活动目录域 学习笔记.docx

一、计算机内的存储结构：线性存储，树状存储（在存储大量内容时，检索速度较快）二、C:windowsntdsntds.dit 记录的域中所有的内容 安全主体访问安全对象 域的架构（记录了域中存储的元素）：规定了域中可以存在哪些元素。 这些元素 是主体 是对象 这些元素有哪些属性 对象：计算机、用户、组 三、域的存储活动目录域会把所有的内容记录在数据库中，形成一个目录，这个目录分成了五个分区，用来存储不同的内容1、域目录分区-域中的用户和计算机以及组2、 配置目录分区-域中的配置信息3、 架构目录分区-架构：规定了 域中可以存在哪些元素 这些元素包括哪些内容（安全主体、安全对象：分别具体哪些属性）4、全局编录分区5、应用程序目录分区 四、域的组织1、统一的边界的管理 父域的管理员可以管理子域，子域的管理员不能管理父域或其他子域。2、分散管理，相互信任（信任边界），实现跨边界的管理，就要建立林信任关系，在多个域中建立信任关系，方便域之间的协作，同时形成一个新的管理团队。林中有一个特别的域叫做根域，根域的管理员可以协调域之间的协作关系，使两个及其两个以上的域关系密切，通过传递性而得到的信任关系，可称为隐性的信任关系！五、DNS的问题 使得多个管理边界无法合并，只能是分散管理，互相信任 1、活动目录域需要DNS的支持 2、不同的二级DNS域不能合并成一个管理边界六、将xp加入contoso域 思考：1、如果xp 未配置DNS 2、如果XP DNS配置错误 3、如果XP配置正常但域控上的服务不正常会有什么结果？、结果：没有，可以正常工作，借助于（NETBIOS）缺点：（）在互联网上表现很差，以至于在大型网络里表现也很差；（）缺乏集中管理。如果使用，则不利于大型网络的管理，使的功能大打折扣，所以使用如果DNS安全、可靠并且支持SRV记录，最好能支持自动更新，可以使用不是windows下的DNS有这些功能的就可以使用七、定义AD的需求 行政管理需求 技术需求 项目约束企业的各种需求是说服领导层同意部署的最好的理由行政管理需求业务需求1. 使企业内部的信息流动更安全更有效率2. 满足公司开展的新业务 案例：海天学院为了招生部署了CRM办公自动化系统，这套系统需要AD的支持法律需求技术需求服务级别协议（SLA） 1、服务质量承诺性能：企业的高层管理可能会指定部署的服务要满足一定的最大访问量和一定的响应等待时间案例：公司会要求员工能够在5s内登陆到系统，系统最多可以为20000人提供服务可用性：部署的服务要尽量少的产生故障案例：公司要求在周一到周五的白天，整套服务至少有99.98%的时间是可用的恢复：在出现故障，影响到了服务后，在一定时间内将性能恢复到某种程度，并最终恢复的原有水平案例：当出现不可抗拒的因素导致服务中断时，服务可以在2小时内恢复到10%，4小时内恢复到50%，24小时内恢复到原有性能安全需求1、服务器的物理安全在公司的主园区，会有专门的机房保证服务器的物理安全，但是在外派的分支机构，由于成本的限制，服务器经常遭遇断电或偷窃2、企业业务上核心数据的存储3、身份认证项目约束资源约束可以投入的人力物力财力时间和日程的约束部署过程中，可能会对公司的日常办公产生影响。那么部署时间要尽量避开公司业务高峰期记录当前环境基础网络环境企业内有多少计算机多少用户计算机和用户的物理分布IP地址规划网络连接已有的安全策略DNS基础结构注册了多少域和域名有几台DNS服务器，服务器之间的关系由谁来管理DNS已有的活动目录域 林创建出来的标志是林中的第一个域创建出来域创建出来的标志是域中的第一域控制器的架设好搭建好域控后的检查工作文件和文件共享 net share NTDS SYSVLOL控制台 AD用户和计算机、AD域和信任关系、AD站点和服务、ADSI Edit、DNS、组策略管理DNS SRV记录 正向查找区域 八，部署AD 配置各种DC1、 域中的第一台DC、域中的第二台DC1）配置TCP/IP时需要配置DNS（TCP/IP协议的配置）加入到域时需要与管理员的身份验证3）定义如何与其他的DC进行数据同步4）（可选）同步DNS数据（DNS和AD数据同步）RODC的应用场景）分支机构缺乏必要的安全措施）密码复制策略，敏感用户的密码可以选择不存在RODC）分支机构缺乏必要的管理人员）委派一个用户而不是管理员进行管理）推荐在RODC上添加一个DNS辅助区域而不是主区域林信任和安全的边界：在分配权限时，最远能够分配到的位置4、子域DC5、林中其他域的DC 、AD的使用和管理（安全主体访问安全对象）重新认识一下安全主体（标识符：与其它主体区别开SID：ADSI Edit：查看连接安全主体的SID、凭据：防止安全主体之间相互冒充） SID的格式（这个安全主体的安全边界）S-1-5-21（WINDOWS下安全标识符）-X-Y-Z（安全标识符的颁发机构可以是本计算机）-W（相对标识符：把这个安全主体和其他的安全主体区别开），在同一计算机上的用户和组其SID只有最后的W有不同 AD中是如何保证SID的唯一性的？ 在域中有些任务需要严格地数据同步，而域中的数据同步是一种松散的数据同步，造成SID冲突，这些任务不再适合“议会式（商量着）”的管理方法，在这里就要使用“独裁”的管理方法，由一台指定的DC来完成这个任务，然后通告给其他的DC。这个指定的DC被称为操作主机 单域中多域控的场景，域控数据基准同步，其中一台域控为指定的操作主机。 OSPF路由协议就是运用这个思想，指定一个路由器，其他路由器与此建立邻接关系，保证了数据的一致。把任务交给一个路由器来完成，之后共享给各个设备。 管理“使用者”：用户和组（如何实现认证与授权） 在AD中有三种主体可以和一个人对应：用户（可以分配权限，即可以有令牌）、Inet Org Person（可以分配权限，可以有令牌）（用户和InetOrgPerson权限由令牌决定能否访问某个对象）、联系人（不可以分配权限，没有令牌，不能访问其他对象）。令牌：本质上是一种基于角色的访问控制列表（ACL），描述了这个“角色”的权限。NTFS令牌，用户加上分配的权限就是一个令牌。用户使用微软的私有协议，InetOrgPerson使用开放式协议，可以和其他OS兼容。令牌（权限）凭据（密码）用户有有IOP有有联系人没有没有安全组有没有通讯组没有没有任何“人”都不可以一个安全组的身份来访问资源，配置一个用户隶属于某个组，这个用户就拥有了这个组的权限。（对安全组的使用，只有令牌，没有凭据）。通讯组，联系人作用：记录联系人的属性。全局组：在信任边界（两个域互相建立信任关系之后，就构成了一个林。他们之间就是一个信任边界或者是安全边界）使用的 通用组：在管理边界（只限于单个域中）使用的。用户的几个标识符：登录名（与SID一一对应，全域唯一的）、显示名（组织单位内唯一）-相关联-姓名缩写（不属于标识符）。登录名可以重复使用，即删除后还可以分配给新用户，SID不会再次分配。用户对应文件，显示名对应文件名，组织单位对应文件夹九、林信任关系1、建立林信任关系 a2、）允许或限制某个用户在哪段时间内在成员计算机上登录（策略）限制用户在那台成员机上登录令牌（权限）凭据（密码）本地域（只在本地域中有权限）本地有其他域无无通用有有全局（在整个林中都可以分权限）有有不提倡在本域的对象上给其他域的组分权限，不提倡将其他域的帐户直接加入到本地的一个组（造成本地组的混乱）组的成员管理以及组的嵌套（跨域的管理）将本地的用户加入本地的全局组将本地的用户加入其他域的全局组将本地的本地域组加入到其他域的本地域组将本地的本地域组加入到其他域的全局域组将本地的全局域组加入到其他域的本地域将本地的全局域组加入到其他域的全局域组？（全局域组只能包含位于同一个域内的用户账户和全局域组）使用全局组来管理用户，使用本地域组分配权限，将全局组加入到本地域组（AG DL P）十、使用策略管理用户和计算机一、GPO是组策略对象，是一系列策略的集合。OU是AD中的文件夹。是一种特殊的容器，可以和GPO发生链接。容器：树状结构的一个分支称为一个容器。在AD用户和计算机下，默认情况下建立的都是组织单位，不能新建容器。在ADSI中可以新建容器。在新建组织单位时，默认情况下禁止删除，要想删除，就单击AD下的查看高级功能右击组织单位选择属性选择对象选项卡将下面防止对象被意外删除的复选框勾打掉。再进行删除。二、策略生效顺序1、中央高于地方：域策略生效 压制本地策略2、特权高于民权：离树根远的策略生效 压制离树根进的策略 影响的范围（小的范围生效，压制大的范围）、当一个用户在成员机上登录时，先读取本地组策略，先不急着应用，再读取域策略，再读取较大的OU策略，再读取较小的OU策略。在实际使用过程中，尽量避免策略叠加的现象。三、软件限制1、新建路径规则 2、文件散列规则（通过修改散列值来破除，在本地中叫做散列规则），即新建哈希规则（在域中叫做哈希规则）3、在域中 用路径规则 ， 计算机禁用 用户启用 软件不可使用 计算机启用 用户禁用 软件不可使用 用哈希规则时，计算机禁用，用户启用 软件不可使用 计算机启用，用户禁用 软件不可使用当同时使用哈希和路径规则时，哈希规则优先 优先级排序依次是哈希规则 证书规则 路径规则 网络区域规则 4、在本地 四、使用组策略为多个用户映射网络驱动器（用户首选项）把新建的共享文件夹在域中发布出来，方便在映射时使用 为一个用户使用用户主文件夹五、 用组策略部署软件.msi的安装程序，记得先让受影响的帐户在成员机上登陆，之后刷新策略。.msi的安装调用windows installer服务（用户策略）发布给用户，客户端安装已发布的软件，手动安装，控制面板上， 从网络获取程序分配给用户，1）在用户第一次使用这个应用程序（a，执行快捷方式b，打开关联的文档）时会自动安装，2）在用户登陆时安装此应用程序（计算机策略）对于软件只有分配，没有发布。用户在下一次登陆时，即下一次启动时。 .exe的安装程序，需要做.zap文件来辅助，只能发布给用户。这样部署软件的局限性：兼容性较差，主动性较差，网络资源占用（不是服务器决定什么时候安装，当很多个客户端向服务器发出安装请求时，占用太多资源，服务器容易down掉）。唯一一个好处就是价格低，易实现。SCCM软件在主动性（单播环境下，在客户端登陆时，实现一个“推”的动作，使客户端安装程序。在数据包非常多的情况下，网络链路负载过重。），网络资源占用（使用组播，路由器自动复制多个数据包，转发数据包）情况上，有所改观。SCCM管理性强，组播节省带宽。但是价格高。到了IPv6里面就完全没有广播了，而RIPv1是广播，RIPv2是多播。十一、WDS1、 使用组播应对大批量的安装系统，使用单播进行一对一的安装2、 Pxe预安装环境（开机检查，就可以看到这个环境），也叫预启动执行，集成了TCP/IP协议簇，烧录在网卡和主板上的一套“代码”，支持MAC，支持动态分配IP地址，支持UDP协议，支持TFTP（简单的文件传输协议，简单些，效率高，可靠性差些），而WDS集成TFTP 协议。WDS要求客户端有Pxe环境。3、 启动映像，安装映像1， 使用access-list定义数据a) Ip access-list extended 101b) Permit tcp any any eq telnet2， 使用策略路由定义如何处理这些数据a) Route-map tel /创建一个策略路由b) Match ip address 101 /调用访问控制列表101c) Set ip next-hop /对于101定义的数据，转发给3， 在fa1/0接口上应用这条策略a) Int fa 1/0 b) Ip policy route-map tel 将这条策略应用到fa 1/0RIP协议，Rip协议是使用跳数作为度量的距离向量协议，该协议非常简单，适用于小型网络。Rip是有类1、防止路由器半双工数据帧发生损坏，发明了抖动一个路由上的接口网络时断时续，或者供电时断时续，更新30s，失效180s，保持180s，清空240s2、 水平分割：从某个接口学到的路由不会再传回该接口，避免环路的一种方法3、 操控Rip协议的度量值4、 定义RIP对邻居的认证Key chain chain-name(定义了一个钥匙串) Key 1(字符abc-123 Key-string 密码，发送时间1月 全月，接收时间1月 全月) Key 2(字符abc-456 发送时间 2月 全月，接收时间 2月 全月)定义好使用周期，周期已到，就自动使用相应密钥串，这是密钥的自动更新，防止被破解。要求路由器的更新计时器时间一致 Router rip Version 2Int 第一个路由的接口Ip rip authentication key-chain chain-name进入端口 ip rip authentication mode md5|text5、 rip version 1的特性关于掩码，rip version 1不发送掩码，接收到一个子网A，一、 如果此路由器上没有与该子网位于同一主网的子网，会为该子网添加一个主网掩码（主网是IP地址的分类A B C）二、 如果此路由器上有与该子网位于同一主网的子网B则为A使用B子网的掩码三、 边界汇总：RIP会对路由表进行一次简化，当RIP从一个接口发送更新时，如果检测到以下现象 a）该接口位于主网A中 b)发送的更新中有一条或者多条B主网中的子网 。 那么路由器在更新的数据中会把B主网中多条子网的路由整合一条汇总路由，该汇总路由的目标地址为主网B，而发布B主网这一条路由。当两端接口处于同一主网中时，不触发边界汇总。四、 主网：一个IP地址按照传统的ABC类地址处理时所属的子网成为这个地址所属的主网。主网和掩码，网段无关。看IP属于哪一类IP地址，来判断属于哪一类主网，加上一般的掩码（A类8，B类16，C类24）来掩出主网。五、 有类路由 六、 无类路由（CIDR，子网、超网）七、 汇总6、思科IGP（内部路由协议interior gateway protocol,用于在单一自治系统autonomous system内决策路由）：ODP（使用于Hub-spoke，星型网络）、RIP（适用于16跳得小网络）、EIGRP（只能在CISCO的路由器上运行）、OSPF、IS-IS（IPv4） IPv6：RipNg 7、距离向量路由协议（距离向量路由协议有如下几种： IP RIP、IPX RIP、A p p l e Talk RT M P和I G R P。）：距离向量路由协议(distance vector routing protocol)是为小型网络环境设计的。在大型网络环境下，这类协议在学习路由及保持路由将产生较大的流量，占用过多的带宽。如果在9 0秒内没有收到相邻站点发送的路由选择表更新，它才认为相邻站点不可达。每隔30秒，距离向量路由协议就要向相邻站点发送整个路由选择表，使相邻站点的路由选择表得到更新。这样，它就能从别的站点（直接相连的或其他方式连接的）收集一个网络的列表，以便进行路由选择。距离向量路由协议使用跳数作为度量值，来计算到达目的地要经过的路由器数。链路状态路由协议：链路状态路由选择协议又称为最短路径优先协议，它基于Edsger Dijkstra的最短路径优先（SPF）算法。它比距离矢量路由协议复杂得多，但基本功能和配置却很简单，甚至算法也容易理解。路由器的链路状态的信息称为链路状态，包括：接口的IP地址和子网掩码、网络类型（如以太网链路或串行点对点链路）、该链路的开销、该链路上的所有的相邻路由器。（OSPF）： EIGRP是混合的路由协