AD域服务&LDAP协议

最后更新时间：2020/8/5
更新说明：初始化

1. AD域服务

1.1. 什么是AD域服务

目录是存储有关网络上对象的信息的层次结构。 目录服务（例如 Active Directory 域服务（AD DS））提供存储目录数据以及使此数据可供网络用户和管理员使用的方法。 例如，AD DS 存储有关用户帐户的信息，如名称、密码、电话号码等，并使同一网络上的其他授权用户可以访问此信息。

Active Directory 存储有关网络上对象的信息，并让管理员和用户可以更容易地使用这些信息。 Active Directory 使用结构化数据存储作为目录信息的逻辑层次组织的基础。
此数据存储（也称为目录）包含 Active Directory 对象的相关信息。 这些对象通常包含共享资源，如服务器、卷、打印机、网络用户和计算机帐户。 有关 Active Directory 数据存储的详细信息，请参阅目录数据存储。

通过登录身份验证和对目录中对象的访问控制，安全与 Active Directory 集成。 通过单一网络登录，管理员可以管理其整个网络中的目录数据和组织，授权网络用户可以访问网络上任何位置的资源。 基于策略的管理简化了即使最复杂的网络的管理。 有关 Active Directory 安全的详细信息，请参阅安全性概述。

Active Directory 还包括：
一组规则，即架构，定义目录中包含的对象和属性的类别、这些对象的实例的约束和限制及其名称的格式。 有关架构的详细信息，请参阅架构。

包含有关目录中每个对象的信息的全局编录。 这允许用户和管理员查找目录信息，而不考虑目录中的哪个域实际包含数据。 有关全局编录的详细信息，请参阅全局编录的角色。

一种查询和索引机制，以便对象及其属性可由网络用户或应用程序发布和查找。 有关查询目录的详细信息，请参阅查找目录信息。

跨网络分发目录数据的复制服务。 域中的所有域控制器均参与复制，并包含其域的所有目录信息的完整副本。 对目录数据的任何更改均复制到域中的所有域控制器。 有关 Active Directory 复制的详细信息，请参阅复制概述。

2. LDAP协议

2.1. 什么是LDAP协议

我希望确保您知道什么不是 LDAP ：

LDAP不是服务器
LDAP不是数据库
LDAP不是网络服务
LDAP不是网络设备
LDAP不是身份验证过程
LDAP不是用户/密码存储库
LDAP不是特定的开放源代码或封闭源代码产品

重要的是要知道LDAP不是什么，因为人们通常将“ LDAP”称为轻量级目录访问协议使用的特殊部分 。LDAP是一种协议，就像Internet生态系统中的其他“以P结尾”一词（HTTP，FTP，TCP，IP等）一样，它是与外部服务器/数据库/服务/设备/程序进行通信时必须遵循的一组规则/ repository / product（上一个列表中的所有内容）。

通过LDAP管理的数据是按层次结构分组的键/值对。此结构称为DIT（目录信息树）。LDAP没有指定数据在DIT中的实际存储方式，也没有指定用户如何访问数据的授权。每个LDAP服务器都必须识别的数据类型很少（其中一些非常旧并且不再使用）。LDAP版本3也是一个可扩展的协议，这意味着供应商可以添加LDAP规范中未包含的功能（使用控件和扩展）。任何LDAP服务器都依赖于架构知道它了解哪些数据类型，属性和对象。模式的一部分是标准的（在协议本身中定义），但是每个供应商都可以为特定目的添加属性和对象。系统管理员，开发人员和LDAP服务器的最终用户也可以扩展该模式。

奇怪的是，“扩展模式”是LDAP协议中未定义的内容，因此每个供应商都开发了用于向模式添加对象，属性和其他规则的不同方法。

LDAP是一种协议，与任何特定产品均不相关，并且在一组RFC（请求注释，Internet生态系统的正式规则）中进行了描述。该规则的最新版本是2006年6月发布的RFC4510（和后续RFC）中记录的版本3。

LDAP的简要历史

您可能想知道为什么LDAP中的“轻量级”。它的祖先被称为DAP（目录访问协议），由CCITT（现为ITU-T），国际电话和电报委员会在1980年代开发。（在互联网时代之前为我们提供传真和我们在调制解调器上使用的协议的古老实体）。即使DAP的预期用途是标准化对目录服务（即电话目录）的访问，DAP也是一个非常繁重且难以实现的协议（对于客户端和服务器组件），并且不能通过TCP / IP进行访问。1993年，在密歇根大学发明了一种更简单的访问协议，作为通向DAP世界的门户。之后，供应商开发了可以直接理解LDAP的产品，并且很快删除了DAP的网关。LDAP v3于1997年首次记录，其规格于2006年进行了修订。ldap3库严格遵循了这些后来的规格。

3. 两者的关联

LDAP是轻量目录访问协议(Lightweight Directory Access
Protocol)的缩写，LDAP标准实际上是在X.500标准基础上产生的一个简化版本

AD是Active
Directory的缩写，AD应该是LDAP的一个应用实例，而不应该是LDAP本身。比如：windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题，

只是AD顺便还提供了用户接口，也可以利用Active
Directory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库，微软自己在库中建立了几个表，每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的，而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口，用户可以利用这些接口写程序操作LDAP，使得Active
Directory也成了一个LDAP服务器。

总之：Active Directory = LDAP服务器＋LDAP应用（Windows域控）。Active
Directory先实现一个LDAP服务器，然后自己先用这个LDAP服务器实现了自己的一个具体应用（域控）