微软 AD 功能解惑

在上期《微软 AD 概念辨析》中，对于微软 AD 相关的常见概念错误进行了解释，本期将解答微软 AD 在具体功能上的问题。

1. 操作 Active Directory 需要准备哪些资源？

通常，要操作 AD 首先需要服务器、备份、数据中心和 VPN。这些只是基础配置，但对于大多数企业，还需要弄清楚安全性、负载平衡/高可用性、数据备份等解决方案。当然还需要一名技术娴熟的 IT 管理员专门负责 AD 的安装和运维。 也就是说，每个企业运行 AD 所需的硬件和软件要求都不同。通常在确定运行 AD 所需资源时需要考虑以下内容：

• 用户数量

• 系统数量

• 所需的 RAM 级别

• 网络带宽要求

• 文件存储容量和性能要求

• 处理能力

只有准确评估企业的 IT 环境才能更有效地使用 AD，否则很可能会导致性能问题。如果遇到服务器软件、客户端访问许可等问题还需要和微软经销商进一步讨论。

当然，如果企业还部署了非 Windows 系统、应用程序、文件服务器和网络基础设施，还需要购买附加组件，如 Web 应用 SSO、多因子身份认证（MFA）、特权访问管理（PAM）、治理和审计等。

2. Active Directory 有哪些局限性？

不可否认，AD 的确存在不少局限性，比如对象和可应用的组策略对象（GPO）都有数量限制，除此之外还涉及以下几方面：

• 域控制器在生命周期内“最多”可以创建 21.5 亿个对象

• 用户、组和计算机账号（安全主体）最多可以创建大约 1,015 个组

• 最多可以给用户账号或计算机账号应用 999 个 GPOs

• 在为 LDAP 事务编写脚本或应用程序时，针对每个 LDAP 事务最多能执行 5,000 次操作

事实上，AD 的这些限制主要源于服务器硬件容量、网络带宽、性能延迟等原因。为此，IT 管理员需要了解企业的整体基础架构，以及 AD 的这些限制会如何影响用户。

3. 为什么要备份 Active Directory？

备份 AD 的最主要原因是为了保护花费大量时间和精力所构建的安全无缝的企业 IT 环境：用户都配置了所需的适当资源访问权限，组策略对象（GPOs）也准备就绪，逻辑结构更是完好无缺。 然而，如果没有备份，企业就会面临一切归零的风险。

重建 AD 不仅是对管理员的折磨，也严重影响了其他员工的工作推进，因为在重建 AD 之前，员工无法访问所需的 IT 资源。因此，为 AD 制定备份策略可以在遇到故障或灾害时节省大量精力和时间。

当然，备份 AD 只是企业要考虑的灾备场景之一。此外，企业还需要考虑断网、硬件故障、人为错误等各种情况。正如 IT 管理员所知道的，身份验证服务通常是需要全天候正常运行的举措。

4. 什么时候需要更换 Active Directory 的服务器？

服务器的使用寿命通常在五年左右。超过五年就可以考虑更换。如果企业还在使用 Windows Server 2003 或 Windows Server 2008，强烈建议购买新的域控制器，上述两种服务器分别在2015年7月和2020年1月14日停产。

5. Active Directory 有哪些最佳实践？

在构建 Active Directory 基础架构时，确实有一些最佳实践可以帮助企业保持安全性，同时避免配置问题。企业可以参考下列建议：

• 更改默认安全设置：攻击者对 AD 中的默认安全设置了如指掌，因此最好更改这些默认设置。

• 为 AD 角色和组中实施最低权限原则：为员工提供所需的最低访问权限可以减少攻击面。

• 控制域管理员组中的管理权限和限制账号：最大限度减少特权账号数量。

• 不要把域控制器当成计算机使用：管理员通常遵循“一台服务器一项功能”的原则。域控制器最好作为 AD 专用服务器，不能安装软件或应用程序。

• 定期维护 AD：由于攻击者还会利用 AD 服务器上应用程序、操作系统和固件中存在的漏洞，管理员需要定期修补这些漏洞。

• 监控审计 AD 运行状况：加快故障排除等问题。

• 在部署初期规定命名：有助于在扩展时保持 AD 的规范性。

• 定期清理 AD：定期删除过期的用户、计算机和组账号，有助于维护安全性和规范性。

• 设置正确的域时间：为所有域控制器、成员服务器和设备设置正确的时间对于 Kerberos 身份验证很重要，也有助于确保更改正确分发。

6. 如何保障 Active Directory 的安全？

上一问提到的最佳实践也包含了部分安全措施，例如为 AD 及时更新和打补丁，遵循最低权限原则，不要将域控制器用于域服务所需以外的任何角色。

在物理安全方面，可以考虑给服务器机房上锁，在所有接入点设置警报，安装监控，并设置自然灾害预警和防火系统。此外，企业也必须对有权访问 AD 的所有用户进行安全培训。

当然，对于许多企业来说，保障物理安全的工作可以交给云厂商。

7. 如何确保 AD 的高可用性？

目前来说，企业要实现 AD 的高可用性还没有通用的方法论可以借鉴。不同的企业对于服务器的正常运行时间和标准要求不同。但是，除了风险承受度高的管理员之外，冗余一般是企业的“必备”方案。中小企业经常会在生产环境中使用一个直接域控制器，然后再预备一个域控制器用于故障转移。这种通用的冗余策略同样也适用于大型企业。

很多网络基础设施和硬件组件是确保高可用性的必要条件。而现在不少企业正在转向云计算平台并依靠云厂商来帮助解决高可用性和负载平衡问题。

8. Active Directory 可以在 MacOS上运行吗？

从技术上角度讲，AD 确实可以在 MacOS 上运行，但功能上肯定不如 Windows 系统齐全。一般来说，对 MacOS 的深度自动化控制只有通过第三方目录扩展或移动设备管理器 （MDM）才能实现。此外在 MacOS上使用 AD 时，也很难对用户严格控制，包括用户预配、取消预配和权限修改。

9. 为什么要了解 Active Directory？

掌握 AD 的使用方法是很有价值的的一项技能，在任何企业都适用，特别是想在采用微软系工具的 IT 部门工作的员工。Azure 云服务、Sharepoint 等都需要 AD 的支持。 当然，AD 对于 IT 人员也并不是非学不可的。越来越多云优先的现代企业正在完全绕过本地 AD，直接使用基于云的身份目录即服务（DaaS），作为一站式身份管理方案，能够将用户连接到网络、终端、应用、多云等IT资源，无论该资源是在本地还是云端。并扩展了现代企业所需的多种能力，诸如 Web 应用单点登录 SSO、多因子身份认证 MFA、用户自助服务等功能，更符合现在的 IT 环境及用户体验需求。

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制。如欲了解微软AD更多内容，可前往宁盾官网博客解锁更多干货）