活動目錄系列之一:基本概念 目錄服務可以集中實現組織、管理、控制各種用戶、組、計算機、共享文件夾、打印機各種資源等。使用LDAP(端口389)輕量級目錄訪問協議工作,在域環境下所有用戶及計算機等帳戶信息均保存在一個數據庫中,這個數據庫位置%systemroot%\ntds\ntds.dit。
AD(活動目錄)的邏輯結構包含如下組件:域/子域/樹/森林/OU等。主要側重於對網絡資源的組織。
AD的物理結構包含如下組件:DC(域控制器)/site(站點)/OM(操作主機)。主要側重於對網絡資源的配置和優化。
下面介紹有關幾個重要的概念:
1.DN:(可辨別名稱)--用來表示一個對象在AD中具體存儲位置,類似於文件的絕對路徑。
如:cn=user1,ou=sails, dc=blog,dc=com 該用戶存在blog.com域的sails OU下,用戶名爲user1.
cn=users (默認的容器users也以cn表示)
dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN來創建用戶的例子。
2.UPN(用戶主名)用戶名@域名,即用戶登錄時可以採用,如[email protected],也可以更改此後綴。
修改:domain.msc後,在根右擊--屬性--更改UPN後綴,然後在用戶屬性-帳號中選擇其後綴。用戶登錄可以使用此UPN.但必須在用戶屬性裏進行相應的更改(即啓用此Upn後綴)
3.SID (安全標識符)用戶/組都有唯一
whoami /user 當前用戶的SID
whoami /all 當前用戶的詳細信息(包含所屬組的SID)
getsid \\dc1 test \\dc1 test (安裝suptools)
psgetsid \\dc1 test 下載工具包。
4.AD數據庫的目錄分區:(AD數據庫雖然是一個文件,但卻是以目錄分區的形式組成的)
schema 架構分區 ---森林的對象類和屬性,在森林級別複製。
configuration 配置分區--所有DC的位置、site,在森林級別複製。
domain 域分區--每個域的各種對象等信息,在域級別複製。
application 應用程序分區—DNS,可以自定義。
通過adsiedit.msc來查看前三個目錄(事先裝支持工具)
5.site:在物理位置上區分,一組高速可靠的一個子網或多個子網。(管理AD複製)
優點:
a. 優化登錄
b. 優化複製
6.域:安全的邊界,複製的單元。
7.操作主機:(OM)--FSMO
森林範圍內唯一的有兩種:
架構主機:負責森林內架構的統一 regsvr32 schmmgmt.dll
域命名主機:負責森林範圍內域的添加和刪除。
域範圍內唯一的有三種:
RID主機:建用戶時用於分發ID號。
PDC主機:時間同步,密碼最小化週期、密碼鎖定、組策略維護等。
基礎結構主機:負責跨域對象的引用和更新。
森林範圍內唯一兩種OM默認由林根域的第一臺DC承擔。
域範圍內唯一的三種OM默認由域內的第一臺DC承擔。
以上只是一些基本概念的介紹,後期還會以專題的形式和大家一起來學習活動目錄!~
本文出自 “千山島主之微軟技術空間站” 博客,請務必保留此出處http://jary3000.blog.51cto.com/610705/121884