文章目录
- 一、Active directory structure
- 二、Active Directory Terminology
一、Active directory structure
Active Directory (AD) 是用于 Windows 网络环境的目录服务。它是一种分布式分层结构,允许集中管理组织的资源,包括用户、计算机、组、网络设备和文件共享、组策略、服务器和工作站以及信任。AD 在 Windows 域环境中提供身份验证和授权功能。
AD 本质上是一个大型数据库,域内的所有用户都可以访问,无论其权限级别如何。没有添加权限的基本 AD 用户帐户可用于枚举 AD 中包含的大多数对象,包括但不限于:
下图就是一个域结构:
其中,
INLANEFREIGHT.LOCAL
是根域,包含如下子域:ADMIN.INLANEFREIGHTLOCAL
、CORP.INLANEFREIGHT.LOCAL
、DEV.INLANEFREIGHT.LOCAL
。
下图展示了两个域森林inlanefreight.local
和freightlogistics.local
,两者之间的双向箭头代表两个域森林之间的信任关系(就是说,inlanefreight.local
中的用户可以访问域freightlogistics.local
中的资源)。根域信任每一个子域,子域之间要想相互访问域内资源,需要建立信任关系。例如,域admin.dev.freightlogistics.local
中的用户是不被域wh.corp.inlanefreight.local
域内的机器认证的。
二、Active Directory Terminology
- Object(对象):Active Directory 环境中存在的任何资源,如打印机、用户、域控制器等。
- Attributes(属性):Active Directory 中的每个对象都有一组关联的属性,用于定义给定对象的特征。例如,计算机对象包含主机名和 DNS 名称等属性。AD 中的所有属性都有一个关联的 LDAP 名称,可以在执行 LDAP 查询时使用该名称。
- Schema:Active Directory schema 实质上是任何企业环境的蓝图。schema定义了 AD 数据库中可以存在的对象类型及其关联属性。例如,AD 中的用户属于“user”类,计算机对象属于“computer”类。每个对象都有自己的信息(有些需要设置,有些是可选的),这些信息存储在属性中。
- Domain(域):域是对象(如计算机、用户、组等)的逻辑组。域可以完全相互独立运行,也可以通过信任关系进行连接。
- Tree(域树):多个域通过建立信任关系组成的集合,两个域之间需要相互访问,则需要建立信任关系。当一个域被添加到树中的另一个域下时,就会形成父子信任关系。
- Forest(域森林):域森林是 多个域树建立信任关系组成的集合。域森林可以包含一个或多个域树,每个域森林独立运行,但可能与其他域森林有各种信任关系。
- Container(容器):容器对象包含其他对象,并在目录子树层次结构中具有定义的位置。
- Leaf(叶子对象):叶子对象不包含其他对象,位于子树层次结构的末尾。
- Global Unique Identifier (GUID):GUID 是在创建域用户或组时分配的唯一 128 位值。同时,Active Directory 创建的每个对象都分配了一个 GUID,而不仅仅是用户和组对象。GUID 被存储在ObjectGUID 属性。**在 Active Directory 中按 GUID 值进行搜索可能是查找要查找的确切对象的最准确、最可靠的方法。**只要对象还存在,GUID值永远不会改变。