AD域介绍

域的背景介绍

为什么要使用域?假设你是公司的系统管理员,你们公司有一千台电脑。如果你要为每台电脑设置登录帐户,设置权限(比如是否允许登录帐户安装软件),那你要分别坐在这一千台电脑前工作。如果你要做一些改变,你也要分别在这一千台电脑上修改。相信没有哪个管理员想要用这种不吃不喝不睡觉的方式来工作,所以就应运而生了域的概念。

域(Domain):

概念

域模型就是针对大型网络的管理需求而设计的,域就是共享用户账号,计算机账号和安全策略的计算机集合。

域的管理优点

  1. 因为所有的用户信息都被集中存储,所以,域提供了集中的管理。
  2. 只要用户账户有对资源的适当权限,使用账户都能登录域内的任一台计算机,都可以访问网络上另一计算机的资源。
  3. 域提供了可伸缩性,这样可以创建非常大的网络。

域网络的组成

一般情况下 域中有三种计算机

  1. 域控制器,域控制器上存储着Active Directory;
  2. 成员服务器,负责提供邮件,数据库,DHCP等服务;
  3. 工作站,是用户使用的客户机。

在这里插入图片描述

从域的基本定义中我们可以看到,域模型的设计中考虑到了用户账号等资源的共享问题。
域是Windows NT或者Windows 2000计算机网络的单一安全边界。 AD活动目录由一个或者多个域组成 ,在一个单机工作站上,域就是计算机本身,域可以扩展到不同的物理位置,并且每一个域有它自己的安全策略以及同其它域的安全关系。

  1. 域是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust
    Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后
  2. 两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输

工作组

概念

  • 默认情况下计算机安装完操作系统后是隶属于工作组的。
  • 工作组有时也叫做对等网络,因为网络上每台计算机的地位都是平等的,它们的资源与管理是分散在各个计算机上。

特点

  1. 工作组中的每台计算机都维护一个本地安全数据库(我理解为可以登录的账户信息和共享的资源信息),这就分散了用户账户和资源安全的管理,在每台用户需要访问的计算机上,用户都必须使用此用户账户。

  2. 用户账户的任何变化,例如修改密码或添加新的账户均必须在每台计算机上操作进行。

  3. 如果忘记在每个计算机上添加新的用户账户,新用户将不能登录到没有此账户的计算机,也不能访问其上的资源。

  4. 工作组内不一定要有服务器级的计算机。

工作组的管理优点

  1. 工作组不需要运行Windows Server的计算机来容纳集中的安全性信息。

  2. 设计和实现工作组是很简单的,它不需要广泛的计划和管理。

  3. 对于在封闭的、相互接近的环境中使用有限数量的计算机来说,工作组是很方便的,但在超过10台计算机的环境中,工作组方式很不实用。

  4. 工作组比较适合技术用户组组成的小组,他们不需要集中进行管理

工作组存在的问题

  1. 权限分配不合理
  2. 数据保护不安全
  3. 内网接入无保护
  4. 资源访问不统一
  5. 资源访问无控制

AD域–活动目录

概念

AD是Active Directory的缩写,即活动目录。 Domain Controller是一台计算机,实现用户,计算机,目录的统一管理。AD(活动目录)是一种存储协议,基于LDAP。

  • active directory 活动目录,指一组服务器和工作站的集合,域中的目录是始终呈激活可用,动态更新的状态
  • 域将计算机、用户的账号密码集中放在一个数据库内,使得用户只使用一个账号和密码就能够访问网络中的其它资源

域控制器DC

概念:
DC是Domain Controller的缩写,即域控制器;域控制器是通过活动目录(AD)提供服务。例如,它负责维护活动目录数据库、审核用户的帐户与密码是否正确、将活动目录数据库复制到其他的域控制器。

特点:

  1. 只有Windows Server 2003
    标准版、企业版或Datacenter版等服务器级的计算机版本才可以扮演域控制器的角色,而Web版没有该功能。
  2. 活动目录的目录数据存储在域控制器内。
  3. 一个域内可以有多台的域控制器,而在大部分情况下,每一台域控制器的地位是平等的。它们各存储着一份相同的活动目录。

AD域域工作组的区别:

工作组: 分散的管理模式(各主机地位平等,没有管理与被管理之分)

  • 每一台计算机都是独自自主的,用户账户和权限信息保存在本机中。工作组网络是对等(peer-to-peer,p2p)网络技术在局域网中的应用(p2p网络主要应用于广域网中),是根据用户自定义的分组特点把网络中的许多用户计算机分门别类的纳入到不同工作组中。

AD域: 集中管理模式(各主机角色不平等,有管理与被管理之分)

  • 由域控制器集中管理域内用户账号和权限。账号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。

AD域特点

  • 域是一种基于对象和安全策略的分布式数据库系统
  • 域中的信息不是以独立文件形式存在的,而是以字段信息之类的数据形式存在。
  • 域是C/S管理模式在局域网中构建的应用
  • AD本身就是一种目录数据库系统。包括三个表格:
    Schema表:包括所有可在活动目录创建的对象信息以及他们之间的相互关系。最小但最基础的的一个表
    Link表:包括活动目录中所有对象的属性以及所有属性的关联
    Data表:包括活动目录中用户、组、应用程序特殊数据和其它数据
  • 集中管理,DC(域控制器)统一管理,统一部署
  • 默认信任
  • 集中存储
  • 单点登录(Single Sing On,SSO)
  • 支持漫游配置

AD域优点

  • 方便管理
  • 安全性高
  • 网络访问方便
  • SMS能够分发应用程序、系统补丁等
  • 可拓展性大,微软ISA服务器,邮件服务器都依赖于域环境

AD域管理的好处:

  • 数据信息的安全性
  • 权限分配的严格性
  • 资源访问的统一性
  • 数据访问的可靠性
  • 资源访问的便利性
  • 资源使用的规范性
  • 集中管理的简化性
    在这里插入图片描述

AD域缺点

  • 需要有专门的高性能服务器
  • 安全配置更复杂

AD域可以做什么

一对一

  • 一个员工对应一个账号
    在这里插入图片描述
    一对多

  • 一个账号对应多个应用
    在这里插入图片描述

  • 多对一
    多个账户多个组对应一个资源,账号和账号、组和组的权限各不相同

  • 多对多
    多个账户多个组对应多个资源,账号和账号、组和组的权限各不相同

  • 内网安全保护
    若没有公司分配的账号,则无法接入公司内网

  • 数据安全保护
    公司或部门内的公共信息和资源,只有公司或部门内的人员哟访问、修改、删除、下载等权限

  • 管理统一集中
    内部员工计算机账号密码保存在服务器端,由服务器集中管理

  • 资源统一集中
    共享文件夹,共享打印机,软件安装、升级,系统升级都由域控来完成,用户只需要安装即可

  • 权限统一集中
    按照公司部门组织结构,分级进行权限分配,可按照部门或者组分配不同权限

  • 8
    点赞
  • 52
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一 为什么需要 对很多刚开始钻研微软技术的朋友来说是一个让他们感到很头疼的对象。 的重要性毋庸置疑微软的重量级服务产品基本上都需要的支持很多公司招 聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但对 初学者来说显得复杂了一些众多的技术术语例如Active Directory站点 组策略复制拓扑操作主机角色全局编录….很多初学者容易陷入这些技术 细节而缺少了对全局的把握。从今天开始我们将推出Active Directory系列 博文希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要这个管理模型众所周知微软管 理计算机可以使用和工作组两个模型默认情况下计算机安装完操作系统后是 隶属于工作组的。我们从很多书里可以看到对工作组特点的描述例如工作组属 于分散管理适合小型网络等等。我们这时要考虑一个问题为什么工作组就不 适合中大型网络呢难道每台计算机分散管理不好吗下面我们通过一个例子来 讨论这个问题。 假设现在工作组内有两台计算机一台是服务器Florence一台是客户机Pert h。服务器的职能大家都知道无非是提供资源和分配资源。服务器提供的资源 有多种形式可以是共享文件夹可以是共享打印机可以是电子邮箱也可以 是数据库等等。现在服务器Florence提供一个简单的共享文件夹作为服务资源 我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国注意 这个文件夹只有张建国一个人可以访问那我们就要考虑一下如何才能实现这个 任务一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户 账号如果访问者能回答出张建国账号的用户名和密码我们就认可这个访问者 就是张建国。基于这个朴素的管理思路我们来在服务器上进行具体的实施操作。 首先如下图所示我们在服务器上为张建国创建了用户账号。 然后在共享文件夹中进行权限分配如下图所示我们只把共享文件夹的读权限 授予了用户张建国。 好接下来张建国就在客户机Perth上准备访问服务器上的共享文件夹了张 建国准备访问资源\\Florence\人事档案服务器对访问者提出了身份验证请求 如下图所示张建国输入了自己的用户名和口令。 如下图所示张建国成功地通过了身份验证访问到了目标资源。 看完了这个实例之后很多朋友可能会想在工作组模式下这个问题解决得很好 啊我们不是成功地实现了预期目标嘛没错在这个小型网络中确实工作组 模型没有暴露出什么问题。但是我们要把问题扩展一下现在假设公司不是一台 服务器而是500台服务器这大致是一个中型公司的规模那么我们的麻烦 就来了。如果这500台服务器上都有资源要分配给张建国那会有什么样的后 果呢由于工作组的特点是分散管理那么意味着每台服务器都要给张建国创建 一个用户账号张建国这个用户就必须痛不欲生地记住自己在每个服务器上的用 户名和密码。而服务器管理员也好不到哪儿去每个用户账号都重新创建500次如果公司内有1000人呢我们难以想象这么管理网络资源的后果这一切 的根源都是由于工作组的分散管理现在大家明白为什么工作组不适合在大型的 网络环境下工作了吧工作组这种散漫的管理方式和大型网络所要求的高效率是 背道而驰的。 既然工作组不适合大型网络的管理要求那我们就要重新审视一下其他的管理模 型了。模型就是针对大型网络的管理需求而设计的就是共享用户账号计 算机账号和安全策略的计算机集合。从的基本定义中我们可以看到模型的 设计中考虑到了用户账号等资源的共享问题这样中只要有一台计算机为公司 员工创建了用户账号其他计算机就可以共享账号了。这样就很好地解决刚才我 们提到的账号重复创建的问题。中的这台集中存储用户账号的计算机就是控 制器用户账号计算机账号和安全策略被存储在控制器上一个名为Active Directory的数据库中。 上述这个简单的例子说明的只是强大功能的冰山一角其实的功能远远不止 这些。从下篇博文我们将开始介绍的部署以及管理希望大家在使用过程中逐 步增加感性认识对有更加深入及全面的了解能够掌握好Active Director y这个微软工程师必备的重要知识点。 二 二二 二
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值