Active Directory 域服务基础知识

Active Directory 域服务(AD DS)是 Microsoft 提供的传统本地域服务,它是 Active Directory(AD)中的核心组件和服务器角色,Active Directory(AD)是 Windows 操作系统环境中的专用专有目录服务。

考虑一个具有许多连接网络资源的企业或复杂业务,为了确保有效管理这些资源,IT 管理员使用 AD 及其组件,包括 AD DS。AD 设置为集中配置、组合和管理 AD 域中网络资源的逻辑集合。

与网络管理员必须手动单独识别和管理策略和权限的工作组不同,AD 提供了一个中央数据库,方便管理员设置适当的访问控制和权限以使用各种网络资源。AD 还允许管理员定义安全策略,以控制谁有权访问网络中的内容。

对网络资源进行逻辑分组以形成 AD 域由管理员完成。所有这些域对象可以共享同一个中央域控制器(DC)。具有安装了 AD DS 并充当中央身份验证和授权节点的 DC 的 Windows 环境称为域控制环境。

AD 遵循客户端-服务器体系结构,其中 DC 是为域中其他连接的网络资源提供服务的中央服务器,DC 具有完整的域权限,并控制对其域中包含的所有网络资源的身份验证和修改。

现在,让我们看一下 AD 环境的两个最基本的过程:

认证: 身份验证是 AD 的核心功能之一,通过它检查登录到 AD 域的任何用户的身份,并允许或拒绝访问。以非常明确的术语检查身份的过程构成了身份验证过程的基础。可以通过以下三种方式之一对身份进行身份验证:

  • 如电子邮件地址或用户名和密码组合
  • 如软令牌或智能卡
  • 如指纹或其他生物识别技术

授权:授权是 AD 的另一个核心功能,它依次遵循身份验证过程,通过授权向用户授予使用适当网络资源和其他相关数据的访问权限和权限,此过程通过生成安全令牌来进行,并根据每个用户唯一的一组预定义规则进行检查。

身份验证和授权构成了身份和访问管理的基础。

在这里插入图片描述

AD属性的定义

为了进一步加强对AD的理解,以下是一些最重要的AD属性的定义:

  • 对象:AD 以对象的形式存储数据。AD 环境的每个元素都是一个 AD 对象。
    • 用户对象或用户: 需要身份验证才能加入 AD 域的对象称为用户。用户需要经过身份验证,需要获得权限和特权,并且通常在 AD 域中分组到称为组的其他 AD 对象中。
    • 计算机对象或计算机:表示域的工作站或成员服务器的 AD 对象称为计算机。
    • 容器对象:AD 中可以包含或保存其他对象的对象称为容器对象。AD 中既有默认容器对象,也有创建的容器对象。
    • 叶子对象:叶对象是 AD 中不能包含或包含辅助对象(例如用户)的对象。
  • : 域是相关对象(如用户、计算机或组)或共享资源(如打印机、文件或文件夹)的逻辑分组,所有对象都由一个或多个 DC 控制或提供服务。特定域中的所有对象共享同一个 AD 数据库。域通常由 DNS 提供的名称标识,例如 http://xxx.com。
  • 域控制器 (DC):DC 是安装了 AD DS 的服务器。将服务器提升为 DC 使其能够集中管理权限、控制用户身份的身份验证以及授权访问各种资源,包括文件存储、应用程序和其他网络。
  • :出于管理目的,AD 域被分组到树中。管理员的目标是将域的数量保持在最低限度,并将它们全部逻辑分组到树中。域和子域在逻辑上和层次结构上组合在一起,类似于树结构。
  • :AD 环境的安全边界由林定义,林是多个树的集合。除非在两个林之间建立可传递信任机构,否则它们不能交互。整个林代表一个组织,在定义 AD 体系结构方面是最高级别。在兼并、收购等业务场景中,可以将多个林组合在一起,以便网络管理员完全控制所有涉及的域、DC 和 AD 数据。每个林都由创建的第一个域(即根域名)标识。
  • 网站:AD 站点是子网的物理分组,涵盖每个地理位置的一系列 IP 地址,站点可以将一个或多个 DC 与其他网络资源组合在一起,一个站点通常覆盖一个 LAN。其他网络(以及其他站点)上的服务器通过站点链接进行交互。定义站点是为了帮助复制过程以实现有效的 AD 功能。
  • 复制:AD 是基于复制设计的,对由特定 DC 控制的任何 AD 对象进行更改的过程将反映或复制到林的所有其他 DC 中。复制以两种方式进行:站点内和站点间。
  • 组策略:组策略管理用户和计算机的配置和安全策略。
  • 组策略对象 (GPO):GPO 是应用于域中的用户和计算机的设置组,这些可能包括登录到某些计算机的权限或访问某些文件和共享资源(如打印机、扫描仪和其他共享存储设备)的权限。

设置 AD 的目的

现在已经涵盖了 AD 环境的基本概念,让我们深入探讨在企业中设置 AD 的目的:

  • AD 有助于组织所有用户、计算机和其他网络资源及其关联的访问和权限,这有助于资源分配、管理和维护。
  • AD 对于维护组织的安全态势至关重要,对网络资源的访问通过安全策略进行管理。如前所述,身份验证和授权是 AD 环境的核心元素。
  • 通过对用户及其访问内容进行清晰、透明和集中的管理,降低了运营成本,并更加简化了对网络资源的控制。
  • AD 支持遵守 GDPR、GLBA 和 HIPAA 等合规性法规。合规性审核涉及安全策略、法规和标准的管理,其中包括如何处理有关用户和组的敏感信息。AD确保在维护和报告此类数据时具有最大的粒度,它提供了合规审计员在组织范围的审计期间使用的宝贵信息。
  • AD 允许采用自定义方法来管理用户及其相关权限,这涉及根据企业需求和业务目标对所有AD对象进行分组及其后续管理。
  • AD 为单个接入点或单点登录提供了基础,用于访问位于 AD 控制环境中任何服务器上的网络资源。
    密码策略以及各种其他用户和计算机配置设置允许对软件交付进行有效管理,AD 中的 Windows 设置和管理模板可用于更好地管理数据和服务。
  • 由于 AD,可以进行自动更新和集中式设备管理,只需最少的人工干预。 网络管理员使用组策略来管理这些配置。

ADManager Plus AD域(活动目录)管理工具,简化IT管理员和技术员的工作,轻松管理AD对象并通过图形化报表分析数据,简化身份管理,确保安全性,并提高 AD、Microsoft 365 和 Google Workspace 环境中的合规性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/152980.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

vue2项目修改编译巨慢

前言:我们的一个vue项目在给新同事后他说编译贼慢,一个小修改项5分钟才能自动编译成功,我把项目放到新电脑上也巨慢,升级了nodejs好使了一些,但还是慢,最后引入webpack后巨快, 在项目的package…

初识Java 18-1 泛型

目录 简单泛型 元组库 通过泛型实现栈类 泛型接口 泛型方法 可变参数和泛型方法 通用Supplier 简化元组的使用 使用Set创建实用工具 本笔记参考自: 《On Java 中文版》 继承的层次结构有时会带来过多的限制,例如:编写的方法或类往往…

前端学习笔记--React

1. 什么是React? React 是一个用于构建用户界面的JavaScript库核心专注于视图,目的实现组件化开发我们可以很直观的将一个复杂的页面分割成若干个独立组件,每个组件包含自己的逻辑和样式 再将这些独立组件组合完成一个复杂的页面。 这样既减少了逻辑复杂度,又实现…

12-1- GAN -简单网络-线性网络

功能 随机噪声→生成器→MINIST图像。 训练方法 1 判别器的训练,首先固定生成器参数不变,其次判别器应当将真实图像判别为1,生成图像判别为0 loss=loss(real_out, 1)+loss(fake_out, 0) 2 生成器的训练,首先固定判别器参数不变,其次判别器应当将生成图像判别为1 loss…

你应该知道关于Python的这几个技巧!

随着大数据时代的到来,我们每天都在接触爬虫相关的事情,这其中就不得不提及Python这门编程语言。我已经使用Python编程有多年了,即使今天我仍然惊奇于这种语言所能让代码表现出的整洁和对DRY编程原则的适用。这些年来的经历让我学到了很多的小…

MySQL覆盖索引的含义

覆盖索引:SQL只需要通过索引就可以返回查询所需要的数据,而不必通过二级索引查到主键之后再去查询数据,因为查询主键索引的 B 树的成本会比查询二级索引的 B 的成本大。 也就是说我select的列就是我的索引列(或者主键,…

XD6500S— LoRa SIP模块

XD6500S是一系列LoRa SIP模块,集成了射频前端和LoRa射频收发器SX1262系列,支持LoRa和FSK调制。收发器SX1262系列,支持LoRa和FSK调制。LoRa技术是一种扩频协议,针对LPWAN 应用的低数据速率、超远距离和超低功耗通信进行了优化。通信…

KMP算法详讲(问题导向,通俗易懂)

KMP算法是一种高效的字符串匹配算法,相比于BF算法的时间复杂度为O(n*m),它的时间复杂度降低到了O(nm)。这种算法的高效性在于它利用了主串的指针不回溯,而只移动模式串的指针位置。然而,对于初学者来说,KMP算法并不容易…

全面掌握:性能测试计划的制胜法宝

一.简介 简介部分就不用过多描述了,无非项目的背景,进行此次性能测试的原因,以及性能测试覆盖的范围等等,几乎所有项目文档都在开端对项目进行简单的阐述。 二.性能测试需求 寻找的被测试对象和压力点 …

windows 部署 weblogic 12.1.3

1、安装 1)下载 地址:WebLogic Server 12c (12.2.1), WebLogic Server 11g (10.3.6) and Previous Releases 2)安装 weblogic server java -Xmx1024m -jar fmw_12.1.3.0.0_wls.jar 出现图形界面按需配置,注意配置的安装路径不能…

11月编程榜最新出炉,第一名很离谱

这段时间,随着人工智能的崛起,Python的地位水涨船高。有不少朋友感觉到危机重重。 其中,最明显的,是市场环境的变化: 外部招聘:Python岗位日均需求量高达15000!不仅是程序员,内容编…

【分享课】11月16日晚19:30PostgreSQL分享课:PG缓存管理器主题

PostsreSQL分享课分享主题: PG缓存管理器主题 直播分享平台:云贝教育视频号 时间:11月16日 周四晚 19: 30 分享内容: 缓冲区管理器结构 缓冲区管理器的工作原理 环形缓冲区 脏页的刷新

uniapp使用Canvas实现电子签名

来源: 公司的一个需求,需要给新注册的会员和客商需要增加签署协议功能; 之前的思路: 1、使用vue-signature-pad来实现电子签名,但是安卓手机不兼容; 2、uniapp插件市场来实现,但是对HBuilderX…

为什么小型企业应该拥抱数字化转型?

在当今飞速发展的商业环境中,数字化转型已经成为各种规模组织的必然选择。特别是小型企业,通过数字化转型,可以在保持竞争力、提高运营效率并开启新的增长机会方面获益匪浅。本文探讨了数字化转型的概念,强调了它对小型企业的重要…

测试小白必看:自动化测试入门基础知识

📢专注于分享软件测试干货内容,欢迎点赞 👍 收藏 ⭐留言 📝 如有错误敬请指正!📢交流讨论:欢迎加入我们一起学习!📢资源分享:耗时200小时精选的「软件测试」资…

小型企业网络搭建方案

在这个日益数字化和连接的世界里,一个稳固的小型企业网络是实现高效运作的关键支柱。不论您是在经营一家初创公司还是小型企业,一个可靠的企业网络都是保证顺畅沟通、数据分享以及访问在线资源的重要因素。本篇文章将会引导您完成构建一个小型企业网络的…

C++入门第七篇--STL模板--vector模拟实现

前言: 有了前面的string库的介绍,在这里我就不再介绍vector库了,而是直接模拟实现了。 vector库的概念和作用: vector库是针对于数组的数据类型的容器,它有点类似我们曾经实现过的顺序表,你完全可以按照…

Google codelab WebGPU入门教程源码<6> - 使用计算着色器实现计算元胞自动机之生命游戏模拟过程(源码)

对应的教程文章: https://codelabs.developers.google.com/your-first-webgpu-app?hlzh-cn#7 对应的源码执行效果: 对应的教程源码: 此处源码和教程本身提供的部分代码可能存在一点差异。点击画面,切换效果。 class Color4 {r: number;g: number;b: number;a…

挑战字节软件测试岗,原来这么轻松...

当前就业环境,裁员、失业消息满天飞,好像有一份工作就不错了,更别说高薪了。其实这只是一方面,而另一方面,各大企业依然求贤若渴,高技术人才依然紧缺,只要你技术过硬,拿个年薪50w不是…

锁之间的故事

目录 常用锁策略 1.乐观锁 VS 悲观锁 2.轻量级锁 VS 重量级锁 3.自旋锁 VS 挂起等待锁 4.互斥锁 VS 读写锁 5.公平锁 VS 非公平锁 6.可重入锁 VS 可重入锁 CAS ABA问题 Synchronized原理 1. 锁升级/锁膨胀 2.锁消除 3.锁粗化 常用锁策略 1.乐观锁 VS 悲观锁 站在…