活动目录基础 2020-06-17（未经允许，禁止转载）

1.活动目录基础之身份验证和授权

视频资源：https://www.bilibili.com/video/BV1C64y1T7vR?from=search&seid=2122588840918229106

登录计算机的身份验证

本地身份验证信息存储在SAM文件中

一台计算机有两种状态：workgroup状态和domain状态

• workgroup状态下的本地身份验证：直接使用本地SAM文件比对用户名密码，实现对本机的登录。身份验证过程在本地发生。
• domain状态下的域身份验证：使用域账户登录，实际上是通过DNS找到能够验证域账户的活动目录所在的服务器（也就是通过DNS找到域控制器dc），然后将域用户名和密码通过网络发送到域控制器上实现验证。身份验证过程在域控上发生，本质上是net-logon网络登录

用户授权authorization

实现授权的完整链条：向用户分配sid(security identifier) - 给要访问的资源配置acl(access control list) - 比对sid和acl完成授权

---

活动目录基础之架构和分区

视频资源：https://www.bilibili.com/video/BV1gT4y1V7Kx?from=search&seid=2122588840918229106

活动目录AD和域是不可分割的概念
活动目录实际是一个【数据库】，里面存储了【域用户信息】、【域内计算机信息】、【域共享资源（如共享文件夹、exchange）】等
计算机要加入域、以及加入域后使用域内的共享资源，就必须要找到这个活动目录数据库。怎么找？活动目录就在域控上，通过DNS找到域控就可以了

AD架构

AD架构也叫schema，就是数据库的表头，其实就是对活动目录数据库能够存储的对象的定义，即定义了被存储对象应该具备的各种属性。例如，公司域要求活动目录存储的员工对象应该具有【姓名、年龄、部门、xxx权限、XXX权限】这几个属性

---

活动目录基础之域,树,森林

视频资源：https://www.bilibili.com/video/BV115411t7Gj?from=search&seid=2122588840918229106

AD域信任

• 不同域之间可以通过信任关系来传递身份验证，甚至同步AD数据库内容。
• 信任是有方向性（双/单向）、可传递的

单个域

就是一个域。考虑到单个域可能会扩张为森林，微软把单个域也叫做森林

域树

通过域名实现上下级关系的树形关系，树内各结点的域自动建立双向信任关系。如：

        A.com
       /      \
a.A.com    b.A.com

森林

• a forest is a collection of one or more domain trees.
• 森林内的每棵域树上的每个域共享AD架构schema，并且all domains trust all other domains in the same forest森林内部的信任关系自动创建