Active Directory觀念篇 (Windows 2012)

Active Directory

開始於2000年 ←來自1992 Novell NDS ←階層(除帳號密碼外的資訊) Directory Service

網域服務的適用範圍

Directory Service

·         目標：Single Sign On(單一登入)

·         目標：限制/管理clients

NameSpace  ←命名的規則

·         AD的命名規則─參考DNS  ex: abc.edu.tw  一定要含有"." (不支援flat name)

Object 物件                屬性(欄位)

不同類型

·         Domain

·         OU

·         Gruoup

·         User              UserName | 密碼 | 部門 | 相關資料

·         Computer

OU (Organization Unit)組織單位

·         用來表達部門、地點、專案

·         管理範圍的委派

·         套用Group Policy的範圍

Domain

·         驗證的範圍

·         Single Sign On

·         1.登入畫面  Username  domain\name

·         6.建立Access Token

·         User SID

·         所屬群組

·         權利

·         7.利用Token直接登入Server

Domain Tree

·         一個Domain放很多帳號  or  帳號分散在不同Domain  or

·         新組織視為一個OU

·         Domain數量越少越好

Trust信任

·         多個Domain 之間的Single Sign On

Forest

from:Wikipedia

·         AD的範圍

·         一個AD的Forest最多可以建立 40億 個帳號

·         一個AD的Domain最多可以建立 10億 個帳號

·         ex: Hotmail信箱以AD為架構 目前帳號數量超過 8億

·         ex: Skype、Office 365

Domain Controller

·         Schema：定義物件及屬性

·         Configuration：AD的設定

·         Domain：網域中的物件, ex帳號、電腦....

·         Appliction：DNS, (應用程式partition，透過DC複寫到其他位置)

·          

雙向複寫及RODC

·         RODC (Read-Only DC)不用作備份，放在分公司(分校)  壞了，重灌就好

可重新啟動的AD DS  (可以遠端不用重新開機)

·         本機

·         帳號資料庫C:\Windows\System32\config\SAM

·         電腦管理→本機使用者和群組

·         升級成DC

·         1.裝上AD DS

·         2.把\Windows\System32\config\SAM停用

·         3.建立AD DB (\Windows\NTDS\NTDS.DIT)，日後驗證都到此

·         新維護方法：1.停用AD DS     2.停用AD DB   3.啟用SAM  4.進行AD DB維護

·         舊維護方法：1.重新開機  2.進入維護模式   3.進行AD DB維護

AD資源回收桶 避免做出不可復原

Windows Server 2012 /  WS 2012 R2 兩版本 價格有差以外

Standard            Datacenter

·         功能相同

·         2 CPU / License

·         使用Hyper-V時有差異

送兩個Guest OS Licenses

                        Unlimited Guest OS Licenses

LDAP

·         為了跨平台驗證

·         DC也是LDAP Service

·         顯示階層    圖形化畫面--功能"AD使用者和電腦"

abc.com

├---Sales

|       ├--m Alex

|       └--m Ban

└---Finance

        └---team1

                └--- m Charlie

·         LDAP Distinguished Name

·         CN=Alex, OU=Sales, DC=abc, DC=com

·         CN=Charlie, OU=Team1, OU=Finance, DC=abc, DC=com

通用類別目錄 Global Catalog(GC)

====>指定GC

·         加速AD 物件查詢   多台DC下, Client隨機找DC做驗證

·         實務上每一台DC都設為GC

Site 站台

·         跨越WAN下，限制驗證的流量範圍

·         一定要有DC、DNS、GC

·         

·         IP Subnet=192.168.1.0/24

目錄分割區

·         Schema  partition

·         Configuration partition

·         Domain partition

·         Appliction partition

Domain Functional Level

·         兩台DC版本不同，仍然可以複寫，但是新的DC版本有新功能

·         限定Domain中，DC的最低版本 ex: WS 2003

Forest Functional Level

·         限定Forest中的DC 最低版本

ADLDS

·         一般DC   AD DS

·         AD的DC  (對Windows進行驗證)

·         LDAP Server (作跨平台驗證)

·         ADLDS

·         LDAP Server (只能作跨平台驗證，但不是DC所以無法對Windows進行驗證)

·         下列用到：ISA Server, TMG 2010, Exchange 2010 Edge但是都停產