LDAP和AD域的介绍及使用

1 LDAP入门

1.1 定义

LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写，LDAP标准实际上是在X.500标准基础上产生的一个简化版本。

1.2 目录结构

LDAP也可以说成是一种数据库，也有client端和server端。server端是用来存放数据，client端用于 *** 作增删改查等 *** 作，通常说的LDAP是指运行这个数据库的服务器。只不过，LDAP数据库结构为树结构，数据存储在叶子节点上。

因此，在LDAP中，位置可以描述如下

因此，苹果redApple的位置为

dn标识一条记录，描述了数据的详细路径。因此，LDAP树形数据库如下

因此，LDAP树形结构在存储大量数据时，查询效率更高，实现迅速查找，可以应用于域验证等。

1.3 命名格式

LDAP协议中采用的命名格式常用的有如下两种：LDAP URL 和X.500。

任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP协议访问活动目录，LDAP名不像普通的Internet URL名字那么直观，但是LDAP名往往隐藏在应用系统的内部，最终用户很少直接使用LDAP 名。LDAP 名使用X.500 命名规 范，也称为属性化命名法，包括活动目录服务所在的服务器以及对象的属性信息。

2 AD入门

2.1 AD定义

AD是Active Directory的缩写，AD是LDAP的一个应用实例，而不应该是LDAP本身。比如：windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题，只是AD顺便还提供了用户接口，也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库，微软自己在库中建立了几个表，每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的，而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口，用户可以利用这些接口写程序 *** 作LDAP，使得ActiveDirectory也成了一个LDAP服务器。

2.2 作用

2.2.1 用户服务

管理用户的域账号、用户信息、企业通信录（与电子邮箱系统集成）、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机，服务器等。

2.2.2 计算机管理

管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。

2.2.3 资源管理

管理打印机、文件共享服务、网络资源等实施组策略。

2.2.4 应用系统的支持

对于电子邮件（Exchange）、在线及时通讯（Lync）、企业信息管理（SharePoint）、微软CRM&ERP等业务系统提供数据认证（身份认证、数据集成、组织规则等）。这里不单是微软产品的集成，其它的业务系统根据公用接口的方式一样可以嵌入进来。

2.2.5 客户端桌面管理

系统管理员可以集中的配置各种桌面配置策略，如：用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。

2.3 AD域结构常用对象

2.3.1 域(Domain)

域是AD的根，是AD的管理单位。域中包含着大量的域对象，如：组织单位(Organizational Unit)，组(Group)，用户(User)，计算机(Computer)，联系人(Contact),打印机，安全策略等。

可简单理解为：公司总部。

2.3.2 组织单位(Organization Unit)

组织单位简称为OU是一个容器对象，可以把域中的对象组织成逻辑组，帮助网络管理员简化管理组。组织单位可以包含下列类型的对象：用户，计算机，工作组，打印机，安全策略，其他组织单位等。可以在组织单位基础上部署组策略，统一管理组织单位中的域对象。

可以简单理解为：分公司。

2.3.3 群组(Group)

群组是一批具有相同管理任务的用户账户，计算机账户或者其他域对象的一个集合。例如公司的开发组，产品组，运维组等等。可以简单理解为分公司的某事业部。

群组类型分为两类:

2.3.4 用户(User)

AD中域用户是最小的管理单位，域用户最容易管理又最难管理，如果赋予域用户的权限过大，将带来安全隐患，如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。

域用户的类型，域中常见用户类型分为：

一个大致的AD如下所示：

总之：Active Directory =LDAP服务器 LDAP应用（Windows域控）。ActiveDirectory先实现一个LDAP服务器，然后自己先用这个LDAP服务器实现了自己的一个具体应用（域控）。

3 使用LDAP *** 作AD域

特别注意：Java *** 作查询域用户信息获取到的数据和域管理员在电脑上 *** 作查询的数据可能会存在差异（同一个意思的表示字段，两者可能不同）。

连接ad域有两个地址：ldap://XXXXX.com:389 和 ldap://XXXXX.com:636（SSL）。

端口389用于一般的连接，例如登录，查询等非密码 *** 作，端口636安全性较高，用户密码相关 *** 作，例如修改密码等。

域控可能有多台服务器，之间数据同步不及时，可能会导致已经修改的数据被覆盖掉，这个要么域控缩短同步的时间差，要么同时修改每一台服务器的数据。

3.1 389登录

3.2 636登录验证（需要导入证书）

3.3 查询域用户信息

3.4 重置用户密码

3.5 域账号解锁

总结

很多公司都在使用AD域来管理用户及组织架构，我们可以使用Python来进行自动化运维。网上很多资料不全而且都很古老，特地根据最近的代码编写经历，编写了如下通过python查询AD域信息方法总结：

环境：

原理汇总 ：

通过LDAP协议来连接及访问AD域服务，可以把AD域理解成某种类型数据库，我们通过AD账号和密码来访问其中存储数据库字段信息。为了更好地了解其中字段及含义，建议下载一个ADExplorer.exe绿色工具软件，直接去微软官网下载免费的绿色软件，以下是下载链接（查看左边的菜单Networking Utilities中包含的Active Directory Explorer）：

https://docs.microsoft.com/en-us/sysinternals/

通过这个软件，我们可以很方便地查看各种字段信息，为后面的连接获取足够的前提信息 。

#建立和关闭域连接

以上代码把连接和关闭连接分开，是为了避免在一个程序中需要频繁调用连接时，避免经常关闭，可以节省大量的资源和时间，可以在程序开头建立连接，在程序退出时才关闭即可

#模糊查询组信息

#模糊查询域中的workstation信息

查询到所需信息以后，还可以直接调用pandas，保存为excel文件

Active Directory

什么是活动目录？

Active Directory 可帮助 IT 团队监控各种网络对象，授予和撤销不同的用户权限，并将各类策略在网络中顺利实施。例如，管理员可以创建一组用户并为他们分配对服务器上目录的特定访问权限。然而，随着网络的发展，管理员可能很难跟踪用户、登录详细信息、资源分配详细信息和权限。Active Directory 是最重要的 IT 基础架构工具之一，它可以帮助管理员管理用户配置流程、安全性和审计，并提供从单个位置访问每个用户帐户的权限。在 Active Directory 的帮助下，用户可以按逻辑组织成组和子组，以提供访问控制。

AD域管理

在 Active Directory 中，数据存储为对象。对象可以理解为单个元素，例如用户、组、应用程序或设备。对象可以是资源或安全主体，如用户或组。每个对象都有一个名称和属性。例如，用户名可能是名称字符串和与用户相关联的信息的组合。

Active Directory 结构由三个主要组件组成：域、树和林。可以将多个对象（例如使用同一 AD 数据库的用户或设备）分组到一个域中。域具有域名系统 (DNS) 结构。多个域可以组合形成一个称为树的组。树形结构使用连续的名称空间以逻辑层次结构排列域。树中的不同域共享安全连接并在层次结构中相互信任。这意味着第一个域可以隐式信任层次结构中的第三个域。多棵树的集合称为森林。管理员可以在各个级别分配特定的访问权限和通信权限。此外，森林还包括目录架构、共享目录、域配置和应用程序信息。全局编录服务器提供林中所有对象的列表，架构定义林中对象的类和属性。组织单位 (OU) 管理组、用户和设备。每个域都可以包含自己的 OU。

域树结构

Active Directory 提供多种服务，例如域服务、轻量级目录服务、证书服务、联合服务和权限管理服务。这些服务属于 Active Directory 域服务 (AD DS)。AD DS 随 Windows Server 一起提供，旨在管理客户端系统。AD DS 可以被认为是 Active Directory 的主要服务；它存储目录信息并负责用户和域之间的交互。当用户尝试通过网络连接到设备、服务器或资源时，AD DS 会检查授予用户的登录凭据和访问权限。SharePoint Server 和 Exchange Server 等其他产品也依赖 AD DS 进行资源访问。

Active Directory 证书服务 (AD CS) 创建、共享和管理证书。这些证书使用户能够通过 Internet 安全地交换信息。

Active Directory 轻型目录服务 (AD LDS) 具有与 AD DS 相同的功能。AD LDS 可以使用轻量级目录访问协议 (LDAP) 存储目录数据，并在单个服务器上运行多个实例。LDAP 应用程序协议存储与目录服务中的对象相关的数据，例如用户名和密码，并在网络上共享它们。

Active Directory 联合身份验证服务 (AD FS) 使用单点登录 (SSO) 的概念来验证用户，并允许他们在单个会话中访问不同网络上的多个应用程序。使用 SSO，用户只需为每项服务登录一次。

Active Directory 权限管理服务 (AD RMS) 通过加密服务器上的内容来保护机密和离散信息免遭未经授权的访问。

Active Directory 附带 Microsoft Server *** 作系统，并提供多种功能和服务。Active Directory 可帮助 IT 专业人员将访问权限分配给新员工（帐户配置）并撤销离开公司的员工的访问权限（帐户取消配置）。虽然 Active Directory 域服务在组织中发挥着至关重要的作用，但它本身并不提供针对网络犯罪的安全性。如果存在可疑活动，IT 团队需要手动查看日志并花时间查明需要纠正的区域。这是因为 Active Directory 附带的集成工具在企业级别可能不是非常有效或有用。

因此，我们还可以利用第三方工具对域进行有效管理，接下来就给大家介绍几款AD域管理、审计、自助服务工具。

---