Active Directory 域服务(AD DS)是 Microsoft 提供的传统本地域服务,它是 Active Directory(AD)中的核心组件和服务器角色,Active Directory(AD)是 Windows 操作系统环境中的专用专有目录服务。
考虑一个具有许多连接网络资源的企业或复杂业务,为了确保有效管理这些资源,IT 管理员使用 AD 及其组件,包括 AD DS。AD 设置为集中配置、组合和管理 AD 域中网络资源的逻辑集合。
与网络管理员必须手动单独识别和管理策略和权限的工作组不同,AD 提供了一个中央数据库,方便管理员设置适当的访问控制和权限以使用各种网络资源。AD 还允许管理员定义安全策略,以控制谁有权访问网络中的内容。
对网络资源进行逻辑分组以形成 AD 域由管理员完成。所有这些域对象可以共享同一个中央域控制器(DC)。具有安装了 AD DS 并充当中央身份验证和授权节点的 DC 的 Windows 环境称为域控制环境。
AD 遵循客户端-服务器体系结构,其中 DC 是为域中其他连接的网络资源提供服务的中央服务器,DC 具有完整的域权限,并控制对其域中包含的所有网络资源的身份验证和修改。
现在,让我们看一下 AD 环境的两个最基本的过程:
认证: 身份验证是 AD 的核心功能之一,通过它检查登录到 AD 域的任何用户的身份,并允许或拒绝访问。以非常明确的术语检查身份的过程构成了身份验证过程的基础。可以通过以下三种方式之一对身份进行身份验证:
- 如电子邮件地址或用户名和密码组合
- 如软令牌或智能卡
- 如指纹或其他生物识别技术
授权:授权是 AD 的另一个核心功能,它依次遵循身份验证过程,通过授权向用户授予使用适当网络资源和其他相关数据的访问权限和权限,此过程通过生成安全令牌来进行,并根据每个用户唯一的一组预定义规则进行检查。
身份验证和授权构成了身份和访问管理的基础。
AD属性的定义
为了进一步加强对AD的理解,以下是一些最重要的AD属性的定义:
- 对象:AD 以对象的形式存储数据。AD 环境的每个元素都是一个 AD 对象。
- 用户对象或用户: 需要身份验证才能加入 AD 域的对象称为用户。用户需要经过身份验证,需要获得权限和特权,并且通常在 AD 域中分组到称为组的其他 AD 对象中。
- 计算机对象或计算机:表示域的工作站或成员服务器的 AD 对象称为计算机。
- 容器对象:AD 中可以包含或保存其他对象的对象称为容器对象。AD 中既有默认容器对象,也有创建的容器对象。
- 叶子对象:叶对象是 AD 中不能包含或包含辅助对象(例如用户)的对象。
- 域: 域是相关对象(如用户、计算机或组)或共享资源(如打印机、文件或文件夹)的逻辑分组,所有对象都由一个或多个 DC 控制或提供服务。特定域中的所有对象共享同一个 AD 数据库。域通常由 DNS 提供的名称标识,例如 http://xxx.com。
- 域控制器 (DC):DC 是安装了 AD DS 的服务器。将服务器提升为 DC 使其能够集中管理权限、控制用户身份的身份验证以及授权访问各种资源,包括文件存储、应用程序和其他网络。
- 树:出于管理目的,AD 域被分组到树中。管理员的目标是将域的数量保持在最低限度,并将它们全部逻辑分组到树中。域和子域在逻辑上和层次结构上组合在一起,类似于树结构。
- 林:AD 环境的安全边界由林定义,林是多个树的集合。除非在两个林之间建立可传递信任机构,否则它们不能交互。整个林代表一个组织,在定义 AD 体系结构方面是最高级别。在兼并、收购等业务场景中,可以将多个林组合在一起,以便网络管理员完全控制所有涉及的域、DC 和 AD 数据。每个林都由创建的第一个域(即根域名)标识。
- 网站:AD 站点是子网的物理分组,涵盖每个地理位置的一系列 IP 地址,站点可以将一个或多个 DC 与其他网络资源组合在一起,一个站点通常覆盖一个 LAN。其他网络(以及其他站点)上的服务器通过站点链接进行交互。定义站点是为了帮助复制过程以实现有效的 AD 功能。
- 复制:AD 是基于复制设计的,对由特定 DC 控制的任何 AD 对象进行更改的过程将反映或复制到林的所有其他 DC 中。复制以两种方式进行:站点内和站点间。
- 组策略:组策略管理用户和计算机的配置和安全策略。
- 组策略对象 (GPO):GPO 是应用于域中的用户和计算机的设置组,这些可能包括登录到某些计算机的权限或访问某些文件和共享资源(如打印机、扫描仪和其他共享存储设备)的权限。
设置 AD 的目的
现在已经涵盖了 AD 环境的基本概念,让我们深入探讨在企业中设置 AD 的目的:
- AD 有助于组织所有用户、计算机和其他网络资源及其关联的访问和权限,这有助于资源分配、管理和维护。
- AD 对于维护组织的安全态势至关重要,对网络资源的访问通过安全策略进行管理。如前所述,身份验证和授权是 AD 环境的核心元素。
- 通过对用户及其访问内容进行清晰、透明和集中的管理,降低了运营成本,并更加简化了对网络资源的控制。
- AD 支持遵守 GDPR、GLBA 和 HIPAA 等合规性法规。合规性审核涉及安全策略、法规和标准的管理,其中包括如何处理有关用户和组的敏感信息。AD确保在维护和报告此类数据时具有最大的粒度,它提供了合规审计员在组织范围的审计期间使用的宝贵信息。
- AD 允许采用自定义方法来管理用户及其相关权限,这涉及根据企业需求和业务目标对所有AD对象进行分组及其后续管理。
- AD 为单个接入点或单点登录提供了基础,用于访问位于 AD 控制环境中任何服务器上的网络资源。
密码策略以及各种其他用户和计算机配置设置允许对软件交付进行有效管理,AD 中的 Windows 设置和管理模板可用于更好地管理数据和服务。 - 由于 AD,可以进行自动更新和集中式设备管理,只需最少的人工干预。 网络管理员使用组策略来管理这些配置。
ADManager Plus AD域(活动目录)管理工具,简化IT管理员和技术员的工作,轻松管理AD对象并通过图形化报表分析数据,简化身份管理,确保安全性,并提高 AD、Microsoft 365 和 Google Workspace 环境中的合规性。