没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
AD 域服务简介(一)- 基于 LDAP 的 AD
域服务器搭建及其使用
一、前言
1.1 AD 域服务
什么是目录(directory)呢?
日常生活中使用的电话薄内记录着亲朋好友的姓名、电话与地址等数据,它就是
telephone directory(电话目录);计算机中的文件系统(file system)内记
录着文件的文件名、大小与日期等数据,它就是 file directory(文件目录)。
如果这些目录内的数据能够由系统加以整理,用户就能够容易且迅速地查找到所
需的数据,而 directory service(目录服务)提供的服务,就是要达到此目的。
在现实生活中,查号台也是一种目录;在 Internet 上,百度和谷歌提供的搜索
功能也是一种目录服务。
Active Directory 域内的 directory database(目录数据库)被用来存储用户
账户、计算机账户、打印机和共享文件夹等对象,而提供目录服务的组件就是
Active Directory (活动目录)域服务(Active Directory Domain Service,AD
DS),它负责目录数据库的存储、添加、删除、修改与查询等操作。一般适用于
一个局域网内。
在 AD 域服务(AD DS)内,AD 就是一个命名空间(Namespace)。利用 AD,我
们可以通过对象名称来找到与这个对象有关的所有信息。
在 TCP/IP 网络环境内利用 Domain Name System(DNS)来解析主机名与 IP 地
址的对应关系,也就是利用 DNS 来解析来得到主机的 IP 地址。除此之外,AD 域
服务也与 DNS 紧密结合在一起,它的域命名空间也是采用 DNS 架构,因此域名
采用 DNS 格式来命名,例如可以将 AD 域的域名命名为 moonxy.com。
1.2 AD 域对象与属性
AD 域内的资源以对象(Object)的形式存在,例如用户、计算机与打印机等都
是对象,而对象则通过属性(Attriburte)来描述其特征,也就是说对象本身是
一些属性的集合。例如,创建一个账户张三,则必须添加一个对象类型(object
class)为用户的对象(也就是用户账户),然后在这个用户账户内输入张三的
姓名、登录账户、电话号码和电子邮件等信息,这其中的用户账户就是对象,而
姓名、登录账户等数据就是该对象的属性,张三就是对象类型为用户(user)的
对象。
1.3 AD 域控制器 DC
AD 域服务(AD DS)的目录数据存储在域控制器(Domain Controller,DC)内。
一个域内可以有多台域控制器,每台域控制器的地位几乎是平等的,它们各自存
储着一份几乎完全相同的 Active Directory。当在任何一台域控制器内添加了一
个用户账户后,此账户默认被创建在此域控制器的 Active Directory,之后会自
动被复制(replicate)到其他域控制器的 Active Directory,以便让所有域控
制器内的 Active Directory 数据都能够同步(synchronize)。
当用户在域内某台计算机登录时,会由其中一台域控制器根据其 Active
Directory 内的账户数据,来审核用户输入的账户与密码是否正确。如果是正确
的,用户就可以登录成功;反之,会被拒绝登录。域控制器是由服务器级别的额
计算机来扮演的,例如 Windows Server 2012 和 Windows Server 2008 R2 等。
通常,域控制器的 Active Directory 数据库是可以被读写的,除此之外,还有
Active Directory 数据库是只可以读取、不可以被修改的只读域控制器
(Read-Only Domain Controller,RODC)。例如,某子公司位于远程网络,如果
安全措施并不像总公司一样完备,则可以使用 RODC。
1.4 LDAP
LDAP(Lightweight Directory Access Protocol),轻量目录访问协议,是一种
用来查询与更新 Active Directory 的目录服务通信协议。AD 域服务利用 LDAP
命名路径(LDAP naming path)来表示对象在 AD 内的位置,以便用它来访问 AD
内的对象。
LDAP 数据的组织方式:
LDAP 名称路径如下:
标识名称(distinguished Name,DN):它是对象在 Active Directory 内的完
整路径,DN 有三个属性,分别是 CN,OU,DC。
DC (Domain Component):域名组件;
CN (Common Name):组织单位;
OU (Organizational Unit):通用名称,一般为用户名或计算机名;
例如,如上用户账户,其 DN 为:
CN=张三,OU=Web 前端组,OU=软件开发部,DC=moonxy,DC=com
其中 DC(Domain Component)表示 DNS 域名中的组件,例如 moonxy.com 中的
moonxy 与 com;OU 为组织单位(Organization Unit);CN 为通用名称(Common
Name),一般为用户名或服务器名。除了 DC 与 OU 之外,其他都利用 CN 来表示,
例如用户与计算机对象都属于 CN。上述 DN 表示法中的 moonxy.com 为域名,软
件研发部、Web 前端组都是组织单位。此 DN 表示账户张三存储在 moonxy.com\
软件研发部\Web 前端组路径中。
相对标识名称(Relative Distinguished Name,RDN):RDN 用来代表 DN 完整路
径中的部分路径,例如上面路径中的 CN=张三与 OU=Web 前端组等都是 RDN。
Base DN:LDAP 目录树的最顶部就是根,也就是所谓的 "Base DN",如
"DC=moonxy,DC=com"。
除了 DN 与 RDN 这两个对象名称外,另外还有如下两个名称:
全局唯一标识符(Global Unique Identifier,GUID):GUID 是一个 128 位的
数值,系统会自动为每个对象指定一个唯一的 GUID。虽然可以改变对象的名称,
但是其 GUID 永远不会改变。
用户主体名称(User Principal Name,UPN):每个用户还可以有一个比 DN 更
短、更容易记忆的 UPN,例如上面的张三隶属于 moonxy.com,则其 UPN 可以为
zhangsan@moonxy.com。用户登录时所输入的账户名最好是 UPN,因为无论此用
户的账户被移动到哪一个域,其 UPN 都不会改变,因此用户可以一直使用同一个
名称来登录。
AD 与 LDAP 的关系:LDAP 是一种用来访问 AD 数据库的目录服务协议,AD DS 会通
过 LDAP 名称路径来表示对象在 AD 数据库中的位置,以便用它来访问 AD 数据
库内的对象。LDAP 的名称路径包括有 DN、RDN。
openLDAP(Linux),Active Directory(Microsoft)等是对 LDAP 目录访问协
议的具体实现,除了实现协议的功能,还对它进行了扩展。
1.5 全局编录
虽然在域树内的所有域共享一个 Active Directory,但是 Active Directory 数
据却分散在各个域内,而每个域仅存储该域本身的数据。因此,为了让用户、应
用程序能够快速找到位于其他域内的资源,在 AD 域服务器内设计了全局编录
(Global Catalog,GC)。
全局编录的数据存储在域控制器内,这台域控制器被称为全局编录服务器,它存
储着林内所有域的 AD 内的每个对象。不过只存储对象的部分属性,这些属性都
是常用来搜索的属性,例如用户的电话号码、登录账户名等。全局编录让用户即
使不知道对象位于哪一个域内,仍然可以快速的找到所需的对象。
用户登录时,全局编录服务器还负责提供该用户所属的通用组的信息;用户利用
UPN 登录时,它会负责提供该用户隶属于哪一个域的信息。
一个林内的所有域树共享相同的全局编录,而林内的第一台域控制器默认就是全
局编录服务器。必要时,也可以另外指派其他域控制器来当做全局编录服务器。
二、安装 DNS 和 AD 域服务
Windows 版本:Windows Server 2008 Enterprise Service Pack 1
系统类型: 64 位操作系统
2.1 安装 DNS 服务器
这一步不是必须的,在安装 Active Directory 域服务时可以同时装上 DNS 服务
器:Active Directory 域服务安装向导 -> 其它域控制服务器,勾上 DNS 服务
器也有同样效果。但是鉴于服务器配置容易出现一些未知错误,所以还是推荐提
前安装 DNS 服务比较好。
首先应该配置 DNS 服务器的静态 IP(推荐),否则安装时会出现如下提示:
并且 DNS 服务器的地址设置为自己的地址 127.0.0.1:
剩余44页未读,继续阅读
资源评论
king01299
- 粉丝: 400
- 资源: 384
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 2024年成本之外的角逐:各国制造业和供应链就绪度白皮书(英文版).pdf
- 2024年AI辅助编码:利用生成式AI增强软件开发研究报告(英文版).pdf
- 2024年生成式AI对生产力的提升作用研究报告:解锁竞争优势(英文版).pdf
- 2024年日本科技人才状况报告(英).pdf
- 2024年人工智能和数据集物料清单综合创建指南报告-使用 SPDX 3.0实施AI物料清单(AI BOM)(英文版).pdf
- 2024资金森林循环体系x概念白皮书.pdf
- 2024年智能炼金术:生成式人工智能如何彻底变革现代企业中的商业智能和分析白皮书(英文版).pdf
- 2024年第三季度全球风险投资报告.pdf
- 2024零碳园区创建指南.pdf
- 文化赋能,多元融合 东城范式引领消费升级-2024年北京市东城区消费零售观察报告.pdf
- 元器件选型规范-电阻选型
- LinkedIn领英:2024年领英赋能中国企业全球化报告.pdf
- 2024年安全有效性验证能力白皮书.pdf
- 2024年低空经济产业发展白皮书.pdf
- 骨髓瘤展望:2024年革新疗法或推动2030年全球骨髓瘤药物市场规模增至330亿美元.pdf
- 魔镜洞察:2024年海外市场白皮书.pdf
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功