD服务概述
qq_52302132的博客
11-15 1700
Active Directory 服务(Active Directory Domain Services,简称AD DS)是微软Windows操作系统的一部分,提供了一种集中管理和存储有关网络对象(如用户、计算机、资源等)的信息的方法。AD DS是企业网络中最常用的目录服务之一,它通过提供强大的身份验证、授权和管理功能,帮助企业高效地管理和保护网络资源。集中管理:中央服务器:AD DS使用控制器(Domain Controller,DC)作为中央服务器,管理用户账户、计算机账户和资源权限。
渗透基础(一)
weixin_30740581的博客
03-24 724
(该文参考整理自网上文章,相关链接附于文末) 工作组(Work Group) 工作组是局网中的一个概念,由许多在同一物理地点,而且被相同的局网连接起来的用户组成的小组,也可以是遍布一个机构的,但却被同一网络连接的用户构成的逻辑小组。工作组是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,加入工作组是为了区分用户计算机在网络中的类别,如果用户有工作组的话,在...
什么是 Active Directory
网络技术联盟站
08-05 2279
Active Directory(AD)是由微软开发的目录服务,用于Windows网络。它最初在Windows 2000 Server中引入,现在是Windows Server操作系统的核心功能之一。Active Directory用于管理和组织网络中的用户、计算机和其他资源,提供身份验证、授权和目录服务。本文将详细介绍Active Directory的概念、架构、功能、组件、安装和配置过程,以及其在企业中的应用。
Windows进阶
bossDDYY的博客
07-30 1858
windows
Schema
weixin_33979745的博客
04-12 87
架构 架构 Active Directory 架构包含目录中所有对象的定义。每个新创建的目录对象都会在写入该目录之前针对架构中的相应对象定义进行验证。架构由对象类和属性组成。基础(或默认)架构包含一组丰富的对象类别和属性以满足大多数单位的需要,并遵循目录服务的国际标准化组织 (ISO) X.500 标准进行建模。由于这是可扩展的,因此可以在基础架构中修改和添加类别和属性。但...
java通过ldap同步ad组织架构、人员信息
qq_35981356的博客
12-03 7654
踩坑点: 普通操作389端口就可以,如果需要操作用户密码等,需要ssl链接,636端口,可以用证书方式,也可以用面证书方式 objectGUID是ad里信息的唯一id,但是存储时16进制,需要进行转换,转换方式见下方代码 根据objectGUID进行查询的时候,也需要进行转换 部门查询时,如果查询的上级部门也不存在时,会报错 代码: 登录 /** * ssl方式免证书登录 * System.setProperty("com.sun.jndi.ldap.object.di
Active Directory架构管理
weixin_30892987的博客
03-26 600
Active Directory由对象(用户,计算机,打印机,组等)及其属性(属性)组成。Schema 是Active Directory的重要组件,因为它定义了用于存储数据的所有对象和属性。Active Directory分为几个分区。架构存储在架构分区中,然后复制到整个林中的所有控制器(DC)。每当您对架构进行更改时,林中的所有DC都会收到该更改。 架构特性 与Active Director...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值