17.AD域和LDAP协议

LDAP需求分析

为了集中管理，容易维护和优化，降低运维成本，在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录，更容易定制应用程序企业引用LDAP服务器。
LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据，例如：可以把数据“推”到远程的办公室，以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配置。如果要在DBMS中使用相同的复制功能，数据库产商就会要你支付额外的费用，而且也很难管理。LDAP允许你根据需要使用ACI（一般都称为ACL或者访问控制列表）控制对数据读和写的权限。例如，设备管
理员可以有权改变员工的工作地点和办公室号码，但是不允许改变记录中其它的域。ACI可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由LDAP目录服务器完成的，所以不用担心在客户端的应用程序上是否要进行安全检查。
LDAP对于这样存储这样的信息最为有用，也就是数据需要从不同的地点读取，但是不需要经常更新。例如，这些信息存储在LDAP目录中是十分有效的：公司员工的电话号码簿和组织结构图；客户的联系信息；计算机管理需要的信息，包括NIS映射、email假名，等等；软件包的配置信息；公用证书和安全密匙。

LDAP概述

LDAP是Lightweight Directory Access Protocol的缩写，指轻量级目录访问协议（这个主要是相对另一目录访问协议X.500而言的；LDAP略去了x.500中许多不太常用的功能，且以TCP/IP协议为基础， 一般使用389端口进行数据传输。目录服务用于通过键-值类型格式存储、整理及表达数据。一般来讲，目录会面向查找、搜索以及读取操作做出优化，因此适用于经常引用但却较少变更的数据。）。目录服务和数据库很类似，但又有着很大的不同之处。数据库设计为方便读写，但目录服务专门进行了读优化的设计，因此不太适合于经常有写操作的数据存储。LDAP只是协议

LDAP概述-基本模型

LDAP协议分析

 

AD需求背景 

AD域概述

活动目录Active Directory的缩写，面向微软服务器的目录服务，LDAP协议（轻量级目录访问协议）下的一种产品。它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段
Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。Active Directory 域内的 directory database（目录数据库）被用来存储用户账户、计算机账户、打印机和共享文件夹等对象，而提供目录服务的组件就是 Active Directory （活动目录）域服务（ActiveDirectory Domain Service，AD DS），它负责目录数据库的存储、添加、删除、修改与查询等操作 .

AD域特点及常用功能

1、特点
1）微软基于AD的域模式，最大的优点是实现了集中式管理。
2）回收并管理普通用户对客户机的权限。
3）AD是一个大的安全边界，用户只要在登录时验证了身份，这个域林中所有允许访问资源都可以直接访问，
不用再做身份验证，也提高的效率减少了维护成本。
4）对于用户好处，通过文件夹的重定向可以将所有用户桌面的“我的文档”重定向到文件服务器上。
2、常用功能
1）用户账号管理
2）权限管理
3）软件/补丁推送

域信任关系

创建域信任关系
域信任关系是有方向性的，如果A域信任B域，那么A域的资源可以分配给B域的用户；但B域的资源并不能分配给A域的用户，如果想达到这个目的，需要让B域信任A域才可以。
如果A域信任了B域，那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中，这样A域内的资源就可以分配给B域的用户了。从这个过程来看，A域信任B域首先需要征得B域的同意，因为A域信任B域需要先从B域索取资源

域的信任关系的主动权掌握在被信任域手中而不是信任域。
•A域信任B域，意味着A域的资源有分配给B域用户的可能性，但并非必然性！如果不进行资源分配，B域的用户无法获得任何资源

域树
域树是Active Directory针对NT4的传统域模型所进行的重要改进。在NT4时代的域模型中，每个域都要使用没有层次结构的NETBIOS名称，而且域和域之间缺少关联，只能创建不能传递的域信任关系。这会在企业管理方面造成诸多不利因素：
首先域和域之间很难根据域名判断彼此间的隶属关系，例如beijing域和shanghai域；
其次由于域之间的信任关系不可传递，在域数量较多时光是创建域之间的完全信任就要耗费大量时间。假定有10个域，那我们在10个域之间要建立45次信任关系才能让这些域相互之间都完全信任。域树针对以上问题进行了很好的解决，域树的父域和子域之间由于使用了层次分明的DNS域名，只要根据域名我们就可以判断出两个域的隶属关系，例如有两个域abc.com和test.abc.com，我们可以很轻易地判断出后者是前者的子域。 

组策略

组策略是一个允许执行针对用户或计算机进行配置的基础架构。
其实通俗地说，组策略和注册表类似，是一项可以修改用户或计算机设置的技术。
那组策略和注册表的区别在哪儿呢？
注册表只能针对一个用户或一台计算机进行设置；
组策略却可以针对多个用户和多台计算机进行设置。
举例：在一个拥有1000用户的企业中，如果我们用注册表来进行配置，我们可能需要在
1000台计算机上分别修改注册表。但如果改用组策略，那只要创建好组策略，然后通过一
个合适的级别部署到1000台计算机上就可以了。

组策略和Active Directory结合使用，可以部署在OU，站点和域的级别上，当然也可以部署
在本地计算机上，但部署在本地计算机并不能使用组策略中的全部功能，只有和Active
Directory配合，组策略才可以发挥出全部潜力。 组策略部署在不同级别的优先级是不同的，
本地计算机<站点<域 什么是组策略对象？
组策略是通过“组策略对象（GPO）”来设定的，只要将GPO连接到指定的站点、域
或OU、该GPO内的设定值就会影响到该站点，域或OU内的所有用户于计算机

 

组策略管理 

组策略管理可以通过组策略编辑器和组策略管理控制台（GPMC），
组策略编辑器是Windows操作系统中自带的组策略管理工具，可以修改GPO中的设置。
GPMC则是功能更强大的组策略编辑工具，GPMC可以创建，管理，部署GPO，最新的GPMC可以从微软网站
下载。

1. 帐户策略的设定

• 例如设定用户密码的长度、复杂度、使用的期限，帐号锁定策略等

2. 本地策略的设定

• 例如审核策略的设定、用户权限的指派、安全性的设定 。

3. 部署软件

• 思路是把要部署的软件存储在文件服务器的共享文件夹中
• 然后通过组策略告知用户用户或计算机，某某服务器的某某文件夹有要安装的软件，赶紧去下载安装。
• 设置好组策略，就可以等待客户机自动进行软件安装了，完全不用在客户机上一一进行部署了。