一直以來都想寫一些關(guān)于活動目錄技術(shù)的文章,但是一直沒有一個(gè)好的切入點(diǎn)。有一天在博客專題中亂轉(zhuǎn),發(fā)現(xiàn)了宋楊的一篇老博文《省錢之道--圖解域域樹域林根域的含義》看了以后覺得不錯(cuò)。但是也有點(diǎn)想法。我不敢妄自評判文章的好壞,只是想有沒有更通俗的解法來描述這些抽象、專業(yè)的概念呢?于是想到了我從小很喜歡的武俠小說,突然發(fā)現(xiàn),原來這些東西就溶于我們的生活之中呀。廢話少說,開始正文。
自從WINDOWS 98系統(tǒng)出現(xiàn)之后,WINDOWS操作系統(tǒng)就不是孤立存在的,可以通過網(wǎng)絡(luò)聯(lián)機(jī)相互聯(lián)系。當(dāng)然,除非你只有一臺計(jì)算機(jī)。默認(rèn)安裝的WINDOWS操作系統(tǒng)是以工作組模式運(yùn)行。當(dāng)然WINDOWS聯(lián)機(jī)的模式只有兩種:域模式和工作組模式。
一、工作組
很多專業(yè)的描述是工作組模式是由相互獨(dú)立的計(jì)算機(jī)組成。他們再網(wǎng)絡(luò)中的地位平等,各自獨(dú)立、分散的維護(hù)和管理著自身。這個(gè)較抽象的描述是可以宏觀表述的,看。在武俠世界里就體現(xiàn)著。就是金庸武俠小說中《笑傲江湖》里面五岳劍派。
(圖1)
五岳劍派最初是由上圖的五個(gè)門派組成的。最初的目的是為了團(tuán)結(jié)起來對抗少林,武當(dāng),日月神教等大派。五岳劍派由嵩山左冷禪提議組建,最后華山岳不群當(dāng)上所謂的盟主。實(shí)際上這五個(gè)門派就組成了一個(gè)工作組。
由5臺計(jì)算機(jī)(五個(gè)門派)組成的一個(gè)工作組
工作組(workgroup)=五岳劍派
為什么是工作組呢?原來雖然這五個(gè)門派組成了所謂的五岳劍派,也有了所謂的盟主。但是五岳劍派實(shí)際上仍然是各自為政。比如恒山派掌門令狐沖(相當(dāng)于華山這臺機(jī)器的本地管理員)恒山派弟子(本地用戶)的創(chuàng)建(招弟子)刪除(逐出弟子)等問題仍然由令狐沖說的算,根本就不理睬盟主號令。另外恒山弟子(本地用戶)也聽令狐沖的號令。頂多是由嵩山派弟子來訪(相當(dāng)于來共享一個(gè)資源給他們訪問)或者華山派被人揍了,請求恒山支援(可以想象成另一種資源的共享方式)。
二、域
什么是域?就是把我們企業(yè)IT環(huán)境中的所有資源在邏輯上進(jìn)行統(tǒng)一集中管理的一種手段。還有什么邏輯組織最小單元呀,什么安全邊界了,有點(diǎn)抽象了。好吧,我告訴你,域就是一個(gè)門派:就是少林,就是武當(dāng),就是明教。(以下所有以明教舉例)明教就是宏觀存在的邏輯組織,明教教眾在明教教主的帶領(lǐng)下進(jìn)行轟轟烈烈的革命。
關(guān)于域名和DNS命令等問題在這里不介紹了,估計(jì)比較容易明白。
(圖2)
看圖2當(dāng)看到mingjiao.com這個(gè)表示一個(gè)單域的時(shí)候,你就可以想到明教。
(圖3)
請大家認(rèn)真看圖3,我來解釋一下這張圖。域的實(shí)體是由計(jì)算機(jī)和人員組成的。我們先看幾個(gè)轉(zhuǎn)化公式
明教教主=域管理員
明教弟子=域用戶
加入域的成員計(jì)算機(jī)=丁家大院
加入域的成員服務(wù)器=明教錢莊
域控制器(DC)=光明頂
在域中要添加用戶賬戶,就是域賬戶。而這里普通域用戶賬戶就相當(dāng)于明教弟子。
在域中計(jì)算機(jī)分別擔(dān)任三種角色。
第一種,是安裝WINDOWS操作系統(tǒng)的計(jì)算機(jī)。比如WIN XP和WIN 7。加入域后這種計(jì)算機(jī)叫成員計(jì)算機(jī)。在這里我們可以想象明教是一個(gè)大派,全國各地都有人有地盤。由于我們是人去操作計(jì)算機(jī),所以這里的計(jì)算機(jī)就可以想象成一個(gè)地盤(一個(gè)具體的實(shí)物,比如房屋)我這里叫做丁家大院。等于丁家大院就是明教的產(chǎn)業(yè)了。默認(rèn)情況下,任何明教弟子(普通域用戶)在登錄驗(yàn)證后都可以進(jìn)入丁家大院了。可以在里面休息,下棋等。(訪問資源)不過名教弟子畢竟不是丁家大院的所有者.所以不可以拆墻,建樓等行為(相對修改計(jì)算機(jī)系統(tǒng)) 那么誰是丁家大院的所有者呢? 有兩個(gè).一個(gè)就是原丁家大院的主人(本地管理員),一個(gè)就是明教教主(域管理員)想想都是明教的產(chǎn)業(yè)了,當(dāng)然是所有者了。當(dāng)然假如有一天丁家大院不再是明教的產(chǎn)業(yè)了. 被變賣了.這個(gè)行為就相當(dāng)于WINDOWS計(jì)算機(jī)退出域.只有上面的2個(gè)所有者有這個(gè)能力.當(dāng)然明教教主(域管理員)可以委派一個(gè)明教弟子(域用戶)成為丁家大院主人(本地管理員)
第二種,是安裝WINDOWS SERVER操作系統(tǒng)的計(jì)算機(jī).比如WIN 2003 SERVER 、WIN2008 SERVER。加入域的這類計(jì)算機(jī)叫成員服務(wù)器。同樣,這種機(jī)器也相當(dāng)于明教的一個(gè)地盤或者叫產(chǎn)業(yè)。與上面相同的是,這個(gè)產(chǎn)業(yè)也有主人(本地管理員)。明教弟子(域普通用戶)也可以進(jìn)入這個(gè)產(chǎn)業(yè)(登錄到該機(jī)器上)但是也有不同的,服務(wù)器一般都是提供共享資源應(yīng)用的服務(wù)器。比如做一個(gè)文件服務(wù)器,一個(gè)WEB服務(wù)器。所以這個(gè)產(chǎn)業(yè)中存放的是域用戶的共用資源,在這里相當(dāng)于明教的一個(gè)錢莊(明教弟子把錢都放在這里,可以存取)
第三種,是安裝WINDOWS SERVER操作系統(tǒng)的計(jì)算機(jī)安裝了AD(活動目錄)這時(shí)候這臺計(jì)算機(jī)就成了域控制器。活動目錄是什么?活動目錄就相當(dāng)于一個(gè)數(shù)據(jù)庫,一個(gè)明教的賬本。這個(gè)賬本記錄了哪些是明教的產(chǎn)業(yè)(加入域的計(jì)算機(jī))誰是明教弟子(域用戶賬戶)甚至還有 明教錢莊的錢(共享資源)等。所以域控制器就相當(dāng)于明教之圣地-光明頂。每一個(gè)加入明教的弟子(新建用戶)每一個(gè)歸入明教的產(chǎn)業(yè)(加入成員計(jì)算機(jī))都要到光明頂?shù)馁~本中登記(記錄到活動目錄中)不過,光明頂與上面的丁家大院與明教錢莊不同。光明頂不歸入明教的產(chǎn)業(yè),也就沒有主人(本地賬戶)其次光明頂是神圣的地方,一般明教弟子是不準(zhǔn)進(jìn)入的(默認(rèn)域用戶無法登陸到域控中)當(dāng)然,明教教主(域管理員)是可以進(jìn)去,管理這個(gè)賬本(活動目錄)。也可以修改這個(gè)條例(修改默認(rèn)域控策略)允許指定的明教弟子進(jìn)入(登陸域控)。
好了,上面的圖解釋完了,下面解釋一個(gè)比較重要的問題。域用戶登陸域的問題。
其實(shí)就好比明教弟子要進(jìn)入自己的地盤一樣。首先你是明教弟子(擁有域用戶賬號),其次你進(jìn)入的是明教的地盤或叫產(chǎn)業(yè)(加入域的計(jì)算機(jī))。否則,一個(gè)明教弟子跑到少林寺去非要進(jìn)人家的藏經(jīng)閣(非明教的產(chǎn)業(yè))不被打出來才怪呢。再者你說你是明教弟子,你就是明教弟子了?別著急,明教有驗(yàn)證的辦法。比如明教弟子王小五,要進(jìn)入丁家大院。(用戶王小五,要利用成員計(jì)算機(jī)登陸到域)首先報(bào)告給大院管家(計(jì)算機(jī)系統(tǒng))大院管家收到信息后無法驗(yàn)證,這個(gè)時(shí)候把這個(gè)信息飛鴿傳書到光明頂(域控制器)光明頂管家(DC計(jì)算機(jī)系統(tǒng))查看賬本(活動目錄)驗(yàn)證是否存在此人,確認(rèn)后飛鴿傳書一個(gè)腰牌給王小五。從此王小五就可以進(jìn)入到丁家大院了。這個(gè)腰牌上面有一個(gè)特殊的信息,就是標(biāo)明了王小五的身份,王小五在丁家大院能干什么不能干什么就靠這個(gè)了。當(dāng)然王小五拿這個(gè)腰牌也可以直接在去明教錢莊。拿屬于自己的錢(授權(quán)訪問的資源)如果王小五出了明教的地盤(退出登錄,注銷等)腰牌自動收回。
當(dāng)然這個(gè)過程有一個(gè)關(guān)鍵,就是如果丁家大院與光明頂在飛鴿傳書的過程中不順利,比如鴿子沒找到路,(相當(dāng)于成員計(jì)算機(jī)無法找到域控)要么王小五就不能進(jìn)丁家大院了。不過俗話說,一回生,二回熟。當(dāng)王小五第二次進(jìn)丁家大院的時(shí)候,會發(fā)生一點(diǎn)點(diǎn)變化。假如還是上面的過程,飛鴿傳書換腰牌,但是沒成功,但是王小五因?yàn)樯洗芜M(jìn)了丁家大院,在六角亭擺了一牌棋自己和自己下,沒下完就走了。這次王小五告訴丁家大院管家(計(jì)算機(jī)系統(tǒng))他上面在哪牌棋,多少子,棋局如何。。管家一看,對呀。他是明教弟子,進(jìn)來吧。(這就是利用當(dāng)域控?zé)o法聯(lián)系,但是用戶之前登陸過,利用緩存憑證來登陸)有一個(gè)叫王小六的弟子是第一次進(jìn)丁家大院,那么因?yàn)闆]有留下什么東西,誰也不知道他這鳥是不是明教弟子,自然無法進(jìn)丁家大院(無法登陸)