AD域和LDAP協議
1、LDAP
1.1 常見的目錄服務軟件
- X.500
- LDAP
- Actrive Directory,Microsoft公司
- NIS
1.2 LDAP特點
LDAP是輕量目錄訪問協議(Lightweight Directory Access Protocol)的縮寫。- LDAP是一種開放Internet標準,LDAP協議是跨平臺的Interent協議
- LDAP標準實際上是在X.500標準基礎上產生的一個簡化版本,它是基於X.500標準的, 與X.500不同,LDAP支持TCP/IP(即可以分佈式部署)
- 目錄服務和數據庫很類似,但又有着很大的不同之處。數據庫設計爲方便讀寫,但目錄服務專門進行了讀優化的設計,因此不太適合於經常有寫操作的數據存儲。
LDAP的結構用樹來表示,而不是用表格。正因爲這樣,就不能用SQL語句了- LDAP可以很快地得到查詢結果,不過在寫方面,就慢得多(讀快,寫慢)
- LDAP提供了靜態數據的快速查詢方式
- Client/server模型
① Server 用於存儲數據
② Client提供操作目錄信息樹的工具
③ 這些工具可以將數據庫的內容以文本格式(LDAP 數據交換格式,LDIF)呈現在您的面前 - LDAP存儲這樣的信息最爲有用: 也就是
數據需要從不同的地點讀取但是不需要經常更新,例如:
① 公司員工的電話號碼簿和組織結構圖
② 客戶的聯繫信息
③ 計算機管理需要的信息,包括NIS映射、email假名,等等
④ 軟件包的配置信息
⑤ 公用證和安全密鑰
1.3 LDAP目錄結構
在LDAP中目錄是按照樹型結構組織——目錄信息樹(DIT)
DIT是一個主要進行讀操作的數據庫
1.3.1 DIT
DIT由條目(Entry)組成,條目相當於關係數據庫中表的記錄;
1.3.2 條目
條目是具有分辨名DN(Distinguished Name)的屬性–值對(Attribute-value,簡稱AV)的集合
1.3.3 DN
DN,Distinguished Name即分辨名
- 在LDAP中,一個條目的分辨名叫做“DN”,
DN是該條目在整個樹中的唯一名稱標識 - DN相當於關係數據庫表中的
關鍵字(Primary Key),是一個識別屬性,通常用於檢索
常見的兩種DN:
| 基於cn(姓名) | cn=Fran Smith,ou=employees,dc=foobar,dc=com最常見的CN是/etc/group轉來的條目 |
|---|---|
| 基於uid(User ID) | uid=fsmith,ou=employees,dc=foobar,dc=com最常見的UID是/etc/passwd和/etc/shadow轉來的條目 |
DN的三個參數:
LDAP基本模型:
| 關鍵字 | 英文全稱 | 含義 |
|---|---|---|
| Dc | Domain Component | 域名的部分,其格式是將完整的域名分成幾部分,如域名爲example.com變成dc=example,dc=com(一條記錄的所屬位置) |
| uid | User Id | 用戶ID |
| ou | Organization Unit | 組織單位,組織單位可以包含其他各種對象(包括其他組織單元),如“oa組”(一條記錄的所屬組織) |
| cn | Common Name | 公共名稱,如“Thomas Johansson”(一條記錄的名稱) |
| sn | Surname | 姓,如“許” |
| dn | Distinguished Name | “uid=songtao.xu,ou=oa組,dc=example,dc=com”,一條記錄的位置(唯一) |
| rdn | Relative dn | 相對辨別名,類似於文件系統中的相對路徑,它是與目錄樹結構無關的部分,如“uid=tom”或“cn= Thomas Johansson” |
2、AD域
2.1 目錄服務
定義: 目錄服務就是按照樹狀存儲信息的模式
目錄服務特點:
① 目錄服務的數據類型主要是字符型, 而不是關係數據庫提供的整數、浮點數、日期、貨幣等類型
② 爲了檢索的需要添加了BIN(二進制數據)、CIS(忽略大小寫)、CES(大小寫敏感)、TEL(電話型)等語法(Syntax) 同樣也不提供象關係數據庫中普遍包含的大量的函數
③ 目錄有很強的查詢(讀)功能,適合於進行大量數據的檢索
④ 但目錄一般只執行簡單的更新(寫)操作,不支持批量更新所需要的事務處理功能
⑤ 它主要面向數據的查詢服務(查詢和修改操作比一般是大於10:1),不提供事務的回滾(rollback)機制
⑥ 目錄具有廣泛複製信息的能力,適合於多個目錄服務器同步/更新
2.2 工作組
- 默認情況下計算機安裝完操作系統後是隸屬於工作組的。
工作組有時也叫做對等網絡,因爲網絡上每臺計算機的地位都是平等的,它們的資源與管理是分散在各個計算機上工作組中的每臺計算機都維護一個本地安全數據庫(我理解爲可以登錄的賬戶信息和共享的資源信息),這就分散了用戶賬戶和資- 安全的管理,在每臺用戶需要訪問的計算機上,用戶都必須使用此用戶賬戶。
- 用戶賬戶的任何變化,例如修改密碼或添加新的賬戶均必須在每臺計算機上操作進行。
- 如果忘記在每個計算機上添加新的用戶賬戶,新用戶將不能登錄到沒有此賬戶的計算機,也不能訪問其上的資源。
- 工作組內不一定要有服務器級的計算機
2.3 域
- 域模型就是針對大型網絡的管理需求而設計的,域就是共享用戶賬號,計算機賬號和安全策略的計算機集合。
- 從域的基本定義中我們可以看到,域模型的設計中考慮到了用戶賬號等資源的共享問題
2.3.1 域管理優點
- 因爲所有的用戶信息都被集中存儲,所以,域提供了集中的管理。
- 只要用戶賬戶有對資源的適當權限,使用賬戶都能登錄域內的任一臺計算機,都可以訪問網絡上另一計算機的資源。
- 域提供了可伸縮性,這樣可以創建非常大的網絡。
工作組結構爲分佈式的管理模式,適用於小型的網絡
域結構爲集中式的管理模式,適用於較大型的網絡
2.3.2 域網絡的組成
一般情況下,域中有三種計算機:
① 一種是域控制器,域控制器上存儲着Active Directory;
② 一種是成員服務器,負責提供郵件,數據庫,DHCP等服務;
③ 一種是工作站,是用戶使用的客戶機。
2.4 AD域☆☆
- 活動目錄Active Directory的縮寫,面向微軟服務器的目錄服務,LDAP協議(輕量級目錄訪問協議)下的一種產品。它爲用戶管理網絡環境各個組成要素的標識和關係提供了一種有力的手段
- Active Directory存儲了有關網絡對象的信息,並且讓管理員和用戶能夠輕鬆地查找和使用這些信息。Active Directory使用了一種結構化的數據存儲方式,並以此作爲基礎對目錄信息進行合乎邏輯的分層組織。
- Active Directory 域內的 directory database(目錄數據庫)被用來存儲用戶賬戶、計算機賬戶、打印機和共享文件夾等對象,而提供目錄服務的組件就是 Active Directory (活動目錄)域服務(Active Directory Domain Service,ADDS),它負責目錄數據庫的存儲、添加、刪除、修改與查詢等操作。
舉例:
Windows Server 2003 域內的目錄用來存儲用戶帳戶、組、打印機、共享文件夾等對象的相關數據,把這些對象的存儲稱爲目錄數據庫。
Windows Server 2003 域內負責提供目錄服務的組件就是活動目錄,它負責目錄數據庫的存儲、添加、刪除、修改、查詢等服務。
2.4.1 域控制器DC
- DC是Domain Controller的縮寫,即
域控制器, - 只有Windows Server 2003 標準版、企業版或Datacenter版等服務器級的計算機版本纔可以扮演域控制器的角色,而Web版沒有該功能。
- 域控制器是通過活動目錄(AD)提供服務。例如,它負責維護活動目錄數據庫、審覈用戶的帳戶與密碼是否正確、將活動目錄數據庫複製到其他的域控制器。
- 活動目錄的目錄數據存儲在域控制器內。
- 一個域內可以有多臺的域控制器,而在大部分情況下,每一臺域控制器的地位是平等的,它們各存儲着一份相同的活動目錄
2.4.2 AD域特點及常用功能
- 特點
- 微軟基於AD的域模式,最大的優點是實現了集中式管理。
- 回收並管理普通用戶對客戶機的權限。
- AD是一個大的安全邊界,用戶只要在登錄時驗證了身份,這個域林中所有允許訪問資源都可以直接訪問,不用再做身份驗證,也提高的效率減少了維護成本。
- 對於用戶好處,通過文件夾的重定向可以將所有用戶桌面的“我的文檔”重定向到文件服務器上。
- 常用功能
用戶賬號管理
權限管理
軟件/補丁推送
3、AD域和信任關係
問題:在同一個域內,成員服務器根據Active Directory中的用戶賬號,可以很容易地把資源分配給域內的用戶。但一個域的作用範圍畢竟有限,有些企業會用到多個域,那麼在多域環境下,我們該如何進行資源的跨域分配呢?
-
鏡像賬戶
在A域和B域內各自創建一個用戶名和口令都完全相同的用戶賬戶,然後在B域把資源分配給這個賬戶後,A域內的鏡像賬戶就可以訪問B域內的資源了。
存在問題:賬戶的重複建設等。 -
創建域信任關係- 域信任關係是有方向性的,如果A域信任B域,那麼A域的資源可以分配給B域的用戶;但B域的資源並不能分配給A域的用戶,如果想達到這個目的,需要讓B域信任A域纔可以。
- 如果A域信任了B域,那麼A域的域控制器將把B域的用戶賬號複製到自己的Active Directory中,這樣A域內的資源就可以分配給B域的用戶了。從這個過程來看,A域信任B域首先需要徵得B域的同意,因爲A域信任B域需要先從B域索取資源。
3.1 域信任關係
- 域的信任關係的主動權掌握在被信任域手中而不是信任域。
- A域信任B域,意味着A域的資源有分配給B域用戶的可能性,但並非必然性!如果不進行資源分配,B域的用戶無法獲得任何資源!
NT4的域時代:
- 信任關係是不具有傳遞性的。
- 也就是說如果A域信任B域,B域信任C域,那麼A域和C域沒有任何關係。
Window2000之後:
- 允許在域樹和域林內進行信任關係的傳遞
- 在Win2003中更是允許在域林之間進行信任關係的傳遞
3.2 域樹
域樹是Active Directory針對NT4的傳統域模型所進行的重要改進。在NT4時代的域模型中,每個域都要使用沒有層次結構的NETBIOS名稱,而且域和域之間缺少關聯,只能創建不能傳遞的域信任關係。這會在企業管理方面造成諸多不利因素:
首先域和域之間很難根據域名判斷彼此間的隸屬關係,例如beijing域和shanghai域;
其次由於域之間的信任關係不可傳遞,在域數量較多時光是創建域之間的完全信任就要耗費大量時間。假定有10個域,那我們在10個域之間要建立45次信任關係才能讓這些域相互之間都完全信任。
`域樹`針對以上問題進行了很好的解決,**域樹的父域和子域之間由於使用了層次分明的DNS域名,只要根據域名我們就可以判斷出兩個域的隸屬關係**,例如有兩個域abc.com和test.abc.com,我們可以很輕易地判斷出後者是前者的子域。
4、AD域組策略
- 組策略是一個允許執行鍼對用戶或計算機進行配置的基礎架構。
- 其實通俗地說,組策略和註冊表類似,是一項可以修改用戶或計算機設置的技術。
4.1 那組策略和註冊表的區別
註冊表只能針對一個用戶或一臺計算機進行設置;
組策略卻可以針對多個用戶和多臺計算機進行設置。
舉例:在一個擁有1000用戶的企業中,如果我們用註冊表來進行配置,我們可能需要在1000臺計算機上分別修改註冊表。但如果改用組策略,那隻要創建好組策略,然後通過一個合適的級別部署到1000臺計算機上就可以了。
組策略和Active Directory結合使用,可以部署在OU,站點和域的級別上,當然也可以部署在本地計算機上,但部署在本地計算機並不能使用組策略中的全部功能,只有和Active Directory配合,組策略纔可以發揮出全部潛力。 組策略部署在不同級別的優先級是不同的,本地計算機<站點<域<OU。 我們可以根據管理任務,爲組策略選擇合適的部署級別。
4.2 什麼是組策略對象
組策略是通過“組策略對象(GPO)”來設定的,只要將GPO連接到指定的站點、域或OU、該GPO內的設定值就會影響到該站點,域或OU內的所有用戶於計算機。
4.3 組策略管理
- 組策略管理可以通過組策略編輯器和組策略管理控制檯(GPMC),
- 組策略編輯器是Windows操作系統中自帶的組策略管理工具,可以修改GPO中的設置。
- GPMC則是功能更強大的組策略編輯工具,GPMC可以創建,管理,部署GPO,最新的GPMC可以從微軟網站下載。
4.4 組策略應用
-
帳戶策略的設定
例如設定用戶密碼的長度、複雜度、使用的期限,帳號鎖定策略等。 -
本地策略的設定
例如審覈策略的設定、用戶權限的指派、安全性的設定。 -
部署軟件
- 思路是把要部署的軟件存儲在文件服務器的共享文件夾中
- 然後通過組策略告知用戶用戶或計算機,某某服務器的某某文件夾有要安裝的軟件,趕緊去下載安裝。
具,GPMC可以創建,管理,部署GPO,最新的GPMC可以從微軟網站下載。
4.4 組策略應用
-
帳戶策略的設定
例如設定用戶密碼的長度、複雜度、使用的期限,帳號鎖定策略等。 -
本地策略的設定
例如審覈策略的設定、用戶權限的指派、安全性的設定。 -
部署軟件
- 思路是把要部署的軟件存儲在文件服務器的共享文件夾中
- 然後通過組策略告知用戶用戶或計算機,某某服務器的某某文件夾有要安裝的軟件,趕緊去下載安裝。
- 設置好組策略,就可以等待客戶機自動進行軟件安裝了,完全不用在客戶機上一一進行部署了。