AAA
身份验证、授权、审核
=================================================
ad ds提供了一个集中式的系统,用于网络上的用户、计算机和其他资源
主要功能:
集中式目录
单一登录访问
集成安全性
可伸缩性
公共管理界面
=================================================
组件:
物理组件:数据存储、域控制器、全局编录服务器、只读域控制器(RODC)
逻辑组件:分区、架构、域、域树、林、站点、组织单位(OU)
------------------逻辑组件------------------
AD DS架构(schema):
定义可存储的AD DS中的每一种对象类型
强制实施与对象创建和配置有关的规则
域:
域是逻辑目录组件,用于分组和管理阻止中的AD DS对象
域提供:
管理边界,用来将策略应用于对象组
复制边界,用于在域控制器之间复制数据
身份验证和授权边界,提供限制资源访问范围的方法
AD DS信任:
信任提供了一种使用户能访问另一个域中的资源的机制
域树:
域树使AD DS中域的层次结构
作用:
域树中的所有域:
其名称空间衔接父域的名称空间
可以在其名称空间中添加更多子域
与树中的其他域之间有双向可传递信任关系
林:
林是一个或多个域树的集合
用于:
共享同一个架构
共享同一配置分区
共享同一局编录以支持搜索
实现林中所有域之间的信任
共用Enterprise Admins和Schema Admins组
OU(组织单元):
OU是可包含用户、组、计算机和其他OU的AD容器
用于:
层次化的、逻辑的表示公司组织结构
以统一的方式管理一系列对象
将权限委派给对象的管理员组
应用策略
------------------物理组件------------------
AD DS域控制器:
域控制器是安装了AD DS服务器角色的服务器
域控制器:
承载AD DS目录存储的副本
提供身份验证和授权服务
将更新复制到域和林中的其他域控制器
允许在服务器上管理用户账户和网络资源
win server2008支持RODC
全局编录服务器:
存储了全局编录的副本的域控制器
全局编录:
包含林中所有AD DS对象的副本,但是该副本仅包含林中每个对象的部分属性
提高搜索对象的效率,因为它避免了不必要地引用域控制器
是用户登录到域中所必需的
AD DS数据存储:
包含存储和管理用户、服务和应用程序的目录信息的数据库文件和文件进程
作用:
AD DS数据存储:
由Ntds.dit文件构成
默认存储在所有域控制器上的%SystemRoot%NTDS文件夹中
只能通过域控制器进程和协议访问
AD DS复制:
将AD DS数据库的所有更新复制到域中或林中的所有其他域控制器
作用:
确保所有域控制器都有相同的信息
使用多主机复制模型
可通过创建AD DS站点来进行管理
站点:
AD DS站点用于表示一个网段,在该网段中,所有域控制器都通过快速可靠的网络连接相连
作用:
与IP子网关联
用于管理复制流量
用于管理客户端登录流量
由可识别站点的应用程序使用,如分布式文件系统(DFS)或Exchange Server2007
用于将组策略对象分配给公司位置中的所有用户和计算机