【Ovirt 笔记】AD 相关的分析与整理

文前说明

作为码农中的一员，需要不断的学习，我工作之余将一些分析总结和学习笔记写成博客与大家一起交流，也希望采用这种方式记录自己的学习之旅。

本文仅供学习交流使用，侵权必删。
不用于商业目的，转载请注明出处。

分析整理的版本为 Ovirt 3.4.5 版本。

AD域中的默认组整理，是否主要组表示是否可以设置为主要组。

组名	primaryGoupID	常量名	可否主要组
Domain Admins	512	GROUP_RID_ADMINS	√
Domain Users	513	GROUP_RID_USERS	√
Domain Guests	514	GROUP_RID_GUESTS	√
Domain Computers	515	GROUP_RID_COMPUTERS	√
Domain Controllers	516	GROUP_RID_CONTROLLERS	√
Schema Admins	518	GROUP_RID_SCHEMA_ADMINS	√
Enterprise Admins	519	GROUP_RID_ENTERPRISE_ADMINS	√
Group Policy Creator Owners	520	GROUP_RID_POLICY_ADMINS	√
Read-only Domain Controllers	521	GROUP_RID_READONLY_CONTROLLERS	√
Enterprise Read-only Domain Controllers	随机（498）		√
DnsUpdateProxy	随机（1102）		√
test	随机（2715）		√
usertest	随机（2720）		√
Account Operators			×
Administrators			×
Allowed RODC Password Replication Group			×
Backup Operators			×
Cert Publishers			×
Certificate Service DCOM Access			×
Cryptographic Operators			×
Denied RODC Password Replication Group			×
Distributed COM Users			×
DnsAdmins			×
Event Log Readers			×
Guests			×
IIS_IUSRS			×
Incoming Forest Trust Builders			×
Network Configuration Operators			×
Performance Log Users			×
Performance Monitor Users			×
Pre-Windows 2000 Compatible Access			×
Print Operators			×
RAS and IAS Servers			×
Remote Desktop Users			×
Replicator			×
Server Operators			×
Terminal Server License Servers			×
Users			×
Windows Authorization Access Group			×

注意：系统中只支持次要组用户的组权限划分，通过组权限划分，组内用户都可以直接登录系统。系统默认将用户分配到 Domain Users 组中，这个组默认是主要组，因此该组中的用户无法直接通过组权限登录系统。

---

打开 Active Directory 用户和计算机，在“查看”菜单上，选中“高级功能”，可以打开属性编辑器，可以看到 AD 用户与组的所有属性值。

AD用户常用属性列表：

编号	属性名称	含义	备注
常规
1	sn	姓	李
2	givenName	名字	四
3	initials	英文首字母	LS
4	description	描述	描述信息
5	displayName	显示名称	李四
6	telephoneNumber	电话号码
7	mail	电子邮件
8	wwwHomePage	网页
9	info	注释
地址
1	c	国家/地区缩写	CN
2	co	国家/地区	中国
3	countryCode	国家代码
4	st	省/自治区	四川
5	l	市/县	成都
6	streetAddress	街道	XX路
7	postOfficeBox	邮政信箱	44号信箱
8	postalCode	邮政编码	610000
账户
1	userPrincipalName	用户登录名
2	sAMAccountName	用户登录名（windows 2000以前）
3	logonHours	登录时间
4	logonCount	登录数
5	userAccountControl	用户登录控制	启用（512）、禁用（514）、密码永不过期（66048）
6	accountExpires	账户过期	从不
7	badPasswordTime	错误密码时间
8	badPwdCount	错误密码次数
电话
1	homePhone	家庭电话
2	paper	寻呼机号码
3	mobile	移动电话号码
4	facsimileTelephoneNumber	传真号码
5	ipPhone	IP电话
组织
1	company	公司
2	department	部门
3	title	职务
4	manager	经理
隶属
1	memberOf	隶属于组（次要组CN），多个用分号隔开
2	primaryGoupID	隶属主要组ID，只能唯一	与上表一致
3	ou	组织名称
4	dc	AD域名	dc=sdcad,dc=com
5	cn	地址标签（默认与名字相同）

---

LADP 操作 AD ，提供了两个接口

1. 一个是 389 非密接口，只能完成 AD 查询，AD 用户登录和添加用户查询时，都会调用该接口。该功能会将证书信息存储到 domain 对象中的 baseCN 属性中，该步骤通过 GetRootDSETask 类实现。 GetRootDSE 类中实现了 AD 域的查询操作。

2. 一个是 636 加密接口，该功能完成AD用户创建。调用该接口之前会查询 baseCN 是否为空，如果为空则创建失败（意味着必须先进行查询，才能进行创建）。该操作在 LdapCreateAdUserTask 类中实现。

管理门户创建用户，组织标签对应的是 ou 属性，不是 memberOf 。这里可以将用户添加到 AD 服务器上创建的组织里面。管理门户目前只能创建一级组织下的用户。

登录查询时，是根据返回 memberof 判断是否具备组权限（次要组）的。