Windows下AD域服務器是如何搭建的？（內含LDAP的協議介紹）

Windows下AD域服務器是如何搭建的？

一、AD域介紹
1、目錄服務
定義：目錄服務就是按照樹狀存儲信息的模式
目錄服務特點：

• 目錄服務的數據類型主要是字符型，而不是關係數據庫提供的整數、浮點數、日期、貨幣等類型；
• 爲了檢索的需要添加了BIN（二進制數據）、CIS（忽略大小寫）、CES（大小寫敏感）、TEL（電話型）等語法（Syntax）同樣也不提供相關係數據庫中普遍包含的大量的函數；
• 目錄具有很強的查詢（讀）功能，適用於進行大量數據的檢索；
• 但目錄一般只執行簡單的更新 （寫）操作，不支持批量更新所需要的事務處理能力；
• 它主要面向數據的查詢服務（查詢和修改作比一般是大於10：1），不提供事務的回滾（rollback）機制；
• 目錄具有廣泛複製能力，適合於多個目錄服務器同步/更新。

2、工作組
默認情況下計算機安裝完操作系統後是隸屬於工作組的

工作組有時也叫做對等網絡，因爲網絡上每臺計算機的地位都是平等的，它們的資源與管理是分散在各個計算機上。

工作組中的每臺計算機都維護一個本地安全數據庫（我理解爲可以 登錄的賬戶信息和共享的資源信息），這就分散了用戶賬戶和資源安全的管理，在每臺用戶需要訪問的計算機上，用戶都必須使用此用戶賬戶；

用戶賬戶的任何變化，例如修改密碼或添加新的賬戶均必須在每臺計算機上操作進行；

如果忘記在每個計算機上添加新的用戶賬戶，新用戶將不能登錄到沒有此賬戶的計算機，也不能訪問其上的資源；

工作組內不一定要有服務器級的計算機；
工作組不需要運行Windows server的計算機來容納集中的安全性信息；
設計和實現工作組是很簡單的，它不需要廣泛的計劃和管理；
對於在封閉的、相互接近的環境中使用有限數量的計算機來說，工作組是很方便的，但在超過10臺計算機的環境中， 工作組方式很不實用；
工作組比較適合技術用戶組組成的小組，他們不需要集中進行管理；

工作組存在的問題：
（1）資源訪問無控制
（2）資源訪問不統一
（3）內網接入無保護
（4）數據保護不安去
（5）權限分配不合理

3、域
域模型就是針對大型網絡的管理需求而設計的，域就是共享用戶賬號，計算機賬號和安全策略的計算機集合；
從域的基本定義中我們可以看到，域模型的設計中考慮到了用戶賬號等資源的共享問題；

域的管理優點

• 因爲所有的用戶信息都被集中存儲，所以，域提供了集中的管理；
• 只要用戶賬戶有對資源的適當權限，使用賬戶都能登錄域內的任一臺計算機，都可以訪問網絡上另一臺計算機的資源；
• 域提供了可伸縮性，這樣就可以創建非常大的網絡；

工作組結構爲分佈式的管理模式，適用於小型的網絡
域結構爲集中式的管理模式，適用於較大型的網絡

4、域管理網絡：

5、域網絡組成：
一般情況下，域中有三種計算機：
（1）一種是域控制器，域控制器上存儲着Active Directory；
（2）一種是成員服務器，負責提供郵件，數據庫，DHCP等服務；
（3）還有一種是工作站，是用戶使用的客戶機。

6、AD域
AD是活動目錄，Domain Controller是一臺計算機，實現用戶、計算機、目錄的統一管理。AD是一種存儲協議，基於LDAP。

舉例：

• windows server 2003域內的目錄用來存儲用戶賬戶、組、打印機、共享文件夾等對象的相關數據，把這些對象的存儲稱爲目錄數據庫。
• Windows server 2003域內負責提供目錄服務的組件就是活動目錄，它負責目錄數據庫的存儲、添加、刪除、修改、查詢等服務。

7、域控制器DC
DC是Domain Controller的縮寫，即域控制器；

只要Windows server 2003標準版、企業版或Datacenter版等服務器級的計算機版本纔可以扮演域控制器的角色，而web版沒用該功能；

域控制器是通過活動目錄（AD）提供服務。例如，它負責維護活動目錄數據庫、審覈用戶的賬戶與密碼是否正確、將活動目錄數據庫複製到其他的域控制器；

活動目錄的目錄數據存儲在域控制器內；

一個域可以有多臺的域控制器，而在大部分情況下，每一臺域控制器的地位是平等的。它們各存儲着一份相同的活動目錄。

8、AD域和工作組的區別：
工作組-分散管理模式
AD域-集中管理模式

9、AD域管理的優點
（1）數據信息的安全性
（2）資源訪問的統一性
（3）權限分配的嚴格性
（4）集中管理的簡化性
（5）數據保護的可靠性
（6）資源使用的規範性
（7）資源訪問的便利性

10、AD域用戶和組：
Windows server 2003域內的組可分爲三類：
（1）通用組-它可以設定所有域的訪問權限，以便訪問每一個域內的資源；
（2）全局組-它主要用來組織用戶，即可以將多個被賦予相同權限的用戶加入到同一個全局組內；
（3）域本地組-域本地組主要用來指派在其他域內的訪問權限，以便訪問該域內的資源；

二、AD域信任關係
1、域信任關係
在同一個域內，成員服務器根據Active Directory中的用戶賬號，可以很容易地把資源分配給域內的用戶；
但一個域的作用範圍畢竟有限，有些企業會用到多個域，那麼在多域環境下，我們該如何進行資源的跨域分配呢？
（1）鏡像賬戶：如何把A域的資源分配給B域的用戶呢？
在A域和B域各自創建一個用戶名和口令都完全相同的用戶賬戶，然後再B域把資源分配給這個賬戶後，A域內的鏡像賬戶就可以訪問B域內的資源了。
（2）創建域信任關係
域信任關係是有方向性的，如果A域信任B域，那麼A域的資源可以分配給B域的用戶；但B域的資源並不能分配給A域的用戶，如果想達到這個目的，需要讓B域信任A域纔可以。
如果A域信任了B域，那麼A域的域控制器將把B域的用戶賬戶複製到自己的Active Directory中，這u有A域內的資源就可以分配給B域的用戶了。從這個角度來看，A域信任B域首先需要徵得B域的同意，因爲A域信任B域需要先從B域索取資源。
域的信任關係的主動權掌握在被信任域手中而不是信任域。
A域信任B域，意味着A域的資源有分配給B域用戶的可能性，但並非必然性！如果不進行資源分配，B域的用戶無法獲得任何資源！

域樹是Active Directory針對NT4的傳統域模型所進行的重要改進。在NT4時代的域模型中，每個域都要使用沒用層次結構的NETBIOS名稱，而且域和域之間缺少關聯，只能創建不能傳遞的域信任關係。
這會在企業管理方面造成諸多不利因素：
首先域和域之間很難根據域名判斷彼此間的隸屬關係，例如beijing域和shanghai域；
其次由於域之間的信任關係不可傳遞，在於數量較多時光是創建域之間的完全信任就要耗費大量時間 ，假定有10個域，那我們在10個域之間要建立45此信任關係才能讓這些域相互之間都完全信任。

三、AD域組策略
組策略是一個允許執行鍼對用戶或計算機進行配置的基礎架構；
其實通俗地說，組策略和註冊表類似，是一項可以修改用戶或計算機設置的技術；

那組策略和註冊表的區別在哪兒呢？
註冊表只能針對一個用戶或一臺計算機進行設置；
組策略卻可以針對多個用戶和多臺計算機進行設置；

1、組策略
組策略和Active Directory結合使用，可以部署在OU，站點和域的級別上，當然也可以部署在本地計算機上，但部署在本地計算機並不能使用組策略中的全部功能，只有和Active Directory配合，組策略纔可以發揮出全部潛力。組策略部署在不同級別的優先級是不同的，本地計算機<站點<域<OU。我們可以根據管理任務，爲組策略選擇合適的部署級別。

2、什麼是組策略對象？
組策略是通過「組策略對象（GPO）」來設定的，只要將GPO連接到指定的站點、域或OU，該GPO內的設定值就會影響到該站點，域或OU內的所有用戶於計算機。


3、組策略管理：
組策略管理可以通過組策略編輯器和組策略管理控制檯（GPMC），組策略編輯器是Windows操作系統中自帶的組策略管理工具，可以修改GPO中的設置。GPMC則是功能更強大的組策略編輯工具，GPMC可以創建、管理、部署GPO，最新的GPMC可以從微軟網站下載。

4、組策略的應用
（1）賬戶策略的設定
例如設定用戶密碼的長度、複雜度、使用的期限、賬號鎖定策略等。
（2）本地策略的設定
例如審覈策略的設定、用戶權限的指派、安全性的設定。
（3）部署軟件
思路是把部署的軟件存儲在文件服務器的共享文件夾中
然後通過組策略告知用戶或計算機，某某服務器的某文件夾有要安裝的軟件，趕緊去下載安裝。
設置好組策略，就可以等待客戶機自動進行軟件安裝了，完全不用在客戶機上一一進行部署了

四、搭建AD域
1、DNS前期準備
DNS服務器對域來說是不可或缺的原因：域中的計算機使用DNS域名，DNS需要爲域中的計算機提供域名解析服務；域中的計算機需要利用DNS提供的SRV記錄來定位域控制器
域中哪臺計算機來負責做DNS服務器呢？要麼使用域控制器來做DNS服務器，要麼使用一臺單獨的DNS服務器。

2、創建控制器
創建域控制器其實就是在服務器級計算機上安裝一個Active Directory數據庫。

3、創建計算機賬號
創建計算機賬號就是把成員服務器和用戶使用的客戶機加入域，這些計算機加入域時會在Active Directory中創建計算機賬號。

4、創建用戶賬號
首先我們應該在Active Directory中利用組織單位展示出企業的管理架構，選擇新建組織單元。
創建了組織單位後，我們就可以在組織單位中創建用戶賬號。
搭建域完成！
之後可以配置響應的組策略等。

5、常用的測試命令：
（1）Gpresult或者gpresult/r 獲取組策略結果
使用場景：檢查客戶端電腦是否加入域，加入了域以後獲取的組策略結果。

（2）Gpupdate/force 強制更新組策略
適用場景：每次在域服務器上面修改了組策略以後，如果需要策略立即生效的話，需要在域服務器上面和客戶端電腦上面執行上述命令。

五、LDAP概述
1、常見的目錄服務軟件

• X.500

• LDAP

• Active Directory Microsoft公司

• NIS

• LDAP是輕量目錄訪問協議（Lightweight Directory Access Protocol）的縮寫

• LDAP是一種開放Internet標準，LDAP協議是跨平臺的Internet協議

• LDAP標準實際上是在X.500標準基礎上產生的一個簡化版本，他是基於X.500標準的，與X.500不同，LDAP支持TCP/IP。

2、LDAP特點

• LDAP的結構用樹來表示，而不是用表格，正因爲這樣，就不能用SQL語句了；
• LDAP可以很快地得到查詢結果，不過在寫方面，就慢很多；
• LDAP提供了靜態數據的快速查詢方式；
  Client/server模型
  Server用於存儲數據
  Client提供操作目錄信息樹的工具

這些工具可以將數據庫的內容以文本格式（LDAP數據交換格式，LDIF）呈現在您的面前

3、LDAP的目錄結構
LDAP目錄數據結構
在LDAP中目錄是按照樹形結構組織----目錄信息樹（DIT）
DIT是一個主要進行讀操作的數據庫
DIT由條目（Entry）組成，條目相當於掛你數據庫中表的記錄；
條目是具有分辨名DN（Distinguished Name）的屬性-值對（Attribute-value，簡稱AV）的集合。

4、LDAP-DN
DN即分辨名
在LDAP中，一個條目的分辨名叫做「DN」，DN是該條目在整個樹中的唯一名稱標識
DN相當於關係數據庫表中的關鍵字（Primary Key）；是一個識別屬性，通常用於檢索

常見的兩種DN設置：

LDAP-DN的三個參數：

創作者：Eric· Charles