学习黑客Active Directory 入门指南(二)
Active Directory 入门指南(二):深入逻辑结构与物理组件 🌳🏢
大家好!欢迎回到 “Active Directory 入门指南” 系列的第二篇。在上一篇中,我们初步认识了Active Directory,了解了其重要性,并探讨了核心逻辑组件中的对象、组织单位(OU)和域。
在本篇中,我们将继续深入探索AD的逻辑结构,包括树、林、架构和全局编录。此外,我们还将介绍构成AD基础架构的物理组件,如域控制器和站点。让我们继续我们的AD探索之旅!
3. AD的核心组件(逻辑结构 - 续)🧱
在上一篇的基础上,我们继续展开AD的逻辑层次。
-
树 (Tree):
- 当一个组织需要多个域时,这些域可以组织成一个或多个树。一个树 (Tree) 是一个或多个具有连续DNS命名空间的域组成的层次结构。
- 树中的第一个域被称为根域 (Root Domain)。后续在该树中创建的任何域都将成为现有域的子域 (Child Domain)。
- 例如,如果根域是
company.com,那么可以创建子域如sales.company.com和europe.company.com。这些域共同构成了一个树。 - 信任关系:树中的域之间会自动建立双向可传递的信任关系 (Two-way, Transitive Trusts)。
- 双向:如果A信任B,那么B也信任A。
- 可传递:如果A信任B,B信任C,那么A也信任C。
- 这意味着树中任何域的用户都可以被授权访问树中其他任何域的资源(当然,需要明确授予权限)。
-
林 (Forest):
- 林 (Forest) 是一个或多个不共享连续DNS命名空间的AD树的集合。可以将其视为AD部署的最高层级和最终的安全边界。
- 林中的第一个树的根域被称为林根域 (Forest Root Domain)。这个域对于整个林具有特殊的重要性(例如,架构主机和域命名主机角色默认位于此域的DC上)。
- 共享特性:林中的所有树(及其域)共享以下公共组件:
- 架构 (Schema):定义了林中可以创建的所有对象类型及其属性。整个林只有一个架构。
- 配置命名上下文 (Configuration Naming Context):包含林的拓扑结构信息,如站点、子网、域列表等。
- 全局编录 (Global Catalog - GC):一个包含林中所有域中所有对象的部分属性副本的特殊数据库。
- 信任关系:林中不同树的根域之间也会自动建立双向可传递的信任关系。因此,林中任何域的用户原则上都可以被授权访问林中其他任何域的资源。
- 例如,如果公司
CompanyA(域树companya.com)并购了公司CompanyB(域树companyb.org),它们可以将各自的树加入到一个新的或现有的林中,从而实现资源共享和统一管理(尽管这通常是一个复杂的过程)。
-
架构 (Schema):
- AD架构是定义目录中可以存储的对象类型(称为类 - classes,如用户、计算机、组)以及这些对象可以拥有的属性(称为属性 - attributes,如用户名、密码、部门)的正式蓝图或规则集。
- 整个林共享一个架构。对架构的修改(例如添加新的对象类或属性)会影响林中的所有域和域控制器。
- 架构修改是一项敏感操作,通常不轻易进行,并且需要特殊的权限(架构管理员组的成员)。
- 许多依赖AD的应用程序(如Microsoft Exchange Server)在安装时会扩展AD架构,以添加它们自己需要的对象类和属性。
-
全局编录 (Global Catalog - GC):
- 全局编录是一个特殊的域控制器角色,它是一个分布式数据存储库,包含了林中所有域中所有对象的一个可搜索的、部分属性副本。
- “部分属性副本”意味着GC只存储那些被标记为复制到GC的属性(通常是经常用于搜索的属性,如用户名、显示名称、电子邮件地址等),而不是对象的全部属性。
- 主要作用:
- 林范围的对象搜索:允许用户在整个林中搜索对象(如用户或打印机),而无需知道该对象具体位于哪个域。例如,当你在Outlook中查找一个同事的邮箱时,很可能就是在查询GC。
- 用户登录过程中的通用组成员身份解析:当用户登录到一个域时,如果该用户是通用组 (Universal Group) 的成员,DC需要联系GC来确定这些通用组的成员资格,以便正确构建用户的访问令牌。
- 解析用户主体名称 (UPN - User Principal Name):UPN (如
username@company.com) 允许用户使用电子邮件地址格式的名称登录。GC可以帮助在林中找到与特定UPN关联的用户账户。
- 通常,林中的每个主要站点都应该至少有一个GC服务器,以确保快速可靠的对象搜索和用户登录。
4. AD的物理组件 🖥️
与描述AD组织方式的逻辑结构不同,物理组件描述了AD的实际网络和硬件基础设施。
-
域控制器 (Domain Controller - DC):
- DC是AD的核心物理组件。它是一台运行Windows Server操作系统并安装了**Active Directory域服务 (AD DS)**角色的服务器。
- 主要职责:
- 存储目录副本:每个DC都存储着其所在域的目录数据库(名为
NTDS.DIT的文件)的一个可写副本(在Windows 2000之后,所有DC都是可写的,支持多主复制模型)。 - 处理身份验证请求:当用户尝试登录到域,或计算机尝试访问网络资源时,DC负责验证其凭据(通常使用Kerberos协议)。
- 处理授权请求:根据用户的组成员身份和资源的访问控制列表 (ACLs),DC帮助确定用户是否有权访问特定资源。
- 复制目录更改:DC之间会定期复制目录数据库的更改,以确保所有DC上的信息保持一致。
- 执行组策略:DC存储并提供组策略对象 (GPOs)。
- 存储目录副本:每个DC都存储着其所在域的目录数据库(名为
- 为了实现冗余 (redundancy) 和 负载均衡 (load balancing),一个域中通常至少部署两个DC。如果一个DC发生故障,其他DC可以继续提供服务。
-
站点 (Sites):
- AD站点代表网络的物理拓扑结构,而不是逻辑组织结构(如OU)。一个站点通常由一个或多个通过高速、可靠网络连接(如局域网LAN)的IP子网组成。
- 主要用途:
- 优化身份验证流量:当客户端(如用户工作站)需要进行身份验证或查找AD信息时,它会优先尝试联系其同一站点内的DC。这可以减少跨越较慢的广域网 (WAN) 链路的流量,并加快响应速度。
- 控制复制流量:管理员可以配置不同站点之间的AD复制计划和频率。例如,可以设置在非工作时间进行站点间的复制,或者降低复制频率,以节省WAN带宽。站点间的复制通常是经过压缩的。
- 部署站点特定服务:某些服务(如分布式文件系统DFS的命名空间服务器)可以配置为站点感知的,以便客户端优先访问同一站点内的服务实例。
- 正确配置站点对于大型、地理位置分散的AD环境的性能和效率至关重要。
在本篇中,我们深入探讨了AD的逻辑结构,理解了树、林、架构和全局编录这些高级概念。同时,我们也介绍了构成AD基础设施的物理组件:域控制器和站点。这些组件共同协作,构成了强大而灵活的目录服务。
在下一篇 Active Directory 入门指南(三) 中,我们将聚焦于AD中的关键服务和功能,如身份验证协议(Kerberos)、LDAP、DNS的重要性,以及用户、组和计算机账户的管理。敬请期待!