大家好,又见面了,我是你们的朋友全栈君。
LDAP是轻量目录访问协议
(Lightweight Directory Access Protocol)的缩写。LDAP的结构用树来表示
,而不是用表格。正因为这样,就不能用SQL语句了数据需要从不同的地点读取但是不需要经常更新
,例如:
① 公司员工的电话号码簿和组织结构图
② 客户的联系信息
③ 计算机管理需要的信息,包括NIS映射、email假名,等等
④ 软件包的配置信息
⑤ 公用证和安全密钥在LDAP中目录是按照树型结构组织——目录信息树(DIT)
DIT是一个主要进行读操作的数据库
DIT由条目(Entry)组成,条目相当于关系数据库中表的记录;
条目是具有分辨名DN(Distinguished Name)的属性–值对(Attribute-value,简称AV)的集合
DN,Distinguished Name即分辨名
DN是该条目在整个树中的唯一名称标识
关键字(Primary Key)
,是一个识别属性,通常用于检索常见的两种DN:
基于cn(姓名) | cn=Fran Smith,ou=employees,dc=foobar,dc=com最常见的CN是/etc/group转来的条目 |
---|---|
基于uid(User ID) | uid=fsmith,ou=employees,dc=foobar,dc=com最常见的UID是/etc/passwd和/etc/shadow转来的条目 |
DN的三个参数:
LDAP基本模型:
关键字 | 英文全称 | 含义 |
---|---|---|
Dc | Domain Component | 域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com(一条记录的所属位置) |
uid | User Id | 用户ID |
ou | Organization Unit | 组织单位,组织单位可以包含其他各种对象(包括其他组织单元),如“oa组”(一条记录的所属组织) |
cn | Common Name | 公共名称,如“Thomas Johansson”(一条记录的名称) |
sn | Surname | 姓,如“许” |
dn | Distinguished Name | “uid=songtao.xu,ou=oa组,dc=example,dc=com”,一条记录的位置(唯一) |
rdn | Relative dn | 相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=tom”或“cn= Thomas Johansson” |
定义: 目录服务就是按照树状存储信息的模式
目录服务特点:
① 目录服务的数据类型主要是字符型
, 而不是关系数据库提供的整数、浮点数、日期、货币等类型
② 为了检索的需要添加了BIN(二进制数据)、CIS(忽略大小写)、CES(大小写敏感)、TEL(电话型)等语法(Syntax) 同样也不提供象关系数据库中普遍包含的大量的函数
③ 目录有很强的查询(读)功能
,适合于进行大量数据的检索
④ 但目录一般只执行简单的更新(写)操作,不支持批量更新所需要的事务处理功能
⑤ 它主要面向数据的查询服务(查询和修改操作比一般是大于10:1),不提供事务的回滚(rollback)机制
⑥ 目录具有广泛复制信息的能力
,适合于多个目录服务器同步/更新
工作组有时也叫做对等网络
,因为网络上每台计算机的地位都是平等的,它们的资源与管理是分散在各个计算机上工作组中的每台计算机都维护一个本地安全数据库
(我理解为可以登录的账户信息和共享的资源信息),这就分散了用户账户和资工作组结构为分布式的管理模式
,适用于小型的网络
域结构为集中式的管理模式
,适用于较大型的网络
一般情况下,域中有三种计算机:
① 一种是域控制器
,域控制器上存储着Active Directory;
② 一种是成员服务器
,负责提供邮件,数据库,DHCP等服务;
③ 一种是工作站
,是用户使用的客户机。
举例:
Windows Server 2003 域内的目录用来存储用户帐户、组、打印机、共享文件夹等对象的相关数据,把这些对象的存储称为目录数据库。 Windows Server 2003 域内负责提供目录服务的组件就是活动目录,它负责目录数据库的存储、添加、删除、修改、查询等服务。
域控制器
,用户账号管理 权限管理 软件/补丁推送
问题:在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户。但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?
镜像账户
在A域和B域内各自创建一个用户名和口令都完全相同的用户账户,然后在B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了。
存在问题:账户的重复建设等。
创建域信任关系
NT4的域时代
:
Window2000之后
:
域树是Active Directory针对NT4的传统域模型所进行的重要改进。在NT4时代的域模型中,每个域都要使用没有层次结构的NETBIOS名称,而且域和域之间缺少关联,只能创建不能传递的域信任关系。这会在企业管理方面造成诸多不利因素:
首先域和域之间很难根据域名判断彼此间的隶属关系,例如beijing域和shanghai域;
其次由于域之间的信任关系不可传递,在域数量较多时光是创建域之间的完全信任就要耗费大量时间。假定有10个域,那我们在10个域之间要建立45次信任关系才能让这些域相互之间都完全信任。
`域树`针对以上问题进行了很好的解决,**域树的父域和子域之间由于使用了层次分明的DNS域名,只要根据域名我们就可以判断出两个域的隶属关系**,例如有两个域abc.com和test.abc.com,我们可以很轻易地判断出后者是前者的子域。
注册表只能针对一个用户或一台计算机进行设置; 组策略却可以针对多个用户和多台计算机进行设置。
举例:在一个拥有1000用户的企业中,如果我们用注册表来进行配置,我们可能需要在1000台计算机上分别修改注册表。但如果改用组策略,那只要创建好组策略,然后通过一个合适的级别部署到1000台计算机上就可以了。 组策略和Active Directory结合使用,可以部署在OU,站点和域的级别上,当然也可以部署在本地计算机上,但部署在本地计算机并不能使用组策略中的全部功能,只有和Active Directory配合,组策略才可以发挥出全部潜力。 组策略部署在不同级别的优先级是不同的,本地计算机<站点<域<OU。 我们可以根据管理任务,为组策略选择合适的部署级别。
组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域或OU、该GPO内的设定值就会影响到该站点,域或OU内的所有用户于计算机。
帐户策略的设定
例如设定用户密码的长度、复杂度、使用的期限,帐号锁定策略等。
本地策略的设定
例如审核策略的设定、用户权限的指派、安全性的设定。
部署软件
帐户策略的设定
例如设定用户密码的长度、复杂度、使用的期限,帐号锁定策略等。
本地策略的设定
例如审核策略的设定、用户权限的指派、安全性的设定。
部署软件
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/145364.html原文链接:https://javaforall.cn