活動目錄域 學(xué)習(xí)筆記_第1頁
活動目錄域 學(xué)習(xí)筆記_第2頁
活動目錄域 學(xué)習(xí)筆記_第3頁
活動目錄域 學(xué)習(xí)筆記_第4頁
活動目錄域 學(xué)習(xí)筆記_第5頁
已閱讀5頁,還剩4頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

本文格式為Word版,下載可任意編輯——活動目錄域?qū)W習(xí)筆記一、計算機內(nèi)的存儲結(jié)構(gòu):線性存儲,樹狀存儲(在存儲大量內(nèi)容時,檢索速度較快)二、C:\\windows\\ntds\\ntds.dit記錄的域中所有的內(nèi)容安全主體訪問安全對象域的架構(gòu)(記錄了域中存儲的元素):規(guī)定了域中可以存在哪些元素。這些元素是主體是對象這些元素有哪些屬性對象:計算機、用戶、組

三、域的存儲

活動目錄域會把所有的內(nèi)容記錄在數(shù)據(jù)庫中,形成一個目錄,這個目錄分成了五個分區(qū),用來存儲不同的內(nèi)容

1、域目錄分區(qū)〉域中的用戶和計算機以及組2、配置目錄分區(qū)〉域中的配置信息

3、架構(gòu)目錄分區(qū)〉架構(gòu):規(guī)定了域中可以存在哪些元素這些元素包括哪些內(nèi)容(安全主體、安全對象:分別具體哪些屬性)4、全局編錄分區(qū)

5、應(yīng)用程序目錄分區(qū)

四、域的組織1、統(tǒng)一的邊界的管理父域的管理員可以管理子域,子域的管理員不能管理父域或其他子域。2、分散管理,相互信任(信任邊界),實現(xiàn)跨邊界的管理,就要建立林信任關(guān)系,在多個域中建立信任關(guān)系,便利域之間的協(xié)作,同時形成一個新的管理團隊。林中有一個特別的域叫做根域,根域的管理員可以協(xié)調(diào)域之間的協(xié)作關(guān)系,使兩個及其兩個以上的域關(guān)系密切,通過傳遞性而得到的信任關(guān)系,可稱為隱性的信任關(guān)系!

五、DNS的問題使得多個管理邊界無法合并,只能是分散管理,相互信任1、活動目錄域需要DNS的支持

2、不同的二級DNS域不能合并成一個管理邊界

六、將xp參與contoso域思考:1、假使xp未配置DNS2、假使XPDNS配置錯誤

3、假使XP配置正常但域控上的DNS服務(wù)不正常會有什么結(jié)果?

1、結(jié)果:沒有DNS,AD可以正常工作,借助于(NETBIOS)NBNS缺點:(1)在互聯(lián)網(wǎng)上表現(xiàn)很差,以至于在大型網(wǎng)絡(luò)里表現(xiàn)也很差;(2)缺乏集中管理。假使使用AD+NBNS,則不利于大型網(wǎng)絡(luò)的管理,使AD的功能大打折扣,所以使用AD+DNS

假使DNS安全、可靠并且支持SRV記錄,最好能支持自動更新,可以使用不是windows下的DNS有這些功能的就可以使用

七、定義AD的需求

行政管理需求技術(shù)需求項目約束

企業(yè)的各種需求是說服領(lǐng)導(dǎo)層同意部署的最好的理由

行政管理需求

業(yè)務(wù)需求

使企業(yè)內(nèi)部的信息滾動更安全更有效率滿足公司開展的新業(yè)務(wù)

案例:海天學(xué)院為了招生部署了CRM辦公自動化系統(tǒng),這套系統(tǒng)需要AD的支持

1.2.

法律需求

技術(shù)需求

服務(wù)級別協(xié)議(SLA)

1、服務(wù)質(zhì)量承諾性能:企業(yè)的高層管理可能會指定部署的服務(wù)要滿足一定的最大訪問量和一定的響應(yīng)等待時間案例:公司會要求員工能夠在5s內(nèi)登陸到系統(tǒng),系統(tǒng)最多可以為20000人提供服務(wù)可用性:部署的服務(wù)要盡量少的產(chǎn)生故障案例:公司要求在周一到周五的白天,整套服務(wù)至少有99.98%的時間是可用的恢復(fù):在出現(xiàn)故障,影響到了服務(wù)后,在一定時間內(nèi)將性能恢復(fù)到某種程度,并最終恢復(fù)的原有水平案例:當出現(xiàn)不可抗拒的因素導(dǎo)致服務(wù)中斷時,服務(wù)可以在2小時內(nèi)恢復(fù)到10%,4小時內(nèi)恢復(fù)到50%,24小時內(nèi)恢復(fù)到原有性能

安全需求

1、服務(wù)器的物理安全

在公司的主園區(qū),會有專門的機房保證服務(wù)器的物理安全,但是在外派的分支機構(gòu),由于成本的限制,服務(wù)器經(jīng)常遭遇斷電或偷竊

2、企業(yè)業(yè)務(wù)上核心數(shù)據(jù)的存儲3、身份認證

項目約束

資源約束

可以投入的人力物力財力

時間和日程的約束

部署過程中,可能會對公司的日常辦公產(chǎn)生影響。那么部署時間要盡量避開公司業(yè)務(wù)高峰期

記錄當前環(huán)境

基礎(chǔ)網(wǎng)絡(luò)環(huán)境企業(yè)內(nèi)有多少計算機多少用戶計算機和用戶的物理分布IP地址規(guī)劃網(wǎng)絡(luò)連接已有的安全策略DNS基礎(chǔ)結(jié)構(gòu)注冊了多少域和域名有幾臺DNS服務(wù)器,服務(wù)器之間的關(guān)系由誰來管理DNS已有的活動目錄域

林創(chuàng)立出來的標志是林中的第一個域創(chuàng)立出來域創(chuàng)立出來的標志是域中的第一域控制器的架設(shè)好

搭建好域控后的檢查工作文件和文件共享netshareNTDSSYSVLOL控制臺AD用戶和計算機、AD域和信任關(guān)系、AD站點和服務(wù)、ADSIEdit、DNS、組策略管理DNSSRV記錄正向查找區(qū)域

八,部署AD

配置各種DC

1、域中的第一臺DC

2、域中的其次臺DC

1)配置TCP/IP時需要配置DNS(TCP/IP協(xié)議的配置)2)參與到域時需要與管理員的身份驗證3)定義如何與其他的DC進行數(shù)據(jù)同步4)(可選)同步DNS數(shù)據(jù)(DNS和AD數(shù)據(jù)同步)RODC的應(yīng)用場景

1)分支機構(gòu)缺乏必要的安全措施

a)密碼復(fù)制策略,敏感用戶的密碼可以選擇不存在RODC2)分支機構(gòu)缺乏必要的管理人員

a)委派一個用戶而不是管理員進行管理

3)推薦在RODC上添加一個DNS輔助區(qū)域而不是主區(qū)域林信任和安全的邊界:在分派權(quán)限時,最遠能夠分派到的位置

4、子域DC

5、林中其他域的DC

6、AD的使用和管理(安全主體訪問安全對象)

重新認識一下安全主體(標識符:與其它主體區(qū)別開SID:ADSIEdit:查看連接安全主體的SID、憑據(jù):防止安全主體之間相互冒充)SID的格式(這個安全主體的安全邊界)S-1-5-21(WINDOWS下安全標識符)-X-Y-Z(安全標識符的頒發(fā)機構(gòu)可以是本計算機)-W(相對標識符:把這個安全主體和其他的安全主體區(qū)別開),在同一計算機上的用戶和組其SID只有最終的W有不同AD中是如何保證SID的唯一性的?在域中有些任務(wù)需要嚴格地數(shù)據(jù)同步,而域中的數(shù)據(jù)同步是一種松散的數(shù)據(jù)同步,造成SID沖突,這些任務(wù)不再適合“議會式(商榷著)〞的管理方法,在這里就要使用“獨斷〞的管理方法,由一臺指定的DC來完成這個任務(wù),然后通告給其他的DC。這個指定的DC被稱為操作主機

單域中多域控的場景,域控數(shù)據(jù)基準同步,其中一臺域控為指定的操作主機。OSPF路由協(xié)議就是運用這個思想,指定一個路由器,其他路由器與此建立鄰接關(guān)系,保證了數(shù)據(jù)的一致。把任務(wù)交給一個路由器來完成,之后共享給各個設(shè)備。管理“使用者〞:用戶和組(如何實現(xiàn)認證與授權(quán))在AD中有三種主體可以和一個人對應(yīng):用戶(可以分派權(quán)限,即可以有令牌)、InetOrgPerson(可以分派權(quán)限,可以有令牌)(用戶和InetOrgPerson權(quán)限由令牌決定能否訪問某個對象)、聯(lián)系人(不可以分派權(quán)限,沒有令牌,不能訪問其他對象)。令牌:本質(zhì)上是一種基于角色的訪問控制列表(ACL),描述了這個“角色〞的權(quán)限。NTFS令牌,用戶加上分派的權(quán)限就是一個令牌。

用戶使用微軟的私有協(xié)議,InetOrgPerson使用開放式協(xié)議,可以和其他OS兼容。令牌(權(quán)限)憑據(jù)(密碼)用戶IOP聯(lián)系人安全組通訊組有有沒有有沒有有有沒有沒有沒有任何“人〞都不可以一個安全組的身份來訪問資源,配置一個用戶隸屬于某個組,這個用戶就擁有了這個組的權(quán)限。(對安全組的使用,只有令牌,沒有憑據(jù))。通訊組,聯(lián)系人作用:記錄聯(lián)系人的屬性。

全局組:在信任邊界(兩個域相互建立信任關(guān)系之后,就構(gòu)成了一個林。他們之間就是一個

信任邊界或者是安全邊界)使用的通用組:在管理邊界(只限于單個域中)使用的。用戶的幾個標識符:登錄名(與SID一一對應(yīng),全域唯一的)、顯示名(組織單位內(nèi)唯一)相關(guān)聯(lián)--姓名縮寫(不屬于標識符)。登錄名可以重復(fù)使用,即刪除后還可以分派給新用戶,SID不會再次分派。用戶對應(yīng)文件,顯示名對應(yīng)文件名,組織單位對應(yīng)文件夾

九、林信任關(guān)系

1、建立林信任關(guān)系a

2、a)允許或限制某個用戶在哪段時間內(nèi)在成員計算機上登錄(策略)b)限制用戶在那臺成員機上登錄本地域(只在本地域中有權(quán)限)通用令牌(權(quán)限)本地有其他域無有憑據(jù)(密碼)無有有全局(在整個林中都可以分權(quán)限)有不提倡在本域的對象上給其他域的組分權(quán)限,

不提倡將其他域的帳戶直接參與到本地的一個組(造成本地組的混亂)

組的成員管理以及組的嵌套(跨域的管理)

將本地的用戶參與本地的全局組將本地的用戶參與其他域的全局組

將本地的本地域組參與到其他域的本地域組將本地的本地域組參與到其他域的全局域組將本地的全局域組參與到其他域的本地域?qū)⒈镜氐娜钟蚪M參與到其他域的全局域組?(全局域組只能包含位于同一個域內(nèi)的用戶賬戶和全局域組)

使用全局組來管理用戶,使用本地域組分派權(quán)限,將全局組參與到本地域組(AGDLP)

十、使用策略管理用戶和計算機

一、GPO是組策略對

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論