Active Directory的基本概念和功能

这篇具有很好参考价值的文章主要介绍了Active Directory的基本概念和功能。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

windows域

当管理一个只有五台计算机和五名员工的小型企业网络。在这样一个微型网络中,可以毫无问题地单独配置每台计算机。但如果某一天业务突然增长,现在有 157 台计算机和 320 个不同的用户,分布在四个不同的办公室。那么就很能单独管理,为了克服这些限制,我们就可以使用 Windows 域。Windows 域是一组受特定企业管理的用户和计算机。
Active Directory的基本概念和功能
域背后的主要思想是将 Windows 计算机网络的公共组件的管理集中在一个名为Active Directory (AD)的存储库中。运行 Active Directory 服务的服务器称为域控制器 (DC)。

  • 配置 Windows 域的主要优点是:

集中身份管理:网络中的所有用户都可以轻松地从 Active Directory 进行配置。
管理安全策略:可以直接从 Active Directory 配置安全策略,并根据需要将它们应用于网络中的用户和计算机

Active Directory

Active Directory(活动目录),简称为AD。任何 Windows 域的核心都是Active Directory 域服务 (AD)。此服务充当目录,其中包含网络上存在的所有“对象”的信息。在 AD 支持的众多对象中,我们有用户、组、机器、打印机、共享和许多其他对象。

用户

用户是 Active Directory 中最常见的对象类型之一。用户是被称为安全主体的对象之一,这意味着他们可以通过域进行身份验证,并且可以被分配对文件或打印机等资源的特权。您可以说安全主体是一个可以作用于网络资源的对象。
用户可用于表示两种类型的实体:

  • 人员:用户通常代表组织中需要访问网络的人员,例如员工。
  • 服务:还可以定义用户以供 IIS 或 MSSQL 等服务使用。每个服务都需要一个用户才能运行,但服务用户与普通用户不同,因为他们只拥有运行其特定服务所需的权限。

机器

机器是 AD 中的另一种对象。对于加入 Active Directory 域的每台计算机,都会创建一个机器对象。机器也被认为是“安全主体”,并像任何普通用户一样被分配一个帐户。此帐户在域本身内的权限有限。

机器帐户本身是指定计算机上的本地管理员,通常不应被除计算机本身之外的任何人访问,但与任何其他帐户一样,如果您有密码,则可以使用它登录。

注意: 机器帐户密码会自动轮换出来,通常由 120 个随机字符组成。

识别计算机帐户相对容易。他们遵循特定的命名方案。计算机帐户名称是计算机名称后跟一个美元符号。

  • 比如
TEST-PC 的机器关联的机器帐户的名称是 TEST-PC$

安全组

定义用户组将对文件或其它资源的访问权限分配给整个组 而不是 单个用户。这样的管理性更好,因为可以将用户添加到现有组,并且它们将自动继承该组的所有权限。安全组也被视为安全主体,因此可以对网络上的资源拥有特权。
组可以同时拥有用户和机器作为成员。如果需要,组也可以包含其他组。
域中默认创建了几个组,可用于向用户授予特定权限。

  • 下面是域中一些最重要的组
安全组   								 描述

 域管理员(Domain Admins)  该组的用户对整个域具有管理权限。默认情况下,他们可以管理域中的任何计算机,包括 DC。 
 服务器运营商(Server Operators)  该组中的用户可以管理域控制器。他们不能更改任何管理组成员身份。 
 备份操作员(Backup Operators)  该组中的用户可以访问任何文件,而忽略他们的权限。它们用于在计算机上执行数据备份。 
 帐户操作员(Account Operators)  该组中的用户可以创建或修改域中的其他帐户。 
 域用户(Domain Users)  包括域中所有现有的用户帐户。 
 域计算机(Domain Computers)  包括域中的所有现有计算机。 
 域控制器(Domain Controllers)  包括域中所有现有的 DC。 

身份验证方法

使用 Windows 域时,所有凭据都存储在域控制器中。每当用户尝试使用域凭据对服务进行身份验证时,该服务将需要请求域控制器验证它们是否正确。Windows 域中可以使用两种协议进行网络身份验证:

  • Kerberos:由任何最新版本的 Windows 使用。这是任何最近域中的默认协议。
  • NetNTLM:为兼容性目的而保留的旧身份验证协议。

虽然 NetNTLM 应该被认为已过时,但大多数网络都会同时启用这两种协议。

Kerberos 认证

Kerberos 身份验证是任何最新版本的 Windows 的默认身份验证协议。使用 Kerberos 登录服务的用户将被分配票证。将票视为先前身份验证的证明。拥有票证的用户可以将它们出示给服务,以证明他们之前已经通过网络身份验证,因此可以使用它。
当使用 Kerberos 进行身份验证时,会发生以下过程:

  1. 用户将他们的用户名和使用从他们的密码派生的密钥加密的时间戳发送到 密钥分发中心 (KDC),该服务通常安装在负责在网络上创建 Kerberos 票证的域控制器上。KDC 将创建并发回 票证授予票证 (TGT),这将允许用户请求额外的票证以访问特定服务。需要一张票才能获得更多的票可能听起来有点奇怪,但它允许用户在每次想要连接到服务时无需传递其凭据即可请求服务票。连同 TGT,一个会话密钥被提供给用户,它们将需要它来生成以下请求。请注意,TGT 是使用 krbtgt 帐户的密码哈希加密的,因此用户无法访问其内容。必须知道加密的 TGT 包括会话密钥的副本作为其内容的一部分,并且 KDC 无需存储会话密钥,因为它可以在需要时通过解密 TGT 来恢复副本。

Active Directory的基本概念和功能

  1. 当用户想要连接到网络上的服务(如共享、网站或数据库)时,他们将使用他们的 TGT 向 KDC 请求票证 授予服务 (TGS)。TGS 是只允许连接到为其创建的特定服务的票证。要请求 TGS,用户将发送他们的用户名和使用会话密钥加密的时间戳,以及 TGT 和服务主体名称 (SPN),后者指示我们打算访问的服务和服务器名称。因此,KDC 将向我们发送一个 TGS 以及一个Service Session Key,我们需要用它来验证我们想要访问的服务。TGS 使用从 服务所有者哈希 派生的密钥进行加密。服务所有者是运行服务的用户或机器帐户。TGS 在其加密内容上包含服务会话密钥的副本,以便服务所有者可以通过解密 TGS 来访问它。

Active Directory的基本概念和功能

  1. 然后可以将 TGS 发送到所需的服务以进行身份验证并建立连接。该服务将使用其配置的帐户密码哈希来解密 TGS 并验证服务会话密钥。

Active Directory的基本概念和功能

NetNTLM 身份验证

NetNTLM 使用质询-响应机制工作。 整个过程如下:
Active Directory的基本概念和功能

  1. 客户端向他们要访问的服务器发送身份验证请求。
  2. 服务器生成一个随机数并将其作为挑战发送给客户端。
  3. 客户端将他们的 NTLM 密码哈希与质询(和其他已知数据)结合起来生成对质询的响应并将其发送回服务器以进行验证。
  4. 服务器将质询和响应转发给域控制器进行验证。
  5. 域控制器使用质询重新计算响应并将其与客户端发送的原始响应进行比较。如果它们都匹配,则客户端通过身份验证;否则,访问被拒绝。认证结果被发送回服务器。
  6. 服务器将认证结果转发给客户端。

注意:出于安全考虑,用户的密码(或哈希)永远不会通过网络传输。

树木、森林和信托

Active Directory的基本概念和功能
随着公司的成长,他们的网络也在成长。拥有一个公司的单一域就足以开始,但随着时间的推移,一些额外的需求可能会促使您拥有多个域。

树木

例如,想象一下,您的公司突然扩展到一个新的国家。新国家/地区有不同的法律法规,要求您更新 GPO 以符合要求。此外,您现在在两个国家都有 IT 人员,每个 IT 团队都需要在不干扰其他团队的情况下管理与每个国家对应的资源。虽然您可以创建复杂的 OU 结构并使用委派来实现此目的,但拥有庞大的 AD 结构可能难以管理并且容易出现人为错误。
对我们来说幸运的是,Active Directory 支持集成多个域,因此您可以将网络划分为可以独立管理的单元。如果您有两个共享相同名称空间的域(thm.local在我们的示例中),则可以将这些域加入到 树 中。
如果我们的 thm.local 域分为英国和美国分支机构的两个子域,您可以构建一个树,其中包含一个根域thm.local 和两个名为 uk.thm.local 和 的子域 us.thm.local ,每个子域都有其 AD、计算机和用户:
Active Directory的基本概念和功能
这种分区结构使我们能够更好地控制谁可以访问域中的内容。来自英国的 IT 人员将拥有自己的 DC,仅管理英国的资源。例如,英国用户将无法管理美国用户。这样,每个分支机构的域管理员将完全控制各自的 DC,但不能控制其他分支机构的 DC。也可以为树中的每个域独立配置策略。
在谈论树木和森林时,需要引入一个新的安全组。Enterprise Admins 组将授予用户对企业所有域的管理权限。每个域仍然会有其域管理员对其单个域拥有管理员权限,而企业管理员则可以控制企业中的一切。

森林

您管理的域也可以配置在不同的命名空间中。假设您的公司继续发展并最终收购了另一家公司MHT Inc.,当两家公司合并时,您可能会为每个公司拥有不同的域树,每个公司都由自己的 IT 部门管理。将具有不同名称空间的几棵树联合到同一个网络中称为 森林
Active Directory的基本概念和功能

信任关系

在树和森林中组织多个域可以让您在管理和资源方面拥有一个很好的划分网络。但在某个时刻,THM UK 的用户可能需要访问 MHT ASIA 服务器之一中的共享文件。为此,排列在树和森林中的域通过 信任关系 连接在一起。
简单来说,在域之间建立信任关系可以授权域中的用户 THM UK访问域中的资源 MHT EU。
可以建立的最简单的信任关系是单向信任关系。在单向信任中,如果 Domain AAA trusts Domain BBB,这意味着 BBB 上的用户可以被授权访问 AAA 上的资源:
Active Directory的基本概念和功能
单向信任关系的方向与访问方向相反。
还可以建立 双向信任关系,以允许两个域相互授权来自另一个域的用户。默认情况下,将多个域加入一棵树或森林下将形成双向信任关系。
请务必注意,在域之间建立信任关系不会自动授予对其他域上所有资源的访问权限。建立信任关系后,您就有机会授权跨不同域的用户,但实际授权与否取决于您文章来源地址https://www.toymoban.com/news/detail-497154.html

到了这里,关于Active Directory的基本概念和功能的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 无法与域的active directory域控制器连接

    本人小白。记录一下搭建过程和遇到该问题的解决办法。 首先把dc的ip等改成静态,然后客户端的dns设置成dc的ip。还有就是把IPV6关上,这个好像有影响。 然后加入域的时候会报题目的错误,看了很多方法都没有效果。 首先保证两个机器可以互相ping通。 然后使用打开dc的dn

    2024年02月03日
    浏览(21)
  • Active Directory 中存在同名的账户。安全策略阻止了重新使用此账号的操作

    在给电脑加域的过程中发生错误,提示“ Active Directory 中存在同名的账户。安全策略阻止了重新使用此账号的操作。 ” 尝试修改计算机名和删除同名的操作,都无法实现加域。 同事给出修改注册表的方法,修改后便可以加域。具体的操作如下: As a local administrator, right cli

    2024年02月10日
    浏览(15)
  • Greengrass的基本介绍:概念和功能

    目录 ——什么是Greengrass? ——和Greengrass有关的主要概念 ——Greengrass的功能 AWS IoT Greengrass 是将云功能扩展到边缘设备的软件。该软件使设备能够收集和分析更靠近信息源的数据,自主应对本地事件#

    2023年04月14日
    浏览(12)
  • Windows 基本概念和术语

    本章将介绍 Windows 的基本概念,这些概念是方便接下来对 Windows 内部理解从而提前了解关于 Windows 基本概念和部分术语。 Windows 应用程序编程接口(application programming interface,API)是Windows操作系统家族的用户模式系统编程接口。64 位 Windows 发布前,32 位 Windows 的编程接口被称

    2024年02月12日
    浏览(16)
  • docker的基本管理和概念

    docker是什么? docker是开源的应用容器引擎。基于go语言开发的。运行在Linux系统中的开源的轻量级的“虚拟机”。 docker的容器技术可以在一台主机上轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器 docker的宿主机是linux系统。集装箱可以理解为相互隔离的呃容

    2024年02月04日
    浏览(20)
  • Kafka核心设计与实践原理:设计理念、基本概念、主要功能与应用场景

    详细介绍Kafka作为分布式流式处理平台的设计理念、基本概念,以及其主要功能与应用场景,包括消息系统、容错的持久化、流式处理平台等功能,同时探讨如何保证消息的唯一性、消费顺序等问题。

    2024年02月22日
    浏览(23)
  • 49学习容器管理平台 Docker Swarm 的基本概念和应用,包括节点管理、服务编排

    Docker Swarm 是 Docker 官方提供的容器编排工具,可以管理多个 Docker 节点,并支持自动化扩展、负载均衡等功能。下面是 Docker Swarm 的基本概念和使用方法,包括节点管理和服务编排。 在 Docker Swarm 中,一个或多个 Docker 节点组成一个 Swarm 集群,其中一个节点是 Swarm Manager,负责

    2024年02月05日
    浏览(16)
  • MySQL数据库概念、管理以及SQL语句的基本命令操作

    数据(data) 描述事物的符号记录 包括数字,文字、图形、图像、声音、档案记录等 以“记录”形式按统一格式进行存储(记录可以看成一条记录) 表 将不同的记录组织在一起 用来存储具体数据 记录:行 字段(属性):列 以行+列的形式就组成了表(数据存储在表中) 数

    2024年02月08日
    浏览(24)
  • 从定义到实际应用,详解项目管理的基本概念与核心内容

    项目管理是项目的管理者,在有限的资源约束下,运用系统的观点、方法和理论,对项目涉及的全部工作进行有效地管理。项目管理的内容包括项目范围管理,是为了实现项目的目标,对项目的工作内容进行控制的管理过程。它包括范围的界定,范围的规划,范围的调整等。

    2024年02月08日
    浏览(23)
  • Node.js基本概念、特点、用途和常用模块,以及Express框架开发一个web应用

    目录 一、Node.js的基本概念和特点 二、Node.js的用途 三、Node.js的常用模块 四、使用Node.js进行Web开发 1. 安装Node.js 2. PyCharm配置Node.js 3. 使用http库编写一个web服务 4. 使用Express框架构建Web应用程序 5. 调试代码 6. 发布应用程序 参考文章  Node.js系列文章推荐阅读: JavaScript匿名函

    2024年02月07日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包