前邊的話:由於單位的服務器95%以上都是用的winserver操作系統,所以首先從基本的入手吧
關於active directory這個知識點,我首先從書上的概念學起,瞭解這些概念,然後再嘗試的實踐,關於需要重點記憶的概念先記錄如下:
active directory 域內的directory 是用來存儲用戶賬戶,計算機賬戶、打印機 和共享文件夾等對象的,我們把這些對象的存儲位置稱爲目錄數據庫(directory database)active directory 域內負責提供目錄服務的組件就是Active Directory Domain Service (AD DS), 它負責目錄數據庫的存儲,添加,刪除與修改
---------------------------------------------------------------------------------------------------------------
命名空間(Namespace):是一塊劃分好的區域,在此區域內我們可以用某個名稱來找到與這個名稱有關的信息。 例子:電話簿是一個命名空間
---------------------------------------------------------------------------------------------------------------
在AD DS 內 active directory 就是一個命名空間。域服務採用DNS架構,用DNS格式來命名。
---------------------------------------------------------------------------------------------------------------
對象和屬性: Active Directory 內的資源是以對象的形式存在的,例如用戶、計算機都是對象,而對象是通過屬性來描述其特徵。
---------------------------------------------------------------------------------------------------------------
容器與組織單位: 容器(Container)與對象相似有自己的名稱和屬性,不過容器可以包含其他對象和容器 例子?
組織單位(Organization Unit, OU)是一個比較特殊的容器,除了可以包含其他容器和對象外還有組策略(Group Policy)的功能。
域樹(Domain Tree)幾個域的網絡
最上層爲根域(Root Domain),域樹的命名符合DNS域名空間的命名策略,域樹內的所有域共享一個Active Drectory ,這個Active Drectory的數據分散存儲在各個域內。
---------------------------------------------------------------------------------------------------------------
信任關係(Trust Relationship),兩個域之間建立信任關係纔可以訪問對方域內的資源。新域自動信任上一級父域同時父域也自動信任這個子域,信任關係可以傳遞 信任關係總是雙向的嗎?
---------------------------------------------------------------------------------------------------------------
林(forest)是由多個或一個域樹組成的,第一個域樹的根域時整個林的根域,林中的域都是雙向信任的。
---------------------------------------------------------------------------------------------------------------
架構(Schema):定義了Active Directory內的對象種類與屬性數據(某種對象包含哪些屬性及屬性的數據類型和取值範圍) 屬於Schema Admins 組內用戶可以修改架構內的數據。一個林所有的域樹共享相同的架構。
---------------------------------------------------------------------------------------------------------------
域控制器(Domain Controller)Active Directory 的目錄數據存儲在裏面,可又多臺,2008新增只讀域控制器(RODC)。
---------------------------------------------------------------------------------------------------------------
輕型目錄訪問協議(Lightweight Directory Access Protocol , LDAP)一種用來查詢與更新Active Directory的目錄服務通訊協議。
AD DS通過LDAP名稱路徑(LDAP Name Path)表示對象在域中的位置,
名稱路徑包含:
可分辨名稱(Distinguished Name):它是對象在Active Directory中的完整路徑
例:CN=楊碩,OU=平臺開發一組,OU=平臺中心,DC=openleague,DC=com
其中DC(Domain Component)表示域名中的組件,OU爲組織單位,除了DC和OU外其他都CN表示。
相對可分辨名稱:在DN中用來表示某個對象的部分路徑。
全局唯一標識符(Global Unique Identifier , GUID)128位的數值,創建一個對象後不可更改。
用戶主體名稱(User Principal Name , UPN)一個更容記憶的代碼。
---------------------------------------------------------------------------------------------------------------
全局編錄:爲了讓用戶快速定位其他域的資源,設計了全局編錄(Global Catalog),全局編錄的數據存儲在域控制器內。
通過這些概念來深入瞭解ad的作用它的組成