Active Directory 服务器与 PDC 之间的差异

Active Directory 服务器与 PDC 之间的差异

Samba 文档明确指出,它只能用作 NT4 样式的主域控制器,不能用作 Active Directory 服务器。我管理一组混合系统(各种 Windows XP 工作站和 Linux 服务器),并希望集中对各种服务器应用程序以及客户端工作站进行身份验证。我正在考虑设置 Samba 服务器,但我找不到 PDC 和 ADS 所提供的功能之间的细分,以帮助我决定 Samba 服务器是否能满足我的目标。有人知道我可以在哪里找到这样的功能比较吗?

编辑:工作站目前不在域中。无论我引入哪种活动目录/Samba 配置,都将是我们小组首次尝试集中身份验证。这意味着设置 Windows Server 域控制器是一个可行的选择,但我更喜欢使用 Samba 来实现,因为我更精通 Linux。

答案1

高水平

Active Directory 域控制器基本上是提供对分布式系统(即 Active Directory)的访问的服务器。在 Active Directory 域中,任何域控制器都可以提供对域的完全读写访问权限。NT4 域中的 PDC(主域控制器)提供写入访问权限,然后同步到 BDC(备份域控制器)。

为了与较旧的 NT4 域向后兼容,Active Directory 域中的一台服务器将充当 PDC 模拟器的角色。担当此角色的服务器充当 AD 和较旧域的 BDC 之间的中间人,以实现同步等目的。

如果您让 Samba 知道 PDC 是域中担任 PDC 模拟器角色的 AD 服务器,那么您就可以很好地使用 Samba。

编辑:我假设您的环境中已经运行了 AD。我不太确定这个假设是否安全,但由于您已经启动了一些 Windows 计算机,我想我的大脑已经想到了这一点。

编辑2:好的,由于目前没有域,我强烈建议您设置 Active Directory 并将内容集成到其中。设置小型 AD 环境相当简单,并且有大量资源可以帮助您入门。

答案2

我不知道在哪里可以找到这种逐点比较。我快速搜索了一下,但没找到太多。官方 Samba HOWTO 中有一些比较,网址为:http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/samba-pdc.html

根据我所知,以下是一些比较:

  • 使用 Samba“PDC”,您可以获得一个用于成员计算机的集中式帐户/组数据库,就像使用 Active Directory 域一样。

  • 您可以使用 NT 4.0“域用户管理器”工具来管理 Samba PDC 用户。可以使用(在我看来,更简洁、更易于使用的)“Active Directory 用户和计算机”工具来管理 Active Directory。

  • 您可以在多个域控制器计算机之间以单主机方式或多主机方式复制 Samba PDC 的安全数据库(取决于您选择存储密码数据的后端)。Active Directory 是多主机的。

  • Samba PDC 将执行基于 NTLM 的身份验证。Active Directory 还可以执行基于 NTLMV2 和 Kerberos 的身份验证。

  • Samba PDC 不能像 Active Directory 域控制器计算机那样提供组策略功能。

从功能上来说,Samba 充当着 NT 4.0 的“PDC”,因此您可以使用 Windows NT 4.0 域系统和 Active Directory 之间的比较文档来获得一些额外的想法。

Samba 4.0 仍在开发中,旨在实现 Active Directory 域控制器功能。Samba 代码的一个实验分支,称为 Frankly,也试图实现 Active Directory 域控制器功能(请参阅http://wiki.samba.org/index.php/Franky)。

答案3

PDC 式设置是“平面”安排,其中安全性处于对等级别。身份/身份验证在“域”内执行;可以将其视为城堡墙,所有“经过身份验证”的用户和计算机以及其他表示都位于其中。当您需要在不同的域中执行某项操作时,您必须在两者之间建立信任关系。

ADS 以树状结构提供分层控制。它将 Kerberos、DNS 和 LDAP 概念集成到统一、紧密的整体方法中。使用此结构的域现在可以嵌套在主域中。

答案4

如果只有一个服务器用于身份验证(问题中似乎就是这种情况),那么可能没有什么区别。要么使用 Linux,因为这是你所了解的,要么使用 Windows 来学习新东西。

Samba“PDC”模式类似于 Windows NT 4.0 样式的域。Windows 2000 附带的 Active Directory 在此基础上添加了更多功能。您拥有的 Windows Server 版本越新,Active Directory 的功能就越多。(您是否需要它们是另一回事。)

Active Directory 域控制器将提供中央身份验证,并且还允许使用其他 AD 功能(例如组策略)。

除了组策略之外,Active Directory 中的许多其他改进实际上只有在规模较大的情况下才能发挥作用:要么在更多位置的更大网络上拥有更多客户端,要么拥有更多域控制器。

相关内容