PHP操作AD域入门(一)

AD与LDAP,域和用户组

LDAP

LDAP(Lightweight Directory Access Protocol)——轻量目录访问协议。实际上是在X.500标准基础上产生的一个简化版本。
简单的说,它更像是用于访问ldap服务器的功能集,而ldap服务器相当于一个数据库,通过该协议我们能够方便的像操作数据库一样操作ldap服务器上的数据。

下面给出几个重要的概念

dn :一条记录的位置
dc :一条记录所属区域
ou :一条记录所属组织
cn/uid:一条记录的名字/ID

示例:我在公司中的dn为:

dn = "cn=MyName, cn=Users, dc=CompanyName, dc=com"

更复杂点的,ou介于cn和dc之间,用于更加细致的划分。

AD(Active Directory)——活动目录。AD是微软对LDAP协议的一个实现实例。

AD = LDAP服务器 + windows域控制器

LDAP服务器用于存储一些必要的信息,基于这些信息,域控制器实现对域的一系列管理。
那么如何查询到这些信息呢,以查询本域中所有用户为例:

dsquery user -name *

显示结果为所有用户的dn。

域和用户组的区别

微软管理计算机有两个模型——域和工作组。
工作组属于分散管理,适合小型网络。But Why?服务器的功能无非就是共享资源和分配资源,以共享文件夹为例,当服务器要将该资源分配给某用户(如“小明”)时,基于工作组模型采取的操作是在本服务器上创建一个“小明”的用户账号并将共享文件夹的访问权限授予该账号。乍看之下非常合理,但如果将公司的规模扩大,不是只有一台服务器而是成百上千台。我们要做的就是在每台服务器上为“小明”创建账号以管理和分配资,这就是分散管理,适用于小型网络。在大型网络环境中,这种方法不仅繁琐而且难以保证信息的一致性,试想本公司的一个“小明”员工对应着成百上千个“小明”账号,在某个服务器上信息一旦变更,很难保证众多其他服务器上的信息同步。
域模型就是针对大型网络的管理需求而设计的,域就是共享用户账号,计算机账号和安全策略的计算机集合。域中有专门的域控制器来集中储存和管理用户账号信息,用户可以在域中任一计算机登录自己的账号。将用户管理这一功能从各个服务器中分离出来,使用专门的服务器集中处理。

参考:Active Directory教程——岳雷老师博客

你可能感兴趣的:(LDAP,ad)