AD活动目录域服务技术入门

1、windowsserver2008共包含4中活动目录服务角色：

一、活动目录轻量级目录服务activedirectorylightweightdirectoryservicesADLDS

二、活动目录联合目录activedirectoryfederationservicesADFS

三、活动目录证书服务activedirectorycertificateservicesADCS

四、活动目录权限管理服务activedirectoryrightsmanamgementservicesADRMS

2、了解ADDS域

ADDS域充当对象的管理安全性边界

ADDS树由多个双向可传递信任链接的域构成

ADDS树中每一个域共享一个公共的模式和全局目录

森林是一组互联的域树，隐式的信任将每棵树的根连在一块儿构成一个公共的森林

森林是ADDS主要的组织安全性边界

3、域间的信任

信任是可传递的，可是并不意味着全部用户能够彻底得到访问权限，即便是域之间的管理员

信任权是提供一个域到另外一个域的一条路径，默认状况下并不容许访问权限从一个域传递到另外一个域

域管理员必须为另外一个域的用户或管理员下发权限，才能访问其域中的资源！

4、ADDS的认证模式

windowsNT.4使用了一种称为NT局域网管理器NTLANManagerNTLM的认证系统，这种认证方式采用散列的形式跨越网络传送加密的口令，这种认证方式随着第三方解密工具的产生，则显得很不安全

windows200020032008采用Kerberos认证方法

Kerveros不在网络上发送口令信息，比NTLM安全，可是默认ADDS并不要求Kerveros认证，由于默然创建的ADDS是与传统windows客户程序后兼容的

5、ADDS的组件

一、了解ADDS的x500根

x.500经过一种目录信息树DirectoryInformationTreeDIT定义的分布式方法来定义目录服务，从而在逻辑上将目录服务结构划分红此案在所熟悉的servername.subdomainname.domainname形式

在x.500中，目录信息跨越分层布局存储在所谓的目录系统代理DirectorySystemAgentDSA

微软根据X.500定义的不少基本原则来设计ADDS，可是ADDS与x.500不兼容

二、ADDS模式

a、模式对象：ADDS结构内的对象：用户、计算机、打印机

每一个对象有一个用于定义它的属性列表并可用于搜索该对象

eg：firstnamelastnamedepartmentemailaddress

b、扩充模式：可直接修改和扩充模式--------------提供自定义属性

c、使用ADDS服务接口执行模式修改

ADDA服务接口---------ADServiceInterfaces------------ADSI

三、定义轻量级目录访问协议LDAPlightweightdirectoryaccessprotol

ldap容许对ADDS执行查询和更新

a、ad中可分辨名称

CN=wendy,OU=mis,DC=WEN,DC=COM

b、ad中相对可分辨名称

OU=mis,DC=WEN,DC=COM

四、ADDS域控制器的多主机复制

ADDS使用DC来认证用户，DC利用多域控制器概念，每一个域包含一个域信息的主控读/写副本

对环境中的域控制器的更改都会复制到全部其余域控制器上

五、全局目录和全局目录服务器

全局目录是ADDS数据库的一个索引，包含其中内容的部分副本，仅仅复制那些经常使用于搜索操做的属性

全局目录服务器，GC，是一种特殊的DC，是包含全局目录副本的ADDS域控制器

6、windowsserver2008ADDS的改进

一、只读域控制器（Read-onlydomaincontrollerRODC）：windows2008具备使用域的只读副原本部署域控制器的能力

二、组策略GroupPolicy

三、Sysvol的DFS-R复制---windows2008功能域使用改进的分布式文件系统复制（DistributesFileSystemReplication）

四、活动目录数据库安装工具DSAMain

五、GlobalNamesDNS区域