简介
目录服务?
提供服务,让用户能够很容易在目录directory内查找所需的数据
AD域内的directory database(目录数据库)
提供目录服务的组件就是AD DS域服务
AD DS负责目录数据库的存储、新建、删除、修改与查询等工作
含义
用来存储用户账户、计算机账户、打印机与共享文件夹等对象
6.1.1 AD适用范围scope
可以用在一台计算机、一个小型局域网或多个广域网的结合
6.1.2 名称空间Namespace
含义
是一个界定好的区域bounded area,在此区域内,可以利用某个名称来找到与此名称有关的信息
举例
例如,一本电话簿就是一个名称空间,在这本电话簿内(界定好的区域内),可以利用姓名来找到此人的号码、地址与生日等数据
AD DS域服务也是一个名称空间,利用AD DS,可以通过对象名称来找到与此对象有关的所有信息
6.1.3 对象Object与属性Attribute
对象
AD DS内的资源是以对象的形式存在,例如用户、计算机等
属性
对象是通过属性来描述其特征,也就是说对象本身是一些属性的集合
6.1.4 容器Container 与组织单位OU
容器
容器与对象相似,也有自己的名称,也是一些属性的集合,不过容器可以包含其它对象,也可以保护其它容器
组织单位
是一个特殊的容器,除了包含其它对象与组织单位之外,还可以应用组策略
AD DS是以层次结构将对象、容器与组织单位等组合在一起,并将其存储到AD DS数据库内
6.1.5 域树 Domain Tree
可以搭建多个域的网络,以域树domain tree的形式存在
域树符合DNS域名空间的命名原则,有连续性,也就是 子域的域名包含父域的域名
6.1.6 信任(Trust)
域之间必须拥有信任关系trust relationship,才可以访问对方域内的资源
而任何一个新的AD DS域被加入到域树后,这个域自动信任其上层的父域,同时父域也会信任此新子域,而且这些信任关系具备 双向传递性
此信任工作通过Kerberos security protocol来完成,因此也被称为 Kerberos trust
6.1.7 森林(Forest)
森林是由一个或多个域树所组成,每一个域树都有自己唯一的名称空间
例如,其中一个域树中每一个域名都是以a.local结尾,而另一个都是以b.local结尾
6.1.8 架构Schema
例如,它定义了“用户”对象类型中包含哪一些属性、每一个属性的数据类型等信息
隶属于 Schema Admins组的用户可以修改“架构”中的数据
应用程序也可以自行在“架构”中增加其所需要的对象类型或属性
6.1.9 域控制器Domain Controller
一个域内可以有多台域控制器,每一台地位几乎是平等的,各自存储着一份相同的AD DS数据库
当在任何一台域控制器内新建了一个用户后,该账户默认是被建立在此域控制器的AD DS数据库,之后会自动复制到其它域控制器的AD DS数据库,以便让所有域控制器的AD DS数据库都能够同步。
6.1.10 轻量级目录访问协议 Lightweight Directory Access Protocol,LDAP
LDAP是一种用来查询与更新AD DS数据库的目录服务通信协议
AD DS利用 LDAP名称路径 来表示对象在AD DS数据库中的位置,以便访问AD DS数据库中的对象
LDAP名称路径包含
GUID
GUID是一个128bit的值,系统会自动为每一个对象指定一个唯一的GUID
UPN
例如,林小洋属于sayms.local,则其UPN为bob@sayms.local
6.1.11 全局编录Global Catalog
为了让用户、应用程序能够快速找到位于 其它域内的资源,在AD DS内设计了全局编录
全局编录的数据是存储在域控制器内的,这台域控制器被称为“全局编录服务器”
存储森林内所有域的AD DS数据库内的每一个对象的部分属性,这些属性都是供搜索使用的常用属性
6.1.12 站点Site
"站点"是由一个或多个IP子网所构成,子网之间高速且可靠的连接在一起
域是逻辑分组,而站点是物理的分组。 在AD DS内每一个站点中 可能包含多个域; 而一个域内的计算机也可能 分别散布在不同的站点中。
