AD活動目錄域服務技術入門

1、windowsserver2008共包含4中活動目錄服務角色：

一、活動目錄輕量級目錄服務activedirectorylightweightdirectoryservicesADLDS

二、活動目錄聯合目錄activedirectoryfederationservicesADFS

三、活動目錄證書服務activedirectorycertificateservicesADCS

四、活動目錄權限管理服務activedirectoryrightsmanamgementservicesADRMS

2、瞭解ADDS域

ADDS域充當對象的管理安全性邊界

ADDS樹由多個雙向可傳遞信任鏈接的域構成

ADDS樹中每一個域共享一個公共的模式和全局目錄

森林是一組互聯的域樹，隱式的信任將每棵樹的根連在一塊兒構成一個公共的森林

森林是ADDS主要的組織安全性邊界

3、域間的信任

信任是可傳遞的，可是並不意味着全部用戶能夠徹底得到訪問權限，即便是域之間的管理員

信任權是提供一個域到另外一個域的一條路徑，默認狀況下並不容許訪問權限從一個域傳遞到另外一個域

域管理員必須爲另外一個域的用戶或管理員下發權限，才能訪問其域中的資源！

4、ADDS的認證模式

windowsNT.4使用了一種稱爲NT局域網管理器NTLANManagerNTLM的認證系統，這種認證方式採用散列的形式跨越網絡傳送加密的口令，這種認證方式隨着第三方解密工具的產生，則顯得很不安全

windows200020032008採用Kerberos認證方法

Kerveros不在網絡上發送口令信息，比NTLM安全，可是默認ADDS並不要求Kerveros認證，由於默然創建的ADDS是與傳統windows客戶程序後兼容的

5、ADDS的組件

一、瞭解ADDS的x500根

x.500經過一種目錄信息樹DirectoryInformationTreeDIT定義的分佈式方法來定義目錄服務，從而在邏輯上將目錄服務結構劃分紅此案在所熟悉的servername.subdomainname.domainname形式

在x.500中，目錄信息跨越分層佈局存儲在所謂的目錄系統代理DirectorySystemAgentDSA

微軟根據X.500定義的不少基本原則來設計ADDS，可是ADDS與x.500不兼容

二、ADDS模式

a、模式對象：ADDS結構內的對象：用戶、計算機、打印機

每一個對象有一個用於定義它的屬性列表並可用於搜索該對象

eg：firstnamelastnamedepartmentemailaddress

b、擴充模式：可直接修改和擴充模式--------------提供自定義屬性

c、使用ADDS服務接口執行模式修改

ADDA服務接口---------ADServiceInterfaces------------ADSI

三、定義輕量級目錄訪問協議LDAPlightweightdirectoryaccessprotol

ldap容許對ADDS執行查詢和更新

a、ad中可分辨名稱

CN=wendy,OU=mis,DC=WEN,DC=COM

b、ad中相對可分辨名稱

OU=mis,DC=WEN,DC=COM

四、ADDS域控制器的多主機複製

ADDS使用DC來認證用戶，DC利用多域控制器概念，每一個域包含一個域信息的主控讀/寫副本

對環境中的域控制器的更改都會複製到全部其餘域控制器上

五、全局目錄和全局目錄服務器

全局目錄是ADDS數據庫的一個索引，包含其中內容的部分副本，僅僅複製那些經常使用於搜索操做的屬性

全局目錄服務器，GC，是一種特殊的DC，是包含全局目錄副本的ADDS域控制器

6、windowsserver2008ADDS的改進

一、只讀域控制器（Read-onlydomaincontrollerRODC）：windows2008具備使用域的只讀副原本部署域控制器的能力

二、組策略GroupPolicy

三、Sysvol的DFS-R複製---windows2008功能域使用改進的分佈式文件系統複製（DistributesFileSystemReplication）

四、活動目錄數據庫安裝工具DSAMain

五、GlobalNamesDNS區域