活动目录中组策略基础

推荐编辑

文章讨论微软主动目录++GroupPolicy

AD组策略

GroupPolicy提供计算机设置和网络集中管理
需要选择并配置每台计算机可配置下列AD
服务分组策略

域服务 :域服务使您管理您的AD域提供
验证函数和框架供其他类似服务使用AD使用轻量级
目录存取协议数据库内嵌入网络对象
证书服务 :证书服务管理数字认证工具微软
并支持公钥基础设施证书服务存储验证
创建并撤销公钥证书, 而不是外部或本地生成密钥
联邦服务局联合会服务提供网基单点登录
认证跨组织使用使承包商都登陆
并授权访问集中系统客户网络上的资源
轻量级目录服务轻量级目录服务消除某些复杂性并提升
功能提供目录基本服务功能轻量级目录服务不需要使用
域控制器、森林或区域缩放环境
权利管理服务权限管理服务拆分授权超出用户权限
权限设置权利和约束附在文档上,而不是附在用户上。AD常用
使用这些权限防止打印、复制或取取文档截图

AD结构

AD包含下列组件:

森林:森林组织层次最高层森林使你能够
单个环境内分离授权隔离提供管理员
完全存取并许可使用专用资源集AD存储森林信息
全部域控制器所有域森林内
树形 :树形域组树内域共享同根命名空间时段
树共享命名空间,树不限制安全或复制
域名 :每一林都含有根域可使用额外域创建更多分区
森林内域破解目录小片以控制复制域限
AD复制到同一域内的其他域控制器
域控制器都有一个相同副本域AD数据库复制保留
拷贝更新
组织单元:组织单位提供子集权限
资源内域OU提供高权限和授权安全边界
不限制AD对象复制
OUs实施并限制集团间安全作用并使用域控制复制
域控制器 :域控制器Windows++服务器包含AD数据库并执行
AD相关功能,包括认证和授权
每一域控制器存储AD数据库副本,内含同一内对象信息
域名中此外,每个域控制器存储全森林模式和所有信息
关于森林
域控制器不存储来自不同森林或森林信息拷贝
网际网际网际网际
专用域控制器作用使用专用域控制器角色执行特定函数
标准域控制器上通常不可用AD分配这些主角色
域控制器创建于森林或域中,但您可人工重分配角色
Schema大师:森林中只有一个模式大师内含模型主拷贝
由所有其他域控制器控制主副本确保所有对象定义不变
域名大师 :森林中只有一个域名主域主保证所有
对象名称独特并可能交叉引用存储在其他目录中对象
基础设施大师基础设施主机基础设施大师保留
列表删除对象和路径引用
相对标识主机 :相对标识主域跟踪创建
并分配全域独有安全标识符
主域控制器模拟器初级域控制器(PDC)模拟器
提供老WindowsNT域系统后向兼容
数据存储器 :数据存储处理域控制器上数据存储和检索数据详解
商店分三大层
数据库服务组件(目录系统代理和扩展存储引擎)
- 目录存储服务
- 复制接口MessageAPI(MAPI)和安全账务管理员

域名系统

数据库存储对象定位信息AD使用域名系统
定位域控制器

AD内,每个域都有一个DNS域名, 并存计算机都在同一域内有一个DNS名

对象

AD存储所有对象并存数据库中存储对象定位信息
AD使用域名系统定位域控制器对象类定义对象
属性。

schema必须包含对象定义才能存储目录中数据定义后AD商店
数据单个对象对象必须独特并代表单一事物,例如用户计算机
或单项元素群类(例如用户群类)

对象主要类型如下:

安全主理系统
资源没有SID

复制

AD使用多域控制器有多种原因,包括负载平衡和容错性都是为了这个
工作时,每个域控制器必须拥有域名自数据库全拷贝复制保证
显示每个控制器都有数据库当前拷贝

域限复制不同域域域控制器互不复制
甚至在同一个森林里每一域控制器均值。Windows前版初级
二级域控制器 AD没有混淆出自名称的持续
域控制器从旧信任系统到AD

复制工作拉系统表示域控制器请求或拉动信息
从另一个域控制器发数据或推数据到别处默认
域控制器请求每15秒复制数据某些高安全事件触发即时
复制事件,例如账户锁定

仅修改复制为了确保跨多主管系统忠实性,每个域控制器都保留跟踪
修改请求自上个复制修改遍历域
使用存储前向机制,以便在请求时复制任何修改,即使修改没有
发源域控制器响应复制请求

过程防止溢出流量,您可以配置AD以确保每个域控制器请求
从最理想服务器复制数据举个例子远程连接
慢连接带域控制器的其他网站可设定每次连接的成本这样做时,AD
令复制请求跨快速连接

委托授权高效复制是AD结构密钥

更新 29天前