526互联

AD域服务

发布时间 2023-06-18 13:41:10作者: 小宇彦~

AD域服务器的作用是: 

1、安全集中管理,统一安全策略。

2、软件集中管理,按照公司要求限定所有机器只能运行必需的办公软件。

3、环境集中管理,利用AD可以统一客户端桌面,IE,TCP/IP等设置。

4、活动目录是企业基础架构的根本,为公司整体统一管理做基础。其它isa,exchange,防病毒服务器,补丁分发服务器,文件服务器等服务依赖于域服务器。

 

AD 域服务

什么是目录(directory)呢?

日常生活中使用的电话薄内记录着亲朋好友的姓名、电话与地址等数据,它就是 telephone directory(电话目录);计算机中的文件系统(file system)内记录着文件的文件名、大小与日期等数据,它就是 file directory(文件目录)。

如果这些目录内的数据能够由系统加以整理,用户就能够容易且迅速地查找到所需的数据,而 directory service(目录服务)提供的服务,就是要达到此目的。在现实生活中,查号台也是一种目录;在 Internet 上,百度和谷歌提供的搜索功能也是一种目录服务

AD域是什么:

它负责目录数据库的存储、添加、删除、修改与查询等操作。一般适用于一个局域网内。AD 就是一个命名空间(Namespace)。利用 AD,我们可以通过对象名称来找到与这个对象有关的所有信息。

 

AD域对象与属性

AD 域内的资源以对象(Object)的形式存在,例如用户、计算机与打印机等都是对象,而对象则通过属性(Attriburte)来描述其特征,也就是说对象本身是一些属性的集合。例如,创建一个账户张三,则必须添加一个对象类型(object class)为用户的对象(也就是用户账户),然后在这个用户账户内输入张三的姓名、登录账户、电话号码和电子邮件等信息,这其中的用户账户就是对象,而姓名、登录账户等数据就是该对象的属性,张三就是对象类型为用户(user)的对象

 

AD 域服务(AD DS)的目录数据存储在域控制器(Domain Controller,DC)内。一个域内可以有多台域控制器,每台域控制器的地位几乎是平等的,它们各自存储着一份几乎完全相同的 Active Directory当在任何一台域控制器内添加了一个用户账户后,此账户默认被创建在此域控制器的 Active Directory,之后会自动被复制(replicate)到其他域控制器的 Active Directory,以便让所有域控制器内的 Active Directory 数据都能够同步(synchronize)

 

LDAP(Lightweight Directory Access Protocol),轻量目录访问协议,是一种用来查询与更新 Active Directory 的目录服务通信协议。AD 域服务利用 LDAP 命名路径(LDAP naming path)来表示对象在 AD 内的位置,以便用它来访问 AD 内的对象。

LDAP 数据的组织方式: 在这里插入图片描述

 

AD 与 LDAP 的关系:LDAP 是一种用来访问 AD 数据库的目录服务协议,AD DS 会通过 LDAP 名称路径来表示对象在 AD 数据库中的位置,以便用它来访问 AD 数据库内的对象。LDAP 的名称路径包括有 DN、RDN。

openLDAP(Linux),Active Directory(Microsoft)等是对 LDAP 目录访问协议的具体实现,除了实现协议的功能,还对它进行了扩展。

全局编录

为了让用户、应用程序能够快速找到位于其他域内的资源,在 AD 域服务器内设计了全局编录(Global Catalog,GC)。

全局编录的数据存储在域控制器内,这台域控制器被称为全局编录服务器,它存储着林内所有域的 AD 内的每个对象。不过只存储对象的部分属性,这些属性都是常用来搜索的属性,例如用户的电话号码、登录账户名等。全局编录让用户即使不知道对象位于哪一个域内,仍然可以快速的找到所需的对象。

 

 

域控制器是指在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。

在计算机网络域内响应安全身份认证请求的网络服务器,负责允许发出请求的主机访问域内资源,以及对用户进行身份验证,存储用户账户信息,并执行域的安全策略。

 

Kerberso 协议 Kerberso 协议是一种计算机网络授权协议,用于在非网络安全中,对个人通信以安全手段进行身份认证。其设计目标是通过密钥系统为客户机与服务器之间提供认证服务。该协议认证无需基于主机地址的信任,不要求网络上的物理安全,并假定网络中的数据包有被篡改读取的情况下,作为一种可信任三方认证服务。 通过传统密码技术(如:共享密钥)执行认证服务。Kerberos 协议在在内网域渗透领域中至关重要,白银票据、黄金票据、攻击域控等都离不开 Kerberos 协议。

net user 查看pc用户 netst -n 查看tcpIP协议

LACP模式是采用LACP协议的一种链路聚合模式,设备间通过链路聚合控制协议数据单元(LACPDU)进行交互,通过协议协商确保对端是同一台设备、同一个聚合接口的成员接口。LACPDU报文中包含设备优先级、MAC地址、 接口优先级和接口号等系统优先级。LACP模式下, 两端设备所选择的活动接口数目必须保持一致, 否则链路聚合组就无法建立,此时可以使其中一端成为主动端, 另-端(被动端)根据主动端选择活动接口。