目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。 使用LDAP(端口389)轻量级目录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个 数据库中,这个数据库位置%systemroot%\ntds\ntds.dit。
AD(活动目录)的逻辑结构包含如下组件:域/子域/树/森林/OU等。主要侧重于对网络资源的组织。
AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主机)。主要侧重于对网络资 源的配置和优化。
下面介绍有关几个重要的概念:
1.DN:(可辨别名称)--用来表示一个对象在AD中具体存储位置,类似于文件的绝对路径。
如:cn=user1,ou=sails, dc=blog,dc=com 该用户存在blog.com域的sails OU下,用户名为 user1.
cn=users (默认的容器users也以cn表示)
dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。
2.UPN(用户主名)用户名@域名,即用户登录时可以采用,如jack@net.com,也可以更改此后缀。
修改:domain.msc后,在根右击--属性--更改UPN后缀,然后在用户属性-帐号中选择其后缀。用户登 录可以使用此UPN.但必须在用户属性里进行相应的更改(即启用此Upn后缀)
3.SID (安全标识符)用户/组都有唯一
whoami /user 当前用户的SID
whoami /all 当前用户的详细信息(包含所属组的SID)
getsid \\dc1 test \\dc1 test (安装suptools)
psgetsid \\dc1 test 下载工具包。
4.AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目录分区的形式组成的)
schema 架构分区 ---森林的对象类和属性,在森林级别复制。
configuration 配置分区--所有DC的位置、site,在森林级别复制。
domain 域分区--每个域的各种对象等信息,在域级别复制。
application 应用程序分区—DNS,可以自定义。
通过adsiedit.msc来查看前三个目录(事先装支持工具)