Windows Server2019——AD域
AD域
- 工作组
工作组 Work Group
在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网络”内,可以想到会有多乱。
为了解决这一问题,Windows就引用了“工作组”概念,将不同的电脑按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”的工作组中。你要访问某个部门的资源,就在网络里找到哪个部门的工作组名,双击就可以看见那个部门的电脑了。 - 工作域
域 Domain
与工作组的松散会员制不同,域是一个想对严格的组织。域指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理,对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,就可以访问共享资源,如共享ISDN上网等。尽管对等网上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。
在域模式下,至少由一台服务器负责每一台联入域网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为域控制器(DC)。域控制器中包含了由这个域的账户、密码、属于这个域的计算机信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否属于这个域,用户使用的登录账号是否存在、密码是否正确。如果上述信息不正确,域控制器就拒绝这个用户的从这台电脑登录。不能登录,用户就不能访问服务器上有权限的保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。
AD域服务概述
在计算机、用户数量较多的企业网络中,域能够实现统一、高效的管理此网络环境。域环境是一种逻辑结构,从逻辑上将网络中的计算机组织到一起,进行统一管理。
在一个域中,所有的和用户、计算机等角色,都是统一的,而域控制器则负责存储这个域环境的数据信息。
权限集中:所有用户账户直接通过dc进行管理,而工作组模式则需要对每一台计算机进行配置,难以管理。
共享集中:共享数据后,通过权限配置,使得需要的用户能够直接访问该数据。
策略部署:对域中的计算机、用户实施统一的策略部署、达到所有计算机、用户配置相同,也可以对某些特定用户进行区分。
工作组环境,每台计算机都拥有自己的权限,因此使用者经常有意或无意下载若干软件、病毒、会使得计算机运行变慢、中毒、而域权限可以很好的控制这一点。
- 活动目录
- AD的两层含义:
AD是Windows的一种服务
AD是一个目录数据库 - AD的有点和特性:
集中管理
访问网络资源便捷
可扩展性强
- 域
活动目录的一种实现方式
活动目录中最核心的管理单位
由域控制器和成员计算机组成
- 域控制器:
域中的管理服务器,通常为第一台安装了活动目录的服务器。
一个域可以有多台域控制器、 - 名称空间:
是一个区域的名字(域名)
定位了网络资源的位置 - 对象和属性:
对象由一组属性组成,它代表的是具体的事物。 - 容器:
是一种特殊的活动目录对象。、
作用是存放对象的空间 - 组策略:
若干策略的集合
应用到容器会影响容器内所有的计算机和用户
- 域结构:
- 逻辑结构
- 单域:网络只建立了一个域
- 域树:从Windows Server 2000 起,域树(Domain Tree)开始出现,域树中域以树的形式出现,由根域(域树中创建的第一个域)、父域(上级域)和子域(下级域)构成,共用连续名字空间的域就组成一个域目录树。
- 域林:域林是一个或多个目录树的集合,目录林中的目录树并不共用相同的连续的名字空间。域林中创建的第一个域为林根域。
- 组织单元(OU):是域内的一种容器,也是一种对象。可以把域中的对象组织成逻辑组,以简化管理工作。组织单元可以包含各种对象,如用户账户、用户组、计算机、打印机等,甚至可以包括其他的组织单元,所以可以利用组织单元把域中的对象组成一个完全逻辑上的层次结构。对企业来讲,可以按部门把所有的用户和设备组成一个组织单元层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个组织层次结构。
- 全局编录服务器(GC):存储着本域中所有对象所有属性,同时存储林中其他域中所有对象的部分属性。一般来说,属性是否存储在GC中,取决于该属性在搜索中使用的频率,由系统自动进行决定。
主要具有以下两个功能:
允许用户在林中所有域上搜索活动目录信息,提高查询速度。
为域控制器提供请求验证登陆的用户信息。
- 物理结构
- 站点:对应高速稳定的IP子网,如企业内部的局域网。
- 域控制器(DC):域控制器是安装了 AD DS 服务器角色的服务器。
承载 AD DS 目录存储的副本;
提供身份验证和授权服务;
将更新复制到域和林中的其他域控制器;
允许在服务器上管理用户账户和网络资源;
Windows Server 2016 AD DS 支持 RODC;
参与活动目录的复制;
单主控操作。
- 域中的计算机分类
- 域控制器(DC):安装了活动目录的服务器,存储了所有域范围的账户和策略信息。在网络中可以将多台服务器配置为域控制器,并一起工作,即使部分域控制器单环,网络仍然不受影响,提高了网络安全性和稳定性。
- 成员服务器(Windows Server):Windows Server又加入到了域,但没有安装活动目录的计算机。
- 独立服务器:不加入到域中也不安装活动目录,就称为独立服务器,独立服务器和域没有关系。
- 域中的客户端(Windows):加入到域,但没有安装活动目录的其他操作系统的计算机。
服务器的角色可以改变,如果服务器在删除时,是域中最后一个域控制器,则该服务器称为独立服务器,如果不是域中的最后一个域控制器,则成为成员服务器。同时独立服务器既可以转换为域控制器也可以加入到某个域成为成员服务器。
- 活动目录功能级别
- 林功能级别
- 域功能级别
Windows Server 2000以上系列都可以成为DC。
AD轻型目录服务
为CRM和HR等读取更频繁的应用程序提供目录服务。
- AD LDS 特点:不依赖域和域控制器、一台计算机可以同时运行多个AD LDS 实例、与AD DS 可以同时在同一个网络运行、同时支持域用户和工作组用户。
工作组和域的主要区别
- 管理模式
- 工作组为分散管理。
- 域为集中管理。
- 管理结构
- 工作组是对等网
- 域是C/S架构