身份验证:对象&对象信息,数据库,网络协议
本地身份验证:SAM文件-本地数据库
对象:用户名-SID
网络身份验证(AD(数据库)DS(身份验证服务))
授权:对象(用户和组),资源,ACL列表
对象:确认用户和组的关系-集中管理
资源:被访问的对象-将该对象的信息(标识)保存到网络的数据库中,进行集中管理
ACL列表:在每个资源上必须配置-在网络中的数据库中,集中管理对象和资源的访问列表
逻辑组件(AD数据库)
分区(Partition):在AD数据库中的不同类型的数据,进行集中分类保存,不同类型的数据所在数据库的区域,AD数据库分区
分区定义
架构(Schema)分区:对象的属性定义和分类
配置(Configuration)分区:AD的配置和其他和AD有关的配置信息
域(domain)分区:AD数据库的对象(用户,组,共享文件夹,计算机)
应用程序(application):保存其他应用的信息(DNS)
域(Domain)AD DS:
AD数据库:集中管理指定区域的对象和资源
数据库管理的范围-逻辑区域
安全边界-每个数据库都有唯一的最大权限的管理员-数据库管理员不能够跨数据库管理
为其他应用提供身份验证服务
树(Tree):一个以上域关系,使用相同的DNS名称后缀的域关系
多域环境:
业务角度:组织中的其他可以独立管理权限(独立采购)
技术角度:当前AD数据库的文件过大
业务类型相同:
域名称:
客户端通过DNS服务查询到AD域服务,AD的数据库和服务器的命名必须按照DNS的命名规范
森林(Forest):一个域或者多个域代表一个组织
森林中域的名称根据相互组织内部的业务范围
域的名称可以相同的DNS后缀(域树),也可以使用不同的名称
定义组织中的域是否属于同一个森林
组织中属于同一个森林的域的AD数据库中,架构和配置分区相同
架构和配置分区相同:当应用或者配置对架构和配置分区进行修改时,会产生全林复制
组织中同一个森林的域在创建时,会自动创建信任关系
信任关系:森林内部任意一个域的用户可以登陆任意域的计算机
组织单位(OU):
在AD数据库的域分区中,根据企业内部的组织结构很分类,对域中的对象进行分类管理,重新定义AD数据库中的对象在AD数据库的位置
在部署组策略时,OU为组策略部署的最基本的单位
定义委派:指定一个普通的AD用户具备指定的AD权限
容器(Container):
AD中的容器,是指AD对象默认或者手动定义的位置,通过默认或者手动创建的容器区分(文件夹)
属性:cn=zhangsan,ou=it,dc=contoso,dc=com
物理组件
数据存储(data store):AD数据库文件,和其他文件夹
NTDS.dit--使用NTDSutil工具进行维护
共享文件夹(137,138,139,445)
域控制器(Domain Controller)(DC):承载和维护AD数据库,为其他的对象提供身份验证服务,和其他的域控制器实现AD数据库的副本同步(复制)
一个AD域环境(数据库):至少两个DC进行部署,实现双机热备
全局编录服务器(Global Catalog server)(GC):由DC升级而来,GC的AD数据库中,域分区中的对象为整个森林中的所有对象和部分属性,为指定的应用(Exchange)提供快速查询功能
只读域控制器(Read-Only Domain Controller,RODC):RODC的AD数据库只能接收其他指定DC的AD数据库中的内容,当只读域控制器中的数据库发生变化时,也不会同步到其他的可写的DC中
只收不向其他DC同步数据库
角色分离:可以指定普通用户登陆RODC进行服务器维护,无法修改和配置AD数据库的内容
密码缓存:RODC默认不保存任何AD用户的密码凭据,可以定义指定的用户组缓存到指定的RODC中,方便用户快捷登陆
站点(site):
当企业的规模在多个地理位置时,为了在IT中区分和定义不同的地理位置,通过IP子网进行定义
AD站点:
由于组织在不同地理位置中需要AD域服务器,所以在不同的地理位置,定义IP子网和域控制器为站点的基本组成-域控制器(DC)+IP子网-绑定
帮助AD的客户端通过站点定义不同的地理位置-优化登陆
帮助DC当AD数据库发生变化时优化复制
AD站点配置保存到AD数据库的配置分区,同步到和AD数据库集成的DNS区域数据库中,当客户端通过DNS查询时,可以查到不同站点的信息
AD管理工具
AD管理中心
基于新的图形界面的管理工具,具备常用的管理功能,自动将所有操作已Powershell命令作为历史记录,供使用者学习Powershell
AD用户和计算机:常用的AD对象管理工具
AD站点和服务(配置分区)
AD站点的配置和管理
AD域和信任关系
查看和更改当前AD森林结构
查看和更改当前AD森林&域-功能级别
当前森林&域环境中,AD域控制器(DC)的操作系统的最低版本-只能升级,无法降级
当定义高的功能级别后
支持AD的一些新功能
当前DC的操作系统低于当前AD的功能级别时,该DC停止工作
定义低功能级别时
可以兼容低版本操作系统的域控制器
功能级别的范围:
如果定义森林功能级别过高,导致整个森林中的所有域的域控制器的操作系统的版本,必须升级
UPN后缀
当用户使用了UPN后缀后,仅可以使用UPN类型的用户名登陆加入域的计算机对象
ADSI编辑器
用于AD数据库的功能:架构,配置和域分区进行编辑
AD架构管理工具
MMC管理控制台
创建属性,定义哪些对象属性复制到全局编录(GC)服务器
命令行管理工具
基于CMD的AD管理命令
基于Powershell的AD管理命令
AD客户端登陆
DNS解析
定义当前AD客户端的站点
查询和当前AD客户端相同站点的SRV记录-身份验证KDC验证
返回给客户端支持AD身份验证服务的主机
AD客户端连接
本地客户端必须启用netlogon服务
本地客户端必须能够通过共享访问域控制器的netlogon的共享文件夹
创建KDC连接,传递凭据,实现登陆
操作主机(FSMO、OM、MO)
默认环境中,所有的域控制器为可写域控,域控制器之间定义为“多主复制”
有些特殊的AD配置,需要指定角色的域控制器变更,该域控变更后,会同步到其他域控制器“单主复制”-定义决策需要唯一的角色来定义
操作主机角色-可以定义在当前AD森林中任意的标准的可写域控制器(DC)
角色-在指定的范围中,具备唯一性
林范围:组织唯一
域范围:当前域唯一
主机角色-
架构主机(schema master)-林范围唯一
架构扩展(添加AD属性)-
可以在任意域控制器中扩展架构
扮演架构主机角色的域控制器必须在线
登陆域控制器的用必须为架构管理员组(Schema admins)成员
域命名主机(Domain Name master)-林范围唯一
当森林中创建新的AD域时,由扮演该角色的域控制器定义该AD域的名称是否通过
PDC仿真主机-域范围唯一
同步当前域中的AD数据库的对象的密码和当前域的事件
基础结构主机-域范围唯一
当前AD域的基础架构(域控制器的数量,配置)
扮演基础结构主机的域控制器不能定义为全局编录服务器(GC)-如果定义-GC的功能会停止
RID主机-域范围唯一
为AD对象分配唯一的标识GUID+SID
新建AD用户、计算机加入域等待都需要扮演RID主机角色的域控制器分配相关的标识符
管理和配置操作主机角色
查询当前操作主机角色
Netdom query fsmo
管理和配置:
当扮演指定角色的主机故障&离线时,需要抢夺
当域控制器的操作系统升级时(部署新版本操作系统的域控制器),需要迁移
AD域升级:原有AD域的域控制器,按照新的版本的服务器操作系统(windows Server 2016)
扩展当前AD域的属性(扩展架构)
提升按照新版本系统的服务器为额外域控制器
迁移操作主机角色到新的域控制器中
定义共存周期(一周)(旧版本的域控制器进行完整备份)
将旧版本系统的DC卸载AD域服务器,和退域操作
操作数据的传输和抢夺
NTDSutil工具
部署域控制器
基本部署域控制器
本地部署
通过图形界面,安装额外的域控制器
服务器准备:域控制器的名称定义(计算机命名规范)
公司简称+业务(可选)+地理位置+编号
网络:必须配置静态的IP地址,定义DNS
已经为域成员服务器(加域状态)&工作组状态
部署过程:
安装AD域服务角色
提升当前服务器为域控制器
远程部署(Server Core)
初始化Server Core系统密码
使用命令行工具,进行初始化配置(计算机名称,网络地址信息,域环境)
在其他域控制器使用“服务器管理器”进行远程的配置和管理
介质安装域控制器
在正常的可写域控制器中,使用NTDSutil工具,创建AD数据库base介质用于安装域控制器
除了创建AD数据库的base介质外,默认在创建前自动将AD数据库进行整理
安装条件:不同地理位置间的带宽较低,当前AD数据库(NTDS.dit)体积较大
安装过程中,选择使用介质安装AD域控制器
只读域控制器(RODC)
组织的分支机构必须放置域控制器,不需要给该分支机构过大的权限去管理AD
准备:AD准备:
创建“预安装的RODC的计算机账户”
创建一个未来需要配置为RODC的计算机账户,为只读域控制器
服务器准备
计算机名称:计算机名称必须和“预安装的RODC的计算机账户同名”,为工作组状态
网络和系统准备:配置网络信息,安装好AD域服务器角色
克隆域控制器
配置克隆域控制器权限组
生成克隆域控制器配置文件
封装虚拟机的域控制器
导出该虚拟机
复制虚拟机
生成新的域控制器
配置新的克隆域控制器