Ad Domain Learning Notes

Posted by Youzi Blog on September 20, 2018

前言

工作中听说了AD域的一些信息,搜了一些相关资料。

Windows域

域的含义

域(domain)是Windows网络中独立运行的单位,域之间互相访问需要建立信任关系(trust relation)。当域之间建立信任关系后,可以按需要互相管理,实现域间网络资源共享与管理,还可以跨网分配文件和打印机等资源。

域既是Windows网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows网络操作系统中,域是安全边界,域管理员只能管理域内部,除非其他域显示地赋予管理权限。每个域都有自己的安全策略,及自身与其他域的安全信任关系。

域的原理

把域和工作组联系起来理解,在工作组上,一切设置都在本机上进行,包括各种组策略,用户登录名和密码,而加入域,这些域策略是有域控制器(Domain Controller)统一设定的,用户名和密码也是放到域控制器中验证的,意味着同一对账号密码在这个域中的任一计算机都能登录。

工作组可以随便加入和退出,但域需要严格控制。域的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合,划重点,域是一种计算机组合,再通俗点说,域是一组计算机,控制着网络上其他计算机能否加入。

在“域”模式下,至少有一个设备负责对接入网络的计算机和用户进行验证,这个设备通常是server,被称作域控制器(Domain Controller)。DC中包含了域中的账号、密码、属于域的计算机等一系列信息构成的数据库。计算机接入网络时,DC首先会鉴别是否属于这个域,登录的账号密码是否匹配。如果信息错误,那么DC会拒绝这个用户从这台电脑上登录,这样用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问共享的资源,这样在一定程度上保护了网络资源。

域的作用

对企业网络中的计算机和用户实现高效管理。

域控安装

后续补充

目录服务

目录服务(Directory Services)将有关现实世界中的事物的信息,存储为具有描述性属性的对象。可以使用该服务按名称查找对象,或者像使用黄页一样,使用目录来查找服务。

简介

资源散在网络中,需要一定机制来访问,得到相关服务,于是又了目录服务。

早期目录服务主要提供文件检索,NOVELL是广为使用的目录服务器系统(划重点,早期的NOVELL是一个文件检索服务器);后来,出现了网站,于是就有了DNS服务器(提供域名和IP地址映射的服务器),DNS服务也是典型的目录服务。

在Windows体系中,活动目录(Active Directory)功能强大,是符合工业标准的目录服务器;Linux和Unix中也有相应的目录服务器(OpenLDAP)。

使用目录服务器主要功能是提供资源与地址的映射关系,比如想找一台打印机或主机时,只需要知道名字,不需要知道实际的物理地址。

目录服务由目录数据库和一套访问协议组成,目录数据库和关系数据库不同,其具有优异的读性能,但写性能差,没有事务处理、回滚等复杂功能,不适用于存储修改频繁的数据。目录是一个为查询、浏览和搜索而优化的专业分布式数据库,成树状结构组织数据。

活动目录

活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。活动目录服务是Windows Server 2000操作系统平台的中心组件之一。

简介

活动目录不能运行在Windows Web Server上,但可以通过AD对运行Web Server的计算机进行管理。AD存储了有关网络对象的信息,并让管理员和用户能轻松查找和使用这些信息。AD采用结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。MS的AD服务是Windows平台的核心组件,为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

目录

目录存储在DC上,可以被网络应用程序或者服务访问,一个域可能有多台DC,每台DC都拥有所在域的目录的一个可写副本,对目录的修改都可以从源DC复制到域、域树、域林中的其他DC上。由于目录存在多个副本,所以用户和管理员可以在域的任何位置获取到目录信息。

目录数据存储在DC上的Ntds.dit文件中,建议将该文件存储在一个NTFS分区上,有些数据保存在目录数据库文件中,有些数据则保存在一个被赋值的文件系统上,如登录脚本和组策略。

三种类型的目录数据会在各个DC之间进行复制:

  • 域数据,包含了域中对象有关的信息,可以是电子邮件联系人、用户、计算机账户属性、已发布资源等信息。向网络中添加一个用户账户时,用户账户对象以及属性数据会被保存在域数据中;修改了组织的目录对象,例如增、删、改了某个对象的属性,相关的数据都会被保存在域数据中。
  • 配置数据,配置数据描述了目录的拓扑结构,包括一个列表,列表包含了所有域、域树、域林;还保存了其他DC和全局编录所处的位置。全局编录(Global Catalog,包含了各个AD中每个对象的最重要的属性,是域林中所有对象的集合。域林中的DC共享一个AD,这个AD是分散存放在各个域的DC中,每个域的DC保存了这个域的对象信息,账户及目录数据库等。如果一个域的用户要访问另一个域的资源,需要先找到另一个域中的资源。为了让用户快速查找到另一个域内的对象,微软设计了全局编录,全局编录包含了各个AD中每个对象最重要的属性(即部分属性),这样即使用户或应用程序不知道对象位于哪个域,也可以迅速找到被访问的对象。)
  • 架构数据,架构是对目录中存储的所有对象和属性数据的正式定义。Windows Server 2003提供了默认架构,该架构定义了众多的对象类型,用户账户、组、域、组织单位及安全策略等。管理员和开发人员可以通过定义新的对象类型和属性,或者为现有对象添加新的属性,从而对架构进行扩展。架构对象受访问控制列表ACL的保护,确保了只有授权用户才能改变架构。

功能

AD主要提供了以下功能:

  • 服务器及客户端的计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
  • 用户服务:管理用户域账户,用户信息,企业通讯录(与电子邮件系统集成),管理,用户身份认证,用户授权管理,实施组管理策略。
  • 资源管理:管理打印机、文件共享服务等。
  • 桌面配置:系统管理员可以集中配置各种桌面配置策略,用户使用域中资源权限限制、界面功能限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
  • 应用系统支撑:支持财务、人事、电子邮件、企业门户、OA、补丁管理、防病毒系统等各类应用系统。

升级方法

在Windows Server上启用AD:

  1. 运行
  2. dcpromo,进入AD安装向导。Windows Server 2012版本后不支持该命令升级。

安全性

安全性通过登录身份验证以及目录对象的访问控制集成在AD中。通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,经过授权的网络用户可以访问网络中任意位置的资源。基于策略的管理简化了网络的管理。

AD通过对象访问控制列表(ACL)以及用户凭据保护其存储的用户账户和组信息。AD不但可以保存用户凭据,而且可以保存访问控制信息,所以登录到网络上的用户既能获得身份验证,也可以获得访问系统资源需要的权限。用户登录到网络上时,安全系统首先利用存储在AD中的信息验证用户身份;然后在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表(DACL)中定义的属性。

AD允许管理员创建组账户,管理员可以更加有效地管理系统安全。通过调整文件的属性,管理员可以允许某个组的所有用户读取该文件,系统将根据用户的组成员身份,控制其对AD域中对象的访问操作。

访问控制列表

访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝。

访问控制主要任务是保护网络资源不被非法使用和访问。不但可以起到控制网络流量、流向的作用,而且在很大程度上可以保护网络设备、服务器。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。

组策略

组策略(Group Policy)是Windows NT操作系统的一个特性,可以控制用户账户和计算机账户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。

组策略在部分意义上是控制用户可以或不可以在计算机上做什么,例如:施行密码复杂性策略避免用户选择太简单的密码,允许或阻止身份不明的用户从远程计算机连接到网络共享,阻止访问任务管理器或特定文件夹。这样的一套配置被称为组策略对象(Group Policy Object,GPO)。

要完成一组计算机的中央管理目标,计算机应该接收和执行组策略对象,驻留在单台计算机上的组策略对象仅适用该台计算机。要应用一个组策略对象到一个计算机组,组策略依赖于活动目录进行分发。活动目录可以分发组策略对象到一个Windows域中的计算机。

活动目录服务

活动目录服务是Windows Server 2000最重要的新功能之一,可以将网络中各种对象组合起来管理,方便网络对象的查找,加强网络的安全性,有利于用户对网络的管理。活动目录是一种目录服务,存储有关网络对象的信息,如用户组、计算机、共享资源、打印机和联系人等信息,使得管理员和用户可以方便查找和使用这些信息。通过活动目录,用户可以对用户和计算机、域、信任关系,以及站点和服务进行管理,活动目录具有扩展性和调整性。

域模式的最大好处就是单一的网络登录能力,用户只要在域中有一个账户,就可以使用网络中的很多资源。活动目录服务增强了信任关系,扩展了域目录树的灵活性,活动目录把一个域作为一个完整的目录,域间能够通过基于Kerberos认证的可传递的信任关系建立起树状连接,使单一账户在树状结构中任何地方都有效,这样在网络管理和扩展时比较方便。

同时,活动目录服务把域又详细划分为组织单元。组织单元是一个逻辑单元,是域中一些用户和组、文件和打印机等资源对象的集合。组织单元还可以再划分下级组织单元,下级组织单元能够继承父单元的访问许可权。每一个组织单元可以有自己单独的管理员并指定其管理权限,它们都管理着不同的任务,从而实现对资源和用户的分级管理。活动目录服务通过这种对域内组织单元树和域间的可传递信任树来组织其信任对象。

另外,在win server 2000网络中,所有DC间是平等的关系,不再区分主DC和备份DC。win server 2000在进行目录复制时,不是沿用一般目录服务的主从方式,而采用多主复制方式。复制目录库时,对各个对象的修改顺序数进行比较,最新的修改对象属性保留,旧的属性被覆盖,保证了DC上的目录服务数据库都是最新的。

组织单元

组织单元(Organizational Unit)简称OU,可以将用户、组、计算机和其他组织单元放入其中的AD容器,是可以指派组策略或委派管理权限的最小作用域单元。

FEATURED TAGS
JavaScript webpack 项目配置 面试 npm JS CSS Vue 前端 react
FRIENDS