2022-01-07
Active Directory(AD) 活动目录
Active Directory (AD)是一个数据库和一组服务,将用户与他们完成工作所需的网络资源连接起来。
活动目录(Active Directory)主要提供以下功能:1、服务器及客户端计算机管理,2、用户服务,3、资源管理,4、桌面配置,5、应用系统支撑等。
AD(Active Directory)概述:
传统AD依赖于Kerbose进行身份验证,Kerbose又叫做三头狗,要求计算机、用户和域控三方都要参与验证。因此,在传统AD中,计算机也拥有账号,也需要加域。另外,计算机也有登录到域的过程,甚至可以授权计算机账号访问文件夹和其他资源。在传统AD中,所有以Local System、Network Service身份运行的服务在访问域中其他共享资源时,都是以计算机账户的身份进行验证的。
传统AD的登录会由用户向域控申请和计算机之间通信的会话票据(默认存活8小时),用户登录计算机时,向计算机出示会话票据,同时加上时间戳证明没有篡改过,计算机才会授权用户登录。登录以后,会在该计算机上生成登录会话,并查询该用户所属的域组和本地组,以此来创建访问令牌,如果是本地管理员,则会生成2张访问令牌(普通用户令牌和管理员令牌)。
传统AD协议(如Kerbose和LDAP)太沉重,一般只能适合内网C/S架构,无法穿透Internet。如果要穿透Internet,通常要将其转为基于Claim的形式,例如ADFS。ADFS类似于调制解调器,能够把Kerbose协议"转换"为其他Internet验证协议(SAML等),但这其实并不是真正意义上的"转换"。
What is Active Directory?
Active Directory Domain Services (AD DS) 域控服务
运行AD DS的服务器称为域控制器(DCs, domain controllers)
组织通常具有多个DCS,每个组织都有一个用于整个域的目录的副本。对一个域控制器上的目录 - 例如密码更新或删除用户帐户的更改将复制到其他DCS,以便它们保持最新状态。全局目录服务器是一个DC,它存储其域目录中的所有对象的完整副本以及森林中所有其他域的所有对象的部分副本;这使用户和应用程序能够在其林的任何域中查找对象。桌面,笔记本电脑和运行Windows(而不是Windows Server)的其他设备可以是Active Directory环境的一部分,但它们不会运行AD DS。AD DS依赖于多种建立的协议和标准,包括LDAP(轻量级目录访问协议),Kerberos和DNS(域名系统)。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-932Gz1QQ-1649581215103)(Q:/whx/Dropbox/Master/Blog/blog/source/_posts/img_article/2022-02-23-AD%E4%B8%8EAAD%E5%8C%BA%E5%88%AB%E5%92%8C%E8%81%94%E7%B3%BB/NLRxYiBq9S2s7mX.png)]
Azure Active Directory (Azure AD)
是 Microsoft 基于云的身份和访问管理服务,可实现的员工登录和访问 Azure 中的资源:
What is Azure Active Directory
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ew6eRaYI-1649581215104)(Q:/whx/Dropbox/Master/Blog/blog/source/_posts/img_article/2022-02-23-AD%E4%B8%8EAAD%E5%8C%BA%E5%88%AB%E5%92%8C%E8%81%94%E7%B3%BB/3ghsbeXnqIjmiSu.png)]
AAD(Azure Active Directory)概述
Azure 提供通过AAD管理身份验证和授权的服务,AAD是一种基于云的标识服务,管理员和开发人员可以使用Azure AD配置的集中式规则和策略来控制对内部和外部数据及应用程序的访问。 AAD支持常见的Internet验证协议,例如WS-Federation、SAML等轻量级的基于Claim的验证协议。与传统AD类似,AAD同样有访问令牌,不过其中的内容是Claim属性,而且由于需要在Internet上交付,所以需要对其进行数字签名和加密。下面是AAD主要包含的四个服务:
身份验证: 包括验证身份以访问应用程序和资源、自助密码重置、多重身份验证(MFA)等功能。
单一登录(SSO):用户只需记住一个ID和一个密码即可访问多个应用程序。
应用程序管理:可以使用AAD应用程序代理、SSO、“访问”面板和SaaS应用来管理云应用和本地应用。
设备管理:管理云设备或本地设备访问企业数据的方式
Azure Active Directory Domain Services( Azure AD DS) 提供托管域服务
类似ADDS,例如域加入、组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证。 无需在云中部署、管理和修补域控制器 (DC) 即可使用这些域服务。
Azure AD DS 托管域使你能够在云中或你不希望目录查找始终返回到本地 AD DS 环境的位置,运行无法使用现代身份验证方法的旧版应用程序。 你可以将这些旧版应用程序从本地环境直接迁移到托管域,而无需在云中管理 AD DS 环境。
Azure AD DS 与现有的 Azure AD 租户集成。 通过此集成,用户可以使用其现有凭据登录到与托管域相连的服务和应用程序。 还可以使用现有组和用户帐户来保护对资源的访问。 这些功能可更顺畅地将本地资源直接迁移到 Azure。
什么是 Azure Active Directory 域服务
将 Active Directory 与 Azure Active Directory 进行比较
AAD与传统AD是完全不同的,前者是云服务,只管验证与授权, 而AAD更像是传统AD向云端的一个扩展,用以满足更多的应用场景与验证需求。AAD 通过为组织提供一种适用于在云中和本地所有应用的标识即服务解决方案,将目录服务方案提升到了一个新层次。同时,AAD是基于云的身份和访问管理解决方案,它也可以与本地AD同步,为本地和基于云的系统提供身份验证。AAD相较于AD的扩展功能概述如下:
AAD 解决了传统AD无法扩展到外部的局限性问题。传统AD在验证和授权方面更多的是做验证,并且无法扩展到外部(受限于Kerbose和LDAP),只能局限在企业环境。而AAD恰好能够解决这一问题,它支持如OAuth2、SAML、WS-Federation和OpenID等轻量级的基于Claim的验证协议,同时也提供了Rest接口。
AAD 更关注于验证与授权。除去验证,传统AD更关注于资源的发现与管理,如最常用的组策略,而这部分内容在AAD里是不关注的,AAD关注的是验证与授权,而非管理本身。
AAD 通过多重身份验证和无密码技术提高了密码安全性。传统AD中的凭据基于密码、证书或智能卡的身份验证,通过密码策略来管理密码的长度、到期时间和复杂性,以此确保AD中密码的安全性;而AAD对云和本地使用智能密码保护,AAD通过多重身份验证和无密码技术显著的提高了密码安全性,同时也为用户提供了自助重置密码的功能来提升用户体验,降低技术支持成本。
AAD 使用AAD应用程序代理访问本地应用。AD当中大多数本地应用都使用LDAP、NTLM或kerberos协议来控制用户的访问。AAD则可使用在本地运行的AAD应用程序代理来访问这些类型的本地应用。
AAD 完全基于云。AAD 的优势在于它完全基于云所提供的灵活性,这意味着它既可以充当组织的唯一目录,也可以通过 AAD Connect 与本地AD目录服务同步。无论采取哪种方式,它都使本地和基于云的用户能够访问相同的应用程序和资源,同时受益于诸如单点登录 (SSO)、多重身份验证 (MFA)、条件访问等功能。更重要的是,它提供了一个单一位置来管理整个 IT 资产中的身份、安全性和合规性控制。
下表展示了AD与AAD的具体区别:
On-Premises Active Directory | Azure Active Directory | |
---|---|---|
Authentication | kerberos | A number of protocols such as SAML,WS-Federation and OAuth,OIDC |
Locator mechanism | DNS | ✗ |
Structure | Hierarchical(based on X.500) | Flat |
Query | LDAP | A rest API, called AD Graph API |
Communication types | All kinds of types | HTTP(port 80) HTTP(port 443) |
Devices | Corporate assets, mostly PC | BYOD |
Focus on | On-perm services | Internet-based services, such as O365, Azure and Facebook(Any services federated with Azure AD) |
Domain joined | ✓ | ✗ |
User | ✓ | ✓ |
Group | ✓ | ✓ |
OU | ✓ | ✗ |
GPO | ✓ | ✗ |