2. 程式人生 > >Windows域 Active Directory介紹

Windows域 Active Directory介紹

阿新 發佈:2019-02-18

在今天很多人都有意識或無意識的跟域這個東西打過交道。如果你在公司裡使用電腦,並且你的電腦接入了公司的區域網,那你的電腦很可能就在一個域中。如何檢視你的電腦是否連線到一個域中,以Windows為例,右擊我的電腦 –>屬性,可以看到,我現在使用的這臺電腦就加入了一個域。

image

域已經成為絕大多數公司組織、連線電腦的一種方式。那麼我們究竟為什麼要使用域?它能給我們帶來什麼好處呢?假設你是公司的系統管理員,你們公司有一千臺電腦。如果你要為每臺電腦設定登入帳戶,設定許可權(比如是否允許登入帳戶安裝軟體),那你要分別坐在這一千臺電腦前工作。如果你要做一些改變,你也要分別在這一千臺電腦上修改。相信沒有哪個管理員想要用這種不吃不喝不睡覺的方式來工作,所以就應運而生了域的概念。

還以Windows為例,在微軟的世界中,一個域是由一個或多個域控制器(domain controller)來控制的(其實域控制器並不神祕,無非就是裝了一些特別軟體的電腦)。其他的電腦加入該域,就要接受域控制器的控制。域控制器中有兩個重要的表,一個是加入該域的電腦的列表,另一個表用來儲存叫做活動目錄(Active Directory)的東西。活動目錄就是你登入公司網路的帳戶。活動目錄中儲存著你的許可權。你在某臺電腦上登入,你鍵入使用者名稱和密碼,你的電腦首先要把你的登入資訊傳送到域控制器,域控制器首先核實你的登入資訊是否正確,然後把一個叫access key的東西返還給你登入的電腦。這個access key中就包含著你的許可權,由它來決定你是否可以安裝軟體,或者使用印表機等等。

image

有了域以後,作為管理員,你就可以坐在一臺電腦前,登入到域控制器上,對一切許可權進行控制,而不用跑到每臺電腦前進行設定了。工作效率提高了很多,但是還不夠。假設公司有一千名員工,你是否要在域控制器中對這一千個人分別進行許可權的設定呢?這聽起來也是一件很麻煩的事。其實很多員工的許可權都是相同的,那我們可不可以對這些相同的許可權只設置一次,然後將該許可權分配給相關的員工呢?答案就是使用分組(Group)。比如在學校裡,我們設定學生組和教師組。在某臺電腦上我們設定一個共享資料夾,學生組的許可權是不可訪問,而教師組可以對該資料夾進行訪問。我們將不同的使用者放入不同的分組裡,然後對組進行許可權設定,這樣就免去了我們要對每個使用者進行設定的麻煩。比組更大的單位是組織單位(Organization Unit),一個組織單位可以包含使用者,組,資源(電腦,印表機等),還可以包含其他組織單位。舉個簡單的例子,有一個商場中的電腦加入了該商場的域,但是該電腦放置在公共場合,有很大的風險,所以我們可以將該電腦放置在一個單獨的組織單位中,然後對該組織單位進行許可權設定,比如不論誰在該組織單位中登入,都不可以修改他的密碼。

image

在很多的實際情況中,一個公司又有下面的子公司,所以就造成母公司有一個域,而子公司也有一個單獨的域。母公司的域與子公司的域如何聯絡起來呢?我們可以在它們之間建立一種叫信任(Trust)的關係。如果母公司的帳戶想要能夠登入到子公司的域中,子公司的域就要對母公司的域建立信任關係。當母公司域的帳戶想要登入到子公司域中時,子公司域由於信任母公司的域,所以它會聽從從母公司域的域控制器返回的access key。反過來,由於母公司的域沒有建立對子公司的信任,所以如果子公司的帳戶想要登入到母公司的域中是不可能的。

image

雖然我們上面的例子都是Windows的域,但域這個概念絕不是微軟獨創的。你也可以在Linux中使用一個叫Samba的軟體來建立域。如果你要用Windows搭建一個域環境的話,要注意兩點:

(1) 加入域不能使用Home版的Windows作業系統(顧名思義它是給你在家用的,而你家裡是不用搭建域的)。

(2) 域控制器不能使用web edition server,因為它沒有安裝活動目錄。

在現實環境中,有很多公司在域中使用多個域控制器,因為如果只使用一個域控制器的話,一旦域控制器不能正常工作,整個域就會癱瘓。在Samba中,Linux使用兩個域控制器,一個是主域控制器,一個是備份域控制器。一旦主域控制器發生故障,備份域控制器就開始工作,直到主域控制器恢復正常。備份域控制器就是一個主域控制器的拷貝,但是它的資料都是隻讀的,也就是說管理員不能在備份域控制器上修改許可權。

image

在Windows的域中,不使用主域控制器與備份域控制器,每個域控制器充當的都是一樣的角色,比如你有三個域控制器,你可以在任何一個域控制器上對使用者的許可權進行修改,你的修改將被複制到其他兩個域控制器中。同樣,如果一個域控制器發生故障,只要其他的域控制器還能正常工作,整個域還是可以正常執行。

image

最後再列舉兩條有用的命令:

列舉出域中所有的域控制器: NETDOM QUERY /D:MyDomain DC

檢視你是使用哪個域控制器登入的:echo %logonserver%

相關推薦

Windows Active Directory介紹

在今天很多人都有意識或無意識的跟域這個東西打過交道。如果你在公司裡使用電腦,並且你的電腦接入了公司的區域網,那你的電腦很可能就在一個域中。如何檢視你的電腦是否連線到一個域中,以Windows為例,右擊我的電腦 –>屬性,可以看到,我現在使用的這臺電腦就加入了一個域。

Windows 2012 Active Directory 服務安裝

輸入 tor 安裝windows ado 進行 log c2c text nag 前提條件:安裝Windows Server2012 R2 Datacenter版本配置相應的主機名及IP地址 正式安裝: 打開服務器管理器。 選擇添加角色和功能。 選擇基於角色或基於功能安裝

無法與Active Directory控制器(AD DC)連線(虛機加出錯問題)

今天建了兩臺虛機用的VMWARE,一臺做域控,一臺做應用伺服器,但是部署好域控要把應用伺服器加入域時候報錯 虛機網絡卡設定橋接並設定好IP使兩臺虛機在同一個區域網內,通過ip地址互ping能pin

Windows Server 2016-Active Directory服務概述

可擴展 對象的訪問 單位 系統管 結構化數據 轉移 ron .com 模式 活動目錄(AD)是一種目錄服務是微軟用於開發Windows域網絡。它被包含在大多數Windows Server 操作系統中作為一組進程和服務。最初,Active Directory只負責集中式域管理

Windows Server 2016-Active Directory服務端口匯總

Window server 2016 Active Directory 端口 AD port 域端口 AD DS同步端口 本章為大家簡單整理一下有關Windows server Active Directory和Active Directory域服務(AD DS)組件的端口要求。生產環境中

Windows Server 2008 R2 配置AD(Active Directory)控制器(圖文教程)

點評:Windows Server 2008 R2 配置AD(Active Directory)域控制器: 配置環境,配置DNS伺服器,配置Active Directory 域服務,C# AD(Active Directory)域同步 組織單位、使用者等資訊查詢等等需要了解的朋友可以參考下 - 目

cmd 執行Dcpromo錯誤:在該 SKU 上不支持 Active Directory 服務安裝向導,Windows Server 2008 R2 Enterprise 配置AD(Active Directory)控制器

域名 你是 旗艦 src pre 向導 nis 建議 ace   今天,要安裝AD域控制器,運行dcpromo結果提示:在該 SKU 上不支持 Active Directory 域服務安裝向導。   以前弄的時候直接就通過了,這次咋回事?終於搞了大半天搞定了。   

Active Directory服務

windows活動目錄一 域的概念 1. 活動目錄(Active Directory) 簡稱:AD 是一種目錄服務,數據存儲在目錄數據庫中。 AD的特點: ① 集中管理 ② 便捷的資源訪問

Window Server 2008 R2 創建Active Directory

windows adActive Directory稱為"活動目錄",在活動目錄創建的第一個域成員將成為此域的第一臺域控制器創建域的必要條件:DNS與DNS服務器由於域控制器需要將自己註冊到DNS服務器內,以便讓其他計算機通過DNS服務器來找到這臺與控制器,因此域控制器必須要有一個DNS域名和一臺可支持Act

Windows Server 2016-Active Directory復制概念(一)

Active Directory AD復制 域控復制概念 域同步復制 Windows Server 2016 停更十余天後,從今天開始繼續為大家帶來Windows Server 2016 Active Directory系列更新,本章為大家介紹有關Active Directory復制相關概

Windows Server 2016-Active Directory復制概念(二)

Active Directory AD復制 域控復制概念 域同步復制 Windows Server 2016 本章繼續補充有關Active Directory復制概念,具體內容如下:連接對象: 連接對象是一個Active Directory對象,表示從源域控制器到目標域控制器的復制連接。域

Windows Server 2016-管理Active Directory復制任務

repadmin.exe repadmin /replsum 域控制器復制 域復制管理 Active Directory Repadmin.exe可幫助管理員診斷運行Microsoft Windows操作系統的域控制器之間的Active Directory復制問題。Repadmin.exe

您真的會修改Active Directory控制器計算機名稱嗎

修改AD計算機名稱 修改域控服務器計算機名稱 修改DC的FQDN名稱 修改計算機名稱 從我開始做微軟這行開始,就經常聽說某某公司由於什麽原因需要修改Active Directory域控制器計算機名稱,但發現好多公司都是直接修改,導致了各種奇葩的問題,今天就給大家推薦一個修改Active Dir

Windows Server 2012 R2 Active Directory配置指南_戴有煒編著

window 鏈接: https://pan.baidu.com/s/1cgx0wWTZqfzKUd0jZpcxtA 密碼: 9zdv本書由臺灣知名的微軟技術專家戴有煒先生傾力編著,是他*推出的Windows Server 2012三卷力作中的Active Directory配置指南篇。 本書延續了作者的一貫

您修改Active Directory控制器IP地址方法是對的嗎

Active Directory IP地址 修改AD的IP地址 修改DC的IP地址 最近好多朋友問我修改Active Directory域控制器的IP地址需要註意什麽,如何修改。今天就簡單給各位老鐵介紹下。 修改Active Directory域控制器IP地址大致步驟如下: 登錄DC服務

AD(Active Directory)資訊同步,組織單位、使用者等資訊查詢

        //ID                                                 帳號             型別    父ID        //58-D6-C4-32-6A-A1-99-48-A4-8B-C8-5D-BC-C9-3E-17    acompany 

Win 10找不到印表機,並報“Active Directory服務當前不可用”的解決方法

這篇日誌又要吐槽Win 10了,微軟真是不爭氣啊,win 10各種難用。先說一個缺點:如果下定決心改進UI,就不要拿一個半成品來忽悠人,有些地方用的是Metro風格,但還有很多介面(如我們接下來要用到的)保持了win 7的風格,連產品介面風格都不能統一,呵呵。 這段時間在

Manage Active Directory From a Different Windows Instance in a Domain

You can perform Active Directory administrative functions from another Windows instance. Install the Microsoft Remote Server Adminis

無法與active directory控制器連線

解決方法: 將客戶機的DNS設為AD的IP 問題:      注意: 此資訊主要供網路管理員參考。如果您不是網路的管理員,請通知網路管理員您收到了此資訊,記錄在檔案 C:\WINDOWS\debug\dcdiag.txt 中。   當查詢 DNS

windows server 2012 AD 活動目錄部署系列(七)Active Directory 的授權還原

上篇博文中我們介紹了部署額外域控制器,也瞭解到域內所有的域控制器都有一個內容相同的Active Directory,而且 Active Directory 的內容是動態平衡的,也就是說任何一個域控制器修改了 Active Directory,其他的域控制器都會把這個 Ac