根域
网络中创建第一个域就是根域,一个域林中只能有一个根域,根域在整个域林中处于重要地位,对其他域具备最高管理权限。通过“Get-ADForest"命令,验证根域所在的服务器,通常架构主机角色和域命名主机角色所在的域控制器。
域树
域树由多个域组成,这些域共享同一存储结构和配置,形成一个连续的名字空间(相同的DNS后缀)。树中的域通过信任关系连接,林包含一个或多个域树。域树中的域层次越深级别越低,一个“"代表一个层次,如域bj.book.com比book.com这个域级别低,因为它有两个层次关系,而book.com只有一个层次,而域hdq.bj.book.com又比bj.book.com级别低,道理一样,它们都属于同一个域树,bj.book.com就属于book.com的子域。父子域之间的关系是双向信任关系。
域林
创建根域时默认建立一个域林,同时也是整个林的根域,同时其域名也是林的名称。例如book.com是网络中第一个域的根域,也是整个林的根域,林的名称就是book.com。通过Powershell命令“Get-ADForest"查看林的相关参数。
域树必须建立在域林下,一个域林可以有多棵域树。已经存在的域不能加入一棵树中,也不能将一个已经存在的域树加入到一个域林中,如果一定要把一个域加入到一棵域树中,或者要把一个域树加入到一个域林中,唯一可行的方法就是从零开始建立新域。
父域和子域
出于管理及其他的需求,需要在网络中划分多个域!,第一个域为父域,各分部的域称为子域。
abc.com及为父域,asia.abc.com为子域,子域必须以父域名为后缀名
域名服务器(Domain Name Server,DNS) :指用于进行域名(Domain Name)和与之相对应的IP地址(IPAddress)转换的服务器。
一般内网渗透时,就是寻找DNS服务器来定位DC (DNS服务器和DC通常会处在同一台机器上)
三种类型域控制器
额外域控制器、域控制器以及只读域控制器
1普通域控制器
如果网络中安装的是第一台域控制器,该服务器默认为林根服务器,也是根域服务器,FSMO(操作主机)角色默认安装到第一台域 讯享网
控制器。
讯享网 如果是额外域控制器,FSMO(操作主机)角色转移到额外控制器后,额外控制器将提升为域控制器。域控制器和额外域控制器之间
是平行关系,他们之间的区别在于是否存在FSMO角色。域控制器添加到“Domain Controllers"组织单位中。
2额外域控制器
成员服务器使用“添加角色和功能”向导添加“ADDS域服务”角色后,将被提升为额外域控制器,成员服务器添加到域内“DomainControllers"组织单位中。该服务器上运行“AD DS域服务”,提供管理任务,存储Active Directory数据库。 3只读域控制器
讯享网 只读域控制器服务与ADDS域服务相同,同样以服务的方式存在,但是Active Directory数据库只能读取不能写入,Active Directory数据库是AD DS域服务器数据库的一部分,非完整Active Directory数据库副本。只读域控制器加入到域内“Domain Controllers"组织单位中读域控制器只能将可读写域控制器Active Directory数据库设置的缓存账号同步到只读域控制器中,无法对只读控制器中的Active Directory数据库进行更改,如果只读域控制器需要更改Active Directory数据库的数据,更改的数据首先在可读写域控制器上更改完成,然后复制到只读域控制器中。
相关的服务:
AD FS(联合身份认证)、AD RMS、AD CS、AD DNS
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/119220.html