1.活动目录基础之身份验证和授权
视频资源:https://www.bilibili.com/video/BV1C64y1T7vR?from=search&seid=2122588840918229106
登录计算机的身份验证
本地身份验证信息存储在SAM文件中
一台计算机有两种状态:workgroup状态和domain状态
- workgroup状态下的本地身份验证:直接使用本地SAM文件比对用户名密码,实现对本机的登录。身份验证过程在本地发生。
- domain状态下的域身份验证:使用域账户登录,实际上是通过DNS找到能够验证域账户的活动目录所在的服务器(也就是通过DNS找到域控制器dc),然后将域用户名和密码通过网络发送到域控制器上实现验证。身份验证过程在域控上发生,本质上是net-logon网络登录
用户授权authorization
实现授权的完整链条:向用户分配sid(security identifier) - 给要访问的资源配置acl(access control list) - 比对sid和acl完成授权
活动目录基础之架构和分区
视频资源:https://www.bilibili.com/video/BV1gT4y1V7Kx?from=search&seid=2122588840918229106
活动目录AD和域是不可分割的概念
活动目录实际是一个【数据库】,里面存储了【域用户信息】、【域内计算机信息】、【域共享资源(如共享文件夹、exchange)】等
计算机要加入域、以及加入域后使用域内的共享资源,就必须要找到这个活动目录数据库。怎么找?活动目录就在域控上,通过DNS找到域控就可以了
AD架构
AD架构也叫schema,就是数据库的表头,其实就是对活动目录数据库能够存储的对象的定义,即定义了被存储对象应该具备的各种属性。例如,公司域要求活动目录存储的员工对象应该具有【姓名、年龄、部门、xxx权限、XXX权限】这几个属性
活动目录基础之域,树,森林
视频资源:https://www.bilibili.com/video/BV115411t7Gj?from=search&seid=2122588840918229106
AD域信任
- 不同域之间可以通过信任关系来传递身份验证,甚至同步AD数据库内容。
- 信任是有方向性(双/单向)、可传递的
单个域
就是一个域。考虑到单个域可能会扩张为森林,微软把单个域也叫做森林
域树
通过域名实现上下级关系的树形关系,树内各结点的域自动建立双向信任关系。如:
A.com
/ \
a.A.com b.A.com
森林
- a forest is a collection of one or more domain trees.
- 森林内的每棵域树上的每个域共享AD架构schema,并且all domains trust all other domains in the same forest森林内部的信任关系自动创建
网友评论