1. AD DS 概述

1.1 部署 AD DS 的原因

AD DS 提供了一个集中式的系统,用于管理网络上的用户、计算机和其他资源

AD DS 功能包括:

  • 集中式目录
  • 单一登录访问
  • 集成安全性
  • 可伸缩性
  • 公共管理界面

1.2 身份验证

身份验证是在网络上验证用户身份的过程。

身份验证包含两个组成部分:

  • 交互式登录 –授予对本地计算机的访问权
  • 网络身份验证 – 授予对网络资源的访问权

1.3 授权

授权是验证通过身份验证的用户是否有权限来执行某个操作的过程。

  • 创建帐户时,安全标识符(SID) 将颁发给安全主体
  • 身份验证期间,安全令牌将颁发给用户帐户,令牌中包含用户的SID 以及所有相关的组 SID
  • 网络上的共享资源包括访问控制列表 (ACL),ACL 定义谁可以访问资源
  • 安全令牌与资源上的 DACL 进行比较,并相应地授予或拒绝访问。

1.4 使用 AD DS 集中管理网络

AD DS 通过以下几点实现集中管理网络:

  •  提供了一个集中的地方来管理用户和组帐户以及相应的工具集
  • 提供了一个集中的地方来分配对共享网络资源的访问权
  • 为支持 AD DS 的应用程序提供目录服务
  • 提供用于配置应用于所有用户和计算机的安全策略的多种选项
  • 提供用于管理用户桌面和安全设置的组策略

1.5 AD DS 组件概述

AD DS 由物理组件和逻辑组件组成。

物理组件:

  • 数据存储
  • 域控制器
  • 全局编录服务器
  • 只读域控制器 (RODC)

逻辑组件

  • 分区
  • 架构
  • 域树
  • 站点
  • 组织单位 (OU)

2. AD DS 逻辑组件概述

2.1 AD DS 架构

AD DS 架构:

  • 定义可存储在 AD DS 中的每一种对象类型
  • 强制实施与对象创建和配置有关的规则

对象类型

功能

实列

类对象

定义可在目录中创建何种对象

  • 用户类
  • 计算机类

属性对象

定义对于每种对象可存储哪些信息

  • 显示名

 

2.2 域

域是逻辑目录组件,用于分组和管理组织中的AD DS 对象

域提供:

  • 管理边界,用来将策略应用于对象组
  • 复制边界,用于在域控制器之间复制数据
  • 身份验证和授权边界,提供限制资源访问范围的方法

2.3 AD DS 信任

信任提供了一种使用户能访问另一个域中的资源的机制。

ad 域 ldap 用户认证_ad 域 ldap 用户认证

 

  •  林中的所有域信任林中的所有其他域
  • 信任可延伸到林之外

2.4 域树

域树是 AD DS 中域的层次结构。

域树中的所有域:

  • 其名称空间衔接父域的名称空间
  • 可以在其名称空间中添加更多子域
  • 与树中的其他域之间有双向可传递信任关系

2.5 林

林是一个或多个域树的集合。

林:

  • 共享同一架构
  • 共享同一配置分区
  • 共享同一全局编录以支持搜索
  • 实现林中所有域之间的信任
  • 共用 Enterprise Admins 和 Schema Admins 组

2.6 OU

OU 是可包含用户、组、计算机和其他 OU 的 Active Directory 容器。

OU 用于:

  • 层次化地、逻辑地表示公司组织结构
  • 以统一的方式管理一系列对象
  • 将权限委派给对象的管理员组
  • 应用策略

2.7 讨论:实施 AD DS 逻辑组件的场景

2.8 AD DS 对象

ad 域 ldap 用户认证_服务器_02

 

 

2.9 演示:管理 AD DS 逻辑组件的工具

 

3. AD DS 物理组件概述

3.1 AD DS 域控制器

域控制器是安装了 AD DS 服务器角色的服务器。

域控制器:

  •  承载 AD DS 目录存储的副本
  • 提供身份验证和授权服务
  • 将更新复制到域和林中的其他域控制器
  • 允许在服务器上管理用户帐户和网络资源

3.2 DNS 和 AD DS 概述

  • AD DS 需要 DNS 基础结构
  • AD DS 域名必须是 DNS 域名
  • AD DS 域控制器记录必须在DNS 中注册才能使其他域控制器和客户端计算机能找到该域控制器
  • DNS 区域可作为 ActiveDirectory 集成区域存储在AD DS 中

3.3 全局编录服务器

全局编录:

  • 包含林中所有 AD DS 对象的副本,但是该副本仅包含林中每个对象的部分属性
  • 提高搜索对象的效率,因为它避免了不必要地引用域控制器
  • 是用户登录到域中所必需的

 

3.4 AD DS 数据存储

AD DS 数据存储包含存储和管理用户、服务和应用程序的目录信息的数据库文件和文件进程。

AD DS 数据存储:

  • 由 Ntds.dit 文件构成
  • 默认存储在所有域控制器上的 %SystemRoot%\NTDS 文件夹中
  • 只能通过域控制器进程和协议访问

3.5 AD DS 复制

AD DS 复制将 AD DS 数据库的所有更新复制到域中或林中的所有其他域控制器。

AD DS 复制:

  • 确保所有域控制器都有相同的信息
  • 使用多主机 (multimaster) 复制模型
  • 可通过创建 AD DS 站点来进行管理

AD DS 复制拓扑是在新的域控制器添加到域中时自动创建的。

 

3.6 站点

AD DS 站点用于表示一个网段,在该网段中,所有域控制器都通过快速可靠的网络连接相连。

站点:

  • 与 IP 子网关联
  • 用于管理复制流量
  • 用于管理客户端登录流量
  • 由可识别站点的应用程序使用,如分布式文件系统 (DFS) 或Exchange Server 2003
  • 用于将组策略对象分配给公司位置中的所有用户和计算机

3.7 讨论:实施 AD DS 物理组件的场景

3.8 演示:管理 AD DS 物理组件的工具