AD架構

ad採用階層式架構來組織物件,並分為以下結構
ad的邏輯結構
 物件,組織單位
 網域,樹狀目錄,樹系
ad的實體結構
 網域控制站
 站台
 通用類別目錄

……………………………………………………….

ad物件
ad以物件為基本單位,物件代表某種網路資源
物件可能是印表機、電腦、使用者帳戶、應用程式或檔案
ps:物件若被組織成邏輯群組則稱為類別
ps:包含其他物件的物件稱為容器物件 ex:網域與OU

ad物件有以下特性
guid(object globally unique identifier,物件通用唯一識別元),支援128位元,物件guid是不變的,應用程式可透過guid找到所需物件
 物件建立時透過DSA來分配guid
 若要為ad物件儲存參照資料應使用guid
acl(access control list,存取控制清單)
 紀錄物件的安全設定,各物件有自己的acl
 acl由ace(access control entry,存取控制項)組成,各ace包含一個sid識別ace套用的物件
 acl被儲存為一個2進位數值,也稱security descriptor(安全性描述元)

ad物件名稱
ad的物件具有多種名稱格式適用於不同場合,如下:
sid(security id):user,group,電腦物件在權限設定中的獨一無二的識別碼
ldap名稱,可分為:
 rdn:ldap相對名稱 ex:cn=study
 dn:ldap絕對名稱,通常會包括多個ldap rdn ex:cn=study,ou=network,dc=xx,dc=com
標準名稱:物件在ad中的表示法,類似網址 ex:xx.com/
登入名稱,可分為:
 upn(user principle name):使用者物件在win2000的登入名稱 ex:raymond@xx.com
 sam帳戶名稱:使用者物件在winnt的登入名稱 ex:raymond
ps:通常cn表示一般名稱,ou表示組織單位,dc表示網域控制站或網域元件

OU(組織單位)
用來進行委派控制並套用群組原則
可用來將網域物件組織成邏輯管理群組
各網域都可以配置和其他網域完全不同的OU階層
只可包含使用者,電腦,群組,組織單位,共用資料夾,印表機

建立OU原因:
因為物件所需的管理工作很類似,所以需要將物件組成群組。群組在一起的物件比較容易尋找
限制使用者只能看見所需的特定網路資源

……………

網域
ad以網域做為骨架,網域是構成ad階層式架構的重要元件,ad可由單一網域組成,也可由多重網域組成
可看作是ad中一群物件的集合
各網域各自儲存本身所擁有的ad物件
網域可用OU(organizational unit,組織單位)來切割成更小的單位
網路上第一個網域也稱為root domain(根網域)
ps:網域是主從式網路,工作群組是對等式網路

網域規畫可分為
單一網域:一個網域,使用一個網域名稱
domain tree:多個網域的集合,使用一個網域名稱
domain forest:domain tree的集合,不同的domain tree使用各自的網域名稱
ps:企業應儘可能使用單一網域以簡化管理工作

網域中的電腦可分為
網域控制站:有啟用ad的server
成員伺服器:沒有啟用ad的server,依提供的服務不同會有不同的別名
工作站:非server的作業系統

網域外的電腦可分為
獨立伺服器:未加入網域的server
其它電腦:未加入網域,且非server的作業系統
ps:獨立伺服器若加入網域則變成員伺服器
ps:獨立伺服器若啟用ad則成為自己獨立網域的網域控制站

網域運作模式
原始模式:所有網域控制站須執行相同的作業系統,可使用網域更進階的功能
混合模式:網域控制站可執行不同的作業系統,此模式支援下層複寫,並可讓您新增下層的備份網域控制站

網域之間的連結透過信任關係
信任關係是一種雙向、可傳遞的關係
如果網域A信任網域B,而且網域B信任網域C,那麼就表示網域C間接信任網域A
當網域加入某樹狀目錄時會自動建立和父網域的信任關係,如果沒有父網域就自動建立和根網域的信任關係


……………………………………………………….

DC(domain controller,網域控制站)
儲存該網域的目錄資訊,及網域相關的服務,帳戶和安全管理
各網域至少要有一台網域控制站

多台網域控制站優點
提高網域容錯能力:避免一台故障使網域停擺
提升使用效率:經規畫後可避免存取時經過低速網路
多台網域控制站都是平等的關係:每個網域控制站都會複寫其他每個網域控制站所做的變更
ps:win nt的pdc和bdc有從屬關係

win2000 server網域控制站預設容器
builtin:存放內建本機群組
computers:存放已加入網域的電腦名稱
domain controllers:存放該網域的所有網域控制站
foreign security principals:儲存來自有信任關係網域的物件
users:存放網域內使用者帳尸及群組

ad site(站台)
由1個以上網域控制站組成
主要讓網域可以橫跨由WAN連線所連接的不同網路拓樸
站台之間通常為wan或低速連線

GC(global catalog,通用類別目錄)
由ad產生,是ad所有物件資訊的中央存放庫
各站台至少應有一台gc伺服器
使用者在ad的查詢會先送到最近的gc伺服器處理,若不行在送到別處,如此可減少資料流量
ps:gc在多站台可增加效率
ps:gc在單一網域較不重要,因每個dc都己含樹系中所有物件的完整複本
ps:預設會儲存最常用的屬性並儲存要找出物件的完整複本所需的屬性
ps:預設第一個網域控制站也就是gc伺服器
ps:使用站台與伺服器嵌入式管理單元來設定額外的dc,網路上就可以有多個gc伺服器