域与活动目录
域
一种形式的计算机网络,将这片区域内的计算机集中管理,包括权限和资源等。
通过域控制器来实现,可以将一个或多个服务器配置为域控制器,域控负责维护域内用户的安全策略及信息。
域控
是管理资源的服务器,存储了所有域账户的信息和安全策略且集中管理,并负责处理域中的身份验证。并决定是否授予用户所请求的权限。
在服务器上安装和配置AD,接着根据向导就可以提升为域控,也可以加入现有域。
功能和角色:身份验证服务、目录服务、策略管理
域逻辑结构
-
组织单元(OU):是AD中的一个容器对象,用于对用户、组等资源分类。一个域可以包含多个OU。
-
单域:只包含一个域。
-
树:一个或多个相关域组成的集合,树中的域通过双向传递信任关系连接。共享一个连续的命名空间。例如:根域为xx.com,子域为aa.xx.com和bb.xx.com
-
林:一个或多个树的集合,每个树命名空间独立。
域物理结构
- 站点:是一组互连的局域网络(LAN),它们之间的网络连接速度很快,AD中的站点用于组织网络中的物理结构
作用:优化复制(通过配置站点间的连接,AD可以让数据在网络中高效复制)、客户端请求处理(用于帮助客户端找到最近的域控,提高登录和处理请求的效率)、流量管理(控制网络流量、优化带宽使用)
- 域控:负责存储所有对象的信息和管理安全策略。
作用:身份验证和授权(处理所有用户登录请求、执行身份验证并授权访问资源的权限)、数据存储和管理、服务位置(在多个地理位置部署、与站点配合、确保高效访问)
-
复制拓扑:定义了域控如何相互复制信息的路径和方式,确保所有域控都能接收到更新的数据。
-
全局编录:是一个域控,全局编录服务器处理跨域的查询请求。在多个地理位置部署,确保快速响应时间和业务特性。
活动目录(AD)
活动目录允许管理员通过图形化界面集中管理域中的资源、用户、安全策略等。使用轻量目录访问协议来访问和维护信息。
包括域、树、林、组织单位、全局编录几个层级
功能
-
身份管理:管理用户和计算机账户,及属性。
-
策略管理:集中管理用户和计算机的策略。
-
认证和授权:提供Kerberos协议支持的安全和单点登录功能。
-
目录服务:提供分布式数据库,存储和管理网络资源的信息及应用程序数据。