AD域管理系列(1)-- 前言
一、AD简介

活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。

Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。

Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。

Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。

Microsoft Active Directory 服务是Windows 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

二、AD功能

  1. 服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。

  2. 用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。

  3. 资源管理:管理打印机、文件共享服务等网络资源。

  4. 桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

  5. 应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

三、AD协议(LDAP)

LDAP是英文Lightweight Directory Access Protocol的缩写,即轻型目录访问协议。

它是一个访问在线目录服务的协议。什么是目录?LDAP目录中可以存储各种类型的数据:电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表,等等。

最新版本的LDAP协议由RFC 4511所定义。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。

LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

LDAP最基本的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得到查询结果,不过在其它方面,例如更新,就慢得多。

要特别注意的是,LDAP通常作为一个hierarchal数据库使用,而不是一个关系数据库。

简单说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。

LDAP中,一个条目的区分名称叫做“dn”或者叫做区分名。

在一个目录中这个名称总是唯一的。比如,我的dn是"uid=aghaffar, ou=People, o=developer.ch"。

不可能有相同的dn,但是我们可以有诸如"uid=aghaffar, ou=Administrators, o=developer.ch"的dn。

在"ou=Administrators, o=developer.ch" 中uid和在"ou=People, o=developer.ch"中的uid。这并不矛盾。

CN=Common Name 为用户名或服务器名,最长可以到80个字符,可以为中文;

OU=Organization Unit为组织单元,最多可以有四级,每级最长32个字符,可以为中文;

O=Organization 为组织名,可以3—64个字符长

C=Country为国家名,可选,为2个字符长

LDAP目录以一系列“属性对”的形式来存储记录项,每一个记录项包括属性类型和属性值

四、AD相关服务

DNS Server //动态域名服务服务端

DNS Client //动态域名服务客户端

DHCP Server //动态IP服务服务端

DHCP Client //动态IP服务客户端

Netlogon //域登陆服务

Computer Browser //计算机资源浏览

五、AD相关端口

全局编录服务器(GC) TCP 3268 , 3269

LDAP 服务器 TCP 389 / UDP 389

LDAP SSL TCP 636 / UDP 636

IPSEC UDP 500

NAT UDP 4500

DNS UDP 53

DNS TCP 53

RPC 随机分配 TCP 1024 - 65535 / UDP 49152 - 65535