-
域目录分区(Domain Directory Partition):每一个域各有一个域目录分区,域目录分区包含与本地域相关联的目录对象,如用户和计算机等。一个域可以有多个域控制器,一个林可以有多个域。每个域控制器为其本地域存储域目录分区的完整副本,但不存储其他域的域目录分区的副本。如图中的 DC=xie,DC=com 就是域目录分区。 -
配置目录分区(Configuration Directory Partition):配置目录分区包含复制拓扑和必须复制的其他配置数据。整个林内所有域共享一份相同的配置目录分区,林中的每个域控制器都有一个相同的配置目录分区的副本,对配置目录分区所做的任何更改都将复制到林中的每个域控制器。如图中的 CN=Configuration,DC=xie,DC=com 就是配置目录分区。 -
架构目录分区(Schema Directory Partition):架构目录分区包含所有类和所有属性的条目对象,这些条目对象定义了林中可以使用的类和属性的类型。整个林内所有域共享一份相同的架构目录分区,林中的每个域控制器都有一个相同的架构目录分区的副本,对架构目录分区所做的任何更改都将复制到林中的每个域控制器。因为架构目录分区规定了信息的存储方式,因此在执行测试后,应该在必要时通过严格控制的过程对架构目录分区进行更改,以确保不会对林中的其他部分产生不利影响。如图中的 DC=Schema,CN=Configuration,DC=xie,DC=com 就是架构目录分区。 -
应用程序目录分区(Application Directory Partition):从 Windows Server 2003 开始 ,微软引入了应用程序目录分区,其允许用户自定义分区来扩展目录分区。它提供了控制复制范围的能力,并允许以更适合动态数据的方式放置副本。应用程序目录分区会被复制到林中特定的域控中,而不是所有的域控中。如图中的 DC=DomainDnsZones,DC=xie,DC=com 和 DC=ForestDnsZones,DC=xie,DC=com 就是应用程序目录分区。
1
Domain Directory Partition
域目录分区的顶级对象
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2
Configuration Directory Partition
配置目录分区的顶级对象
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3
Schema Directory Partition
查看Schema Directory Partition
LDAP中的类和继承
-
systemMustContain 和 MustContain 属性里的值是必选继承的属性 -
systemMayContain 和 MayContain 属性里的值是可选继承的属性
-
objectClass -
objectCategory -
nTSecurityDescriptor -
instanceType
-
objectClass -
objectCategory -
nTSecurityDescriptor -
instanceType -
cn
-
来自top类的objectClass -
来自top类的objectCategory -
来自top类的nTSecurityDescriptor -
来自top类的instanceType -
来自person类的cn -
来自mailRecipient类的cn -
来自securityPrincipal类的objectSid -
来自securityPrincipal类的sAMAccountName
Schema Directory Partition中的类
-
结构类(Structural):结构类规定了对象实例的基本属性,每个条目属于且仅属于一个结构对象类。前面说过域内每个条目都是类的实例,这个类必须是结构类,结构类是唯一可以在目录中有实例的类,结构类可以派生于抽象类或其他结构类,可以在结构类定义中包含任意数量的辅助类。 -
抽象类(Abstract):抽象类是用于导生新结构类的模板,他没有实例,只能充当结构类或者抽象类的父类。一个新的抽象类可以从一个现有的抽象类中派生出来,它只为子类提供属性,将对象属性中公共的部分组织在一起。跟面对对象里面的抽象方法一样,比如说top类。 -
辅助类(Auxiliary):辅助类包含一个属性列表,在结构类或抽象类的定义中添加一个辅助类会将辅助类属性添加到实例中。虽然不能实例化辅助类,但是可以从现有的辅助类或抽象类派生出新的辅助类。例如,Security-Principal类是一个辅助类,它从名为Top的父抽象类中派生。虽然不能实例化辅助类,但可以创建一个结构类User的对象,该用户将Security-Principal类作为辅助类。因此,该用户对象将拥有辅助类Security-Principal的属性,Security-Principal类的属性可以帮助系统将用户对象识别为安全帐户。辅助类规定了对象实体的扩展属性。虽然每个条目只属于一个结构对象类,但可以同时属于多个辅助对象类。
Schema Directory Partition中的属性
4
Application Directory Partition
-
如果用户想要定义一个分区,可以通过Application Directory Partitions。虽然微软也预置了两个Application Directory Partitions,但是Application Directory Partitions的设计更多是为了让用户可以自定义自己的数据。设计Application Partitions最大的用途就是,让用户自己来定义分区。 -
Application Directory Partitions可以存储动态对象。动态对象是具有生存时间(TTL) 值的对象,该值确定它们在被Active Directory自动删除之前将存在多长时间。也就说Application Directory Partitions可以给数据设置个TTL,时间一到,Active Directory就删除该数据。
1
条目属性分析
-
Attribute代表条目的属性。 -
Sytnta代表条目属性的值的数据类型。 -
Count代表条目属性的值的个数。 -
Value(s)代表条目属性具体的值。
adminCount
badPasswordTime
badPwdCount
cn
description
distinguishedName
lastLogon
logonCount
memberOf
member
name
nTSecurityDescriptor
objectClass
objectGUID
objectSid
pwdLastSet
whenChanged
whenCreated
原文始发于微信公众号(谢公子学安全):域目录分区Directory Partitions
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论