域知识的一些基础概念。
工作组
定义:具有不同名称的计算机可以具有相同的工作组名称,从而可以利用工作组名称进行快速筛选
问题:没有办法统一管理(比如统一安装软件);没办法集中身份验证(工作组中的计算机相互独立,相互访问时需要输入密码的)
用户在登录时,计算机为用户构造令牌(sid)以及用户所在工作组的令牌(sid),计算机将依据工作组的sid来判断当前用户的权限
域
域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。
域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。
活动目录
活动目录(Active Directory),AD:活动目录是Windows Server在网络环境中提供的“资源目录”。活动目录是储存着域中相关资源信息的目录,例如计算机,用户组,数据库,服务器,打印机,用户属性(权限等),就像一个数据库。
活动目录里的每个对象都有一个识别名,用来识别对象所在的域以及到达对象的路径。
活动目录里的一个典型识别名是:
1 |
CN=Tony Patton,OU=Contributors,DC=TechRepublic |
这个识别名由下面这几部分组成:
1 |
CN:公共名,用来定义目录下的对象。在本文里,公共名是Tony Patton。 |
活动目录和域的关系:
- 域是逻辑上的服务器以及PC的逻辑分组,在一个域里面的用户都使用公共的安全机制和账户信息。
- 活动目录将域中的资源组织在一起,存放这些资源的各种信息
域控制器
域控(Domain Controller):
在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
安装了AD的服务器就是域控制器,即有AD的计算机就是DC。
域树
域树(Tree):一个域下还可能会有子域,从而构成域树
注:树是有父和子之分的,父域和子域的名称之间是有沿用关系的;树与树之间是没有这种延用关系的;新域就是一个林,只不过这个林只有一棵树。
域林
域林(Forest):多个域树整体将构成域林。
域、域树、域林的理解:
在一个活动目录中可以根据需要建立多个域,比方说“甲公司”的财务科、人事科、销售科就可以各建一个域,因为这几个域同属甲公司,所以就可以将这几个域构成一棵域树并交给域树管理,这棵域树就是甲公司。又因为,甲公司、乙公司、丙公司都归属A集团,那么为了让A集团可以更好地管理这三家子公司,就可以将这三家公司的域树集中起来组成域森林(即A集团)。
活动目录目录服务
活动目录目录服务(Active Directory Directory Services),ADDS:
ADDS提供给域管理一个集中管理的机制和架构。假设一个公司中有一千台服务器,管理员想要找到特定的服务器的话,一台一台的登陆,显然是极其低效率的方法。ADDS可以让域管理员对网络中的所有资源进行访问(登陆,读写等操作)我们可以将其理解为单点登录。
活动目录目录服务提供的功能
(1)提供单点登录访问服务器、服务器上指定的资源与应用程序。
(2)多播复制(Replicatiion)//暂时不关心
(3)基于属性搜索 eg:基于文件名搜索
(4)基于分类搜索 eg:基于分类搜索
信任密钥
信任密钥:计算机在加入域的时候需要由域用户进行“介绍”,之后计算机和DC之间会建立信任关系–即生成只有两方知道的信任密钥
参考文章:
域基础知识解析
FROM :blog.cfyqy.com | Author:cfyqy
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论