工作组和域
工作组(Work Group):工作组是一种平等身份环境,各个计算机之间各为一个独立体,不方便管理和资源共享,在高端应用中,支持度不够,发挥不了高端应用的更多功能。
域(Domain):域是一种管理单元,也是一个管理安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域。每个域都有自己的安全策略,以及它与其他域的安全信任关系。
域环境一般情况下满足两类需求,一类是应用需求,比如微软的系列产品Exchange、Hyper-v、群集技术都需要域环境;第二类是管理需求,比如组策略的控制、集中控制用户和组身份、共享计算机资源,都可以在域环境中发挥极致的性能。
目录(Directory):目录是存储有对象的信息的层次结构。
书籍的目录按照一定的次序编排而成,为反映馆藏、指导阅读、检索图书的工具;电话目录(Telephone Directory)是记录着亲朋好友的姓名和电话号码等数据的电话簿;一个计算机系统中有成千上万个文件,为了便于对文件进行存取和管理,计算机系统建立文件的索引,即文件名和文件物理位置之间的映射关系,这种文件的索引称为文件目录(File Directory),它记录着文件的文件名、文件类型、文件大小、建立时间等。
Active Directory中文意思为活动目录,Active Directory域内的Directory Database(目录数据库)被用来存储用户账户、计算机账号、打印机域共享文件夹等对象,提供目录服务的组件就是Active Directory域服务(Active Directory Domain Service,AD DS)。AD DS负责目录数据库的存储、创建、删除、修改、查询等工作。
Active Directory 存储有关网络上对象的信息,并让管理员和用户可以更容易地使用这些信息。 Active Directory 使用结构化数据存储作为目录信息的逻辑层次组织的基础。
Namespace
Namespace即名称空间或命名空间,名称空间是有特定边界的指定区域,主要用途是组织资源的说明,使用户按其特性或属性来查找资源。例如Windows系统的NTFS也是一个名称空间,在文件系统内,我们可以用文件名找到文件。
AD域服务也是一个名称空间,我们可以利用AD DS通过对象名称来找到与此对象有关的所有信息。
对象(Object)与属性(Attribute)
在Active Directory中,主要有两个信息类型的存储:
- 对象(Object):对象的逻辑位置
-
属性 (Attribute):对象的属性列表
AD DS内的资源是以对象的形式存在的,例如用户、计算机、打印机等都是对象,对象是通过属性来描述其特征的。例如对象是一个用户,属性就是姓名,地址、显示名称、电话号码、电子邮件···等,它是对象本身属性的合集。
容器(Container)与组织单位(Organization Units,OU)
容器:在生活中容器可以装水,装酒等,它是用来包装或装载物品的贮存器。在计算机中也是一样的概念,它里面存放的大部分是对象,它里面既可以包含其他对象,也可以包含其他容器。
组织单位:组织单位和容器的概念非常相似,其内除了可以包含其他对象与组织单位之外,还有组策略(Group Policy)的功能。
总结:
1.容器内可包含:容器=对象(用户、计算机等)+其他容器
2.组织单位可包含:组织单位=对象+组织单位+策略
3.AD DS是以层次式架构将对象、容器和组织单位等组合在一起,并将其存储到AD DS数据库中
4.组织单位可以理解为一种特殊的容器
域树(Domain Tree)
域树:
当搭建包含多个域的网络,通过信任关系连接起来之后,所有的域共享公共的表结构(schema) 、配置和全局目录(global catalog),从而形成**域树 **。域树由多个域组成,如图中域树符合DNS域名空间的命名原则,而且是有连续性的,也就是子域的域内包含着父域的域名,例如y.x.com的后缀内包含着上一层(父域)的域名x.com。这些域共享同一个表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来。活动目录包含一个或多个域树。
在域树内的所有域共享一个AD DS。也就是在此域树之下只有一个AD DS,不过其中的数据是分散存储在各域内,每一个域内只有存储隶属于该域的数据。
林(Forest)
林是由一个或多个域树所组成的,每一个域树都有自己唯一的一个名称空间,如图中所示,例如其中一个域树内的每一个域名都是以x.com结尾,而另一个则都是以a.com结尾。
第一个域树的根域就是整个林的根域(Forest Root Domain),同时其域名就是林的林名称。如图中x.com就是第一个域树的根域,也是整个林的根域,而林的名称就是x.com。
当你在建立林时,每一个域树的根域与林根域之间双向的、可传递的信任关系都会自动被建立起来,因此每一个域树中的每一个域内的用户只要拥有权限就可以访问其他任意域树内的资源,也可以到其他任何一个域树内的成员计算机登录。
信任(Trust)
两个域之间必须拥有信任关系(Trust Relationship),才可以访问对方域内的资源。而任何一个新的AD DS域被加入到域树后,这个域都会自动信任其上一层的父域,同时父域也会自动信任这个新子域。
一个林中的域之间所有的Active Directory信任关系都具备双向传递性(Two-Way Transitive)。如图中:域A信任域B,且域B信任域C,则域C中的用户访问域A中的资源。(这些用户被分配了访问权限)由于此信任工作是通过Kerberos security protocol来完成的,因此也被称为Kerveros trust。
图中域A信任域B、域B又信任域C、因此域A自动信任域C;另外域C信任域B、域B又信任域A,因此域C自动信任域A。结果是域A和域C之间会自动建立起双向的信任关系。
所以当任何一个新域加入到域树后,都会自动双向信任这个域树内所有的域,只要拥有适当的权限,这个新域内的用户就可以访问其他域内的资源。同理,其他域内的用户也可以访问这个新域内的资源。
信任协议
域控制器使用两种协议对用户和应用程序进行身份验证:
Kerberos version 5(V5)或 NTML。Kerberos V5协议是Active Directory域中的计算机的默认协议。如果事务中的任何计算机都不支持Kerberos V5协议,则使用NTML协议。
信任方向
单向信任:单向信任是在两个域之间创建的单向身份验证路径。这表示在域A和域B之间的单向信任中,域A中的用户可以访问域B中的资源,但是域B中的用户无法访问域A中的资源。单向信任可以是不可传递,也可以是可传递信任,这取决于创建的信任类型。
双向信任:Active Directory林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域A信任域B,并且域B信任域A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。
信任类型
包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。
架构(Schema)
AD DS对象类型与属性数据是定义在架构内的。隶属于Schema Admins组的用户可以修改架构内的数据,应用程序也可以自行在架构内添加其所需的对象类型或属性。在一个林内的所有域树共享相同的架构。
域控制器(Domain Controller)
Active Directory 域服务(AD DS)的目录是存储在域控制器内的。一个域内可以有多台域控制器,每一台域控制器的地位(几乎)是平等的,它们各自存储着一份相同的AD DS数据库。当你在任何一台域控制器内新建一个用户账户后,此账户默认是被建立在此域控制器的AD DS数据库中,之后会被自动复制到其他域控制器的AD DS数据库,以便让所有域控制器内的AD DS数据库都能够同步。
当用户在域内某台计算机上登录时,会由其中一台域控制器根据其AD DS数据库内的账户数据来审核用户所输入的用户名与密码是否正确。若是正确的,用户就可以成功登录;反之会被拒绝登录。
多台域控制器可以提供容错功能,例如其中一台域控制器出现故障了,仍然能够由其他域控制器来继续服务。另外它因为多台域控制器可以分担审核用户登录身份(账户名称与密码)的负担,从而可以改善用户登录效率。
Lightweight DIrectory Access Protocol(LDAP)
LDAP(Lightweight DIrectory Access Protocol)轻型目录访问协议:是一种用来查询与更新AD DS数据库的目录服务通信协议,通过IP协议提供访问控制和维护分布式信息的目录信息。AD DS利用 LDAP名称路径(LDAP naming path)来表示对象在AD DS数据库内的位置,以便访问AD DS数据库内的对象。
- 在LDAP中信息以树状方式组织,在树状信息中的基本数据单元是条目,而每个条母由属性构成,属性中存储有属性值;
- 在LDAP中的每个条目均有自己的DN,DN是该条目在整个树中的唯一名称标识,如同文件系统中,带路径的文件名就是DN;
- 在LDAP中共有四类操作:
查询类操作:如搜索、比较
更新类操作:如添加条目、删除条目、修改条目、修改条目名
认证类操作:如绑定、解绑定
放弃和扩张操作 - LDAP主要通过身份认证、安全通道和访问控制来实现。
LDAP名称路径包含:
Distinguished Name(DN):它是对象在AD DS数据库内的完整路径。
Relative Distinguished Name(RDN):它是用来代表DN完整路径中的部分路径。
Global Unique Identifier (GUID):它是一个128位的数值,系统会自动为每一个对象指定一个唯一的GUID。
User Principal Name (UPN):每一个用户还可以有一个比DN更短的、更容易记忆的UPN。
全局编录(Global Catalog)
域树内的所有域共享一个AD DS数据库,但是其数据却是分散在各个域内的,而每一个域只存储该域本身的数据。为了让用户、应用程序能够快速找到位于其他域内的资源,在AD DS内便设计了全局编录(GC)。一个林内的所有域树共享相同的全局编录。
全局编录包含了各个活动目录中每一个对象的最重要的属性,是域林中所有对象的集合。 全局编录所在的域服务器称为全局编录服务器(GC server),它存储着林内所有域的AD DS是数据库内的每一个对象,不过只是存储对象的部分属性,这些属性都是常用的被用来查找的属性,例如用户的登录名等。全局编录让用户及时不知道对象是位于哪一个域内,任然可以很快速的找到所需对象。用户登录时,全局编录服务器还负责提供该用户所隶属的通用组信息,用户利用UPN登录时,它也负责提供该用户是隶属于哪一个域的信息。默认部署的活动目录中创建的第一个DC必须是全局编录服务器,其他的域服务器可以指派成额外的全局编录服务器来平衡网络流量。