网络安全服务基础Windows--第12节-域与活动目录

工作组

在Windows环境中配置⼯作组相对简单，适合⼩型⽹络环境，如家庭或⼩型办公室⽹络。⼯作组通过简单的⽹络共享和本地管理来实现资源共享，⽽不依赖于中央控制的服务器。

● 定义：⼯作组是⼀种对等⽹络模型，在这种模型中，每台计算机独⽴管理⾃⼰的⽤户和资源。在⼯作组中，没有中央控制的计算机。

● ⽹络资源：⼯作组中的⽹络资源较少，每台计算机管理⾃⼰的资源如打印机、⽂件等。

● 管理⽅式：在⼯作组中，资源和⽤户的管理是分散的。每台计算机的管理员负责维护其系统的安全和配置。

● 规模适⽤性：⼯作组最适合⼩型⽹络，如家庭⽹络或⼩型办公室，通常适⽤于少于⼗台计算机的环境。

域

在Windows⽹络中，域是⼀种形式的计算机⽹络，其中所有的计算机成员都被集中管理。域提供了⼀种⽅法来管理⼀个⼤型⽹络的权限和资源，如⽤户账户、计算机、打印机等设备。域中的计算机可以共享资源，例如⽂件系统和打印机，⽤户只需在域中进⾏⼀次登录（单点登录），就可以访问其有权限的所有资源。

域是通过⼀个或多个服务器配置成为域控制器实现的，这些域控制器负责维护域的安全策略和⽤户帐户信息。⼀个企业可以拥有⼀个或多个域，这些域可以设置信任关系，共享数据和⽤户访问权限。

 域（Domain）

域是⼀个或多个⽹络的集合，这些⽹络在⼀个中央数据库中共享相同的⽤户帐户、安全策略和安全关系。域提供了⼀种⽅法来集中管理⽤户、组、计算机和其他对象的身份验证和授权。所有这些管理⼯作都是在⼀个中央位置进⾏，使得管理员可以轻松地为新⽤户设置帐户，更新策略或部署新程序和服务到整个⽹络。

 域控制器（Domain Controller, DC）

域控制器是管理域资源的服务器。它存储了所有域⽤户帐户信息和安全策略，并负责处理域中的身份验证请求，如⽤户登录。当⼀个⽤户试图访问⽹络资源时，他们的登录请求被发送到域控制器，域控制器验证⽤户的凭据并决定是否授予访问权限。

功能和⻆⾊  

域控制器主要负责以下功能：

● 身份验证服务：验证⽤户或计算机的凭证，确保它们是谁说的那样。

● ⽬录服务：提供⼀个中央位置，⽤于存储⽹络对象如⽤户、组、计算机的信息，通常这是通过Active Directory实现的。

● 策略管理：集中管理和实施安全策略和⽤户配置，如密码策略、权限设置等。

 如何设置和维护

在设置域时，通常⾸先需要安装并配置Active Directory Domain Services（AD DS），然后将⾄少⼀台服务器提升为域控制器。这个过程包括：

1. 安装Active Directory：在Windows Server上，通过服务器管理器安装AD DS⻆⾊。

2. 提升为域控制器：运⾏Active Directory域服务安装向导，创建新域或加⼊现有域，并将服务器设置为域控制器。

管理和监控

● 管理域环境涉及监控域控制器的健康状况，管理⽤户帐户和安全策略，以及确保数据备份和灾难恢复计划的有效性。

● 使⽤⼯具如Microsoft Management Console (MMC) 和 PowerShell，可以有效地管理域和域控制器。

 域结构

 逻辑结构

单域（Single Domain）

● 定义：单域环境只包含⼀个域。这是最简单的Active Directory结构，适⽤于不需要复杂管理或特别隔离的⼩型组织。

● 特点：管理简单，所有资源如⽤户、计算机、策略都在同⼀个域中管理。没有跨域信任问题，⽹络管理和维护相对容易。

域树（Domain Tree）

● 定义：域树是由⼀个或多个相关域组成的集合，这些域共享⼀个连续的命名空间。树中的域通过双向传递信任关系连接。

● 特点：所有域在结构上是平级的或有层次的，具有共同的安全策略和关系。域树可以帮助组织更好地管理扩展和按逻辑分组资源。

域林（Domain Forest）

● 定义：域林是⼀个或多个域树的集合，其中每个树的命名空间都是独⽴的，但它们共享⼀个全局⽬录架构。

● 特点：林是AD的最⾼安全边界，它可以进⾏林间信任、架构更新和策略制定。林允许⼤型组织在保持某种独⽴的同时，实现跨多个树的资源共享。

组织单元（Organizational Unit, OU）

● 定义：组织单元是AD中的⼀个容器对象，⽤于对⽤户、组、设备等资源进⾏逻辑分组。

● 特点：OU是⽇常管理的基本单元，允许管理员对集合内的资源应⽤特定的策略和权限。OU的设计通常反映了组织的⾏政结构或业务需求，如按部⻔、地理位置等进⾏组织。

如何理解这些结构的关系和应⽤ 

● 层级性： 域是AD结构的基本组成部分，⽐OU更⾼级。⼀个域可以包含多个OU 。单域属于单⼀层 7 级，域树和域林代表了更复杂的层级关系，其中包含了多个域。

● 管理灵活性：随着从单域到林的过渡，管理灵活性和复杂性增加，允许⼤型组织有效地控制不同地区和部⻔的策略。

● 安全和策略应⽤：通过OU，管理员可以更细致地控制策略和权限，例如只对特定部⻔的⽤户应⽤某个特定的安全策略。

 物理结构

物理结构主要与数据的物理存储和AD服务的分布有关，涉及到如何在⽹络中布置域控制器、站点和复制拓扑。这些结构保证AD可以在⽹络中⾼效、安全地运⾏，特别是在⼴域⽹络环境中。

1. 站点（Sites）

● 定义：站点是⼀组互连的局域⽹络（LAN），它们之间的⽹络连接速度很快。AD中的站点⽤来组织⽹络中的物理结构。

● 作⽤：站点帮助优化⽹络流量和复制流量。AD利⽤站点信息来配置和优化在慢速或昂贵的⼴域⽹络链接上的复制。站点还⽤于帮助客户端找到最近的域控制器，从⽽减少登录和认证的延迟。

站点是AD中的⼀个物理概念，⽤于表示⼀个或多个⾼速⽹络连接的局部区域。在AD中，站点不仅帮助管理员组织⽹络的物理结构，还对以下⽅⾯有重要影响：

● 优化复制：站点帮助AD优化数据复制过程。通过配置站点和站点之间的连接，AD可以确定数据应如何在⽹络中⾼效复制，尤其是在跨⼴域⽹络连接时。

● 客户端请求处理：站点还⽤于帮助客户端找到最近的域控制器，从⽽提⾼登录和请求处理的速度。

● 流量管理：通过站点配置，可以控制⽹络流量，防⽌跨⼴域⽹络的不必要流量，优化⽹络带宽使⽤。

2. 域控制器（Domain Controllers）

域控制器是管理AD域资源的服务器，它负责存储域中所有对象的信息和管理安全策略。域控制器在AD的物理结构中扮演着核⼼⻆⾊：

● 身份验证和授权：域控制器处理所有的⽤户登录请求，执⾏身份验证并授权⽤户访问⽹络资源。

● 数据存储和管理：所有的⽤户数据、组策略和安全相关信息都存储在域控制器上。在有多个域控制器的环境中，这些数据会在它们之间复制，以确保数据的⼀致性和可⽤性。

● 服务位置：域控制器通常在多个地理位置部署，与站点的配置相结合，以确保⽤户和应⽤程序可以快速访问AD服务。

3.复制拓扑（Replication Topology）

● 定义：复制拓扑定义了域控制器如何相互复制信息的路径和⽅式。

● 组成：AD⾃动创建和维护复制拓扑，使⽤知识⼀致性检查器（KCC）来动态调整复制路径，确保所有的域控制器都能接收到更新的数据。

4.全局编录（Global Catalog）

● 定义：全局编录（GC）是⼀个域控制器，它包含了森林中所有域的部分可读属性的副本。这些属性被优化⽤于⽀持森林范围内的查询操作。

● 作用：全局编录服务器处理跨域的查询请求，如⽤户登录时验证⽤户身份和构建⽤户的访问权限列表。它也是必需的，以便⽤户能够登录到⽹络。

 物理部署的最佳实践

● 多域控制器：在每个主要的地理位置部署多个域控制器，以提供冗余和容错。

● 合理站点设计：合理规划站点和站点链接，以确保有效的复制和最⼩的⽹络流量。

● 全局编录的策略部署：在多个地理位置部署全局编录服务器，确保快速响应时间和业务连续性。

 主要区别

1、集中管理：域中可以设置集中式的管理员和安全策略，对域内的计算机和⽤户进⾏统⼀的

配置和管理。⽽在⼯作组中，每台计算机都需要单独进⾏配置和管理，这使得管理⼯作变得更加繁琐和复杂。

2、资源共享：域中的资源可以被整个域内的计算机共享，这使得资源更加⽅便地被访问和使

⽤。⽽在⼯作组中，资源通常只能被⼯作组内的计算机共享，跨⼯作组的资源共享⽐较困难。

3、认证和授权：域内可以集中进⾏⽤户认证和授权，使得⽤户只需要在域内的⼀台计算机上

进⾏认证，就可以在域内的其他计算机上登录和使⽤资源。⽽在⼯作组中，每台计算机都需要单独进⾏⽤户认证，这使得认证过程更加繁琐和复杂。

4、安全性：域可以设置更加严格的安全策略，对⽤户和计算机的⾏为进⾏更加严格的控制和

监管。⽽在⼯作组中，安全性相对较低，因为每台计算机都需要单独进⾏安全配置和管理。

 活动目录

活动⽬录（Active Directory，AD）是Microsoft开发的⼀种⽬录服务，⽤于Windows域⽹络。活动⽬录允许管理员通过⼀个⽤户友好的界⾯集中管理域中的资源、⽤户帐户、安全策略等。它使⽤轻量⽬录访问协议（LDAP）来访问和维护信息。

主要功能包括： 

● 身份管理：管理⽤户账户和计算机账户，以及它们的属性。

● 策略管理：集中管理⽤户和计算机的策略。

● 认证和授权：提供Kerberos协议⽀持的安全和单点登录功能。

● ⽬录服务：提供⼀个分布式数据库，存储和管理关于⽹络资源的信息以及应⽤程序数据。

 活动目录的组织结构主要包括以下几个层级：

● 域：基本的组织单元，存储所有⽤户、组和设备的信息。

● 树：包含⼀个或多个具有共同命名策略的域。

● 森林：由⼀个或多个域树组成，是活动⽬录的最⾼级逻辑容器。

● 组织单位（Organizational Unit, OU）：OU 是域中的容器，⽤于组织和管理对象。OU 可以嵌套，⽀持更细粒度的管理。

● 全局编录（Global Catalog, GC）：GC 是包含所有域中所有对象的⼦集的数据库，⽤于加速查询和跨域登录。

 设置活动目录

活动⽬录通常在安装Windows Server时作为⻆⾊添加，并在⾸次安装时通过运⾏AD DS（Active Directory Domain Services）安装向导进⾏配置。安装AD DS并提升服务器为域控制器后，就可以创建域，并开始添加⽤户和配置策略。

 使⽤场景

活动⽬录⾮常适⽤于需要严格控制⽤户和设备访问权限的⼤型企业环境。它⽀持⾃动化、提供了强⼤的安全性和管理多个域和森林的能⼒。通过使⽤组策略（Group Policy），管理员可以在整个组织中实施安全设置、软件安装等操作。

Active Directory名称空间  

在AD中，名称空间通常指的是在整个林或域中使⽤的命名约定。AD使⽤DNS格式来命名资源和服务位置，这允许AD使⽤DNS结构来⽀持⽬录服务的位置和复制服务。例如，在AD中，域控制器的名称会映射到其在DNS中的记录，以便⽹络中的其他服务和客户端可以找到它。

我们在服务器上通过查找⼀个对象可以查到的所有关联信息总和，如⼀个⽤户，如果我们在服务器已给这个⽤户定义了讲如：⽤户名、⽤户密码、⼯作单位、联系电话、家庭住址等，那上⾯所说的总和⼴义上理解就是“⽤户”这个名字的名字空间，因为我们只输⼊⼀个⽤户名即可找到上⾯我所列的⼀切信息。

 对象和属性是构成数据模型的基本元素。这些概念有助于组织和管理⽹络中的各种资源。

对象（Object）

● 定义：在AD中，对象是⼀个独⽴实体，代表了⽹络环境中的⼀个资源或实体。每个对象都属于⼀个特定的类别，如⽤户、计算机、打印机、组等。

● 作⽤：对象存储了关于其代表的实体的信息，并且可以在⽬录中被查找和管理。例如，⽤户对象包含了关于⼀个⽤户的所有信息，如姓名、密码、权限设置等。

● 结构：对象由多个属性组成，这些属性定义了对象的特性和配置。在AD中，对象的属性可以是静态的（如姓名或电⼦邮件地址），也可以是动态的（如登录次数或最后登录时间）。

属性（Attribute）

● 定义：属性是附加在对象上的数据项，⽤于描述或配置对象。每个属性都有⼀个特定的数据类型和值范围。

● 作⽤：属性为对象提供了具体的信息，使得对象的管理和使⽤变得具体和有针对性。例如，⽤户对象的属性可以包括⽤户名、电⼦邮件地址、部⻔等。

● 定制：在AD中，管理员可以根据需要定制对象的属性，例如添加额外的属性来存储组织特定的信息或调整现有属性以符合特定的安全或业务需求。

应⽤实例

● ⽤户管理：在AD中，⽤户对象可能包括⽤户名、密码、电话号码、办公地点等属性。这些属性帮助管理员管理⽤户身份和控制对资源的访问权限。

● 资源访问：计算机和打印机等设备对象也通过属性定义，如设备位置、⽹络配置等，这些属性帮助⽹络中的⽤户找到并正确地使⽤这些资源。

● 安全与策略应⽤：某些属性，如安全标识符（SID）或访问控制列表（ACLs），⽤于定义安全策略和控制访问权限。

管理⼯具

AD提供了多种⼯具和服务，如Active Directory⽤户和计算机（ADUC）、Active Directory管理中⼼等，这些⼯具允许管理员创建、修改和删除对象和属性。这些管理活动是通过图形⽤户界⾯（GUI）或命令⾏⼯具（如PowerShell）完成的。