Active Directory的基本概念和功能

windows域

当管理一个只有五台计算机和五名员工的小型企业网络。在这样一个微型网络中，可以毫无问题地单独配置每台计算机。但如果某一天业务突然增长，现在有 157 台计算机和 320 个不同的用户，分布在四个不同的办公室。那么就很能单独管理，为了克服这些限制，我们就可以使用 Windows 域。Windows 域是一组受特定企业管理的用户和计算机。

域背后的主要思想是将 Windows 计算机网络的公共组件的管理集中在一个名为Active Directory (AD)的存储库中。运行 Active Directory 服务的服务器称为域控制器 (DC)。

• 配置 Windows 域的主要优点是：

集中身份管理：网络中的所有用户都可以轻松地从 Active Directory 进行配置。
管理安全策略：可以直接从 Active Directory 配置安全策略，并根据需要将它们应用于网络中的用户和计算机

Active Directory

Active Directory(活动目录)，简称为AD。任何 Windows 域的核心都是Active Directory 域服务 (AD)。此服务充当目录，其中包含网络上存在的所有“对象”的信息。在 AD 支持的众多对象中，我们有用户、组、机器、打印机、共享和许多其他对象。

用户

用户是 Active Directory 中最常见的对象类型之一。用户是被称为安全主体的对象之一，这意味着他们可以通过域进行身份验证，并且可以被分配对文件或打印机等资源的特权。您可以说安全主体是一个可以作用于网络资源的对象。
用户可用于表示两种类型的实体：

• 人员：用户通常代表组织中需要访问网络的人员，例如员工。
• 服务：还可以定义用户以供 IIS 或 MSSQL 等服务使用。每个服务都需要一个用户才能运行，但服务用户与普通用户不同，因为他们只拥有运行其特定服务所需的权限。

机器

机器是 AD 中的另一种对象。对于加入 Active Directory 域的每台计算机，都会创建一个机器对象。机器也被认为是“安全主体”，并像任何普通用户一样被分配一个帐户。此帐户在域本身内的权限有限。

机器帐户本身是指定计算机上的本地管理员，通常不应被除计算机本身之外的任何人访问，但与任何其他帐户一样，如果您有密码，则可以使用它登录。

注意： 机器帐户密码会自动轮换出来，通常由 120 个随机字符组成。

识别计算机帐户相对容易。他们遵循特定的命名方案。计算机帐户名称是计算机名称后跟一个美元符号。

• 比如

TEST-PC 的机器关联的机器帐户的名称是 TEST-PC$

安全组

定义用户组将对文件或其它资源的访问权限分配给整个组 而不是 单个用户。这样的管理性更好，因为可以将用户添加到现有组，并且它们将自动继承该组的所有权限。安全组也被视为安全主体，因此可以对网络上的资源拥有特权。
组可以同时拥有用户和机器作为成员。如果需要，组也可以包含其他组。
域中默认创建了几个组，可用于向用户授予特定权限。

• 下面是域中一些最重要的组

安全组   								 描述

 域管理员(Domain Admins)  该组的用户对整个域具有管理权限。默认情况下，他们可以管理域中的任何计算机，包括 DC。 
 服务器运营商(Server Operators)  该组中的用户可以管理域控制器。他们不能更改任何管理组成员身份。 
 备份操作员(Backup Operators)  该组中的用户可以访问任何文件，而忽略他们的权限。它们用于在计算机上执行数据备份。 
 帐户操作员(Account Operators)  该组中的用户可以创建或修改域中的其他帐户。 
 域用户(Domain Users)  包括域中所有现有的用户帐户。 
 域计算机(Domain Computers)  包括域中的所有现有计算机。 
 域控制器(Domain Controllers)  包括域中所有现有的 DC。 

身份验证方法

使用 Windows 域时，所有凭据都存储在域控制器中。每当用户尝试使用域凭据对服务进行身份验证时，该服务将需要请求域控制器验证它们是否正确。Windows 域中可以使用两种协议进行网络身份验证：

• Kerberos：由任何最新版本的 Windows 使用。这是任何最近域中的默认协议。
• NetNTLM：为兼容性目的而保留的旧身份验证协议。

虽然 NetNTLM 应该被认为已过时，但大多数网络都会同时启用这两种协议。

Kerberos 认证

Kerberos 身份验证是任何最新版本的 Windows 的默认身份验证协议。使用 Kerberos 登录服务的用户将被分配票证。将票视为先前身份验证的证明。拥有票证的用户可以将它们出示给服务，以证明他们之前已经通过网络身份验证，因此可以使用它。
当使用 Kerberos 进行身份验证时，会发生以下过程：

1. 用户将他们的用户名和使用从他们的密码派生的密钥加密的时间戳发送到 密钥分发中心 (KDC)，该服务通常安装在负责在网络上创建 Kerberos 票证的域控制器上。KDC 将创建并发回 票证授予票证 (TGT)，这将允许用户请求额外的票证以访问特定服务。需要一张票才能获得更多的票可能听起来有点奇怪，但它允许用户在每次想要连接到服务时无需传递其凭据即可请求服务票。连同 TGT，一个会话密钥被提供给用户，它们将需要它来生成以下请求。请注意，TGT 是使用 krbtgt 帐户的密码哈希加密的，因此用户无法访问其内容。必须知道加密的 TGT 包括会话密钥的副本作为其内容的一部分，并且 KDC 无需存储会话密钥，因为它可以在需要时通过解密 TGT 来恢复副本。

2. 当用户想要连接到网络上的服务（如共享、网站或数据库）时，他们将使用他们的 TGT 向 KDC 请求票证 授予服务 (TGS)。TGS 是只允许连接到为其创建的特定服务的票证。要请求 TGS，用户将发送他们的用户名和使用会话密钥加密的时间戳，以及 TGT 和服务主体名称 (SPN)，后者指示我们打算访问的服务和服务器名称。因此，KDC 将向我们发送一个 TGS 以及一个Service Session Key，我们需要用它来验证我们想要访问的服务。TGS 使用从 服务所有者哈希 派生的密钥进行加密。服务所有者是运行服务的用户或机器帐户。TGS 在其加密内容上包含服务会话密钥的副本，以便服务所有者可以通过解密 TGS 来访问它。

3. 然后可以将 TGS 发送到所需的服务以进行身份验证并建立连接。该服务将使用其配置的帐户密码哈希来解密 TGS 并验证服务会话密钥。

NetNTLM 身份验证

NetNTLM 使用质询-响应机制工作。 整个过程如下：

1. 客户端向他们要访问的服务器发送身份验证请求。
2. 服务器生成一个随机数并将其作为挑战发送给客户端。
3. 客户端将他们的 NTLM 密码哈希与质询（和其他已知数据）结合起来生成对质询的响应并将其发送回服务器以进行验证。
4. 服务器将质询和响应转发给域控制器进行验证。
5. 域控制器使用质询重新计算响应并将其与客户端发送的原始响应进行比较。如果它们都匹配，则客户端通过身份验证；否则，访问被拒绝。认证结果被发送回服务器。
6. 服务器将认证结果转发给客户端。

注意：出于安全考虑，用户的密码（或哈希）永远不会通过网络传输。

树木、森林和信托

随着公司的成长，他们的网络也在成长。拥有一个公司的单一域就足以开始，但随着时间的推移，一些额外的需求可能会促使您拥有多个域。

树木

例如，想象一下，您的公司突然扩展到一个新的国家。新国家/地区有不同的法律法规，要求您更新 GPO 以符合要求。此外，您现在在两个国家都有 IT 人员，每个 IT 团队都需要在不干扰其他团队的情况下管理与每个国家对应的资源。虽然您可以创建复杂的 OU 结构并使用委派来实现此目的，但拥有庞大的 AD 结构可能难以管理并且容易出现人为错误。
对我们来说幸运的是，Active Directory 支持集成多个域，因此您可以将网络划分为可以独立管理的单元。如果您有两个共享相同名称空间的域（thm.local在我们的示例中），则可以将这些域加入到 树 中。
如果我们的 thm.local 域分为英国和美国分支机构的两个子域，您可以构建一个树，其中包含一个根域thm.local 和两个名为 uk.thm.local 和 的子域 us.thm.local ，每个子域都有其 AD、计算机和用户：

这种分区结构使我们能够更好地控制谁可以访问域中的内容。来自英国的 IT 人员将拥有自己的 DC，仅管理英国的资源。例如，英国用户将无法管理美国用户。这样，每个分支机构的域管理员将完全控制各自的 DC，但不能控制其他分支机构的 DC。也可以为树中的每个域独立配置策略。
在谈论树木和森林时，需要引入一个新的安全组。Enterprise Admins 组将授予用户对企业所有域的管理权限。每个域仍然会有其域管理员对其单个域拥有管理员权限，而企业管理员则可以控制企业中的一切。

森林

您管理的域也可以配置在不同的命名空间中。假设您的公司继续发展并最终收购了另一家公司MHT Inc.，当两家公司合并时，您可能会为每个公司拥有不同的域树，每个公司都由自己的 IT 部门管理。将具有不同名称空间的几棵树联合到同一个网络中称为 森林。

信任关系

在树和森林中组织多个域可以让您在管理和资源方面拥有一个很好的划分网络。但在某个时刻，THM UK 的用户可能需要访问 MHT ASIA 服务器之一中的共享文件。为此，排列在树和森林中的域通过 信任关系 连接在一起。
简单来说，在域之间建立信任关系可以授权域中的用户 THM UK访问域中的资源 MHT EU。
可以建立的最简单的信任关系是单向信任关系。在单向信任中，如果 Domain AAA trusts Domain BBB，这意味着 BBB 上的用户可以被授权访问 AAA 上的资源：

单向信任关系的方向与访问方向相反。
还可以建立 双向信任关系，以允许两个域相互授权来自另一个域的用户。默认情况下，将多个域加入一棵树或森林下将形成双向信任关系。
请务必注意，在域之间建立信任关系不会自动授予对其他域上所有资源的访问权限。建立信任关系后，您就有机会授权跨不同域的用户，但实际授权与否取决于您