微软 AD |域控制器 | 组件 | 域服务 | 对象解析

介绍

Active Directory(AD),是微软的目录服务,提供强大的功能和管理体系,用于组织管理和安全存储网络上的资源和用户、计算机、服务对象等信息。

AD 功能:

  1. 身份验证和访问控制:

    • 提供集中式的身份验证服务,允许用户通过单一登录(Single Sign-On)访问多个资源。
    • 实施灵活的访问控制,管理用户对网络资源的权限。
  2. 目录服务:

    • 存储组织中的对象信息,如用户、计算机、组等,以层次结构的形式进行管理和维护。
    • 使用LDAP(轻量级目录访问协议)提供对目录数据的标准访问。
  3. 组织单元(OU):

    • 允许管理员将目录中的对象组织成层次结构,以简化管理和应用策略。
    • 提供灵活的组织单元(OU)结构,可根据组织的需要进行定制。
  4. 组策略(Group Policy):

    • 允许管理员通过组策略集中管理用户和计算机的配置。
    • 应用安全设置、脚本、软件部署等,确保一致性和安全性。
  5. 安全标识和身份管理:

    • 为域中的每个对象分配唯一的安全标识符(SID)。
    • 提供对用户、计算机和组等对象的集中身份管理。
  6. 复制服务:

    • 在多个域控制器之间进行定期的复制,以确保目录数据库的一致性。
    • 提供高可用性和故障恢复机制。
  7. 认证服务:

    • 支持多种身份验证机制,包括Kerberos认证。
    • 提供安全的用户身份验证,防止未经授权的访问。
  8. DNS集成:

    • 与域名系统(DNS)集成,提供对域中对象的域名解析服务。
    • 使用DNS名称标识域中的对象。
  9. 证书服务(AD CS):

    • 提供数字证书的管理和发布,用于加密通信和身份验证。
    • 集成到域中以支持公钥基础设施(PKI)。
  10. 目录集成服务:

    • 允许管理员集成AD和其他目录服务,实现跨平台的身份管理。
  11. 目录联合身份认证服务(AD FS):

    • 提供身份验证和授权服务,支持跨域身份验证。
    • 用于实现单一登录(Single Sign-On)和访问控制。
  12. 目录审计:

    • 记录对目录中对象的更改,以实现审计和合规性需求。

Active Directory 提供安全、高效、集中化的身份管理和资源访问控制解决方案。其灵活性和可扩展性使其成为基础设施中不可或缺的一部分。

组件

Active Directory(AD),由多个组件组成。这些组件共同工作,提供身份验证、授权、资源管理等服务。

组件介绍:

  1. Domain Services (域服务):

    • Domain Controller (域控制器): AD中最重要的组件之一。域控制器存储对象(如用户、计算机、打印机等)信息,并通过LDAP(Lightweight Directory Access Protocol)提供对这些信息的访问。

    • Active Directory Database (AD数据库): 存储所有AD对象的数据库。包括用户帐户、组、计算机等。

    • LDAP (轻量级目录访问协议): 用于在AD中检索和修改目录信息的协议。

    • Kerberos 认证: 提供强大的身份验证机制,用于验证用户和计算机。

  2. Certificate Services (证书服务):

    • 证书颁发机构 (CA): 签署和管理数字证书,用于加密通信和身份验证。CA创建、签署和分发证书,确保安全通信。

    • 证书模板: 提供证书的内容、格式和用途的模板,例如用户证书、计算机证书、服务器证书等。

  3. Directory Federation Services (目录联合身份认证服务):

    • Security Token Service (STS): 发布安全令牌,允许用户通过单一身份验证登录到多个服务。支持跨域身份验证和授权。

    • Claims-based Authentication (基于声明的身份验证): 使用声明向用户提供对资源的访问权限,区别于的用户名和密码。

  4. Lightweight Directory Services (轻量级目录服务):

    • AD LDS (Active Directory Lightweight Directory Services): 为应用程序提供轻量级目录服务,允许在单个服务器上存储目录数据,不必部署完整的域控制器。
  5. Group Policy (组策略):

    • Group Policy Objects (GPOs): 用于配置Windows客户端和服务器的安全性和行为。通过GPO管理员可以集中管理组织中计算机和用户的设置。
  6. Active Directory Administrative Center (ADAC):

    • 管理中心: 提供图形用户界面,管理员可以更轻松地管理和配置 AD。是用于执行各种管理任务的集中管理工具。

管理扩展

除了上面提到的主要功能组件外,还有一些其他与 Active Directory 相关的组件和服务,这些组件是为了增强 AD 的功能、扩展支持范围或提供附加的管理和安全性。

其他相关组件:

  1. Windows PowerShell for Active Directory:

    • PowerShell 模块: 提供了一套命令行工具,使管理员能够使用脚本自动执行各种 AD 管理任务。自动化和批量操作更加容易。
  2. Read-Only Domain Controllers (RODC):

    • 只读域控制器: 提供在边缘网络或不太安全的环境中部署域控制器选项。RODC 存储只读副本,不允许对域数据库进行写操作,以此减少潜在的安全风险。
  3. Active Directory Rights Management Services (AD RMS):

    • AD RMS 服务器: 用于创建和管理对文档和电子邮件等内容的权限。AD RMS 支持文件加密、访问控制和策略保护。
  4. Active Directory Web Services (ADWS):

    • Web 服务: 允许开发人员通过 Web 服务接口与 Active Directory 进行交互。提供标准的 Web 协议与 AD 进行通信的方式。
  5. Active Directory Recycle Bin:

    • 回收站: 允许管理员还原意外删除的 AD 对象。启用回收站后,可以方便的还原被删除的用户、组、计算机等对象。
  6. Active Directory Trusts:

    • 信任关系: 允许不同的 AD 域之间建立信任关系,使用户和资源可以跨域进行访问。信任关系有单向和双向两种类型。
  7. Windows Server Backup with AD Integration:

    • 备份集成: 允许使用 Windows Server Backup 对整个域控制器进行备份和还原,包括 AD 数据库和系统状态。
  8. Active Directory Site and Services:

    • 站点和服务: 用于配置和管理 AD 网络拓扑结构,提供多个站点之间复制和通信效率。
  9. Active Directory Monitoring and Troubleshooting Tools:

    • 监控和故障排除工具: 包括 Event Viewer、Replication Monitor、DCDiag 等工具,用于监视和解决 AD 环境中的问题。
  10. Active Directory Migration Tools (ADMT):

  • 迁移工具: 允许管理员在不同的域之间迁移用户、组和计算机等对象。主要用于合并域或域迁移操作。
  1. Active Directory Schema:
  • 架构: 包含有关 AD 中对象和属性的定义。架构管理工具允许管理员扩展或修改 AD 架构的特定需求。

这些组件,使 Active Directory 成为一个功能强大、安全可靠的身份管理和目录服务。每个组件都有其独特的角色和功能,共同构建了一个完整的 AD 环境。

服务和工具补充和扩展 Active Directory 的功能,帮助管理员能够更好地管理、维护和优化其 AD 环境。

域控制器(Domain Controller)

域控制器是 Active Directory 中的主要操作角色,负责存储和管理域中的目录数据库。

  1. 存储目录数据库: 域控制器存储有关域中的对象(如用户、计算机、组等)信息。

  2. LDAP 服务: 提供 LDAP(轻量级目录访问协议)服务,客户端可以查询和修改存储在目录数据库中的信息。

  3. 身份验证服务: 管理用户和计算机的身份验证。当用户登录到域时,域控制器验证其身份,并授予适当的访问权限。

  4. Kerberos 认证: 身份验证机制,使用 Kerberos 协议对用户身份验证。

  5. 复制服务: 在多个域控制器之间进行定期的复制,保证目录数据库的一致性。

  6. Global Catalog: 根据需求域控制器配置为全局编录服务器,提供对整个林中对象的全局查找能力。

  7. 处理登录请求: 处理用户登录请求并分发登录令牌,授予用户在域中的访问权限。

域计算机对象

域计算机对象是域中的计算机设备,可以是服务器、工作站或其他网络设备。

  1. 标识计算机设备: 域计算机对象标识和存储有关域中计算机的信息,包括计算机的名称、操作系统版本等。

  2. 加入域: 当计算机设备加入域时,在域中创建相应的域计算机对象。域控制器可以管理和验证这些计算机设备。

  3. 管理策略: 域计算机对象允许管理员通过组策略(Group Policy)来管理计算机的配置和行为。组策略可以通过域控制器推送到域中的计算机。

  4. 身份验证: 当计算机设备登录到域时,域计算机对象用于身份验证。域控制器验证计算机的身份,并分配相应的访问权限。

  5. DNS 注册: 计算机加入域后,相关的 DNS 记录会自动注册到域中,以便域内其他计算机能够解析该计算机的名称。

  6. 存储计算机属性: 域计算机对象存储关于计算机的一些属性,如计算机描述、操作系统版本、创建日期等。

域控制器和域计算机对象共同构建 Active Directory 环境中的基础设施,支持用户和计算机的安全身份验证、访问控制以及集中管理。

域控制器角色

域控制器在 Active Directory 中有不同的角色和分类,每个角色都具有特定的功能。

  1. 主域控制器(Primary Domain Controller, PDC):

    • 在域中只能有一个主域控制器。
    • 存储主要的域数据库副本,负责所有的写操作(用户更改密码等)。
    • 充当域中其他域控制器的主要源,负责同步更新。
  2. 附属域控制器(Backup Domain Controller, BDC):

    • 早期版本的 Windows 中使用的术语,现在的域控制器不再明确区分主域控制器和附属域控制器。
    • 域控制器之间的角色不再是主次关系,而是相对独立的。
  3. 只读域控制器(Read-Only Domain Controller, RODC):

    • 存储只读副本的域控制器,不允许直接在该控制器上进行写操作。
    • 适用于边缘网络或不太安全的环境,提高了安全性。
  4. 全局编录服务器角色(Global Catalog Server):

    • 存储全局编录,提供对整个林中对象的全局查找能力。
    • 包含域中所有域的部分副本,以支持跨域查询。
  5. 架构主控制器角色(Schema Master):

    • 管理 Active Directory 架构,负责对架构的更改和更新。
    • 只能有一个架构主控制器在整个林中。
  6. 域命名主控制器角色(Domain Naming Master):

    • 管理域命名空间,负责添加或删除域。
    • 只能有一个域命名主控制器在整个林中。
  7. RID 主控制器角色(RID Master):

    • 分配唯一的相对标识符(RID)池给每个域控制器,创建安全标识。
    • 只能有一个RID主控制器在整个林中。
  8. 基础架构主控制器角色(Infrastructure Master):

    • 负责在不同域之间维护对象的引用关系。
    • 当一个对象在一个域中被引用到另一个域时,基础架构主控制器负责更新引用。

这些角色分散在不同的域控制器上,确保了系统的可伸缩性和可靠性。域控制器的角色分配可以根据网络拓扑和组织需求进行调整。在较小的网络中,一个域控制器可能同时拥有多个角色,而在大型网络中,这些角色可能被分布到多个域控制器上,以提高性能和可用性。

管理用户和计算机

在 Active Directory 中,对计算机和用户的管理涉及到许多方面,包括创建、配置、授权、监控等。
)

AD 中对计算机和用户管理做一个简短描述:

用户管理:
  1. 创建用户账户:

    • 使用 Active Directory Users and Computers 工具或 PowerShell 等方式创建用户。
    • 设置用户名、密码、用户主体名称等基本信息。
  2. 存储用户:

    • 使用组织单元(OU)将用户账户按结构存放,便于管理。
    • 利用组织结构反映组织的层次和结构。
  3. 分配组成员资格:

    • 将用户添加到适当的安全组或分配权限组,以授予用户相应的访问权限。
  4. 密码策略和重置:

    • 配置密码策略,包括复杂性要求、密码过期等。
    • 支持用户密码的重置和管理。
  5. 账户启用和禁用:

    • 启用或禁用用户账户,控制用户是否可以登录。
    • 配置帐户锁定策略以防止恶意登录尝试。
  6. 审计和监控:

    • 启用审计策略,跟踪用户活动和权限更改。
    • 监控用户的登录和注销情况。
用户属性

Active Directory 中的用户对象有很多属性,用于存储和管理用户的各种信息。

一些常见的用户属性:

  1. Common-Name (cn):

    • 用户对象的通用名称。
  2. Distinguished Name (dn):

    • 用户对象的区别名称,唯一标识该对象在整个目录树中的位置。
  3. Object Class (objectClass):

    • 标识用户对象的类别,默认为"user"。
  4. sAMAccountName:

    • 用户的安全帐户管理器(SAM)帐户名称,用于登录和身份验证。
  5. userPrincipalName:

    • 用户主体名称, Kerberos 身份验证等。
  6. User Account Control (userAccountControl):

    • 用户对象的状态和属性信息,例如是否启用、是否需要密码更改等。
  7. Given Name (givenName):

    • 用户的名字或给定名。
  8. Surname (sn):

    • 用户的姓氏。
  9. DisplayName:

    • 用户的显示名称,默认是用户的全名。
  10. Description:

    • 提供有关用户的描述信息,管理员添加描述。
  11. Title:

    • 的职务或头衔。
  12. Department:

    • 所属的部门。
  13. Company:

    • 所属的公司。
  14. Email Address (mail):

    • 电子邮件地址。
  15. Telephone Number (telephoneNumber):

    • 电话号码。
  16. Street Address (streetAddress):

    • 街道地址。
  17. City (l):

    • 用户所在城市。
  18. State (st):

    • 用户所在州或省。
  19. Postal Code (postalCode):

    • 用户邮政编码。
  20. Country ©:

    • 用户所在国家。
  21. Member Of:

    • 存储用户所属的安全组。
  22. Manager:

    • 用户直接经理或上级。
  23. When Created / When Changed:

    • 记录用户对象的创建时间和上次更改时间。
  24. Account Expiration Date (accountExpires):

    • 指定用户帐户的过期日期。
  25. Last Logon / Last Logoff:

    • 记录用户的最后登录和注销时间。

这些属性提供有关用户的各种信息,从基本的身份信息到联系信息和职务信息等等。

计算机管理:
  1. 创建计算机账户:

    • 使用 Active Directory Users and Computers 工具或 PowerShell 创建计算机账户。
    • 设置计算机名称、计算机类型等基本信息。
  2. 计算机对象:

    • 使用组织单元(OU)对计算机账户进行存放和编排,便于管理。
    • 利用组织结构反映组织的网络拓扑。
  3. 计算机属性管理:

    • 维护计算机属性,包括操作系统信息、描述等。
    • 通过组策略管理计算机配置,功能和软件。
  4. 加入域和离开域:

    • 将计算机加入域,以便进行身份验证和访问域资源。
    • 可以将计算机从域中撤销,使其成为工作组成员。
  5. 计算机的审计和监控:

    • 启用审计策略,跟踪计算机的活动和权限更改。
    • 监控计算机的性能和状态。

这些管理方法和功能使管理员能够有效地组织、配置、授权和监控域中的用户和计算机。

计算机属性

域内计算机对象,表示和管理域中的计算机设备。计算机对象同样具有许多属性。

域内计算机对象的一些常见属性:

  1. Common-Name (cn):

    • 存储计算机对象的通用名称。
  2. Distinguished Name (dn):

    • 存储计算机对象的区别名称,唯一标识该对象在整个目录树中的位置。
  3. Object Class (objectClass):

    • 标识计算机对象的类别,默认为"computer"。
  4. sAMAccountName:

    • 存储计算机对象的安全帐户管理器(SAM)帐户名称,用于身份验证和识别计算机。
  5. userAccountControl:

    • 包含计算机对象的状态和属性信息,例如是否启用、是否需要密码更改等。
  6. Operating System (operatingSystem):

    • 存储计算机的操作系统名称,例如 "Windows 10".
  7. Operating System Version (operatingSystemVersion):

    • 存储计算机操作系统的版本信息,例如 "10.0 (Build 19042)".
  8. Operating System Service Pack (operatingSystemServicePack):

    • 存储计算机操作系统的服务包信息。
  9. Description:

    • 提供有关计算机的描述信息,可以是管理员添加的自定义描述。
  10. Location (location):

    • 存储计算机的位置信息,一般由管理员添加。
  11. Member Of:

    • 存储计算机对象所属的安全组。
  12. DnsHostName:

    • 存储计算机的 DNS 主机名。
  13. Service Principal Names (SPNs):

    • 存储用于 Kerberos 身份验证的服务主体名称。
  14. When Created / When Changed:

    • 记录计算机对象的创建时间和上次更改时间。

计算机属性提供有关域内计算机对象信息,可以用于身份验证、管理和跟踪计算机设备。

总结

在 Active Directory 中,用户和计算机的管理涉及多个方面,包括创建、组织、分配权限、配置属性、密码策略、审计等。

这些管理方法有助于有效地配置、授权、维护和监控域中的用户和计算机,确保基础架构及网络安全高效运行。通过适当的管理实践满足组织管理需求。

Ending


~喜欢的话,请收藏 | 关注(✪ω✪)~ ~万一有趣的事还在后头呢,Fight!!(o^-^)~''☆ミ☆ミ~......


相关推荐
禁默17 小时前
2024年图像处理、多媒体技术与机器学习
图像处理·人工智能·microsoft
Zmxcl-00721 小时前
IIS解析漏洞
服务器·数据库·microsoft
蚁景网络安全1 天前
Cobalt Strike 4.8 用户指南-第十四节 Aggressor 脚本
windows·microsoft
不坑老师2 天前
不坑盒子2024.1218更新了,模板库上线、一键添加拼音、一键翻译……支持Word、Excel、PPT、WPS
microsoft·word·powerpoint·excel·wps
小奥超人3 天前
【ppt技巧】如何设置PPT带有密码的只读模式?
windows·经验分享·microsoft·powerpoint·办公技巧
七月的和弦3 天前
Win10将WindowsTerminal设置默认终端并添加到右键(无法使用微软商店)
windows·microsoft
Anna_Tong3 天前
ASP.NET Core 与 Blazor:现代 Web 开发技术的全新视角
前端·后端·微软·asp.net·web·技术
阿达_优阅达4 天前
集成方案 | Docusign + 金蝶云,实现合同签署流程自动化!
运维·microsoft·自动化·企业数字化转型·docusign
嘟嘟实验室4 天前
TRELLIS,一键生成3D模型,图像转3D,微软开源
人工智能·python·microsoft·3d·开源·aigc
PowerBI学谦4 天前
Copilot for Microsoft 365 office手把手使用指南
人工智能·microsoft·copilot