Chinaunix首页 | 论坛 | 博客
  • 博客访问: 25833535
  • 博文数量: 271
  • 博客积分: 10025
  • 博客等级: 上将
  • 技术积分: 3358
  • 用 户 组: 普通用户
  • 注册时间: 2007-11-12 15:28
文章分类

全部博文(271)

文章存档

2010年(71)

2009年(164)

2008年(36)

我的朋友

分类: WINDOWS

2008-08-23 11:43:41

版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://ming228.blog.51cto.com/421298/93551
首先先来学习几个重要的基本概念:
一、目录服务
    目录是记载特定环境中一组对象的相关信息,比如电话号码簿记载一些地区的电话号码。
    目录也就具有以下特性:1、查询性能高,2、层次式结构,3、能够区分对象,保持名称唯一。
     目录服务也就是能够提供查询,新建,删除,或修改目录中的对象信息。
    目录数据结构:如下目录树,分为容器对象和非容器对象
    对象的命名方式:1、给每一对象以RDN(Relative Distinguished Name--相对识别名称),在目录树中各对象允许相同的RDN,但在同一容器中的对象,RDN不能相同。RDN加上上层一直到顶所有对象的RDN形成 DN,最底层的RDN放在DN的最左边.例如,“C=US”表示此对象代表国家(COUNTRY)与对象名称(US);“O=FLAG”表示此对象代表机 构组织(ORGANIZATION)与对象名“FLAG",若是RDN为"DC=US",DC表示DOMAIN COMPONENT,OU=PRODUCT表示此对象代表单位(ORGANIZATION UNIT),CN=FRANKIE KE表示对象代表一般名称(COMMON NAME).
     在这里提一下:目录服务的主流标准---LDAP,即是目录服务遵循的公开标准,让不同的客户端可以访问目录中的信息。就如软考制定出来的报考条件,不同学历的人都可以报考。
 
二、Active Directory目录服务
     AD是目录服务中的一种,也是以对象为单位,并采用层次式结构来组织对象。
AD中的对象有两项特性:1、GUID(GLOBALLY UNIQUE IDENTIFIER)--全域惟一识别单元:是一组数字来识别。2、ACL:各对象中都有一份ACL,ACL其实是记载着安全性主体(如用户、组、计算 机)对对象的写入、读取、审核等的访问权限。就比如,系统管理员有完全控制的权限,A用户只有写入权限。在实际中,可根据需求,下层对象可继承上层的 ACL。
     下面来看下AD中对象的属性:对象的主要功能就是记载网络上各种资源的相关信息,各对象还具有多重的属性。比如一个用户对象的属性存储了USERPASSWORD,SAMACCOUNTNAME,OBJECTGUID,LASTLOGON。。。
    AD schema (有 AD结构的意思),把对象进行归类,便出现了不同类的对象具有不同的属性,即是对象类别定义了对象包含的属性。为什么要这样做呢?原因如下:通过已定义属 性对象类别来建立对象,可确保应用这个对象类别所产生的对象皆有相同的属性。比如:先定义好USER类别包含属性为“可读”,然后所有用户对象都是根据类 别USER建立,则这些用户对象便有一组想同“可读”属性。SCHEMA本身是由“类别”和“属性”两种对象组成,对象类别与对象属性的定义统称为AD SCHEMA。同一属性可以在许多类别中使用,同一类别也可包含许多不同的属性。就比如青蛙跟鸟这两类。同一属性都具有生命。同一鸟类有些会唱歌有些不 会。
     组织单位OU(ORGANIZATIONAL UNIT),AD层次式树状结构主要是由域组成的,其实为了方便管理区域划分为更小的组织单位OU。也即是组织单位是一个容器对象。看下图:
其实这样做有三个好处:1、将域内的资源层次化,2、方便设置委派控制,委派控制是指系统管理员可将某组织单位的管理工作委托给指定的用户或 组。3方便应用组策略,组策略可以控制计算机与用户的环境,包括安全策略、桌面设置等等,系统管理员可以将组策略应用在个别的组织单位。
    注:组策略不是应用于组的。能够应用于站点、域、和组织单位,就是不能应用于组!
    AD对象名称:用户是通过AD服务来访问目录中对象所对应的资源,所以要正确指定对象名,才能识别。以下为不同名称格式对应不同的场合。
    1、SID(SECURITY ID)安全标识,在03中,有安全性主体,其中包括用户帐户、计算机帐户、与组等三种对象,给每个安全性主体一个独一无二的SID,在每一个对象中的ACL就记载了SID具有何种权限。
    注:一般管理工作不会直接使用SID,但注意比如删除某帐户后再重新建立同名帐户时,新建的帐户就不会有原先帐户的权限了。这就是因为有着不同的SID 了,权限设置要通过SID来判断身份的。。经常我们会复制系统时无法再加入域,就是复制的同时SID也变成同样了。
   2、LDAP名称:分为两类。DN与RDN和标准名称
        DN与RDN看下面便知:
用户RDN为:CN=FRANKIE KE。DN为:CN=FRANKIE KE,OU=SECT1。OU=PRODUCT,DC=MING,DC=COM,DC=TW。一般很少用DN访问对象。
      标准名称:简化DN,如上例标准名称为:MING.COM.TW/PRODUCT/SECT1/FRANKIE KE
  3.登录名称:用户一般使用两种:UPN(USER PRINCIPLE NAME)和SAN(SECURYTY ACCOUNT MANAGER)帐户名称。
     UPN:在AD中,用户和组都可以有个UPN,格式与E-MAIL格式相同便于记忆。如.用户利用这个来登录域。从中也可以看出缺点,管理员必需为每个用户一个独一无二的名称,可是UPN并不包含组织单位(OU)的名称,因此就无法使用域中的层次式管理了。
     SAM:各用户对象都有一个SAM帐户名称,目的是为了与WINDOWS NT的域兼容,如SAM中名称如上例为MING。也可见其同样的缺点。
     组在AD中的特性 :注意这里的组不是组织单位。有三个特性:1、组可以跨越组织单位:组与AD集成,提供更佳的管理弹性,系统管理员可以将隶属不同组织单位的用户加入同一个组,然后再依旧设置权限。
2、组为安全性主体:03只能够心用户、组、与计算机等三者作为安全性主体,注意,就是说AD对象只能针对用户、组、计算机来设置权限,无法针对组织单位来设置,可见组的作用是对AD的补充,呵呵,不错。
3、组为非容器对象:组竟然是AD中的非容器对象,那么就会有人问它是怎么包含用户、计算机或者 其它对象的呢。事实上从03域内层次式结构中是看不出哪些用户隶属于什么组的,因此在AD中组与用户彼此间没有从属关系,但实际现实世界中却有,组与用户 之间有从属关系,组之间也能够形成某种非层次式嵌套关系,为什么它能够包含用户对象呢?因为组有一项特别的属性MEMBER,其记录了某个用户对象的 DN,就代表该用户是这个组的成员。
阅读(1053) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~