活动目录域 学习笔记

一、计算机内的存储结构：线性存储，树状存储（在存储大量内容时，检索速度较快）

二、C:\windows\ntds\ntds.dit 记录的域中所有的内容安全主体访问安全对象域的架构（记录了域中存储的元素）：规定了域中可以存在哪些元素。这些元素是主体是对象这些元素有哪些属性对象：计算机、用户、组

三、域的存储

活动目录域会把所有的内容记录在数据库中，形成一个目录，这个目录分成了五个分区，用来存储不同的内容

1、域目录分区----〉域中的用户和计算机以及组

2、配置目录分区----〉域中的配置信息

3、架构目录分区----〉架构：规定了域中可以存在哪些元素这些元素包括哪些内容（安全主体、安全对象：分别具体哪些属性）

4、全局编录分区

5、应用程序目录分区

四、域的组织

1、统一的边界的管理父域的管理员可以管理子域，子域的管理员不能管理父域或其他子域。

2、分散管理，相互信任（信任边界），实现跨边界的管理，就要建立林信任关系，在多个域中建立信任关系，方便域之间的协作，同时形成一个新的管理团队。林中有一个特别的域叫做根域，根域的管理员可以协调域之间的协作关系，使两个及其两个以上的域关系密切，通过传递性而得到的信任关系，可称为隐性的信任关系！

五、DNS的问题使得多个管理边界无法合并，只能是分散管理，互相信任

1、活动目录域需要DNS的支持

2、不同的二级DNS域不能合并成一个管理边界

六、将xp加入contoso域思考：1、如果xp 未配置DNS 2、如果XP DNS配置错误

3、如果XP配置正常但域控上的ＤＮＳ服务不正常会有什么结果？

１、结果：没有ＤＮＳ，ＡＤ可以正常工作，借助于（NETBIOS）ＮＢＮＳ缺点：（１）在互联网上表现很差，以至于在大型网络里表现也很差；（２）缺乏集中管理。如果使用ＡＤ＋ＮＢＮＳ，则不利于大型网络的管理，使ＡＤ的功能大打折扣，所以使用ＡＤ＋ＤＮＳ如果DNS安全、可靠并且支持SRV记录，最好能支持自动更新，可以使用不是windows 下的DNS有这些功能的就可以使用

七、定义AD的需求

行政管理需求

技术需求

项目约束

企业的各种需求是说服领导层同意部署的最好的理由

行政管理需求

业务需求

1.使企业内部的信息流动更安全更有效率

2.满足公司开展的新业务

案例：海天学院为了招生部署了CRM办公自动化系统，这套系统需要AD的支持法律需求

技术需求

服务级别协议（SLA）

1、服务质量承诺

性能：企业的高层管理可能会指定部署的服务要满足一定的最大访问量和一定的响应等待时间

案例：公司会要求员工能够在5s内登陆到系统，系统最多可以为20000人提供服务

可用性：部署的服务要尽量少的产生故障

案例：公司要求在周一到周五的白天，整套服务至少有99.98%的时间是可用的

恢复：在出现故障，影响到了服务后，在一定时间内将性能恢复到某种程度，并最终恢复的原有水平

案例：当出现不可抗拒的因素导致服务中断时，服务可以在2小时内恢复到10%，4小时内恢复到50%，24小时内恢复到原有性能

安全需求

1、服务器的物理安全

在公司的主园区，会有专门的机房保证服务器的物理安全，但是在外派的分支机构，由于成本的限制，服务器经常遭遇断电或偷窃

2、企业业务上核心数据的存储

3、身份认证

项目约束

资源约束

可以投入的人力物力财力

时间和日程的约束

部署过程中，可能会对公司的日常办公产生影响。那么部署时间要尽量避开公司业务高峰期

记录当前环境

基础网络环境

企业内有多少计算机多少用户

计算机和用户的物理分布

IP地址规划

网络连接

已有的安全策略

DNS基础结构

注册了多少域和域名

有几台DNS服务器，服务器之间的关系

由谁来管理DNS

已有的活动目录域

林创建出来的标志是林中的第一个域创建出来

域创建出来的标志是域中的第一域控制器的架设好

搭建好域控后的检查工作

文件和文件共享net share NTDS SYSVLOL

控制台AD用户和计算机、AD域和信任关系、AD站点和服务、ADSI Edit、DNS、组策略管理

DNS SRV记录正向查找区域

八，部署AD

配置各种DC

1、域中的第一台DC

２、域中的第二台DC

1）配置TCP/IP时需要配置DNS（TCP/IP协议的配置）

２）加入到域时需要与管理员的身份验证

3）定义如何与其他的DC进行数据同步

4）（可选）同步DNS数据（DNS和AD数据同步）

RODC的应用场景

１）分支机构缺乏必要的安全措施

ａ）密码复制策略，敏感用户的密码可以选择不存在RODC

２）分支机构缺乏必要的管理人员

ａ）委派一个用户而不是管理员进行管理

３）推荐在RODC上添加一个DNS辅助区域而不是主区域

林信任和安全的边界：在分配权限时，最远能够分配到的位置

4、子域DC

5、林中其他域的DC

６、AD的使用和管理（安全主体访问安全对象）

重新认识一下安全主体（标识符：与其它主体区别开SID：ADSI Edit：查看连接安全主体的SID、凭据：防止安全主体之间相互冒充）

SID的格式（这个安全主体的安全边界）S-1-5-21（WINDOWS下安全标识符）-X-Y-Z（安全标识符的颁发机构可以是本计算机）-W（相对标识符：把这个安全主体和其他的安全主体区别开），在同一计算机上的用户和组其SID只有最后的W有不同

AD中是如何保证SID的唯一性的？

在域中有些任务需要严格地数据同步，而域中的数据同步是一种松散的数据同步，造成SID冲突，这些任务不再适合“议会式（商量着）”的管理方法，在这里就要使用“独裁”的管理方法，由一台指定的DC来完成这个任务，然后通告给其他的DC。这个指定的DC被称为操作主机

单域中多域控的场景，域控数据基准同步，其中一台域控为指定的操作主机。

OSPF路由协议就是运用这个思想，指定一个路由器，其他路由器与此建立邻接关系，保证了数据的一致。把任务交给一个路由器来完成，之后共享给各个设备。

管理“使用者”：用户和组（如何实现认证与授权）在AD中有三种主体可以和一个人对应：用户（可以分配权限，即可以有令牌）、Inet Org Person（可以分配权限，可以有令牌）（用户和InetOrgPerson权限由令牌决定能否访问某个对象）、联系人（不可以分配权限，没有令牌，不能访问其他对象）。令牌：本质上是一种基于角色的访问控制列表（ACL），描述了这个“角色”的权限。NTFS令牌，用户加上分配的权限就是一个令牌。

用户使用微软的私有协议，InetOrgPerson使用开放式协议，可以和其他OS兼容。

任何“人”都不可以一个安全组的身份来访问资源，配置一个用户隶属于某个组，这个用户就拥有了这个组的权限。（对安全组的使用，只有令牌，没有凭据）。通讯组，联系人作用：记录联系人的属性。

全局组：在信任边界（两个域互相建立信任关系之后，就构成了一个林。他们之间就是一个