美文网首页
活动目录基础 2020-06-17(未经允许,禁止转载)

活动目录基础 2020-06-17(未经允许,禁止转载)

作者: 9_SooHyun | 来源:发表于2020-06-17 21:57 被阅读0次

    1.活动目录基础之身份验证和授权

    视频资源:https://www.bilibili.com/video/BV1C64y1T7vR?from=search&seid=2122588840918229106

    登录计算机的身份验证

    本地身份验证信息存储在SAM文件中

    一台计算机有两种状态:workgroup状态和domain状态

    • workgroup状态下的本地身份验证:直接使用本地SAM文件比对用户名密码,实现对本机的登录。身份验证过程在本地发生
    • domain状态下的域身份验证:使用域账户登录,实际上是通过DNS找到能够验证域账户的活动目录所在的服务器(也就是通过DNS找到域控制器dc),然后将域用户名和密码通过网络发送到域控制器上实现验证。身份验证过程在域控上发生,本质上是net-logon网络登录

    用户授权authorization

    实现授权的完整链条:向用户分配sid(security identifier) - 给要访问的资源配置acl(access control list) - 比对sid和acl完成授权


    活动目录基础之架构和分区

    视频资源:https://www.bilibili.com/video/BV1gT4y1V7Kx?from=search&seid=2122588840918229106

    活动目录AD和域是不可分割的概念
    活动目录实际是一个【数据库】,里面存储了【域用户信息】、【域内计算机信息】、【域共享资源(如共享文件夹、exchange)】等
    计算机要加入域、以及加入域后使用域内的共享资源,就必须要找到这个活动目录数据库。怎么找?活动目录就在域控上,通过DNS找到域控就可以了

    AD架构

    AD架构也叫schema,就是数据库的表头,其实就是对活动目录数据库能够存储的对象的定义,即定义了被存储对象应该具备的各种属性。例如,公司域要求活动目录存储的员工对象应该具有【姓名、年龄、部门、xxx权限、XXX权限】这几个属性


    活动目录基础之域,树,森林

    视频资源:https://www.bilibili.com/video/BV115411t7Gj?from=search&seid=2122588840918229106

    AD域信任

    • 不同域之间可以通过信任关系来传递身份验证,甚至同步AD数据库内容。
    • 信任是有方向性(双/单向)、可传递的

    单个域

    就是一个域。考虑到单个域可能会扩张为森林,微软把单个域也叫做森林

    域树

    通过域名实现上下级关系的树形关系,树内各结点的域自动建立双向信任关系。如:

            A.com
           /      \
    a.A.com    b.A.com
    

    森林

    • a forest is a collection of one or more domain trees.
    • 森林内的每棵域树上的每个域共享AD架构schema,并且all domains trust all other domains in the same forest森林内部的信任关系自动创建

    相关文章

      网友评论

          本文标题:活动目录基础 2020-06-17(未经允许,禁止转载)

          本文链接:https://www.haomeiwen.com/subject/jsyexktx.html