AD基礎知識整理

1、什麼是活動目錄:數據庫

活動目錄(Active Directory),俗稱AD域,是面向服務器操做系統的目錄服務。活動目錄軟件包含在服務器操做系統中。隨着OS不斷升級,活動目錄已經從Windows 2000—》Windows2003—》Windows 2008—》Windows 2012windows

活動目錄首要的價值是安全管理。也就是說如何經過安全策略來保證客戶端、服務器乃至整個IT架構的安全;跨域

其次,是造成統一的身份驗證。也就是說利用活動目錄安全的身份驗證,構建一個統一的驗證平臺,基於此基礎架構,將更多的高級服務,乃至異構系統整合到一塊兒,這樣可以儘量的下降管理複雜性;瀏覽器

再次,更爲便捷的查詢。也就是利用活動目錄爲更多的服務器及客戶端,提供完整的、便捷的信息查詢,固然,這是基於LDAP協議的。緩存


2、RODC概念:安全

RODC是域的附加域控制器,Server 2008新特性,它承載AD數據庫的只讀分區。設計RODC主要是爲了在分支機構環境中部署。分支機構一般用戶相對較少,物理安全性差,鏈接中站點的網絡帶寬也相對較低,而且缺少本地IT知識。服務器

RODC單向複製:這意味着惡意用戶在分支位置可能進行的任何更改或損壞不能從RODC複製到林的其他部分。RODC的複製只能接受數據,不能送出數據。然而通常域控制器的複製(Replication)都是雙向的。網絡

RODC通常放置在網絡的邊緣或邊界,可寫域控放置在數據中心或受信任網絡。架構

RODC優點:只讀活動目錄數據庫(提升安全性)、單向複製、憑據緩存(默認RODC不存儲用戶或計算機憑據,除非密碼複製策略容許複製憑據,則纔可複製到RODC並進行緩存憑據)、管理員角色分隔(容許本地分支用戶登陸到RODC進行服務器維護工做,但不能登陸到任何其它域控制器,能更有效的訪問網絡資源)、只讀DNSdom

詳細可參閱:http://baike.baidu.com/view/2231945.htm#2

wKiom1MlrPzQsn3YAAGTTOiS7po115.jpg


3、AD站點:

定義:AD中的站點表明網絡的物理結構或拓撲。AD使用拓撲信息(在目錄中存儲爲站點和站點連接對象)來創建最有效的複製拓撲。站點是一組有效鏈接的子網。站點有助於簡化AD內的多種活動,包括:複製,身份驗證,啓用AD的服務。

經過創建多個站點,可確保客戶端利用與它們最近的域控制器進行身份驗證,從而減小了身份驗證滯後時間(以避免用戶登域時去找位於另外一個站點的DC形成效能低落,因此最好在各站點內至少架設一臺DC)。

做用:1.管理活動目錄複製;

     2.確保用戶使用高速鏈接(大於512Kbps)(本地/本網段)訪問域控制器。

注意:站點表明網絡的物理結構或拓撲,是一組有效鏈接的子網。站點和域不一樣,站點表明網絡的物理結構,而域表明組織的邏輯結構。


4、AD佔用帶寬問題:

電腦平常辦公佔用帶寬和流量問題:

微軟官方沒有文檔明肯定義AD使用時佔用帶寬、流量問題。但只有在寬帶低於500kbps時,AD會認爲這是低速鏈路,此時,AD在處理一些組策略和用戶登陸時會和正常鏈路有必定的區別。但,依據經驗,寬帶2M左右已經足以知足AD帶寬需求,若是是要部署一個本地域內網環境,本來內網的速度遠遠大於2M,因此,這個根本不成問題。若是部署的域跨越了物理地區,且經過×××或者DirectAccess進行鏈接,請務必保證在ISP租用1M以上的帶寬。

說明:速度低於500K的慢速網絡不會被應用:1.軟件部署、腳本、文件夾重定向策略。


5、多少臺電腦須要一臺DC

建議:一個域裏至少保證2DC,而且保證很少於1000臺計算機爲最佳。

   對於這個問題,還應該考慮電腦CPU能力和內存的多少,具體能夠參考如下網址:

http://social.technet.microsoft.com/wiki/contents/articles/14355.capacity-planning-for-active-directory-domain-services.aspx

http://technet.microsoft.com/nl-nl/library/cc728303(v=ws.10).aspx


6、用戶/計算機/OU/組策略:

用戶隸屬於OUOU可套用組策略。通俗講,OU就像中國的一個省,用戶就是該省的公民,策略就是該省的當地法律,計算機和用戶就是該省的男公民和女公民。


7、GPO/GPC/GPT:

組策略對象GPOGUID標誌,在域級別存儲;

組策略容器GPC存儲在活動目錄數據庫,提供版本信息、狀態信息和相關屬性信息;

組策略模板GPT存儲在域控制器的SYSVOL共享中。


8、內置2GPO的名字:Default Domain PolicyDefaultDomain Controller Policy


9、組策略默認刷新週期是90分鐘,可執行GPupdate/force使其當即生效。


10、組策略對象執行順序:本地策略—》站點策略—》域策略—》父OU策略—》子OU策略。


11、計算機和用戶策略衝突則覆蓋用戶策略;不一樣層次的策略產生衝突時,子容器的GPO優先級別高。


12、組策略環回處理:

組策略對象有用戶和計算機策略,一般對於普通用戶來講,計算機策略和用戶策略都會執行。可是對於非須要定製的用戶,好比公共計算機或者大量用戶公用計算機,咱們則不須要對用戶實現策略管控,這時就不用執行用戶策略。

通常使用地點:公共使用電腦、公共教室。

2模式:替代模式,只執行計算機策略,不執行用戶策略;

          合併模式,執行用戶和計算機策略,當二者衝突時,以計算機策略爲準。

場景:用戶User=u1,計算機Computer=c1,則策略中用戶配置爲uc,計算機配置爲cc,共5條策略:GPO1GPO2GPO3連接到u1GPO4GPO5連接到c1

u1c1上登陸:

正常狀況下GPO應用順序,計算機啓動後,c1獲得它的GPO列表本地GPOGPO4GPO5,此時它在應用cc設置後運行開機腳本,完成以後來到用戶登陸部分,在u1按下ctrl+alt+del進行登陸並經過驗證以後,u1將會應用GPO1GPO2GPO3中的uc部分設置,並在以後運行登陸腳本。

環回模式下:若是c1處於環回模式中,(假設GPO4的計算機配置\管理模板\系統\組策略,部分設置了此策略),當u1登陸到c1時便會出現兩種狀況:1.替代模式;2.合併模式。

替代模式:在u1經過驗證以後,u1將只應用GPO1GPO2GPO3

合併模式:在u1經過驗證以後,u1將會應用uccc策略,若是其中的設置有衝突,將會以cc應用的爲準。


十3、GPMC.msc

組策略管理工具:負責組策略建立、編輯與鏈接;組策略的複製粘貼;組策略的備份與還原;組策略結果集;組策略建模和遷移組策略。

遷移方法:先備份,再將備份複製到目標機器進行還原。


十4、組策略建模與組策略結果

1.建模:經過建模能夠針對用戶或計算機模擬可能的情況。譬如:要模擬將某個用戶和其對應的計算機從一個部門移動到另外一個部門。

2.結果:在現有的環境下,若想知道用戶在某臺計算機登陸以後,其用戶與計算機策略設置,能夠經過組策略結果來提供這些信息。

舉例:http://wenku.baidu.com/link?url=VtLBGVbsvNeCyVR6S8cOhivAjxbWPfKLMRZdniCHtUl-l8cIm13N7DNmUiIYeFSZzfB_XategUyWR_pbjK4LVrFUmaYvGppSDWkHQxM_Shi


十5、Starter GPO的用途:

能夠將常常用到的管理模板策略設置值建立到Starter GPO內,而後再建立通常GPO時,就能夠直接將Starter GPO內的設置值導入到這個通常GPO,如此即可以節省建立通常GPO的時間。


十6、阻止繼承和強制繼承:

1.阻止:阻止全部的GPO繼承到子容器;GPO內設置爲未配置,則採用默認值;阻止組策略設置將容許活動目錄有惟一的組策略設置。

2.強制:將無論其它GPO的設置而發揮做用;在活動目錄的較高層次連接GPO——保證能對多個OU起做用;必須保證強制重要的GPO


十7、組策略的遷移(暫略


十8、軟件限制策略原則

1.基於Hash規則:利用文件的MD5或者SHA1HASH來作比較,若是文件版本過多的時候,可採用這種方式作校驗。

2.證書規則:利用程序上面的數字簽名來作比較,這部分比較少。

3.路徑規則:根據路徑來作程序比較,此種方式適合不變動文件名稱的結果。

4.Internet區域規則:根據IE所在的區域來決定是否限制程序的下載和安裝(只可用於MSI文件)。

規則的優先級別:哈希規則—證書規則—路徑規則—區域規則


十9、AD默認域策略和域控制器策略損壞,可運行命令:dcgpofix進行修復。


二10、註冊表:是Windows系統中保存系統、應用軟件配置的數據庫,是多層次式的。


二11、使用ADMT工具進行AD用戶和組遷移 (具體演示暫略)


二12、AD DS邏輯結構:域、OU、域樹、域林;

            物理結構:站點、域控制器。


二十3、GCDC區別:

GCGlobal Catalog 全局編錄,包含森林中全部對象信息的特殊目錄數據庫。它存儲林中主域的目錄中全部對象的徹底副本,以及林中其它域中全部對象的部分副本。全局編錄容許用戶在林中的全部域中搜索目錄信息,而不論數據存儲在何處。執行林內的搜索時可得到最大的速度並使用最小的網絡通訊。

DCDomain Controller 域控制器,是一個在Windows服務器域中的接受安全認證請求(登陸,檢查權限等)的服務器。

區別:多域的狀況下,每一個域你們都有本身的DCDC中維護各自域當中的對象,當須要跨域查詢對象的時候,一個個的查詢DC是不合適的,AD採用的方式是創建一個GC,查詢對象時可經過GC去查,由於GC維護着一個對象列表,儲存着各個域的全部對象。可是爲了讓GC的數據庫小一些,其中就只存儲某些必要的屬性,因此在查詢GC的時候,返回的對象並不包含全部的屬性。

GCDC的一個角色。GC所承擔的目錄角色:查找對象、提供用戶身份驗證、在多域的環境下提供通用組的成員身份信息;查看是否DC=GC


二十4、AD數據庫損毀時,可在啓動服務器以前按住F8鍵,進入目錄服務還原模式,重建AD數據庫。


二十5、成員服務器:即非DC且加入域中的服務器(文件、應用程序服務器等),成員服務器都信任DC的身份驗證。

       工做站:即Win7xp等。

域內分爲:成員服務器和工做站;域外分爲:獨立服務器和客戶端計算機。

補充:目錄強調查詢,數據庫重視異動(Transcation),數據庫適合處理變更較多的數據。目錄以樹狀架構爲主,數據庫以關係型數據表爲主。


二十6、森林級別角色:Schema masterDomain naming master

域級別角色:PDC emulatorRID masterInfrastructure master.

1.架構主機(Schema master:執行到目錄架構的寫操做,並將更新複製到林中全部其餘域控制器。

查看架構主機:法一:dsquery server –hasfsmo schema

             法二:netdom query fsmo (必須安裝support tools

2.域命名主機(Domain Naming Master):域命名主機會控制林中域的添加或刪除。

查看命名主機:法一:dsqueryserver –hasfsmo name

             法二:netdom query fsmo

3.PDC模擬器(PDC emulator master):爲沒有安裝AD客戶端軟件的網絡客戶端提供服務,並將目錄的更改複製到域內任意Windows NT備份域控制器(BDC)中。

PDC模擬器處理密碼驗證請求,該請求包括最近已更改但還沒有在整個域中複製的密碼。

手動同步時間:W32tm /resync

PDC仿真器的做用:統一域內全部客戶端和服務器時間;統一管理域帳號密碼更新、驗證及鎖定;統一更改策略模板;默認的域主瀏覽器。

查看PDC仿真主機:法一:dsquery server –hasfsmo pdc

                法二:netdom query fsmo

4.RID主機(RID Master):RID主機將系列相對IDRID)分配給域中每一個不一樣的域控制器,防止安全主體的SID衝突。

查看命名主機:法一:dsquery server –hasfsmo rid

             法二:netdom query fsmo

5.結構主機(Infrastructure Master):負責更新從它所在的域中的對象到其它域中對象的引用。結構主機將其數據與全局編錄的數據進行比較。全局編錄經過複製操做按期接受全部域中對象的更新。若是結構主機發現數據過期,則它從全局編錄申請更新的數據。結構主機而後將這些更新的數據複製到域中的其它域控制器。

查看命名主機:法一:dsquery server –hasfsmo infr

             法二:netdom query fsmo

轉移FSMO角色方式:transfer(在線轉移)和seize(強制轉移);

決定操做主機角色擁有者:圖形化接口工具和ntdsutil

轉移工具:圖形化接口工具(AD用戶和計算機、AD域和信任關係、AD架構)

何時須要強制轉移操做主機:1.若是沒法進行正常轉移操做主機的動做時(與原操做主機沒法通訊);

                             2.原操做主機上有變動的數據有可能會遺失。在敲強制轉移命令後,它會先嚐試進行安全的索取,在索取不成功的狀況下才會強制的佔用,因此,在強制索取時,若是原操做主機已經掛了,那麼會顯示安全索取失敗,提示:「ldap,或角色傳送錯誤。Schema FSMO 的傳送失敗,用索取繼續……」

進一步瞭解FSMO角色可參見:http://baike.baidu.com/view/1623435.htm?fr=wordsearch


二十7、AD輕量目錄服務(AD LDS)的實例是AD LDS的單一運行副本。


二十8、域控制器會將賬戶信息存於AD數據庫中,該數據庫所對應的文件爲\%systemroot%\NTDS\NTDS.DIT   (%systemroot% <=>windows)

成員服務器或獨立服務器則將賬戶數據存於Security Accounts Manager(SAM)數據庫,\%systemroot%\system32\config\SAM;其實,還有一份存於註冊表的SAM中,默認是隱藏的,由於Administrators羣組用戶沒有賦予讀取權限。


二十9、安裝AD域服務後,默認會有5種容器:

1.Builtin:用來存放內建的組;

2.Computers:用來存放域內的計算機賬戶,凡是加入域的計算機,其計算機名稱都會出現於此容器內;

3.Domain Controllers:用來存放域控制器的計算機賬戶;

4.ForeignSecurityPrincipals:儲存來自有信任關係域的對象;

5.Users:用來存放域內的用戶賬戶及組。


三10、默認當咱們設定了用戶在某段時間段內登陸,當用戶在設定的時間段內登陸進來,但到時間後系統不會將其註銷,只有在組策略中設定超時強制註銷纔可。注意:若設定了帳戶到期日,使用者在登錄後一直不註銷,即便超過了帳戶到期日,系統也不會自動將其註銷。

能夠一次選定多個用戶賬戶進行設定,如:下次登錄都要改密碼,同樣的登錄時段等等。設定多個賬戶時會出現兩排選項勾選左邊的多選鈕表明「要改變」,至於改變成什麼則由右邊的多選鈕決定,兩個都得選。

因爲系統會賦予每一個用戶賬戶一個獨一無二的SIDSecurityIdentifier,安全標識符),若是在刪除後從新創建同名的賬戶,則會賦予一個新的SID,而SID是判斷權限的依據,因二者的SID不一樣,因此二者的權限也不同。因此,在刪除賬戶前,務必先確認是否有要解密的重要文件,若是盲目刪除,就沒法將文件解密了。


三11、證書頒發機構的類型:

1.獨立CA:獨立於AD;能夠簽發證書供外部網和內部網使用;主要用於不提供AD服務的狀況下(例如:公共網站、電子郵件服務);不適合頒發用戶登陸到域的證書。

2.企業CA:企業安全架構的一部分;保存在ADCA對象中;依賴於AD;支持獨立CA所支持的全部功能和生成智能卡登陸時所用的證書。


三12、PowerUsers:此組的成員能夠安裝應用程序、管理本機用戶賬戶,以及創建或取消本機的共享文件夾和打印機。

Builtin Security Principal:內建安全策略   Two-way:雙向性    Transitive:可轉移性

三十3、 AD的恢復:

1.受權恢復:當其餘的域控制器包含了無效的複製和數據時,能夠採用受權恢復方式,這種狀況下,你能夠手工指定你要恢復整個數據庫或某個分支,並指定本地的恢復操做是權威的。所謂的權威,就是當發生目錄複製時,以本地數據爲準。受權恢復要修改AD的升級序號,這樣它的序號就高於其餘的DC了,從而使本地的恢復數據能複製給其餘的DC。受權恢復在非受權恢復執行後發生。

2.非受權恢復:大多數的恢復操做都是非受權的。只恢復活動目錄到它備份時的狀態。當你發現一臺DC的數據有問題,而確信其它的DC數據是正常的,就可使用非受權恢復。恢復完成後,DC會從新比較升級序號並參與正常的複製。也就是說,經過非受權恢復的數據可能在複製中被再次改寫。默認的墓碑時間是180天,也就是說只能恢復180天以內的數據,沒法恢復超過180天的活動目錄,固然,該值是能夠調整的。

執行步驟:1.重啓域控制器;2.選擇目錄服務恢復模式;3.使用本地管理員登陸到Windows Server;恢復最近的系統狀態數據;正常啓動域控制器。


三十4、AD 知識一致性檢查程序(Knowledge Consistency CheckerKCC)負責構建和維護AD的複製拓撲,另外,KCC能夠決定什麼時候進行復制,以及每臺服務器必須同哪些服務器開展複製,和自動肯定網絡複製的最佳拓撲。

補充:

資源池:簡單來講就是將所有資源看作一個總體,資源是按需分配的,先到顯得。


三十5、 AD域服務所需的TCP端口:8838963632683269

VSSVolume Shadow copy Service


三十6、活動目錄事務修改流程:

Ntds.dit:活動目錄數據庫文件,存儲了活動目錄全部數據對象。

Edb*.log:事務日誌文件。

Edb.chk:檢查點文件,跟蹤還沒有寫入到活動目錄數據庫的事務日誌。

Res1.log/Res2.log:保留日誌文件。

wKioL1MlrPbyN-2IAAHFZfl1bx4191.jpg


三十7、系統狀態數據包括:域控制器上的活動目錄和SYSVOL文件夾;全部DC上的註冊表、系統啓動文件、類註冊數據庫;認證服務器上的認證服務數據庫。


三十8、單臺DC恢復方式:

法一:使用該DC原有備份文件恢復DC(使用DSRM模式啓動OS或者從新安裝OS;使用備份文件還原系統)

恢復速度比依靠複製的恢復要快;須要的操做較少。

法二:升級爲DC(強制DC降級或者從新安裝OS;從其餘舊DC上刪除Metadata;安裝AD;獲取FSMO角色)

不須要對該DC有很好的備份,但須要有多臺DC;可適用於不一樣的硬件。

相關文章
相關標籤/搜索