https://www.cnblogs.com/IFire47/p/6672176.html
前言
本文是面对准备加入Active Directory编程的初学者的一份文章,主要是讲解Active Directory(活动目录)的一些概念和相关知识。这篇文章本来是不想写下来的,因为概念性内容的编写需要查阅很多的资料,也怕自己讲的不够明白亦或者存在局限性,但是在我入门的时候这方面的资料网上比较分散化,并没有一个统一完整的文章,而且讲解比较官方化难以理解,所以还是想把这篇文章补充上吧。这些概念的正确认识个人认为在初期非常的有必要,深入理解这些有关Active Directory(活动目录)的基本概念,将让我们在后面不论是用.NET Framework提供的API还是使用Windows PowerShell编程Active Directory有关程序的时候都会事半功倍。
Active Directory
Active Directory中文翻译为活动目录,这个概念不需要太过深入纠结,简单的理解它:Active Directory(活动目录)是微软Windows Server中,负责架构中大型网路环境的集中式目录管理服务(Directory Services),Windows 2000 Server开始内建于Windows Server产品中,它处理了在组织中的网路物件,物件可以是计算机,用户,群组,组织单元(OU)等等,只要是在Active Directory结构定义档(schema)中定义的物件,就可以储存在Active Directory资料档中,并利用Active Directory Service Interface来存取。
Actiove Directory作用
AD(Actiove Directory简称)微软构建这样的一个服务它的意义何在?个人认为可以分为以下几个方面来了解:
1.用户服务
管理用户的域账号、用户信息、企业通信录(与电子邮箱系统集成)、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机,服务器等。C#语言能涉及的领域非常之广泛,根据Windows提供的.NET Framework和PowerShell完全可以做到监听某机器的按键或获取最高权限等操作。(网友的分享可以简单了解http://www.freebuf.com/articles/system/129412.html)。
2.计算机管理
管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。
3.资源管理
管理打印机、文件共享服务、网络资源等实施组策略。
4.应用系统的支持
对于电子邮件(Exchange)、在线及时通讯(Lync)、企业信息管理(SharePoint)、微软CRM,ERP等业务系统提供数据认证(身份认证、数据集成、组织规则等)。这里不单是微软产品的集成,其它的业务系统根据公用接口的方式一样可以嵌入进来。
5.客户端桌面管理
系统管理员可以集中的配置各种桌面配置策略,如:用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。
Actiove Directory域架构常用对象
1.域(Domain).简单理解为:A公司总部
域(Domain)是AD的跟,是AD的管理单位。域中包含着大量的域对象,如:组织单位(Organizational Unit),组(Group),用户(User),计算机(Computer),联系人(Contact),打印机,安全策略等。
2.组织单位(Organization Unit).简单理解为:A公司的分公司
组织单位简称为OU是一个容器对象,可以把域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位可以包含下列类型的对象:用户,计算机,工作组,打印机,安全策略,其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。
3.群组(Group).简单理解为:某分公司里的某事业部
群组是一批具有相同管理任务的用户账户,计算机账户或者其他域对象的一个集合。例如公司的开发组,产品组,运维组等等。
群组类型分为两类:
安全组:用来设置有安全权限相关任务的用户或者计算机账户的集合。比如:Tiger组都可以登录并访问某ftp地址,并拿到某个文件。
通信组:用于用户之间通信的组,适用通信组可以向一组用户发送电子邮件。比如:我要向团队内10为成员都发送同一封邮件这里就要抄送9次,而使用组的话我直接可以发送给@Tiger,所有Tiger组内的成员都会收到邮件。
4.用户(User).简单理解为:某个工作人员
AD中域用户是最小的管理单位,域用户最容易管理又最难管理,如果赋予域用户的权限过大,将带来安全隐患,如果权限过小域用户无法正常工作。
域用户的类型,域中常见用户类型分为:
普通域用户:创建的域用户默认就添加到”Domain Users”中。
域管理员:普通域用户添加进”Domain Admins”中,其权限升为域管理员。
企业管理员:普通域管理员添加进”Enterprise Admins”后,其权限提升为企业管理员,企业管理员具有最高权限。
以上4个AD对象是我们入门必须尽快消化理解的概念。而AD中的对象概念还有很多,包括DNS,域林,域树,根域等等。以及有关计算机的概念如:独立服务器,成员服务器,域控服务器(这个是我们做AD开发的工程师们需要着重研究的),客户端计算机等。这里不再详细描述,如以后有需要会再做补充跟大家分享,一个大致的AD如下图所示。
Actiove Directory中数据结构
AD的数据结构为树形结构,层次结构。树状目录形管理,面向对象式的存储。域(Domin)—->组织单位(Organization Unit)—->群组(Group)-—>用户(User)从左至右依次嵌套,形成树状型结构。有点像文件夹的存储方式。
需要注意的点:
1.OU里面可以再有OU一级一级嵌套进去,但是User是我们操作的最小管理单位。
2.在不区分主域控服务器和辅域控服务器时候,在同一域控服务器内,不能存在同名的域。正如不会存在两个同名的公司一样。
3.同一层级的OU中不能存在相同名称的OU,但是在不同层级的OU中是可以有相同名称的OU存在。比如北京分公司可以有移动事业部,上海分公司也可以有移动事业部。但是北京分公司里不会有两个一模一样名称的移动事业部,领导开会说的是哪个部分下面的人根本分不清,计算机其实有时候比人还要笨。
4.User在相同OU中不能出现同名的情况,在不同OU中是可以有相同名称的User存在的。但是在全局即整个Domain中是不允许出现相同用户登录名的用户存在的。用户登录名(UserPrincipalName)是User的一个属性可简单理解为User的全局唯一的属性(但是域对象有专门的Primary key,这里先不做介绍)。前面说AD里对象数据的存储是面向对象式的存储方式就在这儿。一个AD对象它附带着很多的属性,比如:User对象,在它的属性编辑器里大约有几百个属性,有一些是我们可以看到的,还有一些是微软不让我们看的。但是我们常用的属性根据业务场景的不同大约不会超过30个。后面在编程阶段会详解常用的属性。
结语
以上是本文的全部内容,对于LDAP协议,DN,CN等概念,个人认为在后面的实际编程章节中做介绍较为合理,所以在此省略。谢谢大家。
第二篇
1.概念
活动目录(Active Directory)是面向WindowsStandard Server、Windows Enterprise Server以及 WindowsDatacenter Server的目录服务。活动目录服务是Windows Server 2000操作系统平台的中心组件之一。理解活动目录对于理解WindowsServer 2000的整体价值是非常重要的。这篇关于活动目录服务所涉及概念和技术的介绍文章描述了活动目录的用途,提供了对其工作原理的概述,并概括了该服务为不同组织和机构提供的关键性商务及技术便利。
2.简介
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行WindowsWeb Server的计算机进行管理)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
3.数据存储
人们经常将数据存储作为目录的代名词。目录包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位(OU)以及安全策略] 的信息。这些信息可以被发布出来,以供用户和管理员的使用。
目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
目录数据存储在域控制器上的Ntds.dit文件中。我们建议将该文件存储在一个NTFS分区上。有些数据保存在目录数据库文件中,而有些数据则保存在一个被复制的文件系统上,例如登录脚本和组策略。
有三种类型的目录数据会在各台域控制器之间进行复制:
·域数据。域数据包含了与域中的对象有关的信息。一般来说,这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息,管理员和用户可能都会对这些信息感兴趣。
例如,在向网络中添加了一个用户帐户的时候,用户帐户对象以及属性数据便被保存在域数据中。如果您修改了组织的目录对象,例如创建、删除对象或者修改了某个对象的属性,相关的数据都会被保存在域数据中。
·配置数据。 配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表,并且指出了域控制器和全局编录所处的位置。
·架构数据。架构是对目录中存储的所有对象和属性数据的正式定义。WindowsServer 2003提供了一个默认架构,该架构定义了众多的对象类型,例如用户和计算机帐户、组、域、组织单位以及安全策略。管理员和程序开发人员可以通过定义新的对象类型和属性,或者为现有对象添加新的属性,从而对该架构进行扩展。架构对象受访问控制列表(ACL)的保护,这确保了只有经过授权的用户才能够改变架构。
4.名词
1.名称空间。
名称空间是一种命名规则,通常用来定义网络资源的惟一名称。活动目录本质上就是一个名称空间,包含了很多的对象,每个对象都有自己的名字。在这里,可以把他们的关系形象地理解成是一种解析关系。如:通讯录可以形成一个名称空间,每个人的名字都可以被解析为对应的地址等信息。windows的文件系统也可以形成一个名称空间,每个文件名都可以被解析为实际的某个文件。
2.对象。
3.容器。
容器是逻辑上包含其他对象的对象,容器同样也有属性,但容器与对象不同,容器不代表有形的实体,形象地说,容器是其他对象或容器的容器。在windowsserver2003中的活动目录中,可以将组、用户、计算机作为容器来显示。
4.目录树。
目录树是指在名称空间中,由容器和对象构成的层次结构。树的末梢叶子结点是对象,而非叶子节点都是容器。目录树表达了对象的连接方式,也显示了从一个对象到另一个对象的路径。在活动目录中,目录树是基本的结构。
5.组织单位。
组织单位是容器的一种,它是windowsserver 2003中新增加的一类对象,可以用它来容纳活动目录中的其他对象。组织单位中可以包含其他组织单位。这样,管理员可以根据需要来扩展容器层次而不需要建立新域。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。
使用组织单位可以将网络所需的域数量降到最低,用户可以拥有对域中所有组织单位或对单个组织单位的管理权限,而组织单位的管理员可以不具有域中任何其他组织单位的管理权限。
6.组。
组是可以包含用户、计算机和其他组的活动目录对象,windowsserver 2003可以通过组来管理用户和计算机对网络共享资源的访问,还可以通过组来为用户和计算机指派统一的配额设置。
组织单位与组的不同之处在于:组织单位只是一个逻辑上的容器,用于在单个域中创建对象集,,但不授予成员身份;组则是用来管理其所包含的对象,组中的对象拥有该组定义的所有权限。
7.用户和计算机。
它们是活动目录的具体对象。用户想要登录到网络中,需要有自己唯一的账户和密码。活动目录允许经过授权用户登录到计算机或域。活动目录中的计算机指加入域中的运行windowsserver2003、windows2000、windowsNT系统的计算机。
计算机与用户类似,也需要通过审核验证才能访问域资源。
8.域。
域是网络对象(用户、组、计算机等)的分组,域中所有的对象都存储在活动目录中,活动目录由一个或多个域组成。域是windows2000或server2003网络系统的一个安全界限,即安全策略和访问控制设置等都不能跨越不同的域,每个域的管理员都有权设置属于该域的策略。
9.域树
由多个域组成,这些域共享公共的架构、配置和全局编录能力,形成一个连续的名称空间,域树中的域通过相互信任连接起来。活动目录中可以包含一个或多个域树。也可以从名称空间解释域树的结构关系,域树中的一个域称为根域,其他或是根域中的子域。直接在一个域上层的域称为子域的父域。这样域树中的域根据子域和父域形成层次结构命名。其中各自的命名关系如下:根域为:abc.r;直接下层子域:child.abc.r;在下一层:grandchild.child.abc.r。在域树中的任何两个域之间都是双向可传递的信任关系。
10.林。
一个或多个域树可以组成林,同一个林中的域也可以共享相同类的架构、站点和复制以及全局编录能力,但林中的域树之间并不形成连续的名称空间。在新林中创建的第一个域是该林的根域,林范围的管理组都位于该域,为了方便管理,新创建的域最好都位于林根域或子域。同一个林内的域是按双向可传输的信任关系进行链接的。而两个windowsserver 2003林间的信任,可以形成两个林内所有域间信任关系,林信任只能在每个林内的林根域间创建。林信任也是可以传递的,可以单向或双向,但都需要管理员手动建立林信任。
11.架构:
对可以存储在目录中的对象全体的一组定义,对于每个对象类,架构都定义了该类的实例所必须拥有的属性和可能拥有的其他属性,或者可以是其父类的其他对象类。每个新创建的目录对象在写入该目录之前,都要针对架构中的相应对象定义进行验证。架构由对象类和属性组成,基础(默认)架构包含一组丰富的对象类别和属性以满足大多数单位的需要,并且还遵循目录服务国际标准组织X.500标准进行建模。架构是可以扩展的,因此可以在基础架构中修改和添加类别属性。
12.站点:
活动目录中的站点代表网络的物理结构。活动目录使用拓扑信息(在目录中存储为站点和站点链接对象)来建立最有效的复制拓扑。可以在windowsserver2003域控制器上,使用活动目录站点和服务定义站点和站点链接。站点和域不同,站点代表网络的物理结构,而域代表网络组织的逻辑结构。
13.复制:
复制是将更新过的数据从源计算机上的数据存储或文件系统,复制到一个或多个目标计算机上匹配的数据存储或文件系统,从而同步这些数据的过程。在活动目录中,通过复制可以同步域控制器之间的架构、配置、应用程序和域目录分区。
14.全局编录:应用程序和客户能够通过全局编录数据库,定位林内的任意对象。全局编录位于林内的一个或多个域控制器上,它包含林内所有域目录分区的部分副本,而这些部分副本是林内每一个对象的副本,通常这些部分副本是搜索操作中最常用的属性和定位对象的完全副本所需要的属性。在全局编录中存储所有域对象的最常搜索的属性,可以为用户提供高效的搜索,而不会以不必要的域控制器参考而影响网络性能。
5.功能
活动目录(Active Directory)主要提供以下功能:
①基础网络服务:包括DNS、WINS、DHCP、证书服务等。
②服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
③用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
④资源管理:管理打印机、文件共享服务等网络资源。
⑤桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑥应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
6.安全性
安全性通过登录身份验证以及目录对象的访问控制集成在ActiveDirectory之中。通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理,即便是那些最复杂的网络也是如此。
ActiveDirectory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为ActiveDirectory不但可以保存用户凭据,而且可以保存访问控制信息,所以登录到网络上的用户既能够获得身份验证,也可以获得访问系统资源所需的权限。例如,在用户登录到网络上的时候,安全系统首先利用存储在ActiveDirectory中的信息验证用户的身份。然后,在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表(DACL)中所定义的属性。
因为Active Directory允许管理员创建组帐户,管理员得以更加有效地管理系统的安全性。例如,通过调整文件的属性,管理员能够允许某个组中的所有用户读取该文件。通过这种办法,系统将根据用户的组成员身份控制其对ActiveDirectory域中对象的访问操作。
7.总结
在Windows 2000的原有基础之上,WindowsServer 2003中的Active Directory将重心放在了管理工作的简化、通用性以及无可匹敌的可靠性上面。和以往相比,ActiveDirectory已经成为了构建企业网络的坚实基础,因为它可以:
· 充分利用现有投资,以及对目录进行合并管理。
· 扩展管理控制的范围,减少冗余的管理工作。
· 简化远程集成,更有效地使用网络资源。
· 为基于目录的应用提供了一个强大、可靠的开发和部署环境。
· 降低TCO并且改善IT资源的利用效率
活动目录分为目录和目录服务两部分
若有收获,就点个赞吧
0 人点赞
