LDAP需求分析

为了集中管理,容易维护和优化,降低运维成本,在任何计算机平台上,用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录,更容易定制应用程序企业引用LDAP服务器。
LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据,例如:可以把数据“推”到远程的办公室,以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配置。如果要在DBMS中使用相同的复制功能,数据库产商就会要你支付额外的费用,而且也很难管理。LDAP允许你根据需要使用ACI(一般都称为ACL或者访问控制列表)控制对数据读和写的权限。例如,设备管
理员可以有权改变员工的工作地点和办公室号码,但是不允许改变记录中其它的域。ACI可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由LDAP目录服务器完成的,所以不用担心在客户端的应用程序上是否要进行安全检查。
LDAP对于这样存储这样的信息最为有用,也就是数据需要从不同的地点读取,但是不需要经常更新。例如,这些信息存储在LDAP目录中是十分有效的:公司员工的电话号码簿和组织结构图;客户的联系信息;计算机管理需要的信息,包括NIS映射、email假名,等等;软件包的配置信息;公用证书和安全密匙。

LDAP概述

LDAP是Lightweight Directory Access Protocol的缩写,指轻量级目录访问协议(这个主要是相对另一目录访问协议X.500而言的;LDAP略去了x.500中许多不太常用的功能,且以TCP/IP协议为基础, 一般使用389端口进行数据传输。目录服务用于通过键-值类型格式存储、整理及表达数据。一般来讲,目录会面向查找、搜索以及读取操作做出优化,因此适用于经常引用但却较少变更的数据。)。目录服务和数据库很类似,但又有着很大的不同之处。数据库设计为方便读写,但目录服务专门进行了读优化的设计,因此不太适合于经常有写操作的数据存储。LDAP只是协议

LDAP概述-基本模型

LDAP协议分析

AD需求背景

AD域概述

活动目录Active Directory的缩写,面向微软服务器的目录服务,LDAP协议(轻量级目录访问协议)下的一种产品。它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段
Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。Active Directory 域内的 directory database(目录数据库)被用来存储用户账户、计算机账户、打印机和共享文件夹等对象,而提供目录服务的组件就是 Active Directory (活动目录)域服务(ActiveDirectory Domain Service,AD DS),它负责目录数据库的存储、添加、删除、修改与查询等操作 .

AD域特点及常用功能

1、特点
1)微软基于AD的域模式,最大的优点是实现了集中式管理。
2)回收并管理普通用户对客户机的权限。
3)AD是一个大的安全边界,用户只要在登录时验证了身份,这个域林中所有允许访问资源都可以直接访问,
不用再做身份验证,也提高的效率减少了维护成本。
4)对于用户好处,通过文件夹的重定向可以将所有用户桌面的“我的文档”重定向到文件服务器上。
2、常用功能
1)用户账号管理
2)权限管理
3)软件/补丁推送

域信任关系

创建域信任关系
域信任关系是有方向性的,如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以。
如果A域信任了B域,那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中,这样A域内的资源就可以分配给B域的用户了。从这个过程来看,A域信任B域首先需要征得B域的同意,因为A域信任B域需要先从B域索取资源

域的信任关系的主动权掌握在被信任域手中而不是信任域。
•A域信任B域,意味着A域的资源有分配给B域用户的可能性,但并非必然性!如果不进行资源分配,B域的用户无法获得任何资源

域树
域树是Active Directory针对NT4的传统域模型所进行的重要改进。在NT4时代的域模型中,每个域都要使用没有层次结构的NETBIOS名称,而且域和域之间缺少关联,只能创建不能传递的域信任关系。这会在企业管理方面造成诸多不利因素:
首先域和域之间很难根据域名判断彼此间的隶属关系,例如beijing域和shanghai域;
其次由于域之间的信任关系不可传递,在域数量较多时光是创建域之间的完全信任就要耗费大量时间。假定有10个域,那我们在10个域之间要建立45次信任关系才能让这些域相互之间都完全信任。域树针对以上问题进行了很好的解决,域树的父域和子域之间由于使用了层次分明的DNS域名,只要根据域名我们就可以判断出两个域的隶属关系,例如有两个域abc.com和test.abc.com,我们可以很轻易地判断出后者是前者的子域。

组策略

组策略是一个允许执行针对用户或计算机进行配置的基础架构。
其实通俗地说,组策略和注册表类似,是一项可以修改用户或计算机设置的技术。
那组策略和注册表的区别在哪儿呢?
注册表只能针对一个用户或一台计算机进行设置;
组策略却可以针对多个用户和多台计算机进行设置。
举例:在一个拥有1000用户的企业中,如果我们用注册表来进行配置,我们可能需要在
1000台计算机上分别修改注册表。但如果改用组策略,那只要创建好组策略,然后通过一
个合适的级别部署到1000台计算机上就可以了。

组策略和Active Directory结合使用,可以部署在OU,站点和域的级别上,当然也可以部署
在本地计算机上,但部署在本地计算机并不能使用组策略中的全部功能,只有和Active
Directory配合,组策略才可以发挥出全部潜力。 组策略部署在不同级别的优先级是不同的,
本地计算机<站点<域<OU。 我们可以根据管理任务,为组策略选择合适的部署级别。
什么是组策略对象?
组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域
或OU、该GPO内的设定值就会影响到该站点,域或OU内的所有用户于计算机

组策略管理 

组策略管理可以通过组策略编辑器和组策略管理控制台(GPMC),
组策略编辑器是Windows操作系统中自带的组策略管理工具,可以修改GPO中的设置。
GPMC则是功能更强大的组策略编辑工具,GPMC可以创建,管理,部署GPO,最新的GPMC可以从微软网站
下载。

1. 帐户策略的设定

• 例如设定用户密码的长度、复杂度、使用的期限,帐号锁定策略等

2. 本地策略的设定

• 例如审核策略的设定、用户权限的指派、安全性的设定 。

3. 部署软件

• 思路是把要部署的软件存储在文件服务器的共享文件夹中
• 然后通过组策略告知用户用户或计算机,某某服务器的某某文件夹有要安装的软件,赶紧去下载安装。
• 设置好组策略,就可以等待客户机自动进行软件安装了,完全不用在客户机上一一进行部署了。

17.AD域和LDAP协议相关推荐

  1. AD域和LDAP协议

    AD域和LDAP协议 1.LDAP 1.1 常见的目录服务软件 X.500 LDAP Actrive Directory,Microsoft公司 NIS 1.2 LDAP特点 LDAP是轻量目录访问协 ...

  2. 文件服务器怎么和域同步ldap,ad域和ldap服务器搭建

    ad域和ldap服务器搭建 内容精选 换一换 OneAccess支持通过AD认证用户身份和控制权限.AD全称Active Directory,中文名称活动目录.您可以将AD简单理解成一个数据库,其存储 ...

  3. AD 域服务简介(二)- Java 获取 AD 域用户

    博客地址:http://www.moonxy.com 关于AD 域服务器搭建及其使用,请参阅:AD 域服务简介(一) - 基于 LDAP 的 AD 域服务器搭建及其使用 一.前言 先简单简单回顾上一篇 ...

  4. AD域实现统一用户管理

    AD域服务 什么是目录(directory)呢? 日常生活中使用的电话薄内记录着亲朋好友的姓名.电话与地址等数据,它就是 telephone directory(电话目录):计算机中的文件系统(fil ...

  5. LDAP 协议入门(轻量目录访问协议)

    什么是 LDAP? LDAP 的全称是 Lightweight Directory Access Protocol,「轻量目录访问协议」. 划重点,LDAP 「是一个协议」,约定了 Client 与 ...

  6. 通过企业微信,向AD域过期用户发送更改密码提醒

    目录 ·先决条件 ·语言与环境 ·基本思路 ·代码说明 1.连接LDAP查询密码过期的用户 2.获取企业微信中应用的Access_Token 3.通过邮箱获取用户在企业微信中的ID 4.通过企业微信的 ...

  7. Windows ❀ AD域服务器的搭建(LDAP协议)

    Windows下AD域服务器是如何搭建的? 一.AD域介绍 1.目录服务 定义:目录服务就是按照树状存储信息的模式 目录服务特点: 目录服务的数据类型主要是字符型,而不是关系数据库提供的整数.浮点数. ...

  8. 【安全科普】AD域安全协议(三)LDAP

    前言 LDAP是一种目录访问协议,它规定了以树状结构的方式来存储和访问数据. 然而协议是抽象的,要产生具体的功效,必须在应用中实现,比如AD域服务就实现了LDAP协议. LDAP最明显的优势就是读取速 ...

  9. ros udp协议53端口 封_每天一点IT-说说AD域的端口

    每天学习一点点,进步一点点! 今天跟大家说说AD域的相关端口,便于大家以后进行排查和了解哈. 首先是动态端口: 针对windows server 2003架构的域控,动态端口范围是从1025到5000 ...

最新文章

  1. python3 zipfile模块 zip压缩解压
  2. boost::system::error_condition相关的测试程序
  3. ASP.NET图片上传(配合jquery.from.js 插件)
  4. 使用STAD研究product搜索和保存的性能
  5. 大数据项目交付国标_在紧迫的期限内交付大型项目
  6. 北妈每日一学:ES6语法之 箭头函数(附免费学习资料)
  7. mysql 连接查询 子查询 备份 笔记
  8. Redis的发布订阅与主从配置
  9. Copy(定义,特点,深复制,浅复制)(非ARC,ARC的运用范围)
  10. 北京联通光猫 F427 路由改桥接的方法
  11. [转载] python3安装superset踩坑解决过程
  12. 如何打开.chm文档(比如华为产品手册等)
  13. ListBox横向绑定数据
  14. java dbutil_DBUtil java工具类
  15. 搭建 Harbor v2.2.0 docker私库
  16. JavaScript刷新当前页面的五种方式
  17. web木马检测系统的设计与实现
  18. microsoft 365 E5申请过程收不到验证码的解决方案
  19. 产业分析:中国债券市场投资手册
  20. dis ospf brief 命令解读

热门文章

  1. 极具职场竞争力的操作系统背景知识学习笔记(Windows+Linux)
  2. matplotlib绘制四个子图
  3. 界面适配华为手机的虚拟按键的解决方案
  4. [原创]-Day5.数据可视化之Pyecharts
  5. S-属性定义与L-属性定义
  6. 计算机无法使用网络连接到服务器,电脑无法连接网络并诊断提示DNS服务器未响应的解决方法...
  7. Outlook 显示Working Offline?
  8. Astah如何导出图片
  9. XSS是什么?如何防御?手摸手教你Springboot配置XSS防御,深入代码解析!
  10. 中国地理信息产业人才分布地图