活动目录系列之一:基本概念

目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。 使用LDAP(端口389)轻量级目录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个 数据库中,这个数据库位置%systemroot%\ntds\ntds.dit。

AD(活动目录)的逻辑结构包含如下组件:域/子域/树/森林/OU等。主要侧重于对网络资源的组织。

AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主机)。主要侧重于对网络资 源的配置和优化。

下面介绍有关几个重要的概念:

1.DN:(可辨别名称)--用来表示一个对象在AD中具体存储位置,类似于文件的绝对路径。

如:cn=user1,ou=sails, dc=blog,dc=com 该用户存在blog.com域的sails OU下,用户名为 user1.

cn=users (默认的容器users也以cn表示)

dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。

2.UPN(用户主名)用户名@域名,即用户登录时可以采用,如jack@net.com,也可以更改此后缀。

修改:domain.msc后,在根右击--属性--更改UPN后缀,然后在用户属性-帐号中选择其后缀。用户登 录可以使用此UPN.但必须在用户属性里进行相应的更改(即启用此Upn后缀)

3.SID (安全标识符)用户/组都有唯一

whoami /user 当前用户的SID

whoami /all 当前用户的详细信息(包含所属组的SID)

getsid \\dc1 test \\dc1 test (安装suptools)

psgetsid \\dc1 test 下载工具包。

4.AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目录分区的形式组成的)

schema 架构分区 ---森林的对象类和属性,在森林级别复制。

configuration 配置分区--所有DC的位置、site,在森林级别复制。

domain 域分区--每个域的各种对象等信息,在域级别复制。

application 应用程序分区—DNS,可以自定义。

通过adsiedit.msc来查看前三个目录(事先装支持工具)

时间: 2024-09-14 02:04:05

活动目录系列之一:基本概念的相关文章

Windows 2003活动目录系列

活动目录系列之十四:实战SYSVOL文件夹共享丢失后的修复 活动目录系列之十三:AD的复制 活动目录系列之十二:活动目录的修复(下) 活动目录系列之十一:活动目录的修复(上) 活动目录系列之十:活动目录数据库的维护 活动目录系列之九:操作主机 活动目录系列之八:信任(下) 活动目录系列之七:信任(上) 活动目录系列之六:多域环境的实现(多站点) 活动目录系列之五:单域环境的实现(多站点)下--优化 活动目录系列之四:单域环境的实现(多站点)--基本配置 活动目录系列之三:多域环境的实现(单站点)

活动目录系列之十三:AD的复制

通过前面十二次的讲座,其实我们一直在探讨活动目录的逻辑结构较多,今天我们来谈一谈有关AD的 复制问题.其实对于每一个DC,都会有一个数据库文件,它就是AD数据库,详见活动目录系列之一:基本 概念 AD数据库分四个目录分区,如下图所示: 其中在森林级别复制 的是前两个分区,即架构分区和配置分区.而在域级别复制的是域分区.应用程序分区是一个可选复制, 可以自己配置,在这里不讨论. (一)站点内部的复制 如果单域环境,同时存在多台DC, 此时每台DC都会同步森林及域级别的三个分区.如果多域环境,同时存

活动目录系列之四:单域环境的实现(多站点)--基本配置

在上期我们学习了活动目录系列之二:单域环境的实现(单站点) ,当时我们实现的是在一个站点的 情况下.下面我们来看这样一个场景: **一个企业总部在北京,在上海和广东各有其办公区域, 要求实现活动目录域环境.** 一.分析: 对于此企业的现状,在逻辑结构上可以采用多域 和单域,比如我们先采用单域(这要取决于你是准备集中管理还是分散管理,在这里我采用集中管理,下 个专题我来讲多域多站点的情况). 如果不采用站点,上海和广东的域用户在客户端登录到域的 过程会比较慢(不管你在上海和广东是否放置了DC,都

活动目录系列之十四:实战SYSVOL文件夹共享丢失后的修复

活动目录系列其实已经结束,但最近我在一次偶然的实验环境下,发现SYSVOL和NETLOGON两个共享文 件夹突然丢失,想到这是在做了某些误操作所致,于是在这里把该系列再补上一篇,算是收尾吧. 描述一下事情发生的全过程: 我搭建了一个双站点的父子域环境,其中北京站点是有一台 根DC,n1.net.com,上海站点有第二台根DC,n2.net.com,同时还有一个子域DC,n3.net.com.如下图所 示: 我在做完站点的相关实验后,故意将上海站点的两台DC全部离线,然后把北京站点DC的一个用户j

活动目录系列之十二:活动目录的修复(下)

各位好,今天我们再继续两个案例. c.案例三: 场景:单域环境,所有DC全部崩溃,有备份. 目的:重新恢复域环境. 解决办法: 1)在第一台服务器,重装windows2003.(在这里要求硬件配置尽可能和原来的一致,如果差别较大, 大家可以参考微软的一篇文档,KB号记不清了~~~,找到再告诉大家吧.) 2)重新搭建活动目的,要求域名一致. 3)进入目录恢复还原模式,用备份还原,进行主还原.有关主还原各位可以参考前面一篇文档:活动 目录系列之十:活动目录数据库的维护. 4)其它服务器,用dcpro

活动目录系列之八:信任(下)

各位好!今天我们来学习一下如何在森林之间实现信任.通过活动目录系列之七:信任(上)的学习 ,我们知道了信任的含义,也知道在森林内部存在两种不可删除的信任:父子信任.树根信任.这就是之 所以我们可以在森林范围内可以无障碍的访问资源和使用资源的原因.但两个不同的森林之间如何能实现 上述的这种情况呢?这就是我们今天的话题. 场景:两个森林,一个是net.com域,有子域 sub.net.com是父子域,一个是blogcn.com域.我们要实现blogcn.com域信任 net.com域,这样net.c

活动目录系列之六:多域环境的实现(多站点)

通过前面几期的学习,我们学习了单域单站点和多站点的设计,也学习了多域单站点的设计,今天我 们来学习一下多域多站点的设计. 场景:总部在北京,上海和广东各有一个分公司,要求进行活动目录设计.林功能级别是windows2003 模式. 一.分析: 根据公司的实际情况,我们设计三个域,北京是根域,上海和广东分别是两个子域,这是逻辑结构, 在物理结构上我们设计三个站点.有关站点的具体含义,大家可参考前面的教程. 子网设计:由于每个站点必须采用不同的子网,故对于北京站点我们使用10.1.1.0/24和10

活动目录系列之五:单域环境的实现(多站点)下--优化

通过上次活动目录系列之四:单域环境的实现(多站点)--基..的学习,我们已经完成了跨地区活动 目录环境的实现,基本上也可以充分利用站点的优点,对用户登录和AD数据库的复制进行很好的管理,下 面我描述一个场景,大家看如何解决? 场景:根据上次我们已经完成不同地区单域环境的搭建,在北京/上海/广东分别创建了三个站点,并 在每个站点布置了一台DC(根据公司实际情况也可以放置多台DC).试问,如果上海和广东站点无法联系 北京站点,此时用户登录是否会出问题? 分两种情况分析: 情况一:如果域的功能级别是w

活动目录系列之三:多域环境的实现(单站点)

在这里我只讨论单站点的情况,有关多站点下次专题再讨论.所谓单站点,只的整个森林结构在一个 地理位置,如在北京.内部相连都是高速线路如100M等.默认的站点名字是default-first-site-name.可 以通过"AD站点和服务"组件来查看. 一.在一个林中创建多个域的原因? 1.部门(或分公司)之间有不同的密码要求,可以针对部门(或分公司)创建域. 2.有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少. 3.分散的网络管理,而不是由一个域管理员管理,多个域意味着