AD域基础

AD域基础

1.什么是AD域

  • active directory 活动目录,指一组服务器和工作站的集合,域中的目录是始终呈激活可用,动态更新的状态
  • 将计算机、用户的账号密码集中放在一个数据库内,使得用户只使用一个账号和密码就能够访问网络中的其它资源

2.AD域和工作组的区别

  • 工作组: 分散的管理模式(各主机地位平等,没有管理与被管理之分),每一台计算机都是独自自主的,用户账户和权限信息保存在本机中。工作组网络是对等(peer-to-peer,p2p)网络技术在局域网中的应用(p2p网络主要应用于广域网中),是根据用户自定义的分组特点把网络中的许多用户计算机分门别类的纳入到不同工作组中。
  • AD域: 集中管理模式(各主机角色不平等,有管理与被管理之分),由域控制器集中管理域内用户账号和权限。账号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。
2.1 工作组特点及优缺点

特点

  • 工作组主机间是平等的
  • 管理和安全边界为各成员计算机
  • 在一个工作组网络中可以有多个工作组,不同工作组是可以相互访问的

优点

  • 安全管理简单
  • 网络性能比较高

缺点

  • 网络管理不方便
  • 网络公共应用配置比较繁琐
2.2 AD域特点及优缺点

特点

  • 域是一种基于对象和安全策略的分布式数据库系统
  • 域中的信息不是以独立文件形式存在的,而是以字段信息之类的数据形式存在。
  • 域是C/S管理模式在局域网中构建的应用
  • AD本身就是一种目录数据库系统。包括三个表格:
    Schema表:包括所有可在活动目录创建的对象信息以及他们之间的相互关系。最小但最基础的的一个表
    Link表:包括活动目录中所有对象的属性以及所有属性的关联
    Data表:包括活动目录中用户、组、应用程序特殊数据和其它数据
  • 集中管理,DC(域控制器)统一管理,统一部署
  • 默认信任
  • 集中存储
  • 单点登录(Single Sing On,SSO)
  • 支持漫游配置

优点

  • 方便管理
  • 安全性高
  • 网络访问方便
  • SMS能够分发应用程序、系统补丁等
  • 可拓展性大,微软ISA服务器,邮件服务器都依赖于域环境

缺点

  • 需要有专门的高性能服务器
  • 安全配置更复杂

3.为什么要做AD域管理

存在的问题:

  • 数据保护不安全
  • 权限分配不合理
  • 资源访问不统一
  • 内网接入无保护
  • 资源访问无控制

AD域管理的好处:

  • 数据信息的安全性
  • 权限分配的严格性
  • 资源访问的统一性
  • 数据访问的可靠性
  • 资源访问的便利性
  • 资源使用的规范性
  • 集中管理的简化性

4.AD域可以做什么

  • 一对一
    一个员工对应一个账号
  • 一对多
    一个账号对应多个应用
  • 多对一
    多个账户多个组对应一个资源,账号和账号、组和组的权限各不相同
  • 多对多
    多个账户多个组对应多个资源,账号和账号、组和组的权限各不相同
  • 内网安全保护
    若没有公司分配的账号,则无法接入公司内网
  • 数据安全保护
    公司或部门内的公共信息和资源,只有公司或部门内的人员哟访问、修改、删除、下载等权限
  • 管理统一集中
    内部员工计算机账号密码保存在服务器端,由服务器集中管理
  • 资源统一集中
    共享文件夹,共享打印机,软件安装、升级,系统升级都由域控来完成,用户只需要安装即可
  • 权限统一集中
    按照公司部门组织结构,分级进行权限分配,可按照部门或者组分配不同权限
一 为什么需要 对很多刚开始钻研微软技术的朋友来说是一个让他们感到很头疼的对象。 的重要性毋庸置疑微软的重量级服务产品基本上都需要的支持很多公司招 聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但对 初学者来说显得复杂了一些众多的技术术语例如Active Directory站点 组策略复制拓扑操作主机角色全局编录….很多初学者容易陷入这些技术 细节而缺少了对全局的把握。从今天开始我们将推出Active Directory系列 博文希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要这个管理模型众所周知微软管 理计算机可以使用和工作组两个模型默认情况下计算机安装完操作系统后是 隶属于工作组的。我们从很多书里可以看到对工作组特点的描述例如工作组属 于分散管理适合小型网络等等。我们这时要考虑一个问题为什么工作组就不 适合中大型网络呢难道每台计算机分散管理不好吗下面我们通过一个例子来 讨论这个问题。 假设现在工作组内有两台计算机一台是服务器Florence一台是客户机Pert h。服务器的职能大家都知道无非是提供资源和分配资源。服务器提供的资源 有多种形式可以是共享文件夹可以是共享打印机可以是电子邮箱也可以 是数据库等等。现在服务器Florence提供一个简单的共享文件夹作为服务资源 我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国注意 这个文件夹只有张建国一个人可以访问那我们就要考虑一下如何才能实现这个 任务一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户 账号如果访问者能回答出张建国账号的用户名和密码我们就认可这个访问者 就是张建国。基于这个朴素的管理思路我们来在服务器上进行具体的实施操作。 首先如下图所示我们在服务器上为张建国创建了用户账号。 然后在共享文件夹中进行权限分配如下图所示我们只把共享文件夹的读权限 授予了用户张建国。 好接下来张建国就在客户机Perth上准备访问服务器上的共享文件夹了张 建国准备访问资源\\Florence\人事档案服务器对访问者提出了身份验证请求 如下图所示张建国输入了自己的用户名和口令。 如下图所示张建国成功地通过了身份验证访问到了目标资源。 看完了这个实例之后很多朋友可能会想在工作组模式下这个问题解决得很好 啊我们不是成功地实现了预期目标嘛没错在这个小型网络中确实工作组 模型没有暴露出什么问题。但是我们要把问题扩展一下现在假设公司不是一台 服务器而是500台服务器这大致是一个中型公司的规模那么我们的麻烦 就来了。如果这500台服务器上都有资源要分配给张建国那会有什么样的后 果呢由于工作组的特点是分散管理那么意味着每台服务器都要给张建国创建 一个用户账号张建国这个用户就必须痛不欲生地记住自己在每个服务器上的用 户名和密码。而服务器管理员也好不到哪儿去每个用户账号都重新创建500次如果公司内有1000人呢我们难以想象这么管理网络资源的后果这一切 的根源都是由于工作组的分散管理现在大家明白为什么工作组不适合在大型的 网络环境下工作了吧工作组这种散漫的管理方式和大型网络所要求的高效率是 背道而驰的。 既然工作组不适合大型网络的管理要求那我们就要重新审视一下其他的管理模 型了。模型就是针对大型网络的管理需求而设计的就是共享用户账号计 算机账号和安全策略的计算机集合。从的基本定义中我们可以看到模型的 设计中考虑到了用户账号等资源的共享问题这样中只要有一台计算机为公司 员工创建了用户账号其他计算机就可以共享账号了。这样就很好地解决刚才我 们提到的账号重复创建的问题。中的这台集中存储用户账号的计算机就是控 制器用户账号计算机账号和安全策略被存储在控制器上一个名为Active Directory的数据库中。 上述这个简单的例子说明的只是强大功能的冰山一角其实的功能远远不止 这些。从下篇博文我们将开始介绍的部署以及管理希望大家在使用过程中逐 步增加感性认识对有更加深入及全面的了解能够掌握好Active Director y这个微软工程师必备的重要知识点。 二 二二 二
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值