活动目录基础 2020-06-17(未经允许,禁止转载)

1.活动目录基础之身份验证和授权

视频资源:https://www.bilibili.com/video/BV1C64y1T7vR?from=search&seid=2122588840918229106

登录计算机的身份验证

本地身份验证信息存储在SAM文件中

一台计算机有两种状态:workgroup状态和domain状态

  • workgroup状态下的本地身份验证:直接使用本地SAM文件比对用户名密码,实现对本机的登录。身份验证过程在本地发生
  • domain状态下的域身份验证:使用域账户登录,实际上是通过DNS找到能够验证域账户的活动目录所在的服务器(也就是通过DNS找到域控制器dc),然后将域用户名和密码通过网络发送到域控制器上实现验证。身份验证过程在域控上发生,本质上是net-logon网络登录

用户授权authorization

实现授权的完整链条:向用户分配sid(security identifier) - 给要访问的资源配置acl(access control list) - 比对sid和acl完成授权


活动目录基础之架构和分区

视频资源:https://www.bilibili.com/video/BV1gT4y1V7Kx?from=search&seid=2122588840918229106

活动目录AD和域是不可分割的概念
活动目录实际是一个【数据库】,里面存储了【域用户信息】、【域内计算机信息】、【域共享资源(如共享文件夹、exchange)】等
计算机要加入域、以及加入域后使用域内的共享资源,就必须要找到这个活动目录数据库。怎么找?活动目录就在域控上,通过DNS找到域控就可以了

AD架构

AD架构也叫schema,就是数据库的表头,其实就是对活动目录数据库能够存储的对象的定义,即定义了被存储对象应该具备的各种属性。例如,公司域要求活动目录存储的员工对象应该具有【姓名、年龄、部门、xxx权限、XXX权限】这几个属性


活动目录基础之域,树,森林

视频资源:https://www.bilibili.com/video/BV115411t7Gj?from=search&seid=2122588840918229106

AD域信任

  • 不同域之间可以通过信任关系来传递身份验证,甚至同步AD数据库内容。
  • 信任是有方向性(双/单向)、可传递的

单个域

就是一个域。考虑到单个域可能会扩张为森林,微软把单个域也叫做森林

域树

通过域名实现上下级关系的树形关系,树内各结点的域自动建立双向信任关系。如:

        A.com
       /      \
a.A.com    b.A.com

森林

  • a forest is a collection of one or more domain trees.
  • 森林内的每棵域树上的每个域共享AD架构schema,并且all domains trust all other domains in the same forest森林内部的信任关系自动创建

你可能感兴趣的:(活动目录基础 2020-06-17(未经允许,禁止转载))