AD使用的是Jet数据库,松散地遵循X.500目录模型。
ADDS的结构:域、域树、森林
域是ADDS的初始逻辑边界,充当对象的管理安全性边界,并包含他们自己的安全策略。记住,域是对象的逻辑结构并且可以方便地跨越多个物理位置。因此,不再需要为不同的远程办公机构建立多个域。可以通过使用ADDS站点或只读域控制器较好地解决公司关心的复制和安全问题。
ADDS树由多个通过双向可传递信任连接的域构成。ADDS树中的每个域共享一个公共的模式和全局目录。可传递信任关系是自动的。一棵域树内的所有域共享相同的名称空间。管理权是细粒度的且可以配置。
森林是一组互联的域树。隐式的信任将每棵树的根连在一起构成一个公共的森林。森林是ADDS主要的组织安全性边界,并且假定森林中的所有域管理员在一定程度上是可信任的。如果某个域管理员不可信任,那么应将此域管理员放置在一个分离的森林中。
WindowsNT4.0使用一种称为NT局域网管理器(NT LAN Manager,NTLM)的认证系统。这种认证方式采用散列的形式跨越网络传送加密的口令。这种认证方式存在的问题在于任何人可以监视网络中传递的散列信息、收集这些信息并随后使用第三方解密工具进行口令破译。
Windows2000、20003和2008采用了一种被称为Kerberos的认证方法。它不在网络上发送口令信息并且本身要比NTLM安全。
Windows2008 ADDS中的功能级别:Windows2000本地的功能级别、Windows Server 2003功能级别、Windows Server2008功能级别。
ADDS模式是目录中所有对象类型及其相关属性的一组定义。该模式定义了所有用户、计算机和其他对象数据存储在ADDS中并配置成跨越整个ADDS结构的标准规格的方式。通过使用任意访问控制列表(DACL)来提供安全保护,该模式控制ADDS内每个对象可能的属性。简单地说,该模式是目录自身的基本定义并且对于环境的功能起着决定性的作用。应该小心地将模式控制权委托给高度可选择的管理员组,因为模式修改会影响到整个ADDS环境。
模式对象:即ADDS结构内的对象,如用户,计算机、打印机等等
扩充模式:如安装Exchange需要扩充AD模式等。
使用ADDS服务接口(ADDS Service Interface, ADSI)协议执行模式修改。
ADDS利用的目录服务协议基于RFC-1777定义的因特网标准轻量级目录访问协议(Lightweight Directory Access Protocol)。
全局目录是ADDS数据库的一个索引,包含其内容的部分副本。ADDS树中的所有对象都可以在全局目录内进行索引,从而允许用户搜索位于其他域内的对象。并不是将每个对象的所有属性都复制到全局目录,而是仅复制那些常用于搜索操作的属性,如名字和姓等。
全局目录服务器通常称为GC或GC/DC,是包含一个全局目录副本的ADDS域控制器。在每个物理位置放置一个最小配置的全局目录服务器或利用远程站点中的只读域控制器(RDOC)是明智的,因为客户机经常会访问全局目录并且跨越低速广域网(WAN)链路的流量将会限制这类通信量。
操作主控(OM)角色 :
模式主控——在整个ADDS森林中只能有一个模式主控。它用于限制对模式的访问并最小化潜在的复制冲突。
域命名主控——在森林中只能有一个域命名主控。它负责向ADDS森林添加域,必须放置在全局目录服务器上,因为它必须拥有所有域和对象的记录以便执行它的功能。
PDC仿真器——每个ADDS域有一个PDC仿真器FSMO角色。它用于模仿过期的为低级客户端服务的WindowsNT 4.0主域控制器(PDC)。在Windows2008中,它仍执行此角色,如充当主用时间同步服务器。
RID主控 ——在每个ADDS域中有一个RID主控。它负责分配RID池。ADDS内能够分配权限的所有对象都通过使用安全标示符(SID)来唯一标示。每个SID由一个域SID(对单个域中的每个对象都是相同的)和一个相对标识符(RID,对该域内的每个对象都是唯一的)构成。当分配SID时,域控制器必须能够从它在RID主控那里获得的RID池中分配一个相对应的RID。当该池的RID耗尽时,它将向RID主控请求获得另一个池。如果RID主控失效并且制定的域控制器耗尽了分配给它的RID池,那么可能无法在域中创建新的对象。
基础结构主控——在每个ADDS域中有一个基础结构主控。它管理对不在它自己域内的域对象的引用,换句话说,一个域中的DC包含一个它自己域内的所有对象的列表,以及一个到森林中其他域中的其他对象的引用列表。假如引用对象发生变化,基础结构主控就负责处理这种变化。由于它仅处理引用的对象而不是对象自身的副本,因此基础结构主控一定不能驻留在多域环境中的一个全局目录服务器上。需要说明的是,如果结构主机在全局编录服务器上运行,它将会停止更新对象信息,原因是它只包含对它所拥有的对象的引用。只有一个域,这时你无论把基础结构主控放在哪都无所谓。因为没有其它域的信息需要引用。多域环境,但所有DC都是GC。这时基础结构主控也无需工作,因为所有的DC都是GC,GC拥有其它域的只读信息。
OM角色的迁移和捕捉都是通过使用一个叫做ntdsutil的命令行工具执行的。注意:仅在紧急情况下才利用此实用工具,并且不要让已将其角色在线恢复的旧式OM服务器返回域中,因为这会带来一些严重系统冲突的风险。
域信任
可传递信任——当创建一个子域或向ADDS森林中添加了一个域树时,会自动建立双向可传递信任。可传递信任通常是双向的,结构式每个域信任另一个域。
显式信任——显式信任是手工建立的信任。它是单向的,但是可以建立两个显式信任来创建一个双向信任。当建立显式信任以加快从一个子域到另一个子域的信任流动时,称之为捷径信任。捷径信任允许更快地处理认证检验,而不必遍历域树。显式信任的另一种可能的用法是允许在ADDS森林和一个外部域之间建立连接。这种显式定义的信任称为 外部信任,并且它们允许不同的森林共享信息而实际上不必合并模式信息或全局目录。
组织单元OU
OU是逻辑上存储目录信息的容器并提供了一种通过LDAP寻址ADDS的方法。通常用于细分资源便于组织和委托赋权管理、策略应用等,主要用于隔离管理功能。
通常情况下,适当组织OU以使不同的部门对其自身用户拥有各种不同级别的管理控制权,这种做法是推荐的。设计域时的经验法则是从单域开始并且仅在必需时 才添加额外的域。
组
组可以用于在逻辑上组织安全功能。
在ADDS中有两种组类型:安全组、分配组。
安全组——可以用来向组成员的对象施加权限。
分配组——不能用于权限而是向组成员发送邮件。
组范围有4种:
机器本地组——简称“本地组”。理论上可以包含来自任何可信任位置的成员,本地域中及其他可信任域和森林中的用户和组都可以包含在此组中。作用:只对该机器本地的资源访问控制有效。
域本地组——域本地组可以包含来自其他任何可信任域中的用户和组。作用:用于管理仅位于他们自己域中的资源,准予不同域中的组访问资源。
全局组——全局组与域本地组恰好相反,它们包含仅在域中存在但准许访问其他可信任域中的资源的用户。作用:适合用于为共享相似功能的用户账户提供安全成员资格,如销售全局组。
通用组——它可以包含森林中任何域的用户和组并且允许访问森林中的任何资源,每个通用组的所有成员都存储在全局目录中,这会增加复制负担,在Windows2008中这种复制是增量的。作用:通用组仅在本地(Native)模式域中可用。
OU和组之间的基本区别在于当向对象应用安全策略时可以使用组,而当需要委托管理功能时 采用OU。
ADDS复制
站点——通过高速链路彼此互联的服务器组成一个站点。
站点链路——用于连接两个货多个位置(这些位置有可能是通过低速链路连接的)的连接。
站点链路桥头堡——通过它们自身的传送完成站点间复制的服务器。每个站点中有一个域控制器充当站点链路桥头堡。
通过一种称为源写入(Originating Writes)的特性可以完成域控制器之间的对象复制。当对象发生变化时,该属性值会递增。
DNS
外部(发布的)名称空间
内部(隐藏的)名称空间
动态DNS(Dynamic DNS,DDNS)
标准DNS区域
AD集成的DNS区域——DNS区域本身作为ADDS中的对象存在,从而允许完成自动区域转移。DNS复制通信量捎带在ADDS通信量中,并且DNS记录作为对象存储在目录中。
域安全
Kerberos认证——它不许跨越网络传送加密或未加密的用户口令,采用这种方式传送口令大大减少了窃取口令的安全威胁。
采用额外的安全预防措施——如使用IPSec的安全服务器到服务器的通信或使用智能卡及其他加密技术,可以增强ADDS结构的安全性。此外,通过使用组策略来更改参数设置,如用户口令限制、域安全性和登录访问权限,也可以保护用户的环境。
服务关联性:停止ADDS会停止其他相关服务(如DNS、DFS、Kerberos和Intersite Messaging)。
实现每个域多口令策略:
域中的所有DC必须运行Windows Server 2008;
精细粒度的口令策略总是胜过域空灵策略;
口令策略可以应用于组,但是这些组必须是全局安全组。
应用于用户的精细粒度口令策略总是胜过应用于组的策略设置;
口令设置对象(Password Setting Objects,PSO)存储在AD内的口令设置容器中(也就是CN=Password Settings Container、CN=System、DC=companyabc、DC=com)
只能向一个用户施加一组口令策略。如果应用了多个口令策略,具有较低数字优先级的策略将胜出。
为了为特定的用户创建自动定义的口令策略,必须使用ADSIEdit工具创建口令设置对象PSO,该工具用于ADDS或ADLDS目录对象和属性的低级更改。使用它时要格外小心。为了创建PSO,必须按照正确的格式输入所有属性。
PSO属性:
Cn
msDS-Password***
msDS-MinimumPassword**
msDS-MaximumPassword**
msDS-Lockout**
msDS-PSOAppliesTo
创建PSO步骤:
打开ADSIEdit,并让它指向将创建PSO的域的全限定域名(FQDN),比如CN=System,CN=Password Settings Container;
右击CN=Password Settings Container并选择New|Object;
选择msDS-PasswordSettings并单击Next按钮继续操作;
在弹出的Create Object对话框中,依次输入所需的属性,
依据向导输入完相关属性后,最后应用。
审核对AD对象所做的修改
Windows2008为了能够让管理员确定何时修改、移动或删除了AD对象,改进了对活动目录对象的修改的审核。
启用AD对象审核:
单击Start | All Programs | Administrative Tools | Group Policy Management
定位到<forest name> | Domains | <domain name> | Domain Controllers | Default Domain Controllers Policy
单击Edit
在GPO窗口中,定位到Computer Configuration | Windows Settings | Security Settings | Local Policies | Audit Policy
在Audit Policy设置中,右击Audit Directory Service Access,然后单击Properties
选取Define These Policy Settings复选框,然后选取Success and Failure复选框,最后单击OK。
查看额外的活动目录服务
Windows2008有5种包含Active Directory标记的分离的技术,如下:
活动目录轻量级目录服务(ADLDS)
活动目录联合服务(ADFS)
活动目录证书服务(ADCS)
活动目录权限管理服务(ADRMS)
Windows2008 ADDS的改进:
只读 域控制器RODC支持
组策略中央存储——在windows2008中 ,组策略的管理模板存储在PDC仿真器上的sysvol(系统卷)中,导致复制缩减和sysvol尺寸减少。
Sysvol的DFS-R复制——Windows2008功能域使用改进的分布式文件系统复制(DFSR)技术 而不是老式的有问题的文件复制服务(FRS)来复制sysvol。
活动目录数据库安装工具(DSAMain)——活动目录数据库安装工具(DSAMain)允许管理员查看ADDS或ADLDS数据库内的数据瞬态图。这可以允许比较数据库内的数据,当执行ADDS数据存储时可以使用它。
GlobalNames DNS区域——Windows2008 DNS允许创建GlobalNames DNS区域的概念。这种类型的DNS区域允许跨越多个子域分布全局名称空间。