LDAP和AD域的介紹及使用

1 LDAP入門

1.1 定義

LDAP是輕量目錄訪問協議(LightweightDirectory Access Protocol)的縮寫，LDAP標準實際上是在X.500標準基礎上產生的壹個簡化版本。

1.2 目錄結構

LDAP也可以說成是壹種數據庫，也有client端和server端。server端是用來存放數據，client端用於操作增刪改查等操作，通常說的LDAP是指運行這個數據庫的服務器。只不過，LDAP數據庫結構為樹結構，數據存儲在葉子節點上。

因此，在LDAP中，位置可以描述如下

因此，蘋果redApple的位置為

dn標識壹條記錄，描述了數據的詳細路徑。因此，LDAP樹形數據庫如下

因此，LDAP樹形結構在存儲大量數據時，查詢效率更高，實現迅速查找，可以應用於域驗證等。

1.3 命名格式

LDAP協議中采用的命名格式常用的有如下兩種：LDAP URL 和X.500。

任何壹個支持LDAP 的客戶都可以利用LDAP名通過LDAP協議訪問活動目錄，LDAP名不像普通的Internet URL名字那麽直觀，但是LDAP名往往隱藏在應用系統的內部，最終用戶很少直接使用LDAP 名。LDAP 名使用X.500 命名規範，也稱為屬性化命名法，包括活動目錄服務所在的服務器以及對象的屬性信息。

2 AD入門

2.1 AD定義

AD是Active Directory的縮寫，AD是LDAP的壹個應用實例，而不應該是LDAP本身。比如：windows域控的用戶、權限管理應該是微軟公司使用LDAP存儲了壹些數據來解決域控這個具體問題，只是AD順便還提供了用戶接口，也可以利用ActiveDirectory當做LDAP服務器存放壹些自己的東西而已。比如LDAP是關系型數據庫，微軟自己在庫中建立了幾個表，每個表都定義好了字段。顯然這些表和字段都是根據微軟自己的需求定制的，而不是LDAP協議的規定。然後微軟將LDAP做了壹些封裝接口，用戶可以利用這些接口寫程序操作LDAP，使得ActiveDirectory也成了壹個LDAP服務器。

2.2 作用

2.2.1 用戶服務

管理用戶的域賬號、用戶信息、企業通信錄（與電子郵箱系統集成）、用戶組管理、用戶身份認證、用戶授權管理、按需實施組管理策略等。這裏不單單指某些線上的應用更多的是指真實的計算機，服務器等。

2.2.2 計算機管理

管理服務器及客戶端計算機賬戶、所有服務器及客戶端計算機加入域管理並按需實施組策略。

2.2.3 資源管理

管理打印機、文件***享服務、網絡資源等實施組策略。

2.2.4 應用系統的支持

對於電子郵件（Exchange）、在線及時通訊（Lync）、企業信息管理（SharePoint）、微軟CRM&ERP等業務系統提供數據認證（身份認證、數據集成、組織規則等）。這裏不單是微軟產品的集成，其它的業務系統根據公用接口的方式壹樣可以嵌入進來。

2.2.5 客戶端桌面管理

系統管理員可以集中的配置各種桌面配置策略，如：用戶適用域中資源權限限制、界面功能的限制、應用程序執行特征的限制、網絡連接限制、安全配置限制等。

2.3 AD域結構常用對象