域知识的一些基础概念。

工作组

定义:具有不同名称的计算机可以具有相同的工作组名称,从而可以利用工作组名称进行快速筛选

问题:没有办法统一管理(比如统一安装软件);没办法集中身份验证(工作组中的计算机相互独立,相互访问时需要输入密码的)

用户在登录时,计算机为用户构造令牌(sid)以及用户所在工作组的令牌(sid),计算机将依据工作组的sid来判断当前用户的权限

域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。

域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。

活动目录

活动目录(Active Directory),AD:活动目录是Windows Server在网络环境中提供的“资源目录”。活动目录是储存着域中相关资源信息的目录,例如计算机,用户组,数据库,服务器,打印机,用户属性(权限等),就像一个数据库。

活动目录里的每个对象都有一个识别名,用来识别对象所在的域以及到达对象的路径。

活动目录里的一个典型识别名是:

1
CN=Tony Patton,OU=Contributors,DC=TechRepublic

这个识别名由下面这几部分组成:

1
2
3
CN:公共名,用来定义目录下的对象。在本文里,公共名是Tony Patton。
OU:对象所属的组织单位。
DC:对象的域。也就是用于活动目录的DNS名称,在我们的例子里是TechRepublic。

活动目录和域的关系:

  • 域是逻辑上的服务器以及PC的逻辑分组,在一个域里面的用户都使用公共的安全机制和账户信息。
  • 活动目录将域中的资源组织在一起,存放这些资源的各种信息

域控制器

域控(Domain Controller):

在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。

安装了AD的服务器就是域控制器,即有AD的计算机就是DC。

域树

域树(Tree):一个域下还可能会有子域,从而构成域树

注:树是有父和子之分的,父域和子域的名称之间是有沿用关系的;树与树之间是没有这种延用关系的;新域就是一个林,只不过这个林只有一棵树。

域林

域林(Forest):多个域树整体将构成域林。

域、域树、域林的理解:

在一个活动目录中可以根据需要建立多个域,比方说“甲公司”的财务科、人事科、销售科就可以各建一个域,因为这几个域同属甲公司,所以就可以将这几个域构成一棵域树并交给域树管理,这棵域树就是甲公司。又因为,甲公司、乙公司、丙公司都归属A集团,那么为了让A集团可以更好地管理这三家子公司,就可以将这三家公司的域树集中起来组成域森林(即A集团)。

活动目录目录服务

活动目录目录服务(Active Directory Directory Services),ADDS:

ADDS提供给域管理一个集中管理的机制和架构。假设一个公司中有一千台服务器,管理员想要找到特定的服务器的话,一台一台的登陆,显然是极其低效率的方法。ADDS可以让域管理员对网络中的所有资源进行访问(登陆,读写等操作)我们可以将其理解为单点登录。

活动目录目录服务提供的功能

(1)提供单点登录访问服务器、服务器上指定的资源与应用程序。

(2)多播复制(Replicatiion)//暂时不关心

(3)基于属性搜索 eg:基于文件名搜索

(4)基于分类搜索 eg:基于分类搜索

信任密钥

信任密钥:计算机在加入域的时候需要由域用户进行“介绍”,之后计算机和DC之间会建立信任关系–即生成只有两方知道的信任密钥

参考文章:
域基础知识解析