active directory簡稱ad,譯名為活動目錄,負責架構大型網路環境的集中式目錄管理服務(directory services),它面向的伺服器版本有
windows standard server
windows enterprise server
windows datacenter server
在加入域的時候,管理員為每個計算機在域中(可和使用者不在同一域中)建立了乙個計算機帳戶。計算機帳戶的密碼在域中稱為登入票據,它是由dc(域控制器)上的kdc服務來頒發和維護的。域是乙個樹型結構
在多個網域的情況下,可能不同的網域之間需要交換與共享資料,這個時候就需要有乙個角色來作為不同網域間的資訊交換角色,同時又要符合ad的樹狀結構規範,因此微軟就在多網域之間建立了乙個中介用的角色,森林(forest),乙個組織中最多只能有乙個forest,如圖為森林結構
活動目錄站點(site),是指乙個實體的網路位置,在乙個站點中可能會有很多個網域控制站,ad網域資料的複製,就是以站點為主,實際處理複製作業的工具稱為kcc(knowledge consistency checker,知識一致性檢查器),它會在特定時間對站點設定中的網域進行資料的同步化,複製活動則分為對內複製(intra-site replication)與對外複製(或站間複製,inter-site replication),對內複製是同乙個網域間的控制站交換資訊,對外複製則是在網路管理人員的設定下,透過指定的通訊方法(ip或smtp)以及拓樸進行複製。
站點和域的很相像,都是指相關聯的一組計算機,域強調的時共享活動目錄,站點強調的是計算機之間傳遞資訊的速度。域內的計算機重點考慮的是能夠共享,所以域內的機器網路傳輸速度有快有慢,而站點內的計算機都保持高速的聯通,保證資訊傳遞的速度。
在大型的網路環境中,有時可能需要在兩個forest之間共享或授權訪問,可以利用信任關係(trust relationship)來建立forset間的信任,以授權在彼此數系間的訪問權,ad環境可支援的四種信任關係包括:
信任關係的傳遞可分為可遞移(transitive)與不可遞移(non-transitive)兩種,可遞移表示建立信任關係的網域在同一樹系內的其他網域也可以使用在建立信任關係網域中的信任資訊,不可遞移則表示只有建立信任關係的網域(不論是否有層次結構)才可以使用信任資訊。
組織單元是域中包含的一類目錄物件如使用者、計算機和組、檔案與印表機等資源。是乙個容器。組織單元還具有分層結構可用來建立域的分層結構模型,進而可使使用者把網路所需的域的數量減至最小。組織單元具有繼承性,子單元能夠繼承父單元的acl。同時域管理員可授予使用者對域中所有組織單位或單個組織單位的管理許可權。就像乙個公司的各個部門的主管,權力平均化能更有效的管理。
組策略是微軟windows nt家族作業系統的乙個特性,它可以控制使用者賬戶和計算機賬戶的工作環境。組策略提供了作業系統,應用程式和活動目錄中使用者設定的集中化管理和配置。
組策略依賴於活動目錄進行分發,活動目錄可以分發組策略物件到乙個windows域中的計算機。
組策略會按照以下的順序處理:
1.本地- 任何在本地計算機的設定。在windows vista之前,每台計算機只能有乙份本地組策略。在windows vista和之後的windows版本中,允許每個使用者帳戶分別擁有組策略。
2.站點- 任何與計算機所在的活動目錄站點關聯的組策略。(活動目錄站點是旨在管理促進物理上接近的計算機的一種邏輯分組)。如果多個策略已鏈結到乙個站點,將按照管理員設定的順序處理。
3.域- 任何與計算機所在windows域關聯的組策略。如果多個策略已鏈結到乙個域,將按照管理員設定的順序處理。
4.組織單元- 任何與計算機或使用者所在的活動目錄組織單元(ou)關聯的組策略。(ou是幫助組織和管理一組使用者、計算機或其他活動目錄物件的邏輯單元)。如果多個策略已鏈結到乙個ou,將按照管理員設定的順序處理。
每個d物件均有乙個以ldap組成的名稱,稱為識別名(dn),這個識別名是作為使用ldap查詢ad目錄中識別物件的名稱,格式類似
ldap://cn=john smith, ou=software engineering, dc=engineering, dc=acme, dc=com, dc=tw
ldap://cn=comp1024, ou=computers, dc=acme, dc=com, dc=tw
工作組是把一些具有相同職能的機器放到同乙個組裡,這樣一來,在整個辦公內網中的機器就一目了然了,不會那麼雜亂無章的樣子。
優點:它只是形式上的整體(並非真正的安全邊界),但相對來說網路效能較高
缺點:可以看到,所謂的工作組,實質上還是一盤散沙,基本沒有任何安全性可言,如果你想進行安全部署,可能就只能一台一台的來配置,過程非常的繁瑣,如果你只是想單單對某個幾台機器進行集中管理,那就更麻煩了,因為諸多的原因,所以後來就有了windows』域』
諸多的原因,所以後來就有了windows』域』
內網學習之路 活動目錄基礎知識
active directory簡稱ad,譯名為活動目錄,負責架構大型網路環境的集中式目錄管理服務 directory services 它面向的伺服器版本有 windows standard server windows enterprise server windows datacenter s...
jQuery學習之路(一)基礎知識
今天開始學習jquery,希望大家能多多支援!function str function 本身就是jquery物件的縮寫形式,下面與之等效 jquery function css color red 理論上合法,但實際上缺少元素而報錯 值得一提的是,執行了.css 這個功能函式後,最終返回的還是jq...
C 學習之路 引用(一) 基礎知識
根據 c 程式設計 譚浩強 整理,整理者 華科小濤,對乙個資料可以建立乙個 引用 它的作用是為乙個變數起乙個別名。這是c 對c的乙個重要擴充。本系列分兩篇,本篇為基礎篇,主要是介紹基本知識。假如有乙個變數a,想給它起乙個別名b,可以這樣寫 int a 2 int b a 宣告b是a的 引用 以上宣告...