做网站带吗,WordPress能够做小说网站吗,网络推广招聘信息怎么写,做网站维护要多少钱一年目录
LDAP协议
LDAP基本概念
LDAP目录的数据结构
LDAP交互过程以及相关报文
AD#xff08;Active Directory#xff09;
AD基本概念
AD域与工作组、本地组的区别
AD DS#xff08;AD域服务#xff09;
信任关系
组策略和安全组 LDAP协议
LDAP基本概念
LDAPActive Directory
AD基本概念
AD域与工作组、本地组的区别
AD DSAD域服务
信任关系
组策略和安全组 LDAP协议
LDAP基本概念
LDAPLightweight Directory Access Protocol轻量级目录访问协议是在X.500标准基础上产生的一个简化版本省去了x.500中许多不太常用的功能并且使用TCP 389端口号
LDAP是一种用于访问和维护分布式目录服务器的开放标准协议提供了一种标准的方法来查询和管理目录信息
LDAP目录的数据结构
LDAP定义的关于目录的数据组织结构与普通数据库不同LDAP是一种有层次的树型结构
在一个目录服务系统中整个目录信息集可以表示为一个目录信息树在树根一般定义为国家cCN或域名dccom再往下则往往定义一个/多个组织单元OU在定义OU时要避免从一个OU向另一个OU移动LDAP记录
树中的每一个节点就是一个条目每一个条目就是一条记录每条记录都有唯一的名称也就是DN例如DN可以取这样的值DN: CNuser1, OUou2, DCcti, DCsupport 从树形结构中引申出的专业术语 关键字 英文全称 含义 DIT Directory Information Tree 整个树就被称为目录信息树也就是DIT DC Domain Component 域名的部分其格式是将完整的域名分成几部分如域名为example.com变成dcexample,dccom一条记录的所属位置 OU Organization Unit 组织单位组织单位可以包含其他各种对象包括其他组织单元如“oa组”一条记录的所属组织 CN Common Name 公共名称如“Thomas Johansson”一条记录的名称 DN Distinguished Name 一条记录(条目)的唯一标识LDAP协议就是基于这个唯一的标识来查询和操作数据 “uidxx,ouxx,dcxx,dcxx” Attribute ------- 一个条目包含多个属性代表这个条目的部分信息 UID User Id 用户ID songtao.xu一条记录的ID SN Surname 姓如“许” RDN Relative dn 相对辨别名就是条目的名字 类似于文件系统中的相对路径它是与目录树结构无关的部分
LDAP交互过程以及相关报文
LDAP报文类型
Bind Request 绑定请求
Bind Response 绑定响应
Unbind Request 解除绑定请求客户端通知服务器终止LDAP会话
Unbind Response 解除绑定应答
Search Request 搜索请求
Search Result Entry 查询结果返回报文包含查询得到的匹配的DN
Search Res Done 服务器返回给客户端的查询状态success 表示查询成功referral表示此LDAP服务器没有要查询的DN
Search Res Ref 服务器返回给客户端供参考的查询结果如果LDAP服务器存储了其他LDAP服务器的目录信息且查询的Base-DN一致那么此报文信息中会列出其他LDAP服务器的URL地址
LDAP交互过程
1、客户端解析加入域的域名对应的IP地址需要DNS服务器上有关于该域名所对应的IP
2、客户端发起三次握手与服务端建立连接
3、客户端发送Bind Request报文和服务器建立连接并绑定账号密码服务端通过Bind Response报文确认认证结果
4、客户端发送Search Request请求查询服务器的目录信息服务端通过Search Result Entry和Search Res Done显示查询结果和查询状态
5、客户端通过发送Unbind Request断开和LDAP服务器的连接服务器收到后释放与客户端的会话并回应Unbind Response不需要四次挥手 ADActive Directory
AD基本概念
AD介绍
ADActive Directory活动目录用来存储有关网络对象的信息并且让管理员和用户能够轻松的查找和使用这些信息
AD域内的Dierctory Database目录数据库用来存储用户账号、计算机账户、打印机、共享文件夹等
AD域内的Active Directory Domain ServiceAD域服务简称AD DS用来提供目录服务负责目录数据库的存储、添加、删除、修改和查询等操作
AD和LDAP的关系
我们通过LDAP协议了解到目录是一种有层次的树形结构该结构可以用来存储网络上的对象的相关信息例如用户账号密码、邮箱、电话号码等信息
而AD是用来存储目录相关信息并提供目录服务的可以理解为AD就是分布式目录服务器然后通过LDAP从AD中提取/载入/管理目录信息
目前较常见的用于提供目录服务存储目录信息的产品
IBMIBM Dierectory Server
MicrosoftActive Directory
SUNSUNONE Dierectory Server
AD域与工作组、本地组的区别
什么是工作组
在还没有域的概念的时候就通过工作组来将将不同的电脑按功能分别列入不同的组中以方便管理与运维我们默认都加在WORKGROUP工作组下
现在随着域的推广使用工作组基本上已经不再使用了
什么是本地组
本地组网是同网段内机器通过网上邻居建立的计算机组本地组内用户可以共享文件打印机等
AD域、工作组本地组的区别
可以把域当做工作组的升级版可以实现工作组的所有功能
管理模式上
AD域是集中管理模式AD域可以将用户登录的账号密码都统一存放在域控制器上即某个用户的账号密码可以在同一域的任何一台计算机登录实现用户漫游工作组是分散管理模式对于用户登录的账号密码都是存放在用户本地的本地组网是同网段内机器通过网上邻居建立的计算机组本地组内用户可以共享文件打印机等
范围方面
AD域是跨计算机的
工作组是针对同一局域网内的多台计算机实施管理和文件共享
本地组是针对同一网段内的多台计算机实施管理和文件共享
AD DSAD域服务 AD DS提供了一个集中式的系统用于管理网络上的用户、计算机和其它资源能够实现目录数据库的存储、添加、删除、修改和查询等操作 AD DS的组成 物理组件 域控制器DC、只读域控制器RODC、全局编录服务器GC 逻辑组件 分区、架构、域Domain、域树Tree、林Forest、站点、组织单元OU 各个组件的介绍 域控制器 安装了AD服务的服务器承载域内所有目录信息的完全副本并且可以被网络应用程序或服务所访问 该域控制器能够提供身份验证和授权服务、将更新复制到域和林中的其他域控制器、并且允许在服务器上管理用户账户和网络资源 一个域至少要拥有一台域控制器每一台域控制器都拥有它所在域的目录的一个可写副本 全局编录服务器 一种特殊的域控制器存储了林中所有目录信息的有效副本不过仅包含林中每个对象的有限属性--最常搜索的属性也存储该服务器所在域的所有目录信息的完全副本 通过全局编录服务器可以提高搜索对象的效率避免了不必要地引用域控制器 并且全局编录服务器是用户登录到域中所必需的 一个林内的所有域共享相同的全局编录一个林内第一台域控制器就是默认的全局编录服务器 只读域控制器RODC 一种特殊的域控制器它只存储域内目录信息的副本不进行任何修改 安全性得到提升一般用于分支机构 ######################################################################### 分区 分区是AD DS数据库中的逻辑结构用于将目录数据划分为逻辑组方便管理和访问 架构 架构定义了目录对象的类和属性是AD DS的基础 域Domain 域是AD DS中的安全边界是目录数据库的基本管理单位它包含了用户账户、计算机账户和其他对象 安全边界的作用就是保证域的管理者只能在该域内有必要的管理权限除非管理者得到其他域得明确授权 域树Tree 域树是由多个域组成的层次结构其中每个域都是一个安全边界 域树中的域可以分为根域父域和子域 域树内的域名有连续性 域林Forest 林是由一个或多个域树组成的层次结构它提供了一个统一的信任关系模型方便跨域访问和身份验证 林中的树并不共用相同的连续的名字空间即多个域树的域名无连续性但又有信任关系 站点 站点是AD DS中的逻辑结构代表一个网络位置通常是由一个或多个通过TCP/IP连接起来的子网组成同一个站内的网络通信是可靠快速和高效的用于组织和管理域控制器、全局编录服务器等物理组件 作用 优化复制流量 使用户能够使用可靠、高速的连接登录到域控制器上 组织单元OU 组织单位是包含在AD DS的一个容器对象是可以指派组策略设置或委派管理权限的最小作用单位 注意事项 组织单元可以将用户、组、计算机和其他单元放入AD DS的容器中 组织单元不能包括来自其他域的对象 信任关系
信任关系是网络中不同域之间的一种内在联系。只有在两个域之间创建了信任关系这两个域才可以相互访问
信任关系的建立
自动建立
创建域树和域林时域树的根域和子域之间域林的不同树根之间都会自动创建双向的、传递的信任关系林和林之间不会自动建立 手动建立
如果希望两个无关域之间可以相互访问或从对方域登录到自己所在的域也可以手工创建域之间的信任关系
在win2000之间不允许在林和林之间建立信任关系在这之后允许
信任关系的特点
域信任关系是有方向性的如果A域信任B域那么A域的资源可以分配给B域的用户但B域的资源并不能分配给A域的用户如果想达到这个目的需要让B域信任A域才可以
域的信任关系的主动权掌握在被信任域手中而不是信任域
组策略和安全组
安全组本地安全策略
安全组是定义资源和对象权限的任意访问控制列表DACL中的组windows的安全组策略其实就是组策略中关于安全设置的一部分囊括了账户安全策略、windows防火墙配置等配置目录
安全组也可以理解为一个权限等级加入到某个安全组就有该安全组所赋予的权限
在运行栏输入secpol.msc 打开安全组更改安全组之后再重新登录windows用户后生效
在安全组中可以更改账户策略、密码策略、本地策略等
组策略和安全组的关系
组策略和本地安全策略都是在Windows系统中进行安全配置的工具两者的主要区别如下
第一本地安全策略主要关注系统的安全配置包括审核策略、用户权限分配等而组策略覆盖了更广泛的系统、软件和硬件配置
第二组策略包括本地安全策略的所有内容组策略是本地安全策略的扩展
组策略—一般直接配置组策略不会再额外配置安全组
Windows系统的一个策略集能够控制用户在计算机上可以做什么、不可以做什么
该策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置
例如通过组策略施行密码复杂性策略避免用户选择过于简单的密码
例如通过组策略允许或阻止身份不明的用户从远程计算机连接到网络共享
例如通过组策略阻止访问Windows任务管理器或限制访问特定文件夹
组策略类型
计算机配置对计算机所有用户都生效的组策略
用户配置只对当前用户生效的组策略
打开组策略
运行模式下gpedit.msc
组策略更新
当修改组策略后可以通过gpupdate /force来强制更新组策略
组策略默认90分钟刷新一次随机偏移30分钟在域控制器上组策略每隔5分钟刷新一次
组策略对象处理顺序从上到下
本地任何在本机计算机上的设置
在Windows Vista之前每台计算机只能有一份本地组策略
在Windows Vista和之后的Windows版本中允许每个用户帐户分别拥有组策略
站点任何与计算机所在活动目录站点关联的组策略
活动目录AD提供了一种集中式的方式来管理和组织网络中的计算机和用户
活动目录站点代表一个网络位置通常是由一个或多个通过TCP/IP连接起来的子网组成同一个站内的网络通信是可靠快速和高效的
如果多个策略已链接到一个站点将按照管理员设置的顺序处理
域任何与计算机所在Windows域关联的组策略
如果多个策略已链接到一个域将按照管理员设置的顺序处理
组织单元任何与计算机或用户所在的活动目录组织单元OU关联的组策略
OU是帮助组织和管理一组用户、计算机或其他活动目录对象的逻辑单元
如果多个策略已链接到一个OU将按照管理员设置的顺序处理
