window server的一些相關的知識點整理。
域樹
域樹是具有連續的域名空間的多個域
整個域樹共享同一個活動目錄數據庫
域林
由一個或多個域樹組成
每個域樹有獨自的命名空間
不同域樹的樹根之間存在信任關係
AD DS域內的資源是以對象的形式存在的,例如用戶、計算機與打印機都是對象,而對象是通過屬性來描述其特徵的,也就是說,對象本身是一些屬性的集合。比如添加一個對象類型(Object Class)爲用戶的對象(也就是用戶賬戶),然後在這個賬戶裏輸入姓、名、登錄賬戶、電話號碼、E-mail等這些屬性。
容器與對象相似,它也有自己的名稱,也是一些屬性的集合,不過容器內可以包含其他對象(例如用戶、計算機等對象),也可以包含其他容器,而組織單位則是一個比較特殊的容器,其內除了可以包含其他對象與組織單位之外,還有組策略(Group Policy)的功能。
AD DS是以層次架構(Hierarchical)將對象、容器與組織單位等組合在一起,並將其存儲到Active Directory數據庫內。
組策略
說到組策略,就不得不提註冊表。註冊表是Windows系統中保存系統、應用軟件配置的數據庫,隨着Windows功能的越來越豐富,註冊表裏的配置項目也越來越多。很多配置都是 可以自定義設置的,但這些配置發佈在註冊表的各個角落,如果是手工配置,可想是多麼困難和煩雜。而組策略則將系統重要的配置功能彙集成各種配置模塊,供管理人員直接使用,從而達到方便管理計算機的目的。簡單點說,組策略就是修改註冊表中的配置。當然,組策略使用自己更完善的管理組織方法,可以對各種對象中的設置進行管理和配置,遠比手工修改註冊表方便、靈活,功能也更加強大。而GPO是組策略對象,是一種與域或組織單元相聯繫的物理策略每臺計算機都有本地的GPO,可以通過運行gpedit.msc來定製也可以通過AD定義一個集中的策略.
活動目錄域服務
活動目錄域服務 Active Director 域服務(ADDS)
AD是一個命名空間,可以通過對象名稱來找到這個對象有關的所有信息
在TCP/IP網絡中,用DNS來解析主機名與IP的對應關係。除此外,ad域服務也與DNS緊密結合在一起,他的域名空間是採用DNS架構,因此域名是採用DNS格式來命名的。
AD、DS提供了一個分佈式數據庫,該數據庫用於存儲和管理有關網絡資源的信息,以及啓用了目錄的應用程序的數據。運行AD、DS的服務器成爲域控制器。管理員使用AD、DS將網絡元素(如用戶、計算機和其他設備)增利到層次內嵌結構,層次內嵌結構包括Active Directory林、林中的域以及每個域中的組織單元(OU)
CN通用名 DC域 OU組織單位
group
AD DS域組可以分爲以下兩個類型,且它們之間可以相互切換。
(1)安全組(Security Group)
它可以被用來指定權限與權利,例如可以指定安全組對文件具備讀取的權限,也可以用在與安全無關的工作上,例如可以發送電子郵件給安全組。
(2)發佈組(Distribution Group)
它是被用在與安全(權限與權利的設置等)無關的工作上,比如可以發送電子郵件給發佈組,但是無法給予發佈組權限與權利。
以組的使用領域(Scope)來看,域組可以分爲本地域組(Domain Local Group)、全局組(Global Group)與通用組(Universal Group)三種。
(1)本地域組(Domain Local Group)
本地域組主要是被用來指派訪問權限,不過只能將同一個域內的資源權限指派給本地域組,以便可以訪問此域內的資源
(2)全局組(Global Group)
全局組主要用來組織用戶,也就是你可以將多個即將被賦予相同權限的用戶賬戶,加入到同一個全局組。全局組內的成員,只能夠包含相同域內的用戶與全局組。全局組可以訪問林中任何一個域內的資源,也就是說你可以在任何一個域內設置全局組的權限,以便讓此全局組具備權限來訪問此域內的資源。
(3)通用組(Universal Group)
通用組可以在所有域內被設置訪問權限,以便訪問所有域內的資源。通用組具備通用領域的特性,其成員能夠包含林中任何一個域內的用戶、全局組、通用組,但是無法包含任何一個域內的本地域組。