Windows下AD域服务器是如何搭建的?

一、AD域介绍
1、目录服务
定义:目录服务就是按照树状存储信息的模式
目录服务特点:

  • 目录服务的数据类型主要是字符型,而不是关系数据库提供的整数、浮点数、日期、货币等类型;
  • 为了检索的需要添加了BIN(二进制数据)、CIS(忽略大小写)、CES(大小写敏感)、TEL(电话型)等语法(Syntax)同样也不提供相关系数据库中普遍包含的大量的函数;
  • 目录具有很强的查询(读)功能,适用于进行大量数据的检索;
  • 但目录一般只执行简单的更新 (写)操作,不支持批量更新所需要的事务处理能力;
  • 它主要面向数据的查询服务(查询和修改作比一般是大于10:1),不提供事务的回滚(rollback)机制;
  • 目录具有广泛复制能力,适合于多个目录服务器同步/更新。

2、工作组
默认情况下计算机安装完操作系统后是隶属于工作组的

工作组有时也叫做对等网络,因为网络上每台计算机的地位都是平等的,它们的资源与管理是分散在各个计算机上。
Windows ❀ AD域服务器的搭建(LDAP协议)_如何搭建AD域
工作组中的每台计算机都维护一个本地安全数据库(我理解为可以 登录的账户信息和共享的资源信息),这就分散了用户账户和资源安全的管理,在每台用户需要访问的计算机上,用户都必须使用此用户账户;

用户账户的任何变化,例如修改密码或添加新的账户均必须在每台计算机上操作进行;

如果忘记在每个计算机上添加新的用户账户,新用户将不能登录到没有此账户的计算机,也不能访问其上的资源;

工作组内不一定要有服务器级的计算机;
工作组不需要运行Windows server的计算机来容纳集中的安全性信息;
设计和实现工作组是很简单的,它不需要广泛的计划和管理;
对于在封闭的、相互接近的环境中使用有限数量的计算机来说,工作组是很方便的,但在超过10台计算机的环境中, 工作组方式很不实用;
工作组比较适合技术用户组组成的小组,他们不需要集中进行管理;

工作组存在的问题:
(1)资源访问无控制
(2)资源访问不统一
(3)内网接入无保护
(4)数据保护不安去
(5)权限分配不合理

3、域
域模型就是针对大型网络的管理需求而设计的,域就是共享用户账号,计算机账号和安全策略的计算机集合;
从域的基本定义中我们可以看到,域模型的设计中考虑到了用户账号等资源的共享问题;

域的管理优点

  • 因为所有的用户信息都被集中存储,所以,域提供了集中的管理;
  • 只要用户账户有对资源的适当权限,使用账户都能登录域内的任一台计算机,都可以访问网络上另一台计算机的资源;
  • 域提供了可伸缩性,这样就可以创建非常大的网络;

工作组结构为分布式的管理模式,适用于小型的网络
域结构为集中式的管理模式,适用于较大型的网络

4、域管理网络:
Windows ❀ AD域服务器的搭建(LDAP协议)_组策略_02
5、域网络组成:
一般情况下,域中有三种计算机:
(1)一种是域控制器,域控制器上存储着Active Directory;
(2)一种是成员服务器,负责提供邮件,数据库,DHCP等服务;
(3)还有一种是工作站,是用户使用的客户机。
Windows ❀ AD域服务器的搭建(LDAP协议)_LDAP协议_03
6、AD域
AD是活动目录,Domain Controller是一台计算机,实现用户、计算机、目录的统一管理。AD是一种存储协议,基于LDAP。

举例:

  • windows server 2003域内的目录用来存储用户账户、组、打印机、共享文件夹等对象的相关数据,把这些对象的存储称为目录数据库。
  • Windows server 2003域内负责提供目录服务的组件就是活动目录,它负责目录数据库的存储、添加、删除、修改、查询等服务。

7、域控制器DC
DC是Domain Controller的缩写,即域控制器;

只要Windows server 2003标准版、企业版或Datacenter版等服务器级的计算机版本才可以扮演域控制器的角色,而web版没用该功能;

域控制器是通过活动目录(AD)提供服务。例如,它负责维护活动目录数据库、审核用户的账户与密码是否正确、将活动目录数据库复制到其他的域控制器;

活动目录的目录数据存储在域控制器内;

一个域可以有多台的域控制器,而在大部分情况下,每一台域控制器的地位是平等的。它们各存储着一份相同的活动目录。

8、AD域和工作组的区别:
工作组-分散管理模式
AD域-集中管理模式

Windows ❀ AD域服务器的搭建(LDAP协议)_AD域_04

9、AD域管理的优点
(1)数据信息的安全性
(2)资源访问的统一性
(3)权限分配的严格性
(4)集中管理的简化性
(5)数据保护的可靠性
(6)资源使用的规范性
(7)资源访问的便利性

10、AD域用户和组:
Windows server 2003域内的组可分为三类:
(1)通用组-它可以设定所有域的访问权限,以便访问每一个域内的资源;
(2)全局组-它主要用来组织用户,即可以将多个被赋予相同权限的用户加入到同一个全局组内;
(3)域本地组-域本地组主要用来指派在其他域内的访问权限,以便访问该域内的资源;

二、AD域信任关系
1、域信任关系
在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户;
但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?
(1)镜像账户:如何把A域的资源分配给B域的用户呢?
在A域和B域各自创建一个用户名和口令都完全相同的用户账户,然后再B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了。
(2)创建域信任关系
域信任关系是有方向性的,如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以。
如果A域信任了B域,那么A域的域控制器将把B域的用户账户复制到自己的Active Directory中,这u有A域内的资源就可以分配给B域的用户了。从这个角度来看,A域信任B域首先需要征得B域的同意,因为A域信任B域需要先从B域索取资源。
域的信任关系的主动权掌握在被信任域手中而不是信任域。
A域信任B域,意味着A域的资源有分配给B域用户的可能性,但并非必然性!如果不进行资源分配,B域的用户无法获得任何资源!
Windows ❀ AD域服务器的搭建(LDAP协议)_如何搭建AD域_05
域树是Active Directory针对NT4的传统域模型所进行的重要改进。在NT4时代的域模型中,每个域都要使用没用层次结构的NETBIOS名称,而且域和域之间缺少关联,只能创建不能传递的域信任关系。
这会在企业管理方面造成诸多不利因素:
首先域和域之间很难根据域名判断彼此间的隶属关系,例如beijing域和shanghai域;
其次由于域之间的信任关系不可传递,在于数量较多时光是创建域之间的完全信任就要耗费大量时间 ,假定有10个域,那我们在10个域之间要建立45此信任关系才能让这些域相互之间都完全信任。

三、AD域组策略
组策略是一个允许执行针对用户或计算机进行配置的基础架构;
其实通俗地说,组策略和注册表类似,是一项可以修改用户或计算机设置的技术;

那组策略和注册表的区别在哪儿呢?
注册表只能针对一个用户或一台计算机进行设置;
组策略却可以针对多个用户和多台计算机进行设置;

1、组策略
组策略和Active Directory结合使用,可以部署在OU,站点和域的级别上,当然也可以部署在本地计算机上,但部署在本地计算机并不能使用组策略中的全部功能,只有和Active Directory配合,组策略才可以发挥出全部潜力。组策略部署在不同级别的优先级是不同的,本地计算机<站点<域<OU。我们可以根据管理任务,为组策略选择合适的部署级别。

2、什么是组策略对象?
组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域或OU,该GPO内的设定值就会影响到该站点,域或OU内的所有用户于计算机。
Windows ❀ AD域服务器的搭建(LDAP协议)_组策略_06
Windows ❀ AD域服务器的搭建(LDAP协议)_LDAP协议_07
3、组策略管理:
组策略管理可以通过组策略编辑器和组策略管理控制台(GPMC),组策略编辑器是Windows操作系统中自带的组策略管理工具,可以修改GPO中的设置。GPMC则是功能更强大的组策略编辑工具,GPMC可以创建、管理、部署GPO,最新的GPMC可以从微软网站下载。

4、组策略的应用
(1)账户策略的设定
例如设定用户密码的长度、复杂度、使用的期限、账号锁定策略等。
(2)本地策略的设定
例如审核策略的设定、用户权限的指派、安全性的设定。
(3)部署软件
思路是把部署的软件存储在文件服务器的共享文件夹中
然后通过组策略告知用户或计算机,某某服务器的某文件夹有要安装的软件,赶紧去下载安装。
设置好组策略,就可以等待客户机自动进行软件安装了,完全不用在客户机上一一进行部署了

四、搭建AD域
1、DNS前期准备
DNS服务器对域来说是不可或缺的原因:域中的计算机使用DNS域名,DNS需要为域中的计算机提供域名解析服务;域中的计算机需要利用DNS提供的SRV记录来定位域控制器
域中哪台计算机来负责做DNS服务器呢?要么使用域控制器来做DNS服务器,要么使用一台单独的DNS服务器。

2、创建控制器
创建域控制器其实就是在服务器级计算机上安装一个Active Directory数据库。

3、创建计算机账号
创建计算机账号就是把成员服务器和用户使用的客户机加入域,这些计算机加入域时会在Active Directory中创建计算机账号。

4、创建用户账号
首先我们应该在Active Directory中利用组织单位展示出企业的管理架构,选择新建组织单元。
创建了组织单位后,我们就可以在组织单位中创建用户账号。
搭建域完成!
之后可以配置响应的组策略等。

5、常用的测试命令:
(1)Gpresult或者gpresult/r 获取组策略结果
使用场景:检查客户端电脑是否加入域,加入了域以后获取的组策略结果。
Windows ❀ AD域服务器的搭建(LDAP协议)_如何搭建AD域_08

(2)Gpupdate/force 强制更新组策略
适用场景:每次在域服务器上面修改了组策略以后,如果需要策略立即生效的话,需要在域服务器上面和客户端电脑上面执行上述命令。
Windows ❀ AD域服务器的搭建(LDAP协议)_如何搭建AD域_09

五、LDAP概述
1、常见的目录服务软件

  • X.500
  • LDAP
  • Active Directory Microsoft公司
  • NIS
  • LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写
  • LDAP是一种开放Internet标准,LDAP协议是跨平台的Internet协议
  • LDAP标准实际上是在X.500标准基础上产生的一个简化版本,他是基于X.500标准的,与X.500不同,LDAP支持TCP/IP。

2、LDAP特点

  • LDAP的结构用树来表示,而不是用表格,正因为这样,就不能用SQL语句了;
  • LDAP可以很快地得到查询结果,不过在写方面,就慢很多;
  • LDAP提供了静态数据的快速查询方式;
    Client/server模型
    Server用于存储数据
    Client提供操作目录信息树的工具

这些工具可以将数据库的内容以文本格式(LDAP数据交换格式,LDIF)呈现在您的面前

3、LDAP的目录结构
LDAP目录数据结构
在LDAP中目录是按照树形结构组织----目录信息树(DIT)
DIT是一个主要进行读操作的数据库
DIT由条目(Entry)组成,条目相当于挂你数据库中表的记录;
条目是具有分辨名DN(Distinguished Name)的属性-值对(Attribute-value,简称AV)的集合。

4、LDAP-DN
DN即分辨名
在LDAP中,一个条目的分辨名叫做“DN”,DN是该条目在整个树中的唯一名称标识
DN相当于关系数据库表中的关键字(Primary Key);是一个识别属性,通常用于检索

常见的两种DN设置:
Windows ❀ AD域服务器的搭建(LDAP协议)_LDAP协议_10

LDAP-DN的三个参数:
Windows ❀ AD域服务器的搭建(LDAP协议)_组策略_11

创作者:Eric· Charles