『壹』 AD域,域控制器創建的所有的用戶信息(用戶名,密碼)存在於哪裡,如何提取得到
一般在在控制面板,管理工具-active d.項下的。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的資料庫。當電腦聯入網路時,域控制器首先要鑒別這台電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄,用戶就不能訪問伺服器上有許可權保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網路上的資源。
要把一台電腦加入域,僅僅使它和伺服器在網上鄰居中能夠相互"看"到是遠遠不夠的,必須要由網路管理員進行相應的設置,把這台電腦加入到域中。這樣才能實現文件的共享。
『貳』 AD域是什麼意思
AD的全稱是Active Directory。AD域是Windows網路中獨立運行的單位,域之間相互訪問則需要建立信任關系(即Trust Relation)。信任關系是連接在域與域之間的橋梁。
兩個域之間不但可以按需要相互進行管理,還可以跨網分配文件和列印機等設備資源,使不同的域之間實現網路資源的共享與管理,以及相互通信和數據傳輸。
(2)ad域資料庫擴展閱讀:
工作組與域的區別
1、工作組網實現的是分散的管理模式,每一台計算機都是獨自自主的,用戶賬戶和許可權信息保存在本機中,同時藉助工作組來共享信息,共享信息的許可權設置由每台計算機控制。在網上鄰居中能夠看到的工作組機的列表叫瀏覽列表是通過廣播查詢瀏覽主控伺服器,由瀏覽主控伺服器提供的。
而域網實現的是主/從管理模式,通過一台域控制器來集中管理域內用戶帳號和許可權,帳號信息保存在域控制器內,共享信息分散在每台計算機中,但是訪問許可權由控制器統一管理。這就是兩者最大的不同。
2、在「域」模式下,資源的訪問有較嚴格的管理,至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱為「域控制器(Domain Controller,簡寫為DC)」。
3、域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的資料庫。當電腦聯入網路時,域控制器首先要鑒別這台電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。
如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄,用戶就不能訪問伺服器上有許可權保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網路上的資源。而工作組只是進行本地電腦的信息與安全的認證。
『叄』 AD域控主要作用是什麼,好處有哪些
一.域的作用:如果企業網路中計算機和用戶數量較多時,要實現高效管理,就需要windows域。 創建域 。
二.域控安裝:要建立域進行管理,首先需安裝域控制器(dc),dc上存儲著域中的信息資源,如名稱、位置和特性描述等信息。通過在一台伺服器上安裝活動目錄(AD),就會將這台計算機安裝成dc。
安裝條件:
1.安裝者必須具有本地管理員的許可權。
2.操作系統版本必須滿足條件(Windows server2003除web以外的所有都滿足)。 3.本地磁碟必須有一個NTFS文件系統
4.有TCP/IP設置
5.有相應的DNS伺服器支持
6.有足夠的可用空間
三.安裝活動目錄(AD)
1.打開ad開始--運行輸入dcpromo
2.是否創建新域。dc有兩種新域的域控和現有域的額外域控制器。一般選擇新域的域控。
3.新域的DNS全名。如ruirui.com.cn
4.新域的NetBIOS名。下一步
5.資料庫和日誌文件夾。為了優化性能,可以將資料庫和日誌放在不同的硬碟上。該文件夾不一定在NTFS分區。如果本計算機是域的第一台域控,則sam資料庫就會升級到C:\windows\ntds\ntds.dit,本地用戶賬戶變成域用戶賬戶。
6.共享的系統卷。共享系統卷SYSVOL文件夾存放的位置必須是NTFS文件系統。 7.DNS注冊診斷。AD需要DNFS服務支持。
8.域兼容性。如果網路中不存在Windows server 2003 以前版本的域控制器,就選第二項。如果存在選第一項。
9.還原模式密碼。目錄服務還原模式的管理員密碼,是在目錄服務還原模式下登錄系統時使用。由於目錄服務還原模式下,所有的域賬戶用戶都不能使用,只有使用這個還原模式管理員賬戶登錄。
10.安裝完成後需重啟計算機。
前面講解了怎樣創建windows域,現在完善一下,講解怎樣將計算機加入域。 在安裝完AD後,需要將其它的伺服器和客戶計算機加入到域中。一般情況下,在從客戶計算機加入域時,會在域中自動創建計算機賬號。不過,用戶必須在本地客戶計算機上擁有管理許可權才能將其加入到域中。
在加入域之前,首先檢查客戶機的網路配置:
1.確保網路上物理連通
2.設置IP地址
3.檢查客戶機到伺服器是否連通 4.配置客戶機的首選DNS伺服器(通常為第一台DC的IP) 在客戶端計算機系統屬性中的「計算機名」選項卡里,單擊更改按鈕可以打開計算機加入域的對話框,選中域後,輸入正確的域名,然後再根據提示輸入具有加入域許可權的用戶名和密碼即可。 這樣就OK了!將客戶機加入域,就可以在客戶機上,使用域賬戶加入到域,也可以使用客戶機的本地用戶賬戶登錄到域。 前面一直提到DNS,下面講解DNS在域中的作用。
DNS在域中有兩個作用: 域名的命名採用DNS的標准、定位DC。
1、域名的命名採用DNS標准。公司要創建第一個域,域名為ruirui.com.cn。上海分公司要成為子域,域名為sh.ruirui.com.cn。這些都遵循DNS分布式、等級結構的標准。這體現了辦公網路與Internet集成的理念。
2、客戶機如何定位DC。當域用戶賬戶登陸時或者查找活動目錄時,首先要定位DC,這需要DNS伺服器支持,
主要步驟: 1)客戶機發送DNS查詢請求給DNS伺服器。
2)DNS伺服器查詢匹配的SRV資源記錄。
3)DNS伺服器返回相關DC的ip地址列表給客戶機。
4)客戶機聯繫到DC
5)DC響應客戶機的請求 DNS在活動目錄中為什麼能起到定位DC的作用
。 主要靠域的DNS區域中的SPV資源記錄。開始--程序--管理工具--DNS,打開DNS管理器,就是SRV資源記錄。
『肆』 AD和DC都叫域控制器,有什麼區別
DC是Domain Controller的縮寫,即域控制器, AD是active directory的縮寫,即活動目錄。
Domain Controller是一台計算機,實現用戶,計算機,目錄的統一管理。AD(活動目錄)是一種存儲協議,基於LDAP。兩者完全是兩種概念,DC也可以不基於AD實現,比如基於數回據庫或文件,當然目前微軟還沒有這樣的答實現。
在對等網模式下,任何一台電腦只要接入網路,其他機器就都可以訪問共享資源,如共享上網等。盡管對等網路上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
不過在「域」模式下,至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱為「域控制器(Domain Controller,簡寫為DC)」。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的資料庫。當電腦聯入網路時,域控制器首先要鑒別這台電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。
如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄,用戶就不能訪問伺服器上有許可權保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網路上的資源。
要把一台電腦加入域,僅僅使它和伺服器在網上鄰居中能夠相互「看」到是遠遠不夠的,必須要由網路管理員進行相應的設置,把這台電腦加入到域中。這樣才能實現文件的共享。
『伍』 LDAP和AD域的關系及區別
簡單的說來,LDAP是一個得到關於人或者資源的集中、靜態數據的快速方式.LDAP是一個用來發布目錄信息到許多不同資源的協議.通常它都作為一個集中的地址被使用,不過根據組織者的需要,它可以做得更加強大.
LDAP其實是一個電話簿,類似於我們所使用諸如NIS(Network Information Service)、DNS (Domain Name Service)等網路目錄,也類似於你在花園中所看到的樹木.
不少LDAP開發人員喜歡把LDAP與關系資料庫相比,認為是另一種的存貯方式,然後在讀性能上進行比較.實際上,這種對比的基礎是錯誤的.LDAP和關系資料庫是兩種不同層次的概念,後者是存貯方式(同一層次如網格資料庫,
對象資料庫),前者是存貯模式和訪問協議.LDAP是一個比關系資料庫抽象層次更高的存貯概念,與關系資料庫的查詢語言SQL屬同一級別.LDAP最基本
的形式是一個連接資料庫的標准方式.該資料庫為讀查詢作了優化.因此它可以很快地得到查詢結果,不過在其它方面,例如更新,就慢得多.
特殊的資料庫
從另一個意義上 LDAP是實現了指定的數據結構的存貯,它是一種特殊的資料庫.但是LDAP和一般的資料庫不同,明確這一點是很重要的.LDAP對查詢進行了優化,與寫性能相比LDAP的讀性能要優秀很多.
就象Sybase、Oracle、Informix或Microsoft的資料庫管理系統(DBMS)是用於處理查詢和更新關系型資料庫那樣,LDAP伺服器也是用來處理查詢和更新LDAP目錄的.換句話來說LDAP目錄也是一種類型的資料庫,但不是關系型資料庫.要特別注意的是,LDAP通常作為一個 hierarchical資料庫使用,而不是一個關系資料庫.因此,它的結構用樹來表示比用表格好.正因為這樣,就不能用SQL語句了.
21世紀的LDAP技術發展很快.幾乎所有計算機平台上的所有的應用程序都可以從LDAP目錄中獲取信息.LDAP目錄中可以存儲各種類型的數據:電子郵件地址、郵件路由信息、人力資源數據、公用密匙、聯系人列表,等等.通過把LDAP目錄作為系統集成中的一個重要環節,可以簡化員工在企業內部查詢信息的步驟,甚至連主要的數據源都可以放在任何地方.
伺服器
LDAP伺服器可以用「推」或「拉」的方法復制部分或全部數據,例如:可以把數據「推」到遠程的辦公室,以增加數據的安全性.復制技術是內置在LDAP伺服器中的而且很容易配置.如果要在DBMS中使用相同的復制功能,資料庫廠商就會要你支付額外的費用,而且也很難管理.
『陸』 什麼是ad域認證
AD域認證是指TSM系統終端代理使用第三方庫執行主要認證業務,TSM系統的AD域認證過程主要涉及到三個角色,分別是:TSM伺服器、AD域控、終端代理。AD是原Protel軟體開發商Altium公司推出的一體化的電子產品開發系統,運行在Windows XP、Windows7操作系統。
TSM的核心功能是提供集中的數據備份管理,能夠為大型的企事業單位提供可靠的集中數據備份管理,是業界最主要的備份軟體之一。TSM能夠提供穩定先進的架構,強大的備份功能支持,和更好的可擴展性。
AD主要是原Protel軟體開發商Altium公司推出的一體化的電子產品開發系統,運行在Windows XP、Windows7操作系統。這套軟體通過把原理圖設計、電路模擬、PCB繪制編輯、拓撲邏輯自動布線、信號完整性分析和設計輸出等技術的完美融合。
(6)ad域資料庫擴展閱讀:
AD域認證TSM系統基本功能:
一、企業級的存儲數據管理
TSM是一個功能非常全面的解決方案,能夠提供企業級的存儲數據管理功能。從信息生命周期的角度來看,TSM能夠提供數據保護,數據歸檔,分級存儲以及數據的銷毀等一系列功能。因此,TSM不僅僅是一個數據備份軟體,能夠提供以數據備份為主的更多的數據管理功能。
二、集中的數據備份與恢復管理
TSM存儲管理軟體能夠為用戶提供專業的數據備份功能,能夠提供多種級別的數據備份,如文件系統備份,應用系統備份,資料庫備份,郵件系統備份,操作系統備份等不同的備份類別。TSM能夠支持絕大多數主流操作系統平台,主流的應用。
根據用戶需求為不同的用戶定製合適的備份解決方案。由於用戶絕大多數的存儲數據管理需求主要集中在集中備份方面,所以TSM更多的是被作為一個備份軟體介紹給大家,因此,在本文中也主要介紹TSM的備份管理功能。
三、專業的數據歸檔管理功能
TSM存儲管理軟體提供專業的文件系統數據歸檔功能,TSM的數據歸檔功能構建於TSM基礎架構之上,不需要額外安裝其他軟體模塊,也不需要用戶單獨付費。TSM提供獨立的歸檔策略,能夠為不同的數據對象指定不同的歸檔保存時間。
四、高效的分級存儲功能
TSM存儲管理軟體能夠提供專業的文件系統分級存儲功能,能夠將磁帶等存儲設備作為文件系統的二級存儲,定製策略將訪問較少的文件從伺服器的文件系統遷移到TSM所管理的磁帶庫中,並在本地保留一個存根文件,整個過程可以自動完成,也可以手動遷移。
五、流程化的災難恢復管理
TSM存儲管理軟體提供流程化的災難恢復管理功能,TSM內置一個災難恢復管理模塊(DRM),通過DRM能夠對災難恢復進行規范的流程管理,包括離線磁帶的跟蹤和回收,能夠對磁帶狀態進行自動設置更新。
並能夠對整個恢復流程提供所需要的配置信息,恢復腳本,可以指導管理員順利的完成整個恢復過程。TSM還提供通過網路進行數據傳輸的容災方式,能夠將一套TSM系統的數據通過專業技術傳輸到另外一套TSM系統,從而完成基於網路的數據級容災。
『柒』 AD域遷移的話,只需要備份AD域資料庫嗎,還原時需不需要對DNS伺服器進行設置
DNS數據可以導入的。
AD遷移只不過遷移帳戶數據,在用戶端來說,還是需要重新加域,只不過可以繼續用原來的賬號,因為域、伺服器系統不同了。
另,如果你不改域,僅僅是新增或者更換伺服器硬體的話,就可以採用多域控的方式來實現遷移,但DNS數據還是需要導的。
『捌』 微軟ad域登陸時顯示用戶不存在資料庫
要進行IP更改。
微軟ad域登陸時顯示用戶不存在資料庫,現在需要在不重新部署伺服器的情況下進行AD域伺服器的IP地址更改。
『玖』 AD域到底是什麼
Active Directory
什麼是活動目錄?
Active Directory 可幫助 IT 團隊監控各種網路對象,授予和撤銷不同的用戶許可權,並將各類策略在網路中順利實施。例如,管理員可以創建一組用戶並為他們分配對伺服器上目錄的特定訪問許可權。然而,隨著網路的發展,管理員可能很難跟蹤用戶、登錄詳細信息、資源分配詳細信息和許可權。Active Directory 是最重要的 IT 基礎架構工具之一,它可以幫助管理員管理用戶配置流程、安全性和審計,並提供從單個位置訪問每個用戶帳戶的許可權。在 Active Directory 的幫助下,用戶可以按邏輯組織成組和子組,以提供訪問控制。
AD域管理
在 Active Directory 中,數據存儲為對象。對象可以理解為單個元素,例如用戶、組、應用程序或設備。對象可以是資源或安全主體,如用戶或組。每個對象都有一個名稱和屬性。例如,用戶名可能是名稱字元串和與用戶相關聯的信息的組合。
Active Directory 結構由三個主要組件組成:域、樹和林。可以將多個對象(例如使用同一 AD 資料庫的用戶或設備)分組到一個域中。域具有域名系統 (DNS) 結構。多個域可以組合形成一個稱為樹的組。樹形結構使用連續的名稱空間以邏輯層次結構排列域。樹中的不同域共享安全連接並在層次結構中相互信任。這意味著第一個域可以隱式信任層次結構中的第三個域。多棵樹的集合稱為森林。管理員可以在各個級別分配特定的訪問許可權和通信許可權。此外,森林還包括目錄架構、共享目錄、域配置和應用程序信息。全局編錄伺服器提供林中所有對象的列表,架構定義林中對象的類和屬性。組織單位 (OU) 管理組、用戶和設備。每個域都可以包含自己的 OU。
域樹結構
Active Directory 提供多種服務,例如域服務、輕量級目錄服務、證書服務、聯合服務和許可權管理服務。這些服務屬於 Active Directory 域服務 (AD DS)。AD DS 隨 Windows Server 一起提供,旨在管理客戶端系統。AD DS 可以被認為是 Active Directory 的主要服務;它存儲目錄信息並負責用戶和域之間的交互。當用戶嘗試通過網路連接到設備、伺服器或資源時,AD DS 會檢查授予用戶的登錄憑據和訪問許可權。SharePoint Server 和 Exchange Server 等其他產品也依賴 AD DS 進行資源訪問。
Active Directory 證書服務 (AD CS) 創建、共享和管理證書。這些證書使用戶能夠通過 Internet 安全地交換信息。
Active Directory 輕型目錄服務 (AD LDS) 具有與 AD DS 相同的功能。AD LDS 可以使用輕量級目錄訪問協議 (LDAP) 存儲目錄數據,並在單個伺服器上運行多個實例。LDAP 應用程序協議存儲與目錄服務中的對象相關的數據,例如用戶名和密碼,並在網路上共享它們。
Active Directory 聯合身份驗證服務 (AD FS) 使用單點登錄 (SSO) 的概念來驗證用戶,並允許他們在單個會話中訪問不同網路上的多個應用程序。使用 SSO,用戶只需為每項服務登錄一次。
Active Directory 許可權管理服務 (AD RMS) 通過加密伺服器上的內容來保護機密和離散信息免遭未經授權的訪問。
Active Directory 附帶 Microsoft Server 操作系統,並提供多種功能和服務。Active Directory 可幫助 IT 專業人員將訪問許可權分配給新員工(帳戶配置)並撤銷離開公司的員工的訪問許可權(帳戶取消配置)。雖然 Active Directory 域服務在組織中發揮著至關重要的作用,但它本身並不提供針對網路犯罪的安全性。如果存在可疑活動,IT 團隊需要手動查看日誌並花時間查明需要糾正的區域。這是因為 Active Directory 附帶的集成工具在企業級別可能不是非常有效或有用。
因此,我們還可以利用第三方工具對域進行有效管理,接下來就給大家介紹幾款AD域管理、審計、自助服務工具。
『拾』 ad域中文件存儲
人們經常將數據存儲作為目錄的代名詞。目錄包含了有關各種對象 [例如用戶、用戶組、計算機、域、組織單位(OU)以及安全策略的信息。這些信息可以被發布出來,以供用戶和管理員的使用。目錄存儲在被稱為域控制器的伺服器上,並且可以被網路應用程序或者服務所訪問。一個域可能擁有一台以上的域控制器。每一台域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器復制到域、域樹或者森林中的其它域控制器上。由於目錄可以被復制,而且所有的域控制器都擁有目錄的一個可寫副本,所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。目錄數據存儲在域控制器上的Ntds.dit文件中。我們建議將該文件存儲在一個NTFS分區上。有些數據保存在目錄資料庫文件中,而有些數據則保存在一個被復制的文件系統上,例如登錄腳本和組策略。有三種類型的目錄數據會在各台域控制器之間進行復制。域數據,域數據包含了與域中的對象有關的信息。一般來說,這些信息可以是諸如電子郵件聯系人、用戶和計算機帳戶屬性以及已發布資源這樣的目錄信息,管理員和用戶可能都會對這些信息感興趣。例如,在向網路中添加了一個用戶帳戶的時候,用戶帳戶對象以及屬性數據便被保存在域數據中。如果您修改了組織的目錄對象,例如創建、刪除對象或者修改了某個對象的屬性,相關的數據都會被保存在域數據中。配置數據, 配置數據描述了目錄的拓撲結構。配置數據包括一個包含了所有域、域樹和森林的列表,並且指出了域控制器和全局編錄所處的位置。架構數據,架構是對目錄中存儲的所有對象和屬性數據的正式定義。Windows Server 2003提供了一個默認架構,該架構定義了眾多的對象類型,例如用戶和計算機帳戶、組、域、組織單位以及安全策略。管理員和程序開發人員可以通過定義新的對象類型和屬性,或者為現有對象添加新的屬性,從而對該架構進行擴展。架構對象受訪問控制列表(ACL)的保護,這確保了只有經過授權的用戶才能夠改變架構。