介绍
Active Directory(AD),是微软的目录服务,提供强大的功能和管理体系,用于组织管理和安全存储网络上的资源和用户、计算机、服务对象等信息。
AD 功能:
-
身份验证和访问控制:
- 提供集中式的身份验证服务,允许用户通过单一登录(Single Sign-On)访问多个资源。
- 实施灵活的访问控制,管理用户对网络资源的权限。
-
目录服务:
- 存储组织中的对象信息,如用户、计算机、组等,以层次结构的形式进行管理和维护。
- 使用LDAP(轻量级目录访问协议)提供对目录数据的标准访问。
-
组织单元(OU):
- 允许管理员将目录中的对象组织成层次结构,以简化管理和应用策略。
- 提供灵活的组织单元(OU)结构,可根据组织的需要进行定制。
-
组策略(Group Policy):
- 允许管理员通过组策略集中管理用户和计算机的配置。
- 应用安全设置、脚本、软件部署等,确保一致性和安全性。
-
安全标识和身份管理:
- 为域中的每个对象分配唯一的安全标识符(SID)。
- 提供对用户、计算机和组等对象的集中身份管理。
-
复制服务:
- 在多个域控制器之间进行定期的复制,以确保目录数据库的一致性。
- 提供高可用性和故障恢复机制。
-
认证服务:
- 支持多种身份验证机制,包括Kerberos认证。
- 提供安全的用户身份验证,防止未经授权的访问。
-
DNS集成:
- 与域名系统(DNS)集成,提供对域中对象的域名解析服务。
- 使用DNS名称标识域中的对象。
-
证书服务(AD CS):
- 提供数字证书的管理和发布,用于加密通信和身份验证。
- 集成到域中以支持公钥基础设施(PKI)。
-
目录集成服务:
- 允许管理员集成AD和其他目录服务,实现跨平台的身份管理。
-
目录联合身份认证服务(AD FS):
- 提供身份验证和授权服务,支持跨域身份验证。
- 用于实现单一登录(Single Sign-On)和访问控制。
-
目录审计:
- 记录对目录中对象的更改,以实现审计和合规性需求。
Active Directory 提供安全、高效、集中化的身份管理和资源访问控制解决方案。其灵活性和可扩展性使其成为基础设施中不可或缺的一部分。
组件
Active Directory(AD),由多个组件组成。这些组件共同工作,提供身份验证、授权、资源管理等服务。
组件介绍:
-
Domain Services (域服务):
-
Domain Controller (域控制器): AD中最重要的组件之一。域控制器存储对象(如用户、计算机、打印机等)信息,并通过LDAP(Lightweight Directory Access Protocol)提供对这些信息的访问。
-
Active Directory Database (AD数据库): 存储所有AD对象的数据库。包括用户帐户、组、计算机等。
-
LDAP (轻量级目录访问协议): 用于在AD中检索和修改目录信息的协议。
-
Kerberos 认证: 提供强大的身份验证机制,用于验证用户和计算机。
-
-
Certificate Services (证书服务):
-
证书颁发机构 (CA): 签署和管理数字证书,用于加密通信和身份验证。CA创建、签署和分发证书,确保安全通信。
-
证书模板: 提供证书的内容、格式和用途的模板,例如用户证书、计算机证书、服务器证书等。
-
-
Directory Federation Services (目录联合身份认证服务):
-
Security Token Service (STS): 发布安全令牌,允许用户通过单一身份验证登录到多个服务。支持跨域身份验证和授权。
-
Claims-based Authentication (基于声明的身份验证): 使用声明向用户提供对资源的访问权限,区别于的用户名和密码。
-
-
Lightweight Directory Services (轻量级目录服务):
- AD LDS (Active Directory Lightweight Directory Services): 为应用程序提供轻量级目录服务,允许在单个服务器上存储目录数据,不必部署完整的域控制器。
-
Group Policy (组策略):
- Group Policy Objects (GPOs): 用于配置Windows客户端和服务器的安全性和行为。通过GPO管理员可以集中管理组织中计算机和用户的设置。
-
Active Directory Administrative Center (ADAC):
- 管理中心: 提供图形用户界面,管理员可以更轻松地管理和配置 AD。是用于执行各种管理任务的集中管理工具。
管理扩展
除了上面提到的主要功能组件外,还有一些其他与 Active Directory 相关的组件和服务,这些组件是为了增强 AD 的功能、扩展支持范围或提供附加的管理和安全性。
其他相关组件:
-
Windows PowerShell for Active Directory:
- PowerShell 模块: 提供了一套命令行工具,使管理员能够使用脚本自动执行各种 AD 管理任务。自动化和批量操作更加容易。
-
Read-Only Domain Controllers (RODC):
- 只读域控制器: 提供在边缘网络或不太安全的环境中部署域控制器选项。RODC 存储只读副本,不允许对域数据库进行写操作,以此减少潜在的安全风险。
-
Active Directory Rights Management Services (AD RMS):
- AD RMS 服务器: 用于创建和管理对文档和电子邮件等内容的权限。AD RMS 支持文件加密、访问控制和策略保护。
-
Active Directory Web Services (ADWS):
- Web 服务: 允许开发人员通过 Web 服务接口与 Active Directory 进行交互。提供标准的 Web 协议与 AD 进行通信的方式。
-
Active Directory Recycle Bin:
- 回收站: 允许管理员还原意外删除的 AD 对象。启用回收站后,可以方便的还原被删除的用户、组、计算机等对象。
-
Active Directory Trusts:
- 信任关系: 允许不同的 AD 域之间建立信任关系,使用户和资源可以跨域进行访问。信任关系有单向和双向两种类型。
-
Windows Server Backup with AD Integration:
- 备份集成: 允许使用 Windows Server Backup 对整个域控制器进行备份和还原,包括 AD 数据库和系统状态。
-
Active Directory Site and Services:
- 站点和服务: 用于配置和管理 AD 网络拓扑结构,提供多个站点之间复制和通信效率。
-
Active Directory Monitoring and Troubleshooting Tools:
- 监控和故障排除工具: 包括 Event Viewer、Replication Monitor、DCDiag 等工具,用于监视和解决 AD 环境中的问题。
-
Active Directory Migration Tools (ADMT):
- 迁移工具: 允许管理员在不同的域之间迁移用户、组和计算机等对象。主要用于合并域或域迁移操作。
- Active Directory Schema:
- 架构: 包含有关 AD 中对象和属性的定义。架构管理工具允许管理员扩展或修改 AD 架构的特定需求。
这些组件,使 Active Directory 成为一个功能强大、安全可靠的身份管理和目录服务。每个组件都有其独特的角色和功能,共同构建了一个完整的 AD 环境。
服务和工具补充和扩展 Active Directory 的功能,帮助管理员能够更好地管理、维护和优化其 AD 环境。
域控制器(Domain Controller)
域控制器是 Active Directory 中的主要操作角色,负责存储和管理域中的目录数据库。
-
存储目录数据库: 域控制器存储有关域中的对象(如用户、计算机、组等)信息。
-
LDAP 服务: 提供 LDAP(轻量级目录访问协议)服务,客户端可以查询和修改存储在目录数据库中的信息。
-
身份验证服务: 管理用户和计算机的身份验证。当用户登录到域时,域控制器验证其身份,并授予适当的访问权限。
-
Kerberos 认证: 身份验证机制,使用 Kerberos 协议对用户身份验证。
-
复制服务: 在多个域控制器之间进行定期的复制,保证目录数据库的一致性。
-
Global Catalog: 根据需求域控制器配置为全局编录服务器,提供对整个林中对象的全局查找能力。
-
处理登录请求: 处理用户登录请求并分发登录令牌,授予用户在域中的访问权限。
域计算机对象
域计算机对象是域中的计算机设备,可以是服务器、工作站或其他网络设备。
-
标识计算机设备: 域计算机对象标识和存储有关域中计算机的信息,包括计算机的名称、操作系统版本等。
-
加入域: 当计算机设备加入域时,在域中创建相应的域计算机对象。域控制器可以管理和验证这些计算机设备。
-
管理策略: 域计算机对象允许管理员通过组策略(Group Policy)来管理计算机的配置和行为。组策略可以通过域控制器推送到域中的计算机。
-
身份验证: 当计算机设备登录到域时,域计算机对象用于身份验证。域控制器验证计算机的身份,并分配相应的访问权限。
-
DNS 注册: 计算机加入域后,相关的 DNS 记录会自动注册到域中,以便域内其他计算机能够解析该计算机的名称。
-
存储计算机属性: 域计算机对象存储关于计算机的一些属性,如计算机描述、操作系统版本、创建日期等。
域控制器和域计算机对象共同构建 Active Directory 环境中的基础设施,支持用户和计算机的安全身份验证、访问控制以及集中管理。
域控制器角色
域控制器在 Active Directory 中有不同的角色和分类,每个角色都具有特定的功能。
-
主域控制器(Primary Domain Controller, PDC):
- 在域中只能有一个主域控制器。
- 存储主要的域数据库副本,负责所有的写操作(用户更改密码等)。
- 充当域中其他域控制器的主要源,负责同步更新。
-
附属域控制器(Backup Domain Controller, BDC):
- 早期版本的 Windows 中使用的术语,现在的域控制器不再明确区分主域控制器和附属域控制器。
- 域控制器之间的角色不再是主次关系,而是相对独立的。
-
只读域控制器(Read-Only Domain Controller, RODC):
- 存储只读副本的域控制器,不允许直接在该控制器上进行写操作。
- 适用于边缘网络或不太安全的环境,提高了安全性。
-
全局编录服务器角色(Global Catalog Server):
- 存储全局编录,提供对整个林中对象的全局查找能力。
- 包含域中所有域的部分副本,以支持跨域查询。
-
架构主控制器角色(Schema Master):
- 管理 Active Directory 架构,负责对架构的更改和更新。
- 只能有一个架构主控制器在整个林中。
-
域命名主控制器角色(Domain Naming Master):
- 管理域命名空间,负责添加或删除域。
- 只能有一个域命名主控制器在整个林中。
-
RID 主控制器角色(RID Master):
- 分配唯一的相对标识符(RID)池给每个域控制器,创建安全标识。
- 只能有一个RID主控制器在整个林中。
-
基础架构主控制器角色(Infrastructure Master):
- 负责在不同域之间维护对象的引用关系。
- 当一个对象在一个域中被引用到另一个域时,基础架构主控制器负责更新引用。
这些角色分散在不同的域控制器上,确保了系统的可伸缩性和可靠性。域控制器的角色分配可以根据网络拓扑和组织需求进行调整。在较小的网络中,一个域控制器可能同时拥有多个角色,而在大型网络中,这些角色可能被分布到多个域控制器上,以提高性能和可用性。
管理用户和计算机
在 Active Directory 中,对计算机和用户的管理涉及到许多方面,包括创建、配置、授权、监控等。
)
AD 中对计算机和用户管理做一个简短描述:
用户管理:
-
创建用户账户:
- 使用 Active Directory Users and Computers 工具或 PowerShell 等方式创建用户。
- 设置用户名、密码、用户主体名称等基本信息。
-
存储用户:
- 使用组织单元(OU)将用户账户按结构存放,便于管理。
- 利用组织结构反映组织的层次和结构。
-
分配组成员资格:
- 将用户添加到适当的安全组或分配权限组,以授予用户相应的访问权限。
-
密码策略和重置:
- 配置密码策略,包括复杂性要求、密码过期等。
- 支持用户密码的重置和管理。
-
账户启用和禁用:
- 启用或禁用用户账户,控制用户是否可以登录。
- 配置帐户锁定策略以防止恶意登录尝试。
-
审计和监控:
- 启用审计策略,跟踪用户活动和权限更改。
- 监控用户的登录和注销情况。
用户属性
Active Directory 中的用户对象有很多属性,用于存储和管理用户的各种信息。
一些常见的用户属性:
-
Common-Name (cn):
- 用户对象的通用名称。
-
Distinguished Name (dn):
- 用户对象的区别名称,唯一标识该对象在整个目录树中的位置。
-
Object Class (objectClass):
- 标识用户对象的类别,默认为"user"。
-
sAMAccountName:
- 用户的安全帐户管理器(SAM)帐户名称,用于登录和身份验证。
-
userPrincipalName:
- 用户主体名称, Kerberos 身份验证等。
-
User Account Control (userAccountControl):
- 用户对象的状态和属性信息,例如是否启用、是否需要密码更改等。
-
Given Name (givenName):
- 用户的名字或给定名。
-
Surname (sn):
- 用户的姓氏。
-
DisplayName:
- 用户的显示名称,默认是用户的全名。
-
Description:
- 提供有关用户的描述信息,管理员添加描述。
-
Title:
- 的职务或头衔。
-
Department:
- 所属的部门。
-
Company:
- 所属的公司。
-
Email Address (mail):
- 电子邮件地址。
-
Telephone Number (telephoneNumber):
- 电话号码。
-
Street Address (streetAddress):
- 街道地址。
-
City (l):
- 用户所在城市。
-
State (st):
- 用户所在州或省。
-
Postal Code (postalCode):
- 用户邮政编码。
-
Country ©:
- 用户所在国家。
-
Member Of:
- 存储用户所属的安全组。
-
Manager:
- 用户直接经理或上级。
-
When Created / When Changed:
- 记录用户对象的创建时间和上次更改时间。
-
Account Expiration Date (accountExpires):
- 指定用户帐户的过期日期。
-
Last Logon / Last Logoff:
- 记录用户的最后登录和注销时间。
这些属性提供有关用户的各种信息,从基本的身份信息到联系信息和职务信息等等。
计算机管理:
-
创建计算机账户:
- 使用 Active Directory Users and Computers 工具或 PowerShell 创建计算机账户。
- 设置计算机名称、计算机类型等基本信息。
-
计算机对象:
- 使用组织单元(OU)对计算机账户进行存放和编排,便于管理。
- 利用组织结构反映组织的网络拓扑。
-
计算机属性管理:
- 维护计算机属性,包括操作系统信息、描述等。
- 通过组策略管理计算机配置,功能和软件。
-
加入域和离开域:
- 将计算机加入域,以便进行身份验证和访问域资源。
- 可以将计算机从域中撤销,使其成为工作组成员。
-
计算机的审计和监控:
- 启用审计策略,跟踪计算机的活动和权限更改。
- 监控计算机的性能和状态。
这些管理方法和功能使管理员能够有效地组织、配置、授权和监控域中的用户和计算机。
计算机属性
域内计算机对象,表示和管理域中的计算机设备。计算机对象同样具有许多属性。
域内计算机对象的一些常见属性:
-
Common-Name (cn):
- 存储计算机对象的通用名称。
-
Distinguished Name (dn):
- 存储计算机对象的区别名称,唯一标识该对象在整个目录树中的位置。
-
Object Class (objectClass):
- 标识计算机对象的类别,默认为"computer"。
-
sAMAccountName:
- 存储计算机对象的安全帐户管理器(SAM)帐户名称,用于身份验证和识别计算机。
-
userAccountControl:
- 包含计算机对象的状态和属性信息,例如是否启用、是否需要密码更改等。
-
Operating System (operatingSystem):
- 存储计算机的操作系统名称,例如 “Windows 10”.
-
Operating System Version (operatingSystemVersion):
- 存储计算机操作系统的版本信息,例如 “10.0 (Build 19042)”.
-
Operating System Service Pack (operatingSystemServicePack):
- 存储计算机操作系统的服务包信息。
-
Description:
- 提供有关计算机的描述信息,可以是管理员添加的自定义描述。
-
Location (location):
- 存储计算机的位置信息,一般由管理员添加。
-
Member Of:
- 存储计算机对象所属的安全组。
-
DnsHostName:
- 存储计算机的 DNS 主机名。
-
Service Principal Names (SPNs):
- 存储用于 Kerberos 身份验证的服务主体名称。
-
When Created / When Changed:
- 记录计算机对象的创建时间和上次更改时间。
计算机属性提供有关域内计算机对象信息,可以用于身份验证、管理和跟踪计算机设备。
总结
在 Active Directory 中,用户和计算机的管理涉及多个方面,包括创建、组织、分配权限、配置属性、密码策略、审计等。
这些管理方法有助于有效地配置、授权、维护和监控域中的用户和计算机,确保基础架构及网络安全高效运行。通过适当的管理实践满足组织管理需求。
Ending
