vb6集成ad登录共享文件_Windows活动目录（关于AD、域控）

上周听了tt大神作分享，获益良多。之前一直不知道Windows的域是怎么回事，有点被点拨开悟了一些。趁现在还有记忆，把当时的记录回忆一下。

活动目录，即Active Directory，是Windows服务器环境的一个核心服务，对Exchange呀邮箱呀机器登录等服务提供认证和管理支持，参考官方说明https://support.microsoft.com/zh-cn/help/196464。

一、AD基础概念

AD在服务器内部，是一套系统，在每台机器都有对应服务且共享和交换信息。这里首先了解以下基本概念：

在AD中，几个关键实体为：computer、user、ou（organize unit，组织单元），它们之间的联系是这样的——

ou -- computer
   |- user
   |- (printer等等各种设备)

一个ou内的机器是信任的（trust），访问关系控制是基于ou实体设计的。

二、角色

其次，了解FSMO（Flexible Single Master Operation，灵活单主机操作），是被设置为担任提供特定角色信息的网域控制站，有5类角色

1. Schema master：森林级别，架构主机
2. Domain naming master：森林级别，域命名主机
3. PDB(BDC)：PDC模拟器，域级别，修改密码时先变更到PDC再同步生效
4. RID：域级别，提供分配Object唯一标识符
5. Infrastructure master：域级别，维护AD工作

三、DNS

域名在AD中是重要组成，活动目录的域，就是指对应的域名。域和子域构建成森林，表示如下图

un.com # 假设有个跨国公司
|- usa.un.com # 美国总部
|- chn.un.com # 中国分公司
|- sgp.un.com # 新加坡分公司

这里的域通过树形结构组织成森林，在根域放域控制器（Domian Controller，至少主备），负责管理组策略（GPMC）。常听说域控被黑了，其实就是指它。获得域控后权限就非常大，畅游内网了。域控还分RODC（只读）和RWDC（读写），国内对前者的介绍比较少，这里涉猎还不深，不展开了。

上面介绍的5个重要概念为：FSMO、trust、DNS、DC、GPMC

四、安全性

域中的一台普通机器被黑了，黑客可能会在上面开启WCEMimikatz等来抓哈希，用来等他人登录获取登录凭证。万一管理员不规范操作使用域管理员身份登录了，黑客嗅探到则可以通过哈希传递（Pass The Hash）获取域控权限了。

国外有个解决方案，是微软的ATA（Advanced Threat Analytics），可以参考What is Microsoft Advanced Threat Analytics (ATA)?，里面的产品形态，对于UEBA建设是个不错的参考，待进一步分析了。

今天收到鹏的明信片，祝那边一切安好。