Windows安全基础-AD域
目录
AD域的基本概念
域是什么?
AD域与工作组的区别
AD域的功能
AD域的对象与属性
AD域的结构
AD域的逻辑结构
域控制器
信任关系
DNS域AD域
DNS对AD域的作用
AD域中对DNS的要求
AD域的管理
组策略
组策略的作用
组策略的结构
AD域的基本概念
域是什么?
域是Windows网络中独立运行的基本单位,域之间互相访问则需要建立信任关系,域有安全边界的作用
域既是Windows网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows操作系统中,域是安全边界
域是共享用户账号,计算机账号和安全策略的计算机集合
能实现文件的共享,集中统一计算机,便于管理
AD的全称是Active Directory-活动目录
Active Directory (活动目录)是微软Windows Server中,负责架构中大型网络环境的集中式目录管理服务,许多AD域的管理工具都是利用这个界面来呼叫并使用AD域的资料
Active Directory网络
Active Directory也被作为微软服务器类软件,如Exchange,Lync,桌面管控等,与网域构连的资料结构
Active Directory服务
Microsoft Active Directory服务是Windows平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段
AD域与工作组的区别
工作组(Work Group)是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。
不同点:
1.管理模式
工作组实现的是分散的管理模式,每一台计算机都是独立自主的,用户账号和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限由每台计算机自身控制
域实现的是主/从管理模式,通过一台域控制集中管理域内用户账号和权限
2.资源访问
在“域”模式下,资源的访问有比较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作
3.安全认证
域控制器中包含了由这个域的账户,密码,属于这个域的计算机等信息构成的数据库
工作组只是进行本地电脑的信息与安全的认证
AD域的功能
1.计算机管理
管理服务器及客户端计算机账户,所有的服务器及客户端计算机加入域管理并实施组策略
2.应用系统支撑
支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统
3.资源管理
管理打印机、文件共享服务等网络资源
4.桌面配置
系统管理员可以集中的配置各种桌面配置策略
5.管理服务
管理用户域账号、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理组策略
AD域的对象与属性
对象:代表用户创建的对象类的真实实例
属性:存储对象的信息
AD域的结构
AD域的逻辑结构
包括域,组织单元,树和森林,它们用于影射组织机构或业务职能的不同层面
多个组织单元组成一个域,多个域组成一个树,多个树组成森林,活动目录是域的基础,如果将企业看成一个字典,企业里的资源就是字典的内容,活动目录就是字典的索引,即活动目录存储的是网络中资源的快捷方式,用户通过寻找快捷方式定位资源
组织单元 OU
OU是域下面的容器对象,用于组织对活动目录对象的管理,是最小的管理单元
OU可用来匹配一个企业的实际组织结构,域的管理员可以指定某个用户去管理某个OU
OU也可以像域一样做成树状的结构,即OU下面还可以有OUAD
组织单元用以结构化活动目录
组织单元的划分:
组织单元的特性:
包含用户、组、打印机、计算机、联系人,每一个组织单元都可以组成完整的组织结构
在一个组织单元中,可以应用相应的组策略
灵活 - 容易建立、删除、改变、
域树、森林
域树:
多个网域组成域树
域间的组织关系
将AD中多网域相互的关系阶层化
森林:
多个域树组成一个森林
作为不同网域间的资讯交换角色
符合AD树状结构的规范
一个组织中最多只能有一个森林
域控制器
概念:
参与活动目录复制
在域中作为单操作主机角色
我们所有的用户,所有的对象信息、服务都存储在域控制器上
信任关系
由于域控制器的作用,域内的用户是不能够跨段进行访问的,如果一定要进行跨段访问,则需要在两个域之间建立信任关系
信任关系的作用:允许一个域内的用户能够访问另一个域的资源
域信任关系:信任关系域和被信任关系域
域与域之间具有一定的信任关系,域信任关系使得一个域中的用户可由另一个域中的域控制器进行验证,才能使一个域中的用户访问另一个域中的资源
信任关系:域A信任域B,则域B中的用户可以通过域A中的域控制器进行身份验证后访问域A中的资源,则域A与域B之间的关系就是信任关系
被信任关系:就是被一个域信任的关系,在上面的例子中域B就是被域A信任,域B与域A的关系就是被信任关系
信任关系的两种形式:
单向不可传递的信任关系:
双向可传递的信任关系:
双向可传递信任用于描述一个树中父域和子域之间的关系,也用于描述一个森林中顶层域之间的关系
在缺省的情况下,一个树中域之间的信任关系是自动的建立和保持的
在双向可传递的信任中,如果域A信任域B,并且与域B信任域C,那么域A就信任域C,域C也就信任域A
DNS域AD域
两者的关系:
DNS服务器对域来说不可或缺
域中的计算机使用DNS域名,DNS需要为域中的计算机提供域名解析服务
域中的计算机需要利用DNS提供的SRV记录来定位域控制器
所谓SRV记录,就是记录在哪台主机上具有哪些服务的一种记录
DNS对AD域的作用
名称解析
DNS将计算机名称转换为IP地址
计算机使用DNS在网络上相互定位
定位活动目录的物理组件
DNS使用域控制器提供的服务
域中的计算机使用DNS来定位域控制器和全局编录
AD域中对DNS的要求
1.支持SRV记录
2.支持动态更新协议
AD域的管理
组策略
组策略的作用
方便管理AD域中的用户和计算机的工作环境
用户桌面环境
计算机启动/关机与用户登录/注销时所执行的脚本文件
进行软件的分发
进行安全策略设置
在实际工作环境下,通过组策略可以对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境,降低布置用户和计算机环境的总费用,只需设置一次,相应的用户或计算机即可全部使用规定的设置,减少用户不正确配置环境的可能性,推行公司使用计算机的规范,桌面环境规范,安全策略
组策略不适用于早期的Windows操作系统,,如Windows 9X/NT,那是使用的是“系统策略”,同时Windows 10 的家庭版也是没有的
组策略是系统策略的更高级拓展,从"系统策略“具有发展而来,具有更多的管理模板、更灵活的设置对象及更多的功能
组策略的结构
组策略的配置
