Windows下AD域伺服器是如何搭建的?
一、AD域介紹
1、目錄服務
定義:目錄服務就是按照樹狀存儲資訊的模式
目錄服務特點:
- 目錄服務的資料類型主要是字元型,而不是關系資料庫提供的整數、浮點數、日期、貨币等類型;
- 為了檢索的需要添加了BIN(二進制資料)、CIS(忽略大小寫)、CES(大小寫敏感)、TEL(電話型)等文法(Syntax)同樣也不提供相關系資料庫中普遍包含的大量的函數;
- 目錄具有很強的查詢(讀)功能,适用于進行大量資料的檢索;
- 但目錄一般隻執行簡單的更新 (寫)操作,不支援批量更新所需要的事務處理能力;
- 它主要面向資料的查詢服務(查詢和修改作比一般是大于10:1),不提供事務的復原(rollback)機制;
- 目錄具有廣泛複制能力,适合于多個目錄伺服器同步/更新。
2、工作組
預設情況下計算機安裝完作業系統後是隸屬于工作組的
工作組有時也叫做對等網絡,因為網絡上每台計算機的地位都是平等的,它們的資源與管理是分散在各個計算機上。
工作組中的每台計算機都維護一個本地安全資料庫(我了解為可以 登入的賬戶資訊和共享的資源資訊),這就分散了使用者賬戶和資源安全的管理,在每台使用者需要通路的計算機上,使用者都必須使用此使用者賬戶;
使用者賬戶的任何變化,例如修改密碼或添加新的賬戶均必須在每台計算機上操作進行;
如果忘記在每個計算機上添加新的使用者賬戶,新使用者将不能登入到沒有此賬戶的計算機,也不能通路其上的資源;
工作組内不一定要有伺服器級的計算機;
工作組不需要運作Windows server的計算機來容納集中的安全性資訊;
設計和實作工作組是很簡單的,它不需要廣泛的計劃和管理;
對于在封閉的、互相接近的環境中使用有限數量的計算機來說,工作組是很友善的,但在超過10台計算機的環境中, 工作組方式很不實用;
工作組比較适合技術使用者組組成的小組,他們不需要集中進行管理;
工作組存在的問題:
(1)資源通路無控制
(2)資源通路不統一
(3)内網接入無保護
(4)資料保護不安去
(5)權限配置設定不合理
3、域
域模型就是針對大型網絡的管理需求而設計的,域就是共享使用者賬号,計算機賬号和安全政策的計算機集合;
從域的基本定義中我們可以看到,域模型的設計中考慮到了使用者賬号等資源的共享問題;
域的管理優點
- 因為所有的使用者資訊都被集中存儲,是以,域提供了集中的管理;
- 隻要使用者賬戶有對資源的适當權限,使用賬戶都能登入域内的任一台計算機,都可以通路網絡上另一台計算機的資源;
- 域提供了可伸縮性,這樣就可以建立非常大的網絡;
工作組結構為分布式的管理模式,适用于小型的網絡
域結構為集中式的管理模式,适用于較大型的網絡
4、域管理網絡:
5、域網絡組成:
一般情況下,域中有三種計算機:
(1)一種是域控制器,域控制器上存儲着Active Directory;
(2)一種是成員伺服器,負責提供郵件,資料庫,DHCP等服務;
(3)還有一種是工作站,是使用者使用的客戶機。
6、AD域
AD是活動目錄,Domain Controller是一台計算機,實作使用者、計算機、目錄的統一管理。AD是一種存儲協定,基于LDAP。
舉例:
- windows server 2003域内的目錄用來存儲使用者賬戶、組、列印機、共享檔案夾等對象的相關資料,把這些對象的存儲稱為目錄資料庫。
- Windows server 2003域内負責提供目錄服務的元件就是活動目錄,它負責目錄資料庫的存儲、添加、删除、修改、查詢等服務。
7、域控制器DC
DC是Domain Controller的縮寫,即域控制器;
隻要Windows server 2003标準版、企業版或Datacenter版等伺服器級的計算機版本才可以扮演域控制器的角色,而web版沒用該功能;
域控制器是通過活動目錄(AD)提供服務。例如,它負責維護活動目錄資料庫、稽核使用者的賬戶與密碼是否正确、将活動目錄資料庫複制到其他的域控制器;
活動目錄的目錄資料存儲在域控制器内;
一個域可以有多台的域控制器,而在大部分情況下,每一台域控制器的地位是平等的。它們各存儲着一份相同的活動目錄。
8、AD域和工作組的差別:
工作組-分散管理模式
AD域-集中管理模式
9、AD域管理的優點
(1)資料資訊的安全性
(2)資源通路的統一性
(3)權限配置設定的嚴格性
(4)集中管理的簡化性
(5)資料保護的可靠性
(6)資源使用的規範性
(7)資源通路的便利性
10、AD域使用者群組:
Windows server 2003域内的組可分為三類:
(1)通用組-它可以設定所有域的通路權限,以便通路每一個域内的資源;
(2)全局組-它主要用來組織使用者,即可以将多個被賦予相同權限的使用者加入到同一個全局組内;
(3)域本地組-域本地組主要用來指派在其他域内的通路權限,以便通路該域内的資源;
二、AD域信任關系
1、域信任關系
在同一個域内,成員伺服器根據Active Directory中的使用者賬号,可以很容易地把資源配置設定給域内的使用者;
但一個域的作用範圍畢竟有限,有些企業會用到多個域,那麼在多域環境下,我們該如何進行資源的跨域配置設定呢?
(1)鏡像賬戶:如何把A域的資源配置設定給B域的使用者呢?
在A域和B域各自建立一個使用者名和密碼都完全相同的使用者賬戶,然後再B域把資源配置設定給這個賬戶後,A域内的鏡像賬戶就可以通路B域内的資源了。
(2)建立域信任關系
域信任關系是有方向性的,如果A域信任B域,那麼A域的資源可以配置設定給B域的使用者;但B域的資源并不能配置設定給A域的使用者,如果想達到這個目的,需要讓B域信任A域才可以。
如果A域信任了B域,那麼A域的域控制器将把B域的使用者賬戶複制到自己的Active Directory中,這u有A域内的資源就可以配置設定給B域的使用者了。從這個角度來看,A域信任B域首先需要征得B域的同意,因為A域信任B域需要先從B域索取資源。
域的信任關系的主動權掌握在被信任域手中而不是信任域。
A域信任B域,意味着A域的資源有配置設定給B域使用者的可能性,但并非必然性!如果不進行資源配置設定,B域的使用者無法獲得任何資源!
域樹是Active Directory針對NT4的傳統域模型所進行的重要改進。在NT4時代的域模型中,每個域都要使用沒用層次結構的NETBIOS名稱,而且域和域之間缺少關聯,隻能建立不能傳遞的域信任關系。
這會在企業管理方面造成諸多不利因素:
首先域和域之間很難根據域名判斷彼此間的隸屬關系,例如beijing域和shanghai域;
其次由于域之間的信任關系不可傳遞,在于數量較多時光是建立域之間的完全信任就要耗費大量時間 ,假定有10個域,那我們在10個域之間要建立45此信任關系才能讓這些域互相之間都完全信任。
三、AD域組政策
組政策是一個允許執行針對使用者或計算機進行配置的基礎架構;
其實通俗地說,組政策和系統資料庫類似,是一項可以修改使用者或計算機設定的技術;
那組政策和系統資料庫的差別在哪兒呢?
系統資料庫隻能針對一個使用者或一台計算機進行設定;
組政策卻可以針對多個使用者和多台計算機進行設定;
1、組政策
組政策和Active Directory結合使用,可以部署在OU,站點和域的級别上,當然也可以部署在本地計算機上,但部署在本地計算機并不能使用組政策中的全部功能,隻有和Active Directory配合,組政策才可以發揮出全部潛力。組政策部署在不同級别的優先級是不同的,本地計算機<站點<域<OU。我們可以根據管理任務,為組政策選擇合适的部署級别。
2、什麼是組政策對象?
組政策是通過“組政策對象(GPO)”來設定的,隻要将GPO連接配接到指定的站點、域或OU,該GPO内的設定值就會影響到該站點,域或OU内的所有使用者于計算機。
3、組政策管理:
組政策管理可以通過組政策編輯器群組政策管理控制台(GPMC),組政策編輯器是Windows作業系統中自帶的組政策管理工具,可以修改GPO中的設定。GPMC則是功能更強大的組政策編輯工具,GPMC可以建立、管理、部署GPO,最新的GPMC可以從微軟網站下載下傳。
4、組政策的應用
(1)賬戶政策的設定
例如設定使用者密碼的長度、複雜度、使用的期限、賬号鎖定政策等。
(2)本地政策的設定
例如稽核政策的設定、使用者權限的指派、安全性的設定。
(3)部署軟體
思路是把部署的軟體存儲在檔案伺服器的共享檔案夾中
然後通過組政策告知使用者或計算機,某某伺服器的某檔案夾有要安裝的軟體,趕緊去下載下傳安裝。
設定好組政策,就可以等待客戶機自動進行軟體安裝了,完全不用在客戶機上一一進行部署了
四、搭建AD域
1、DNS前期準備
DNS伺服器對域來說是不可或缺的原因:域中的計算機使用DNS域名,DNS需要為域中的計算機提供域名解析服務;域中的計算機需要利用DNS提供的SRV記錄來定位域控制器
域中哪台計算機來負責做DNS伺服器呢?要麼使用域控制器來做DNS伺服器,要麼使用一台單獨的DNS伺服器。
2、建立控制器
建立域控制器其實就是在伺服器級計算機上安裝一個Active Directory資料庫。
3、建立計算機賬号
建立計算機賬号就是把成員伺服器和使用者使用的客戶機加入域,這些計算機加入域時會在Active Directory中建立計算機賬号。
4、建立使用者賬号
首先我們應該在Active Directory中利用組織機關展示出企業的管理架構,選擇建立組織單元。
建立了組織機關後,我們就可以在組織機關中建立使用者賬号。
搭建域完成!
之後可以配置響應的組政策等。
5、常用的測試指令:
(1)Gpresult或者gpresult/r 擷取組政策結果
使用場景:檢查用戶端電腦是否加入域,加入了域以後擷取的組政策結果。
(2)Gpupdate/force 強制更新組政策
适用場景:每次在域伺服器上面修改了組政策以後,如果需要政策立即生效的話,需要在域伺服器上面和用戶端電腦上面執行上述指令。
五、LDAP概述
1、常見的目錄服務軟體
- X.500
- LDAP
- Active Directory Microsoft公司
- NIS
- LDAP是輕量目錄通路協定(Lightweight Directory Access Protocol)的縮寫
- LDAP是一種開放Internet标準,LDAP協定是跨平台的Internet協定
- LDAP标準實際上是在X.500标準基礎上産生的一個簡化版本,他是基于X.500标準的,與X.500不同,LDAP支援TCP/IP。
2、LDAP特點
- LDAP的結構用樹來表示,而不是用表格,正因為這樣,就不能用SQL語句了;
- LDAP可以很快地得到查詢結果,不過在寫方面,就慢很多;
-
LDAP提供了靜态資料的快速查詢方式;
Client/server模型
Server用于存儲資料
Client提供操作目錄資訊樹的工具
這些工具可以将資料庫的内容以文本格式(LDAP資料交換格式,LDIF)呈現在您的面前
3、LDAP的目錄結構
LDAP目錄資料結構
在LDAP中目錄是按照樹形結構組織----目錄資訊樹(DIT)
DIT是一個主要進行讀操作的資料庫
DIT由條目(Entry)組成,條目相當于挂你資料庫中表的記錄;
條目是具有分辨名DN(Distinguished Name)的屬性-值對(Attribute-value,簡稱AV)的集合。
4、LDAP-DN
DN即分辨名
在LDAP中,一個條目的分辨名叫做“DN”,DN是該條目在整個樹中的唯一名稱辨別
DN相當于關系資料庫表中的關鍵字(Primary Key);是一個識别屬性,通常用于檢索
常見的兩種DN設定: