注:本文来自z00w00的博客,欢迎大家访问他的博客增添人气。
一直以来都想写一些关于活动目录技术的文章,但是一直没有一个好的切入点。有一天在在51CTO的博客专题中乱转,发现了宋杨的一篇老博文《省钱之道--图解域域树域林根域的含义》看了以后觉得不错。但是也有点想法。我不敢妄自评判文章的好坏,只是想有没有更通俗的解法来描述这些抽象、专业的概念呢?于是想到了我从小很喜欢的武侠小说,突然发现,原来这些东西就溶于我们的生活之中呀。废话少说,开始正文。
自从WINDOWS 98系统出现之后,WINDOWS操作系统就不是孤立存在的,可以通过网络联机相互联系。当然,除非你只有一台计算机。默认安装的WINDOWS操作系统是以工作组模式运行。当然WINDOWS联机的模式只有两种:域模式和工作组模式。
一、工作组。
很多专业的描述是工作组模式是由相互独立的计算机组成。他们再网络中的地位平等,各自独立、分散的维护和管理着自身。这个较抽象的描述是可以宏观表述的,看。在武侠世界里就体现着。就是金庸武侠小说中《笑傲江湖》里面五岳剑派。
(图1)
五岳剑派最初是由上图的五个门派组成的。最初的目的是为了团结起来对抗少林,武当,日月神教等大派。五岳剑派由嵩山左冷禅提议组建,***华山岳不群当上所谓的盟主。实际上这五个门派就组成了一个工作组。
由5台计算机(五个门派)组成的一个工作组
工作组(workgroup)=五岳剑派
为什么是工作组呢?原来虽然这五个门派组成了所谓的五岳剑派,也有了所谓的盟主。但是五岳剑派实际上仍然是各自为政。比如恒山派掌门令狐冲(相当于华山这台机器的本地管理员)恒山派弟子(本地用户)的创建(招弟子)删除(逐出弟子)等问题仍然由令狐冲说的算,根本就不理睬盟主号令。另外恒山弟子(本地用户)也听令狐冲的号令。顶多是由嵩山派弟子来访(相当于来共享一个资源给他们访问)或者华山派被人揍了,请求恒山支援(可以想象成另一种资源的共享方式)。
二、域
什么是域?就是把我们企业IT环境中的所有资源在逻辑上进行统一集中管理的一种手段。还有什么逻辑组织最小单元呀,什么安全边界了,有点抽象了。好吧,我告诉你,域就是一个门派:就是少林,就是武当,就是明教。(以下所有以明教举例)明教就是宏观存在的逻辑组织,明教教众在明教教主的带领下进行轰轰烈烈的革命。
关于域名和DNS命令等问题在这里不介绍了,估计比较容易明白。
(图2)
看图2当看到mingjiao.com这个表示一个单域的时候,你就可以想到明教。
(图3)
请大家认真看图3,我来解释一下这张图。域的实体是由计算机和人员组成的。我们先看几个转化公式.
明教教主=域管理员
明教弟子=域用户
加入域的成员计算机=丁家大院
加入域的成员服务器=明教钱庄
域控制器(DC)=光明顶
在域中要添加用户账户,就是域账户。而这里普通域用户账户就相当于明教弟子。
在域中计算机分别担任三种角色。
***种,是安装WINDOWS操作系统的计算机。比如WIN XP和WIN 7。加入域后这种计算机叫成员计算机。在这里我们可以想象明教是一个大派,全国各地都有人有地盘。由于我们是人去操作计算机,所以这里的计算机就可以想象成一个地盘(一个具体的实物,比如房屋)我这里叫做丁家大院。等于丁家大院就是明教的产业了。默认情况下,任何明教弟子(普通域用户)在登录验证后都可以进入丁家大院了。可以在里面休息,下棋等。(访问资源)不过名教弟子毕竟不是丁家大院的所有者.所以不可以拆墙,建楼等行为(相对修改计算机系统) 那么谁是丁家大院的所有者呢? 有两个.一个就是原丁家大院的主人(本地管理员),一个就是明教教主(域管理员)想想都是明教的产业了,当然是所有者了。当然假如有一天丁家大院不再是明教的产业了. 被变卖了.这个行为就相当于WINDOWS计算机退出域.只有上面的2个所有者有这个能力.当然明教教主(域管理员)可以委派一个明教弟子(域用户)成为丁家大院主人(本地管理员)
第二种,是安装WINDOWS SERVER操作系统的计算机.比如WIN 2003 SERVER 、WIN2008 SERVER。加入域的这类计算机叫成员服务器。同样,这种机器也相当于明教的一个地盘或者叫产业。与上面相同的是,这个产业也有主人(本地管理员)。明教弟子(域普通用户)也可以进入这个产业(登录到该机器上)但是也有不同的,服务器一般都是提供共享资源应用的服务器。比如做一个文件服务器,一个WEB服务器。所以这个产业中存放的是域用户的共用资源,在这里相当于明教的一个钱庄(明教弟子把钱都放在这里,可以存取)
第三种,是安装WINDOWS SERVER操作系统的计算机安装了AD(活动目录)这时候这台计算机就成了域控制器。活动目录是什么?活动目录就相当于一个数据库,一个明教的账本。这个账本记录了哪些是明教的产业(加入域的计算机)谁是明教弟子(域用户账户)甚至还有 明教钱庄的钱(共享资源)等。所以域控制器就相当于明教之圣地-光明顶。每一个加入明教的弟子(新建用户)每一个归入明教的产业(加入成员计算机)都要到光明顶的账本中登记(记录到活动目录中)不过,光明顶与上面的丁家大院与明教钱庄不同。光明顶不归入明教的产业,也就没有主人(本地账户)其次光明顶是神圣的地方,一般明教弟子是不准进入的(默认域用户无法登陆到域控中)当然,明教教主(域管理员)是可以进去,管理这个账本(活动目录)。也可以修改这个条例(修改默认域控策略)允许指定的明教弟子进入(登陆域控)。
好了,上面的图解释完了,下面解释一个比较重要的问题。域用户登陆域的问题。
其实就好比明教弟子要进入自己的地盘一样。首先你是明教弟子(拥有域用户账号),其次你进入的是明教的地盘或叫产业(加入域的计算机)。否则,一个明教弟子跑到少林寺去非要进人家的藏经阁(非明教的产业)不被打出来才怪呢。再者你说你是明教弟子,你就是明教弟子了?别着急,明教有验证的办法。比如明教弟子王小五,要进入丁家大院。(用户王小五,要利用成员计算机登陆到域)首先报告给大院管家(计算机系统)大院管家收到信息后无法验证,这个时候把这个信息飞鸽传书到光明顶(域控制器)光明顶管家(DC计算机系统)查看账本(活动目录)验证是否存在此人,确认后飞鸽传书一个腰牌给王小五。从此王小五就可以进入到丁家大院了。这个腰牌上面有一个特殊的信息,就是标明了王小五的身份,王小五在丁家大院能干什么不能干什么就靠这个了。当然王小五拿这个腰牌也可以直接在去明教钱庄。拿属于自己的钱(授权访问的资源)如果王小五出了明教的地盘(退出登录,注销等)腰牌自动收回。
当然这个过程有一个关键,就是如果丁家大院与光明顶在飞鸽传书的过程中不顺利,比如鸽子没找到路,(相当于成员计算机无法找到域控)要么王小五就不能进丁家大院了。不过俗话说,一回生,二回熟。当王小五第二次进丁家大院的时候,会发生一点点变化。假如还是上面的过程,飞鸽传书换腰牌,但是没成功,但是王小五因为上次进了丁家大院,在六角亭摆了一牌棋自己和自己下,没下完就走了。这次王小五告诉丁家大院管家(计算机系统)他上面在哪牌棋,多少子,棋局如何。。管家一看,对呀。他是明教弟子,进来吧。(这就是利用当域控无法联系,但是用户之前登陆过,利用缓存凭证来登陆)有一个叫王小六的弟子是***次进丁家大院,那么因为没有留下什么东西,谁也不知道他这鸟是不是明教弟子,自然无法进丁家大院(无法登陆)
原文地址:http://z00w00.blog.51cto.com/515114/704397
【编辑推荐】