大家好,又见面了,我是你们的朋友全栈君。
AD域和LDAP协议
1、LDAP
1.1 常见的目录服务软件
- X.500
- LDAP
- Actrive Directory,Microsoft公司
- NIS
1.2 LDAP特点
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写。- LDAP是一种开放Internet标准,LDAP协议是跨平台的Interent协议
- LDAP标准实际上是在X.500标准基础上产生的一个简化版本,它是基于X.500标准的, 与X.500不同,LDAP支持TCP/IP(即可以分布式部署)
- 目录服务和数据库很类似,但又有着很大的不同之处。数据库设计为方便读写,但目录服务专门进行了读优化的设计,因此不太适合于经常有写操作的数据存储。
LDAP的结构用树来表示,而不是用表格。正因为这样,就不能用SQL语句了- LDAP可以很快地得到查询结果,不过在写方面,就慢得多(读快,写慢)
- LDAP提供了静态数据的快速查询方式
- Client/server模型
① Server 用于存储数据
② Client提供操作目录信息树的工具
③ 这些工具可以将数据库的内容以文本格式(LDAP 数据交换格式,LDIF)呈现在您的面前 - LDAP存储这样的信息最为有用: 也就是
数据需要从不同的地点读取但是不需要经常更新,例如:
① 公司员工的电话号码簿和组织结构图
② 客户的联系信息
③ 计算机管理需要的信息,包括NIS映射、email假名,等等
④ 软件包的配置信息
⑤ 公用证和安全密钥
1.3 LDAP目录结构
在LDAP中目录是按照树型结构组织——目录信息树(DIT)
DIT是一个主要进行读操作的数据库
1.3.1 DIT
DIT由条目(Entry)组成,条目相当于关系数据库中表的记录;
1.3.2 条目
条目是具有分辨名DN(Distinguished Name)的属性–值对(Attribute-value,简称AV)的集合
1.3.3 DN
DN,Distinguished Name即分辨名
- 在LDAP中,一个条目的分辨名叫做“DN”,
DN是该条目在整个树中的唯一名称标识 - DN相当于关系数据库表中的
关键字(Primary Key),是一个识别属性,通常用于检索
常见的两种DN:
| 基于cn(姓名) | cn=Fran Smith,ou=employees,dc=foobar,dc=com最常见的CN是/etc/group转来的条目 |
|---|---|
| 基于uid(User ID) | uid=fsmith,ou=employees,dc=foobar,dc=com最常见的UID是/etc/passwd和/etc/shadow转来的条目 |
DN的三个参数:
LDAP基本模型:
| 关键字 | 英文全称 | 含义 |
|---|---|---|
| Dc | Domain Component | 域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com(一条记录的所属位置) |
| uid | User Id | 用户ID |
| ou | Organization Unit | 组织单位,组织单位可以包含其他各种对象(包括其他组织单元),如“oa组”(一条记录的所属组织) |
| cn | Common Name | 公共名称,如“Thomas Johansson”(一条记录的名称) |
| sn | Surname | 姓,如“许” |
| dn | Distinguished Name | “uid=songtao.xu,ou=oa组,dc=example,dc=com”,一条记录的位置(唯一) |
| rdn | Relative dn | 相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=tom”或“cn= Thomas Johansson” |
2、AD域
2.1 目录服务
定义: 目录服务就是按照树状存储信息的模式
目录服务特点:
① 目录服务的数据类型主要是字符型, 而不是关系数据库提供的整数、浮点数、日期、货币等类型
② 为了检索的需要添加了BIN(二进制数据)、CIS(忽略大小写)、CES(大小写敏感)、TEL(电话型)等语法(Syntax) 同样也不提供象关系数据库中普遍包含的大量的函数
③ 目录有很强的查询(读)功能,适合于进行大量数据的检索
④ 但目录一般只执行简单的更新(写)操作,不支持批量更新所需要的事务处理功能
⑤ 它主要面向数据的查询服务(查询和修改操作比一般是大于10:1),不提供事务的回滚(rollback)机制
⑥ 目录具有广泛复制信息的能力,适合于多个目录服务器同步/更新
2.2 工作组
- 默认情况下计算机安装完操作系统后是隶属于工作组的。
工作组有时也叫做对等网络,因为网络上每台计算机的地位都是平等的,它们的资源与管理是分散在各个计算机上工作组中的每台计算机都维护一个本地安全数据库(我理解为可以登录的账户信息和共享的资源信息),这就分散了用户账户和资- 安全的管理,在每台用户需要访问的计算机上,用户都必须使用此用户账户。
- 用户账户的任何变化,例如修改密码或添加新的账户均必须在每台计算机上操作进行。
- 如果忘记在每个计算机上添加新的用户账户,新用户将不能登录到没有此账户的计算机,也不能访问其上的资源。
- 工作组内不一定要有服务器级的计算机
2.3 域
- 域模型就是针对大型网络的管理需求而设计的,域就是共享用户账号,计算机账号和安全策略的计算机集合。
- 从域的基本定义中我们可以看到,域模型的设计中考虑到了用户账号等资源的共享问题
2.3.1 域管理优点
- 因为所有的用户信息都被集中存储,所以,域提供了集中的管理。
- 只要用户账户有对资源的适当权限,使用账户都能登录域内的任一台计算机,都可以访问网络上另一计算机的资源。
- 域提供了可伸缩性,这样可以创建非常大的网络。
工作组结构为分布式的管理模式,适用于小型的网络
域结构为集中式的管理模式,适用于较大型的网络
2.3.2 域网络的组成
一般情况下,域中有三种计算机:
① 一种是域控制器,域控制器上存储着Active Directory;
② 一种是成员服务器,负责提供邮件,数据库,DHCP等服务;
③ 一种是工作站,是用户使用的客户机。
2.4 AD域☆☆
- 活动目录Active Directory的缩写,面向微软服务器的目录服务,LDAP协议(轻量级目录访问协议)下的一种产品。它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段
- Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
- Active Directory 域内的 directory database(目录数据库)被用来存储用户账户、计算机账户、打印机和共享文件夹等对象,而提供目录服务的组件就是 Active Directory (活动目录)域服务(Active Directory Domain Service,ADDS),它负责目录数据库的存储、添加、删除、修改与查询等操作。
举例:
Windows Server 2003 域内的目录用来存储用户帐户、组、打印机、共享文件夹等对象的相关数据,把这些对象的存储称为目录数据库。
Windows Server 2003 域内负责提供目录服务的组件就是活动目录,它负责目录数据库的存储、添加、删除、修改、查询等服务。
2.4.1 域控制器DC
- DC是Domain Controller的缩写,即
域控制器, - 只有Windows Server 2003 标准版、企业版或Datacenter版等服务器级的计算机版本才可以扮演域控制器的角色,而Web版没有该功能。
- 域控制器是通过活动目录(AD)提供服务。例如,它负责维护活动目录数据库、审核用户的帐户与密码是否正确、将活动目录数据库复制到其他的域控制器。
- 活动目录的目录数据存储在域控制器内。
- 一个域内可以有多台的域控制器,而在大部分情况下,每一台域控制器的地位是平等的,它们各存储着一份相同的活动目录
2.4.2 AD域特点及常用功能
- 特点
- 微软基于AD的域模式,最大的优点是实现了集中式管理。
- 回收并管理普通用户对客户机的权限。
- AD是一个大的安全边界,用户只要在登录时验证了身份,这个域林中所有允许访问资源都可以直接访问,不用再做身份验证,也提高的效率减少了维护成本。
- 对于用户好处,通过文件夹的重定向可以将所有用户桌面的“我的文档”重定向到文件服务器上。
- 常用功能
用户账号管理
权限管理
软件/补丁推送
3、AD域和信任关系
问题:在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户。但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?
-
镜像账户
在A域和B域内各自创建一个用户名和口令都完全相同的用户账户,然后在B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了。
存在问题:账户的重复建设等。 -
创建域信任关系- 域信任关系是有方向性的,如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以。
- 如果A域信任了B域,那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中,这样A域内的资源就可以分配给B域的用户了。从这个过程来看,A域信任B域首先需要征得B域的同意,因为A域信任B域需要先从B域索取资源。
3.1 域信任关系
- 域的信任关系的主动权掌握在被信任域手中而不是信任域。
- A域信任B域,意味着A域的资源有分配给B域用户的可能性,但并非必然性!如果不进行资源分配,B域的用户无法获得任何资源!
NT4的域时代:
- 信任关系是不具有传递性的。
- 也就是说如果A域信任B域,B域信任C域,那么A域和C域没有任何关系。
Window2000之后:
- 允许在域树和域林内进行信任关系的传递
- 在Win2003中更是允许在域林之间进行信任关系的传递
3.2 域树
域树是Active Directory针对NT4的传统域模型所进行的重要改进。在NT4时代的域模型中,每个域都要使用没有层次结构的NETBIOS名称,而且域和域之间缺少关联,只能创建不能传递的域信任关系。这会在企业管理方面造成诸多不利因素:
首先域和域之间很难根据域名判断彼此间的隶属关系,例如beijing域和shanghai域;
其次由于域之间的信任关系不可传递,在域数量较多时光是创建域之间的完全信任就要耗费大量时间。假定有10个域,那我们在10个域之间要建立45次信任关系才能让这些域相互之间都完全信任。
`域树`针对以上问题进行了很好的解决,**域树的父域和子域之间由于使用了层次分明的DNS域名,只要根据域名我们就可以判断出两个域的隶属关系**,例如有两个域abc.com和test.abc.com,我们可以很轻易地判断出后者是前者的子域。
4、AD域组策略
- 组策略是一个允许执行针对用户或计算机进行配置的基础架构。
- 其实通俗地说,组策略和注册表类似,是一项可以修改用户或计算机设置的技术。
4.1 那组策略和注册表的区别
注册表只能针对一个用户或一台计算机进行设置;
组策略却可以针对多个用户和多台计算机进行设置。
举例:在一个拥有1000用户的企业中,如果我们用注册表来进行配置,我们可能需要在1000台计算机上分别修改注册表。但如果改用组策略,那只要创建好组策略,然后通过一个合适的级别部署到1000台计算机上就可以了。
组策略和Active Directory结合使用,可以部署在OU,站点和域的级别上,当然也可以部署在本地计算机上,但部署在本地计算机并不能使用组策略中的全部功能,只有和Active Directory配合,组策略才可以发挥出全部潜力。 组策略部署在不同级别的优先级是不同的,本地计算机<站点<域<OU。 我们可以根据管理任务,为组策略选择合适的部署级别。
4.2 什么是组策略对象
组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域或OU、该GPO内的设定值就会影响到该站点,域或OU内的所有用户于计算机。
4.3 组策略管理
- 组策略管理可以通过组策略编辑器和组策略管理控制台(GPMC),
- 组策略编辑器是Windows操作系统中自带的组策略管理工具,可以修改GPO中的设置。
- GPMC则是功能更强大的组策略编辑工具,GPMC可以创建,管理,部署GPO,最新的GPMC可以从微软网站下载。
4.4 组策略应用
-
帐户策略的设定
例如设定用户密码的长度、复杂度、使用的期限,帐号锁定策略等。 -
本地策略的设定
例如审核策略的设定、用户权限的指派、安全性的设定。 -
部署软件
- 思路是把要部署的软件存储在文件服务器的共享文件夹中
- 然后通过组策略告知用户用户或计算机,某某服务器的某某文件夹有要安装的软件,赶紧去下载安装。
具,GPMC可以创建,管理,部署GPO,最新的GPMC可以从微软网站下载。
4.4 组策略应用
-
帐户策略的设定
例如设定用户密码的长度、复杂度、使用的期限,帐号锁定策略等。 -
本地策略的设定
例如审核策略的设定、用户权限的指派、安全性的设定。 -
部署软件
- 思路是把要部署的软件存储在文件服务器的共享文件夹中
- 然后通过组策略告知用户用户或计算机,某某服务器的某某文件夹有要安装的软件,赶紧去下载安装。
- 设置好组策略,就可以等待客户机自动进行软件安装了,完全不用在客户机上一一进行部署了。
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/145364.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...
