linux幼儿园

  • 首页
  • 信息安全
    • 红队
    • 密码学
  • 软件
  • 硬件
  • 活动目录
  • 知识点
  • linux干货
  • linux命令集
    • 磁盘管理
    • 文档编辑
    • 设备管理
    • 网络通讯
    • 系统管理
    • 文件管理
    • 其他命令
  1. 首页
  2. 活动目录
  3. 正文

域和活动目录简介规划

2019年12月21日 64点热度 0人点赞 0条评论

1.域和活动目录简介

域和活动目录的概念

■域(Domain)

域是企业网络中人为定义的一组计算机和用户的集合,目的是为了对集合中的各种资源对象进行统一和集中的管理

■活动目录(Active Directory)

活动目录是一种数据库,通过定义域内的各种对象的属性并在逻辑上形成层次化结构,便于更有效的展示和管理

■域控制器(Domain Controller)

存放活动目录数据库的服务器,运行 ADDS(Active Directory Domain Services)服务

域和活动目录的价值

■ 强制终端计算机及用户的安全策略及桌面/应用环境,并可实现批量和自动部署,减轻IT人员日常的管理难度和工作强度

■ 域中的各类服务和资源(文件和打印共享等)的访问控制可以灵活的与企业的层次化组织架构相结合,满足复杂的权限分配等管理需求

■ 统一的身份验证手段,可与多种Windows应用服务(如Exchange、Sharepoint等)及第三方软件集成,实现单点登陆,改善用户在多业务中切换中的操作体验

域中的角色

■ 域控制器(Domain Controller,简称DC)

■ 域内的成员服务器

■ 域内的终端计算器

域控制器中的AD数据库文件

■ AD数据库文件默认保存在C:\Windows\NTDS目录中

ntds.dit              主数据文件

edb0000x.log    事务日志

ebd.chk              检查点文件

edbress000x.jrs  预留文件

■ AD数据库维护工程中必要时可进行服务启停、文件夹重定向、脱机整理、备份及恢复等操作

域控制器之间的AD数据库同步

■ AD数据库会定时或在发生改变时自动在DC之间相互同步复制,同步复制的频率和时间窗口可以配置和定义

QQ图片20190715173515.png

特殊的域控制器:RODC

■只读域控制器(Read Only Domain Controller)

RODC保存域控制器中AD数据库的只读副本

不允许在RODC本地对数据库做出更改操作

RODC适合部署在没有本地管理需求的远程分支机构

QQ图片20190715174246.png

GC(Global Category Server)

■全局编录服务器(GC)

GC是一种特殊的域控制器,一个域至少部署一台

GC用于多域环境中和其他域进行数据同步(但并不是同步全部数据,通常需要同步的数据仅占AD数据库总量的5%-10%),以便优化Exchange Server等应用的全局或跨域搜索的效率

QQ图片20190715174927.png

2.域和活动目录规划

什么时候需要多域

■一个域可以包含100万个对象,绝大多数企业在技术上只需要一个域

■出现以下需求情况时可能需要考虑多域部署:

IT管理政策上需要有分离或独立的IT管控边界

公司重组或合并等原因影响到域的变化

域的改造和迁徒需要同时新旧域的并存

QQ图片20190715175427.png

多域的分布式架构

QQ图片20190716093511.png

■一个域林中可以包含多个域,一个域中可以包含多个子域

■父域和子域的命名空间(FQDN域名后缀)需保持相同和连续

多域中的术语

■域林(Domain Forest)

域林由一个或多个没有形成连续命名空间的域树组成

■域树(Domain Tree)

域树由多个域使用连续命名空间的域组成

■树根域(Tree Root Domain)

域树中的第一个域为树根域,可作为父域在其下创建多个或多级子域

■林根域(Forest Root Domain)

林根域是域林中创建的第一个域,域林中只有一个林根域

林根域在整个域林中有重要地位,影响到其他域的运作

域间的信任关系

■信任关系可实现跨域的身份验证和资源访问

如果域之间没有信任关系,每个域中的用户只能访问本域中的资源

根据场景的不同,部分信任关系是默认存在的,部分是需要另行手工配置的

QQ图片20190716095723.png

站点(Site)

■站点(Site)是指同一个域内包含特定IP子网并与特定域控制器关联的网络

■部署多个站点的目的是优化站点间DC的复制同步,同时使客户端能够和就近的DC优先通信,优化登陆验证的操作

QQ图片20190716100906.png

域的规划建议

■域的规划没有统一的标准,但建议尽可能简化

■企业规模、网络带宽、IT管控界面、法律或政治要求、公司并购计划等是常见的考虑因素

QQ图片20190716101608.png

活动目录的规划

■OU层次化结构规划

■用户和计算机命名规范

■组的规划

■AD管理权限的规划

QQ图片20190716102034.png

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可
标签: 域和活动目录简介规划
最后更新:2019年12月21日

jcghaier

from zero to hero

打赏 点赞
< 上一篇
下一篇 >

文章评论

取消回复
最新 热点 随机
最新 热点 随机
windows入侵检查流程 安全事件应急响应工具箱 利用腾讯轻量服务器搭建FRP服务 Windows局域网渗透(IPC$管道) 国内三大运营商宽带线路及分级介绍(联通篇) Windows Server 2012 R2 辅助域控制器搭建
windows入侵检查流程
lspcmcia命令 - 显示扩展的PCMCIA调试信息 tsar命令 - 收集服务器系统信息 ispell命令 - 用于拼写检查程序 xfs_info命令 - 查看xfs文件系统的具体信息 pine命令 - 收发电子邮件,浏览新闻组 sleep命令 - 延迟当前命令的执行
标签聚合
iptables X.509 zabbix tcp CentOS 深信服 Debian 勒索病毒 防火墙 nmap
书签
  • Linux就该这么学
  • pfschina.org
  • ruyo
  • 佐须之男
  • 大象笔记
  • 小陈博客
  • 我能过软考
  • 教父爱分享
  • 散尽浮华
  • 现代魔法学院

COPYRIGHT © 2020 linux幼儿园. ALL RIGHTS RESERVED.

THEME KRATOS MADE BY VTROIS

51la