PHP操作AD域入门（一）

AD与LDAP，域和用户组

LDAP

LDAP（Lightweight Directory Access Protocol）——轻量目录访问协议。实际上是在X.500标准基础上产生的一个简化版本。
简单的说，它更像是用于访问ldap服务器的功能集，而ldap服务器相当于一个数据库，通过该协议我们能够方便的像操作数据库一样操作ldap服务器上的数据。

下面给出几个重要的概念

dn ：一条记录的位置
dc ：一条记录所属区域
ou ：一条记录所属组织
cn/uid：一条记录的名字/ID

示例：我在公司中的dn为：

dn = "cn=MyName, cn=Users, dc=CompanyName, dc=com"

更复杂点的，ou介于cn和dc之间，用于更加细致的划分。

AD

AD（Active Directory）——活动目录。AD是微软对LDAP协议的一个实现实例。

AD = LDAP服务器 + windows域控制器

LDAP服务器用于存储一些必要的信息，基于这些信息，域控制器实现对域的一系列管理。
那么如何查询到这些信息呢，以查询本域中所有用户为例：

dsquery user -name *

显示结果为所有用户的dn。

域和用户组的区别

微软管理计算机有两个模型——域和工作组。
工作组属于分散管理，适合小型网络。But Why？服务器的功能无非就是共享资源和分配资源，以共享文件夹为例，当服务器要将该资源分配给某用户（如“小明”）时，基于工作组模型采取的操作是在本服务器上创建一个“小明”的用户账号并将共享文件夹的访问权限授予该账号。乍看之下非常合理，但如果将公司的规模扩大，不是只有一台服务器而是成百上千台。我们要做的就是在每台服务器上为“小明”创建账号以管理和分配资，这就是分散管理，适用于小型网络。在大型网络环境中，这种方法不仅繁琐而且难以保证信息的一致性，试想本公司的一个“小明”员工对应着成百上千个“小明”账号，在某个服务器上信息一旦变更，很难保证众多其他服务器上的信息同步。
域模型就是针对大型网络的管理需求而设计的，域就是共享用户账号，计算机账号和安全策略的计算机集合。域中有专门的域控制器来集中储存和管理用户账号信息，用户可以在域中任一计算机登录自己的账号。将用户管理这一功能从各个服务器中分离出来，使用专门的服务器集中处理。

---

参考：Active Directory教程——岳雷老师博客