AD域管理系列(1)-- 前言
一、AD簡介
活動目錄(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。
Active Directory不能運行在Windows Web Server上,但是可以通過它對運行Windows Web Server的計算機進行管理。
Active Directory存儲了有關網絡對象的信息,並且讓管理員和用戶能夠輕鬆地查找和使用這些信息。
Active Directory使用了一種結構化的數據存儲方式,並以此作爲基礎對目錄信息進行合乎邏輯的分層組織。
Microsoft Active Directory 服務是Windows 平臺的核心組件,它爲用戶管理網絡環境各個組成要素的標識和關係提供了一種有力的手段。
二、AD功能
-
服務器及客戶端計算機管理:管理服務器及客戶端計算機賬戶,所有服務器及客戶端計算機加入域管理並實施組策略。
-
用戶服務:管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵件系統集成)、用戶組管理、用戶身份認證、用戶授權管理等,按省實施組管理策略。
-
資源管理:管理打印機、文件共享服務等網絡資源。
-
桌面配置:系統管理員可以集中的配置各種桌面配置策略,如:用戶使用域中資源權限限制、界面功能的限制、應用程序執行特徵限制、網絡連接限制、安全配置限制等。
- 應用系統支撐:支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。
三、AD協議(LDAP)
LDAP是英文Lightweight Directory Access Protocol的縮寫,即輕型目錄訪問協議。
它是一個訪問在線目錄服務的協議。什麼是目錄?LDAP目錄中可以存儲各種類型的數據:電子郵件地址、郵件路由信息、人力資源數據、公用密匙、聯繫人列表,等等。
最新版本的LDAP協議由RFC 4511所定義。它是基於X.500標準的,但是簡單多了並且可以根據需要定製。與X.500不同,LDAP支持TCP/IP,這對訪問Internet是必須的。
LDAP的核心規範在RFC中都有定義,所有與LDAP相關的RFC都可以在LDAPman RFC網頁中找到。
LDAP最基本的形式是一個連接數據庫的標準方式。該數據庫爲讀查詢作了優化。因此它可以很快地得到查詢結果,不過在其它方面,例如更新,就慢得多。
要特別注意的是,LDAP通常作爲一個hierarchal數據庫使用,而不是一個關係數據庫。
簡單說來,LDAP是一個得到關於人或者資源的集中、靜態數據的快速方式。
LDAP中,一個條目的區分名稱叫做“dn”或者叫做區分名。
在一個目錄中這個名稱總是唯一的。比如,我的dn是"uid=aghaffar, ou=People, o=developer.ch"。
不可能有相同的dn,但是我們可以有諸如"uid=aghaffar, ou=Administrators, o=developer.ch"的dn。
在"ou=Administrators, o=developer.ch" 中uid和在"ou=People, o=developer.ch"中的uid。這並不矛盾。
CN=Common Name 爲用戶名或服務器名,最長可以到80個字符,可以爲中文;
OU=Organization Unit爲組織單元,最多可以有四級,每級最長32個字符,可以爲中文;
O=Organization 爲組織名,可以3—64個字符長
C=Country爲國家名,可選,爲2個字符長
LDAP目錄以一系列“屬性對”的形式來存儲記錄項,每一個記錄項包括屬性類型和屬性值
四、AD相關服務
DNS Server //動態域名服務服務端
DNS Client //動態域名服務客戶端
DHCP Server //動態IP服務服務端
DHCP Client //動態IP服務客戶端
Netlogon //域登陸服務
Computer Browser //計算機資源瀏覽
五、AD相關端口
全局編錄服務器(GC) TCP 3268 , 3269
LDAP 服務器 TCP 389 / UDP 389
LDAP SSL TCP 636 / UDP 636
IPSEC UDP 500
NAT UDP 4500
DNS UDP 53
DNS TCP 53
RPC 隨機分配 TCP 1024 - 65535 / UDP 49152 - 65535