AD DS用来组织,管理,控制网络资源
1.1 Active Directory 域服务概述
AD内的directorydatabase(目录数据库)用来存储用户账户,计算机账户,打印机与共享文件夹等对象。AD DS负责目录数据库等存储,添加,删除,修改,查询等
1.1.1 Active Directory 域服务等适用范围 (Scope)
包括单个计算机,小型局域网,多个广域网
1.1.2 名称空间 (Namespace)
利用AD DS,可以通过对象名称找到与此对象有关的信息
1.1.3 对象 (object) 与属性 (Attribute)
AD DS内的资源都是以对象的形式存在,对象又是属性的集合
1.1.4 容器 Container 与组织单位 (Organization Units ,OU)
容器有名称,有属性,但是还可以包含其他对象或容器
组织单位是一个特殊的容器,除了可以包含其他对象和组织单位之外,还有组策略功能
1.1.5 域树(Domain Tree)
域树符合DNS域名空间的命名规则
在域树内的所有域共享一个AD DS,但是数据是分散存储在各个域中
1.1.6 信任(Trust)
域b信任域a,则a内的用户可以访问b的资源
任何一个新的AD DS域被加入到域树,这个域会自动信任其上层的父域,父域也会自动信任此子域
信任关系具有双向传递性。如果a信任b,b信任c,则a信任c。
1.1.7 林(Forest)
林由一个或多个域树组成
第一个域树的根域是整个林的根域(forest root domain),同时其域名就是林的林名称
在建立林时,每一个域树的根域与其林根域之间双向的,可传递的信任关系会自动建立。
每一个域树中的每一个域内的用户,只要有权限,就可以访问其他任何一个域树内的资源,也可以到其他任何一个域树内的成员计算机登陆
1.1.8 架构(Schema)
AD DS对象类型和属性数据都是定义在架构内,例如他定义了用户对象类型包含哪些属性,每个属性的数据类型等
隶属于Schema Admins组的用户可以修改架构内的数据
一个林内的所有域树共享相同的架构
1.1.9 域控制器(Domain Controller)
AD DS目录数据存储在域控制器内,一个域内可以有多台域控制器
1.1.10 只读域控制器(RODC)
RODC的数据库内容只能从其他可读写域控制器复制过来
RODC中没有用户账户的密码
单向复制的概念(Unidirectional Replication)
 
认证缓存(Credential Cacheing):可以将用户的密码存储在RODC的认证缓存区,这需要通过密码复制策略(Password Replication Policy)来选择可以被RODC缓存的账户
 
系统管理员角色隔离(Administrator Role Separation),可以通过系统管理员角色隔离将任何一个域用户委派为RODC的本地系统管理员,此管理员可以登陆这台域控,执行管理工作,例如更新驱动,但是无法登陆其他域控制器,无法执行其他域管理工作。
 
只读域名系统(Read-Only Domain Name System)
1.1.11 可重启的AD DS(Restartable AD DS)
在Windows server2016前的系统版本中,如果要进行AD DS数据库维护工作,需要重启,进入目录服务还原模式(Directory Service Restore Mode),这时其他服务比如DHCP就无法使用
 
2016中提供了可重新启动的AD DS,即可直接停止AD DS服务,不需要重启来进入目录服务还原模式
 
在AD DS服务停止时,如果没有其他域控在线,默认只能使用目录还原模式的系统管理员模式进入目录还原模式。
1.1.12 Active Directory 回收站
2016之前的版本,如果误删组织单位,需要进入目录服务还原模式恢复,现在提供了AD回收站
1.1.13 AD DS的复制模式
多主机复制模式,大部分数据是用此模式进行复制的
单主机复制模式
1.1.14 域中的其他成员计算机
成员服务器
其他Windows计算机
 
以上两种计算机都有自己的本地安全账户数据库(SAM)
 
Windows Home版本的系统无法入域
1.1.15 DNS服务器
域控制器需要将自己注册到DNS服务器内
DNS服务器最好支持动态更新
1.1.16 轻型目录访问协议(LDAP)
LDAP是用来查询和更新AD DS的目录服务通信协议
AD DS使用LDAP名称路径(LDAP naming path)表示对象在AD DS内的位置
 
Distinguished Name(DN),表示对象在AD DS内的完整路径,比如
CN=xiaozhu,OU=programmer1,OU=programmer,DC=worker,DC=local
 
DC(domain component)表示DNS域名中的组件
OU是组织单位
CN (common name)
 
Relative Distinguished Name (RDN)
Global Unique Identifier(GUID)系统自动给每个对象分配的唯一的,128位的数值,改了对象名称,此值也不变
User Principal Name(UPN)比如bob@sayms.local
Service Principal Name(SPN) SPN 是根据DNS主机名建立的,SPN用来代表某台计算机所支持的服务
1.1.17 全局编录(Global Catalog)
每一个域只存储该域本身的数据,一个林内的所有域树共享相同的全局编录
全局编录的数据存储在域控内,这台域控被称为全局编录服务器,它存储着林内所有域的AD DS数据库内的每个对象,不过只存储对象的部分属性
1.1.18 站点(Site)
站点由一个或多个IP子网组成,子网间通过告诉且可靠的链路连接
域是逻辑的分组,站点是物理的分组
1.1.19 目录分区(Directory Partition)
架构目录分区
配置目录分区
域目录分区
应用程序目录分区
1.2 域功能级别与林功能级别
1.2.1 域功能级别(Domain Functionality Level)
域功能级别只会影响到该域
域功能级别是可以提升的,比如从Windows Server 2012 R2 提升到Windows Server 2016
1.2.2 林功能级别(Forest Functionnality Level)
低版本林功能级别可以支持新版本域功能级别
1.3 Active Directory 轻型目录服务
AD DS提供应用程序目录分区,以便让支持目录访问的应用程序(directory-enabled application)可以将程序的相关数据存储到AD DS数据库内
 
在布简历AD DS域和域控时,可以使用Active Directory轻型目录服务(Active Directory Lightweight Directory Services ,AD LDS)
 
可以建立多个目录服务的环境,每个环境被称为一个AD LDS实例
 
 
 
 
 
 
 
 
 

域知识深入学习一:Active Directory 域服务的更多相关文章

  1. 建立 Active Directory域 ----学习笔记

    第五章 建立 Active Directory域 1.工作组和域的理解 ​ a.工作组是一种平等身份环境,各个计算机之间各个为一个独立体,不方便管理和资源共享. ​ b.域环境一般情况下满足两类需求, ...

  2. Active Directory域

    引言 在 Microsoft® Windows® 2000 Server 操作系统的诸多增强功能中,Microsoft Active Directory™ 功能的引入意义最为重大,但也最常引起困惑.与 ...

  3. [Azure附录]1.在Windows Server 2012中安装Active Directory域服务

    <Windows Azure Platform 系列文章目录> 1.登陆Windows Server 2012,打开服务器管理器,选择"添加角色和功能" 2.在&quo ...

  4. Windows Server 2012中安装Active Directory域服务

    1.登陆Windows Server 2012,打开服务器管理器,选择"添加角色和功能" 2.在"开始之前"页面,直接点击"下一步" 3.选 ...

  5. install Active Directory域控制器

    设置Active Directory域控制器 正如我们在网络与系统配置专题文章中所提到的那样,我们已将两部服务器设置为对应于内部域“intdomain.com”的Active Directory域控制 ...

  6. cmd 执行Dcpromo错误:在该 SKU 上不支持 Active Directory 域服务安装向导,Windows Server 2008 R2 Enterprise 配置AD(Active Directory)域控制器

    今天,要安装AD域控制器,运行dcpromo结果提示:在该 SKU 上不支持 Active Directory 域服务安装向导. 以前弄的时候直接就通过了,这次咋回事?终于搞了大半天搞定了. 主要原因 ...

  7. Active Directory 域服务安装与测试

    Active Directory 域服务安装与测试 实验原理: 安装域服务并创建用户,把另一个电脑加入域中,然后用域账户登录以及用本地账户登录测试 实验条件:windows server 2008(域 ...

  8. 您真的会修改Active Directory域控制器计算机名称吗

    从我开始做微软这行开始,就经常听说某某公司由于什么原因需要修改Active Directory域控制器计算机名称,但发现好多公司都是直接修改,导致了各种奇葩的问题,今天就给大家推荐一个修改Active ...

  9. Active Directory 域服务(AD DS)

    本文内容 概述 工作组架构与域架构 名称空间(Namespace) 对象(Object).容器(Container)与组织单位(Organization Units,OU) 域树(Domain Tre ...

随机推荐

  1. TensorFlow.ZC尝试

    1.资料: https://github.com/protocolbuffers/protobuf/releases https://pythonprogramming.net/introductio ...

  2. CDH6.2上配置各种对象存储

    cm-hdfs: ufile: 还需添加jar包 S3:是自带jar包 OSS: CDH6不需要下载包, CDH5需要 core-site.xml 的群集范围高级配置代码段(安全阀) fs.oss.e ...

  3. Windows 与 linux文件相互传输的方法

    公司里面办公机器大部分都是 windows 但是现在随着云计算.docker.linux等的越来越兴起,需要大量的操作linux服务器. 最重要和最直接的需要将windows 上面的文件上传到 lin ...

  4. SQL SERVER导入EXCEL文件:未在本地计算机上注册“Microsoft.ACE.OLEDB.12.0”提供程序

    1.安装相关组件  2.程序生成属性32位改为64位

  5. analysis_tools

  6. MyBatis学习存档(3)——mapper.xml映射文件

    MyBatis 真正的强大在于映射语句,专注于SQL,功能强大,SQL映射的配置却是相当简单 所以我们来看看映射文件的具体结构 一.xml节点结构 mapper为根节点 - namespace命名空间 ...

  7. 【记忆化搜索】Happy Happy Prime Prime

    题目描述 RILEY VASHTEE: [reading from display] Find the next number in the sequence:313 331 367 ...? Wha ...

  8. 【AC自动机】洛谷三道模板题

    [题目链接] https://www.luogu.org/problem/P3808 [题意] 给定n个模式串和1个文本串,求有多少个模式串在文本串里出现过. [题解] 不再介绍基础知识了,就是裸的模 ...

  9. 系统学习机器学习之神经网络(三)--GA神经网络与小波神经网络WNN

    系统学习机器学习之神经网络(三)--GA神经网络与小波神经网络WNN 2017年01月09日 09:45:26 Eason.wxd 阅读数 14135更多 分类专栏: 机器学习   1 遗传算法1.1 ...

  10. C语言两个特别大的整数类型相加超出范围使用两个技巧

    技巧1:用long (%ld)或者long long(%lld)类型存取 技巧2:当两个同号的数字相加,放到等号的另一边,变成减号 问题: 给定区间[-2的31次方, 2的31次方]内的3个整数A.B ...