1、AD的产品接触的有哪些?
Exchange、SQL Server、SCCM、WSUS、SharePoint
2、AD的5大操作主机是哪些,作用分别是?
(1)、Schema Master(也叫Schema Owner):架构主控
作用是修改活动目录的源数据,定义对象和属性之间的对应关系。
(2)、Domain Naming Master:域命名主控
主要作用是管理森林中域的添加或者删除
(3)、PDC Emulator :PDC仿真器
处理密码验证要求、统一域内时间、统一修改组策略模板。
(4)、RID Master :RID主控
分配可用RID池给域内的DC和防止安全主体的SID重复。
域内的用户安全SID=Domain SID+RID
(5)、Infrastructure Master :基础架构主控
主要作用就是用来更新组的成员列表,域用户转移到另一个域DN发生变化,由结构主机完成处理。
3、活动目录的认证协议?
Kerberos协议认证
整个交互过程分为3个阶段分别是:AS(Authentication Service Exchange )、TGS(Ticket Granting Service Exchange )、AP(Client/Server Exchange )。
在AS阶段,主要验证的是当前用于进行AD域认证的用户是当前AD域控上的合法用户。所以一般如果用户名或者密码错误时将会在这个阶段得到AD返回的错误信息。此外如果出现TSM服务器和AD上的时间偏差较大的时候也会在这个阶段出错。
在TGS阶段,主要是终端代理获取其要请求的认证服务的票证的过程,如果这个时候请求的认证服务不存在,则在第4步返回的错误信息中指示
KDC_ERR_S_PRINCIPAL_UNKNOWN,表明当前请求的服务不存在。之前在大足的AD域联动测试中就出现了这个问题。
在AP阶段,服务器将会验证终端代理发送的TGS,来决定当前认证用户是否具有访问当前请求的认证服务的权限。
4、活动目录最小复制时间可以设置为?
15分钟,复制间隔一小时一次、两次、四次。
5、活动目录的通讯端口
Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、 88/UDP
LDAP: 389/UDP 636/TCP(SSL连接)
DNS: 53/TCP、53/UDP
全局编录 LDAP:3268/TCP SSL全局编录 LDAP:3269/TCP
复制:135、137、138、139
6、关于用户组的最优实践?
AGDLP是一种策略,是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
域本地组:
成员范围:所有的域
使用范围:自己所在的域
全局组:
成员范围:自己所在的域
使用范围:所有的域
更新时间:2019-05-06 10:02
