AD DS 架構:
AD DS 架構: 1、定義可存儲在 AD DS 中的每一種對象類型 2、強制實施與對象創建和配置有關的規則
AD DS 架構由Schema Admins組的用戶來控制
域:
域是邏輯目錄組件,用於分組和管理組織中的AD DS 對象。
域提供:
1、管理邊界,用來將策略應用於對象組
解釋:當域樹中有父域A,子域B,父域A實施策略只能應用於自己,不能應用於子域B中的策略
2、復制邊界,用於在域控制器之間復制數據
解釋:當域樹中有父域A,子域D,父域中域控制器有B,C,子域中有域控制器E,F 父域A的域控制器B中添加了一個新的用戶,域控C則會立刻復制域控B中的用戶,達到同步的效果,但是子域中的域控則不會進行同步
3、身份驗證和授權邊界,提供限制資源訪問范圍的方法
解釋:當域樹中有父域A,子域B,父域A的用戶只能在A中登陸,不可以用A的用戶登陸子域B中
AD DS信任關系:
信任提供了一種使用戶能訪問另一個域中的資源的機制。
信任類型有兩種
1、直接式:信任方向從信任域流向受信任域
解釋:那么也就是單向信任的關系,A信任B,但是B不信任A
2、可傳遞:信任關系延伸到雙域信任之外,以納入其他受信任域。
解釋:那么也就是雙向信任的關系,舉個例子,A父域,B是A的子域,C父域,D是C的子域,因為B是A的子域,所以它們是互相信任的,那么C和D也是,如果A和C建立了互相信任的關系,那么B和D也會互相信任,具有傳遞性
知識點:
1、 同一個域林中所有域都是顯式或者隱式的相互信任
2、 信任可延伸到林之外
參考文章:https://www.cnblogs.com/zpchcbd/p/11706813.html
域樹:
域樹是 AD DS 中域的層次結構。
一個域樹是由一個或多個域組成的。
域樹中的所有域:
1、其名稱空間銜接父域的名稱空間
解釋:比如父域的域名為pentest.God,那么在創建子域的時候命名規則就必須銜接為子域名稱.pentest.God
2、可以在其名稱空間中添加更多子域
解釋:只要基於命名規則,那么可以一直添加基於相對父域的子域 比如當前的父域名稱為 ABC.pentest.God,那么還可以創建其子域為 QQQ.ABC.pentest.God
3、與樹中的其他域之間有雙向可傳遞信任關系
解釋:同一個域林中所有域都是顯式或者隱式的相互信任,那么也就是父域和子域默認就是相互信任的關系
域林:
域林是一個或多個域樹的集合。
域林的特點:
1、共享同一架構
2、共享同一配置分區,為了更好的資源分配
3、共享同一全局編錄以支持搜索,全局編錄也稱作為GC,包含了各個活動目錄中每一個對象的最重要的部分屬性,是域林中所有對象的集合,管理員方便搜索查找
4、實現林中所有域之間的信任
5、共用 Enterprise Admins 和 Schema Admins 組,這兩個組只有根域才會有
單域,根域,父域,子域,域樹,域林參考圖如下
OU(組織單元):
OU 是可包含用戶、組、計算機和其他 OU 的 Active Directory 容器。
OU的用途:
1、層次化地、邏輯地表示公司組織結構
2、以統一的方式管理一系列對象
3、將權限委派給對象的管理員組,也可以組中的用戶,方便進行層次化管理
解釋: 舉個例子,老板,財務部,如果財務部中的人員每次都把自己的賬號密碼忘記 總是需要叫老板幫他改下密碼,這樣就不太符合層次化管理,所以老板可以把修改財務部用戶的權限分配給財務部中的部長,讓他來處理類似的事情
4、應用策略
AD DS 對象:
用戶:使用戶能夠訪問網絡資源
InetOrgPerson:1、類似於用戶賬戶 2、用於兼容其他目錄服務
聯系人:1、主要用於將電子郵件地址分配給外部用戶 2、不允許網絡訪問
組:用於簡化訪問控制的管理
計算機:實現計算機對資源訪問的身份驗證和審核
打印機:用於簡化查找並連接打印機的過程
共享文件夾:使用戶能根據屬性搜索共享文件夾
