|
目錄服務(wù)可以集中實現(xiàn)組織����、管理�����、控制各種用戶�、組、計算機��、共享文件夾�、打印機各種資源等。 使用LDAP(端口389)輕量級目錄訪問協(xié)議工作���,在域環(huán)境下所有用戶及計算機等帳戶信息均保存在一個 數(shù)據(jù)庫中��,這個數(shù)據(jù)庫位置%systemroot%\ntds\ntds.dit����。
AD(活動目錄)的邏輯結(jié)構(gòu)包含如下組件:域/子域/樹/森林/OU等。主要側(cè)重于對網(wǎng)絡(luò)資源的組織�。
AD的物理結(jié)構(gòu)包含如下組件:DC(域控制器)/site(站點)/OM(操作主機)。主要側(cè)重于對網(wǎng)絡(luò)資 源的配置和優(yōu)化�。
下面介紹有關(guān)幾個重要的概念:
1.DN:(可辨別名稱)--用來表示一個對象在AD中具體存儲位置,類似于文件的絕對路徑����。
如:cn=user1,ou=sails, dc=blog,dc=com 該用戶存在blog.com域的sails OU下,用戶名為 user1.
cn=users (默認(rèn)的容器users也以cn表示)
dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN來創(chuàng)建用戶的例子����。
2.UPN(用戶主名)用戶名@域名,即用戶登錄時可以采用�����,如jack@net.com�����,也可以更改此后綴�。
修改:domain.msc后���,在根右擊--屬性--更改UPN后綴��,然后在用戶屬性-賬號中選擇其后綴����。用戶登 錄可以使用此UPN.但必須在用戶屬性里進行相應(yīng)的更改(即啟用此Upn后綴)
3.SID (安全標(biāo)識符)用戶/組都有唯一
whoami /user 當(dāng)前用戶的SID
whoami /all 當(dāng)前用戶的詳細信息(包含所屬組的SID)
getsid \\dc1 test \\dc1 test (安裝suptools)
psgetsid \\dc1 test 下載工具包。
4.AD數(shù)據(jù)庫的目錄分區(qū):(AD數(shù)據(jù)庫雖然是一個文件�,但卻是以目錄分區(qū)的形式組成的)
schema 架構(gòu)分區(qū) ---森林的對象類和屬性,在森林級別復(fù)制��。
configuration 配置分區(qū)--所有DC的位置�、site,在森林級別復(fù)制�。
domain 域分區(qū)--每個域的各種對象等信息,在域級別復(fù)制���。
application 應(yīng)用程序分區(qū)—DNS��,可以自定義�����。
通過adsiedit.msc來查看前三個目錄(事先裝支持工具)
5.site:在物理位置上區(qū)分�,一組高速可靠的一個子網(wǎng)或多個子網(wǎng)。(管理AD復(fù)制)
優(yōu)點:
a. 優(yōu)化登錄
b. 優(yōu)化復(fù)制
6.域:安全的邊界��,復(fù)制的單元�。
7.操作主機:(OM)--FSMO
森林范圍內(nèi)唯一的有兩種:
架構(gòu)主機:負(fù)責(zé)森林內(nèi)架構(gòu)的統(tǒng)一 regsvr32 schmmgmt.dll
域命名主機:負(fù)責(zé)森林范圍內(nèi)域的添加和刪除。
域范圍內(nèi)唯一的有三種:
RID主機:建用戶時用于分發(fā)ID號�����。
PDC主機:時間同步��,密碼最小化周期�����、密碼鎖定���、組策略維護等����。
基礎(chǔ)結(jié)構(gòu)主機:負(fù)責(zé)跨域?qū)ο蟮囊煤透隆?BR>
森林范圍內(nèi)唯一兩種OM默認(rèn)由林根域的第一臺DC承擔(dān)�����。
域范圍內(nèi)唯一的三種OM默認(rèn)由域內(nèi)的第一臺DC承擔(dān)�。
以上只是一些基本概念的介紹��,后期還會以專題的形式和大家一起來學(xué)習(xí)活動目錄!~
|
