本文主要是介绍工作组和域账户,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
工作组的账户是分散的,如果你想登入主机h1,则主机h1上必须有一个本地账户u1。否则你无法登入。
而域账户不一样,域账户管理的所有账户都在一台单独的主机上,你想用账户u1登入主机h1,并不需要主机h1上有本地账户u1。而是域控制服务器上配置有账户u1就可以,在登入h1的过程中,h1会和域控制器进行认证。
因为域账户这种集中管理模式,所以需要AD这种服务,严格来说AD是一种服务名称。为和directory有关系?因为这种服务就是一种映射,所以也叫directory service。一般说来这种服务干的事情就是把网络资源的名字映射为一个地址,比如DNS,把一台主机的域名映射为一个ip地址。但是在这里,域账户管理服务貌似和映射没啥关系,为啥用了directory这个单词?据wikipedia说,AD这玩意最开始只是用于集中域管理。但是windows2008开始,这个玩意的功能开始扩展,被用于很多基于目录的标识功能。
不管是组还是域,要提供这种功能,都需要协议支持把,于是乎,Windows下的工作组就用的NetBEUI协议,二域管理就用的LDAP协议,这种两种协议要工作,其中的一个环节就是认证,于是就涉及到Windows下的两种认证协议,NTLM和Kerberos,组认证就用NTLM,域认证就用Kerberos,所以,着一下就涉及到4个协议。
运行AD的一般叫域控制器,这玩意主要用来认证和授权。那AD这种服务用的什么协议来实现,wiki上说是LDAP协议。LDAP这玩意是应用层协议,所以自然是基于IP协议的。所以LDAP这玩意需要干的事情不少,有认证,有域名解析,还有账户管理。所以其实LDAP这个目录服务协议需要依靠别的协议帮助,比如你说要加域,需要域名解析就用到DNS,密码发过来需要认证就要用到Kerberos协议。LDAP 还需要完成账户管理功能。
到了这里就不得不说到Kerberos协议,这协议简单来说就是个基于UDP的应用层协议。这协议基于对称秘钥加密算法。MIT搞的,还是很牛逼的,下次去深入了解下。但是这是LDAP协议中认证模块在Windows上所采用的协议。在Linux下并不用该协议。Windows下,Kerberos的认证过程需要涉及到3方操作。
这篇关于工作组和域账户的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
