集权设施管理-AD域安全策略(二)

活动目录(AD)凭借其独特管理优势,从众多企业管理服务中脱颖而出,成为内网管理中的佼佼者。采用活动目录来管理的内网,称为AD域。

了解AD域,有助于企业员工更好地与其它部门协作,同时提高安全意识。中安网星由此推出AD域安全科普系列,为大家讲解AD域的安全管理。

上一篇文章,我们了解了AD域的架构和原理。本篇文章我们将引入AD域服务的重头戏——AD域的功能。

众所周知,AD域在企业内网中扮演了重要的角色,集身份验证和服务管理于一身。它是如何进行身份验证和资源管理的,在企业内网管理中有什么明显优势呢?

本篇文章从AD域服务对资源对象的管理方式开始,逐步讲述它的身份验证能力和策略配置特性。

全局资源管理

要将内网中的资源部署到AD域内,需要在域控上注册。域计算机和打印机、共享文件夹等一起组成域环境,企业员工要在这个域环境内办公,需要注册成为域用户。

所有资源注册成功后,由AD域来统一管理。下面,我们通过AD域管理域计算机和域用户的一些特点,来探查其一般模式。

本地计算机在域控上注册后就成为域计算机,拥有单独的域账户,该账户记录计算机的位置、操作系统类型和计算机名等信息。

这个计算机名并非原名,而是在加域后重新生成的。它采用DNS格式,在允许分配单独名称的基础上,还能清晰显示组织单位中的计算机结构。比如在zawx.com域下注册的计算机,名称可能为pc.zawx.com。

企业员工在域控上注册成为域用户后,也会生成单独的域账户,账户上保存了员工的电话、邮箱、身份证号等基本信息,还有权限、账号密码等信息。

不同用户拥有不同权限:

普通域用户

普通域用户接受域管理员的指派,对资源的使用程度有限制。一般是根据员工岗位的实际情况赋予权限,比如允许使用打印机,拒绝修改共享文件夹等。

域管理员:

域管理员管理域内资源的使用关系,委派域用户间的适应关系,比如允许A用户更改其它用户的密码。

企业管理员:

企业管理员账户存在于企业的每一个域中,拥有对每一个域的登录权限。它是企业中权限级别最高的账户,能够指派或取消域管理员权限。

由上,我们可以看出AD域对资源的一般管理模式是:为注册资源创建一个单独账户,在这个账户上记录资源的一般信息(如位置、电话)和特殊的域内信息(如权限、域内名称)。

在数据库中,AD域将这些资源信息以树形目录的方式组织,在叶子节点存储数据。

这种形式下,管理员可以直接使用标识名(DN)和相对标识名(RDN)两种命名路径来访问资源,相比于挨个对比,极大地提升了资源搜索效率。

 

统一身份验证  

域用户在内网中采用单点登录方式,即登录过程由域控统一验证,验证成功就可访问域内资源。

登录过程中,域计算机将用户信息发送给域控,域控会进行计算机和用户两个账号的验证。

域控对计算机进行验证的方式是通过对比本地和域控上保存的计算机账户密码。本地密码每30天更新一次,新旧密码同时保存。验证过程中,先发送新密码,再发送旧密码。两密码中的任何一个与域控上保存的密码相同,就能通过验证。

而对域用户的验证一般是用的Kerberos认证。Kerberos认证服务器KDC安装在域控上,由AS和TGS组成。用户信息先发送给AS,由AS在AD数据库中查询是否有该用户记录,如果存在且信息吻合,就返回一个TGT。之后用户使用TGT向TGS请求Ticket,然后就能使用该Ticket访问特定服务了。

正是因为登录验证过程是在域控上统一进行,域用户在任一域计算机上都能登录,并获得同样的该用户权限。这种方式让用户登录更具灵活性,也增强了抵抗主机故障的能力。

集中策略配置

AD域最大的管理优势是,只需一次操作,就能实现大量资源属性的配置。

要达到这种效果,有分组和组策略两种方式。

分组情况下,需要域管理员手动将符合条件的域用户加到一个组中,然后对该组对象进行配置,最终作用到组内每一个用户身上,一般有通信组和安全组两种类型。

在通信组中,对该通信组发送一次消息,就会分发给组内所有成员,比如邮件组。

安全组主要是用来设置权限,通常将企业内同一岗位的员工放到一个组中配置权限;对新加入的用户,可以将它添加到相应的组,直接继承该组权限。

组策略对象由容器和模板两部分组成。如果将容器用食物来比喻,模板就像调味料,决定食物是什么味道的。容器一般由组织单位、域、站点等来充当,而模板可以是首选项设置、软件安装等。

创建域时,通常会形成两个默认组策略对象,一个是默认域策略,一个是默认域控制器策略。这两个组策略配置了域的基本属性,一般不能被修改。

拿域组策略来说,组策略会对域中的每个计算机和用户产生影响。组策略的应用效果保存在注册表中,计算机通过读取注册表来表现组策略内容。

如果计算机所属的域和组织单位等都分别配置了组策略,它将根据优先级从小到大地应用。通常的优先级顺序是:本地组策略——站点组策略——域组策略——组织单位组策略,如果有冲突,则以最高优先级为准。

集中策略配置为管理员省去了不少麻烦,帮助企业提高了整体工作效率。

# 结语 #

本文我们探讨了AD域的资源管理、身份验证和策略配置等功能属性,此基础上,更多特性等着我们在企业应用实践中一一探索。

同时,AD域在发展得越来越适应企业管理需求时,也面临着更多针对它的独特攻击手法。在大量应用AD域的基础上,我们也应当注重其安全防护建设。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/29473.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【游戏编程扯淡精粹】工作第三年总结

工作第三年总结 文章目录 工作第三年总结#1 做了什么自研路线Lua 脚本系统ToolX #2 职业发展如何做事技术中台化内卷的职业市场个人成长 #3 心态建设Owner vs 打工人 今年仍然是个人成长视角更多一些,额外新学到的重点是,借助团队力量 先介绍两个词&…

python生成日报

目录 一&#xff1a;日报生成工具二&#xff1a;日报工具使用方式三&#xff1a;最终日报生成展示 一&#xff1a;日报生成工具 #!/usr/bin/python # coding:utf8class GetHtml(object):def __init__(self):self._html_head """<html><body style&qu…

线性神经网络

线性神经网络 我们应该从线性神经网络开始&#xff0c;去逐步了解深度神经网络&#xff08;深度学习&#xff09;的各种复杂结构和底层原理。 1. 线性回归 用一个线性的模型来拟合数据与它们的标签之间的映射&#xff0c;用于回归问题。 1.1 构造线性模型&#xff1a; y ω…

Hibernate框架【一】——HIbernate框架介绍

系列文章目录 Hibernate框架【三】——基本映射——一对一映射 Hibernate框架【四】——基本映射——多对一和一对多映射 Hibernate框架【五】——基本映射——多对多映射 Hibernate框架介绍 系列文章目录前言一、什么是HIbernate框架Hibernate架构图Hibernate提供的核心功能和…

MIT 6.S081 (BOOK-RISCV-REV1)教材第三章内容

MIT 6.S081 教材第三章内容 引言页表分页硬件内核地址空间物理内存分配代码&#xff08;物理内存分配&#xff09;kinit函数kfree函数kalloc函数 代码&#xff1a;创建一个地址空间kvminit 函数kvmmap函数walk函数kvminithart函数procinit函数 进程地址空间代码&#xff1a;sbr…

Java企业级开发学习笔记(4.4)Spring Boot加载自定义配置文件

一、使用PropertySource加载自定义配置文件 1.1 创建Spring Boot项目 创建Spring Boot项目 单击【创建】按钮 1.2 创建自定义配置文件 在resources里创建myconfig.properties文件 设置文件编码 设置学生的四个属性值 1.3 创建自定义配置类 在cn.kox.boot包里创建confi…

npm发布自己的包

按照上面流程操作

App 启动速度优化

前言​​​​​​​ APP打开的一瞬间速度快慢&#xff1b;就好比人的第一印象&#xff0c;快速的打开一个应用往往给人很舒服的体验。app经常性卡顿启动速度很慢&#xff0c;这无疑是对用户的流失。 启动方式介绍 APP启动的方式分为3种&#xff1a;冷启动、热启动、温启动。…

【服务器数据恢复】RAID5重建导致数据丢失的数据恢复案例

服务器数据恢复环境&#xff1a; HP某型号服务器&#xff0c;5块硬盘组建了一组raid5磁盘阵列。 服务器故障&分析&#xff1a; 服务器在工作过程中&#xff0c;raid5磁盘阵列中的一块磁盘掉线&#xff0c;由于raid5的容错特点&#xff0c;raid阵列未受影响&#xff0c;工作…

服务网格领域的百花齐放,是否存在一个更优解?

作者 lingsamuel&#xff0c;API7.ai 云原生技术专家&#xff0c;Apache APISIX Committer。作者 林志煌&#xff0c;API7.ai 技术工程师&#xff0c;Apache APISIX contributor。 服务网格是一种技术架构&#xff0c;它用于管理微服务系统中各个服务之间的通信&#xff0c;旨在…

Spring MVC入门笔记

Spring MVC基础知识 1. 创建web应用 新建Maven项目 点击File -> Project Structure -> Facets -> 号 -> Web 修改文件描述符路径为硬盘:\项目名\src\main\存储页面的文件夹&#xff08;如&#xff1a;webapp&#xff09;\WEB-INF\web.xml 修改Web页面路径为硬盘…

Spring Security --- Thymeleaf 中 Spring Security 的使用

目录 初步 获取属性 权限判断 初步 Spring Security可以在一些视图技术中进行控制显示效果例如&#xff1a;JSP或Thymeleaf在非前后端分离且使用Spring Boot的项目中多使用Thymeleaf作为视图展示技术Thymeleaf对Spring Security的支持都放在thymeleaf-extras-springsecurity…

数据清洗、数据处理入门!R语言我来了,数据不再零散!

一、引言 数据清洗和预处理是数据科学中必不可少的一部分&#xff0c;它们能够帮助我们准确地分析和预测未来趋势。如果你曾经尝试过进行分析或建模&#xff0c;你会发现数据往往不像我们所想象的那样干净、整洁。需要对数据进行仔细的检查、清理和处理&#xff0c;才能真正把…

VR全景营销颠覆传统营销模式,让商企博“出圈”

在激烈的市场竞争中&#xff0c;营销成为了商企博“出圈”的重要课题&#xff0c;随着5G的到来&#xff0c;VR全景迈入了快速发展时期&#xff0c;随着VR全景的普及应用&#xff0c;商业领域也逐渐引入了VR全景营销。 时下&#xff0c;商企的营销是越发困难&#xff0c;传统的营…

git安装以及git小乌龟使用

一、下载git 打开git官网地址&#xff1a;https://git-scm.com/进行下载 下载完安装&#xff0c;一直next就好&#xff0c;如果愿意就可以改下安装路径&#xff0c;改在d盘。 具体可以参考&#xff1a;git安装教程 二、安装完下载小乌龟以及语言包 下载地址&#xff1a;小乌龟…

redis到底是怎么样进行渐进式Rehash的

Redis 是一个开源&#xff08;BSD许可&#xff09;的&#xff0c;内存中的数据结构存储系统&#xff0c;它可以用作数据库、缓存和消息中间件。那么redis的底层是如何来存储数据的呢&#xff1f; 一、redis如何在存储大量的key时候&#xff0c;查询速度还能接近O(1)呢&#xf…

DAY 77 [ Ceph ] 基本概念、原理及架构

前言 在实现容器化的初期&#xff0c;计划使用 Ceph 作为容器的存储。都说存储是虚拟化之母&#xff0c;相对容器来说&#xff0c;存储也起到了至关重要的作用。 选用 Ceph 作为容器化存储理由如下&#xff1a; 方便后期横向扩展&#xff1b;Ceph能够同时支持快存储、对象存…

SF授权系统源码 V3.7全开源无加密版本

&#x1f389; 有需要的朋友记得关赞评&#xff0c;文章底部来交流&#xff01;&#xff01;&#xff01; &#x1f389; ✨ 源码介绍 2023全新SF授权系统源码 V3.7全开源无加密版本。网站搭建很简单&#xff0c;大致看来一下应该域名解析后上传源码解压&#xff0c;访问域名/i…

全志V3S嵌入式驱动开发(u盘写读)

【 声明&#xff1a;版权所有&#xff0c;欢迎转载&#xff0c;请勿用于商业用途。 联系信箱&#xff1a;feixiaoxing 163.com】 对于现在的soc来说&#xff0c;基本上usb是标配的。它一般需要支持usb host、device和otg三种模式。简单解释下&#xff0c;host模式&#xff0c;就…

STM32F407移植1588v2(ptpd)

硬件&#xff1a; STM32F407ZGT6开发板 软件&#xff1a; VSCode arm-none-eabi-gcc openOCD st-link 在github搜到一个在NUCLEO-F429ZI开发板上移植ptpd的example&#xff0c;因为和F407差别很小&#xff0c;所以就打算用这个demo移植到手头的开发板上。因为目前只需要…