微软 AD |域控制器 | 组件 | 域服务

介绍

Active Directory（AD），是微软的目录服务，提供强大的功能和管理体系，用于组织管理和安全存储网络上的资源和用户、计算机、服务对象等信息。

AD 功能：

身份验证和访问控制：
- 提供集中式的身份验证服务，允许用户通过单一登录（Single Sign-On）访问多个资源。
- 实施灵活的访问控制，管理用户对网络资源的权限。
目录服务：
- 存储组织中的对象信息，如用户、计算机、组等，以层次结构的形式进行管理和维护。
- 使用LDAP（轻量级目录访问协议）提供对目录数据的标准访问。
组织单元（OU）：
- 允许管理员将目录中的对象组织成层次结构，以简化管理和应用策略。
- 提供灵活的组织单元（OU）结构，可根据组织的需要进行定制。
组策略（Group Policy）：
- 允许管理员通过组策略集中管理用户和计算机的配置。
- 应用安全设置、脚本、软件部署等，确保一致性和安全性。
安全标识和身份管理：
- 为域中的每个对象分配唯一的安全标识符（SID）。
- 提供对用户、计算机和组等对象的集中身份管理。
复制服务：
- 在多个域控制器之间进行定期的复制，以确保目录数据库的一致性。
- 提供高可用性和故障恢复机制。
认证服务：
- 支持多种身份验证机制，包括Kerberos认证。
- 提供安全的用户身份验证，防止未经授权的访问。
DNS集成：
- 与域名系统（DNS）集成，提供对域中对象的域名解析服务。
- 使用DNS名称标识域中的对象。
证书服务（AD CS）：
- 提供数字证书的管理和发布，用于加密通信和身份验证。
- 集成到域中以支持公钥基础设施（PKI）。
目录集成服务：
- 允许管理员集成AD和其他目录服务，实现跨平台的身份管理。
目录联合身份认证服务（AD FS）：
- 提供身份验证和授权服务，支持跨域身份验证。
- 用于实现单一登录（Single Sign-On）和访问控制。
目录审计：
- 记录对目录中对象的更改，以实现审计和合规性需求。

Active Directory 提供安全、高效、集中化的身份管理和资源访问控制解决方案。其灵活性和可扩展性使其成为基础设施中不可或缺的一部分。

组件

Active Directory（AD），由多个组件组成。这些组件共同工作，提供身份验证、授权、资源管理等服务。

组件介绍：

Domain Services (域服务)：
- Domain Controller (域控制器)： AD中最重要的组件之一。域控制器存储对象（如用户、计算机、打印机等）信息，并通过LDAP（Lightweight Directory Access Protocol）提供对这些信息的访问。
- Active Directory Database (AD数据库)： 存储所有AD对象的数据库。包括用户帐户、组、计算机等。
- LDAP (轻量级目录访问协议)： 用于在AD中检索和修改目录信息的协议。
- Kerberos 认证： 提供强大的身份验证机制，用于验证用户和计算机。
Certificate Services (证书服务)：
- 证书颁发机构 (CA)： 签署和管理数字证书，用于加密通信和身份验证。CA创建、签署和分发证书，确保安全通信。
- 证书模板： 提供证书的内容、格式和用途的模板，例如用户证书、计算机证书、服务器证书等。
Directory Federation Services (目录联合身份认证服务)：
- Security Token Service (STS)： 发布安全令牌，允许用户通过单一身份验证登录到多个服务。支持跨域身份验证和授权。
- Claims-based Authentication (基于声明的身份验证)： 使用声明向用户提供对资源的访问权限，区别于的用户名和密码。
Lightweight Directory Services (轻量级目录服务)：
- AD LDS (Active Directory Lightweight Directory Services)： 为应用程序提供轻量级目录服务，允许在单个服务器上存储目录数据，不必部署完整的域控制器。
Group Policy (组策略)：
- Group Policy Objects (GPOs)： 用于配置Windows客户端和服务器的安全性和行为。通过GPO管理员可以集中管理组织中计算机和用户的设置。
Active Directory Administrative Center (ADAC)：
- 管理中心： 提供图形用户界面，管理员可以更轻松地管理和配置 AD。是用于执行各种管理任务的集中管理工具。

管理扩展

除了上面提到的主要功能组件外，还有一些其他与 Active Directory 相关的组件和服务，这些组件是为了增强 AD 的功能、扩展支持范围或提供附加的管理和安全性。
其他相关组件：

Windows PowerShell for Active Directory：
- PowerShell 模块： 提供了一套命令行工具，使管理员能够使用脚本自动执行各种 AD 管理任务。自动化和批量操作更加容易。
Read-Only Domain Controllers (RODC)：
- 只读域控制器： 提供在边缘网络或不太安全的环境中部署域控制器选项。RODC 存储只读副本，不允许对域数据库进行写操作，以此减少潜在的安全风险。
Active Directory Rights Management Services (AD RMS)：
- AD RMS 服务器： 用于创建和管理对文档和电子邮件等内容的权限。AD RMS 支持文件加密、访问控制和策略保护。
Active Directory Web Services (ADWS)：
- Web 服务： 允许开发人员通过 Web 服务接口与 Active Directory 进行交互。提供标准的 Web 协议与 AD 进行通信的方式。
Active Directory Recycle Bin：
- 回收站： 允许管理员还原意外删除的 AD 对象。启用回收站后，可以方便的还原被删除的用户、组、计算机等对象。
Active Directory Trusts：
- 信任关系： 允许不同的 AD 域之间建立信任关系，使用户和资源可以跨域进行访问。信任关系有单向和双向两种类型。
Windows Server Backup with AD Integration：
- 备份集成： 允许使用 Windows Server Backup 对整个域控制器进行备份和还原，包括 AD 数据库和系统状态。
Active Directory Site and Services：
- 站点和服务： 用于配置和管理 AD 网络拓扑结构，提供多个站点之间复制和通信效率。
Active Directory Monitoring and Troubleshooting Tools：
- 监控和故障排除工具： 包括 Event Viewer、Replication Monitor、DCDiag 等工具，用于监视和解决 AD 环境中的问题。
Active Directory Migration Tools (ADMT)：

迁移工具： 允许管理员在不同的域之间迁移用户、组和计算机等对象。主要用于合并域或域迁移操作。

Active Directory Schema：

架构： 包含有关 AD 中对象和属性的定义。架构管理工具允许管理员扩展或修改 AD 架构的特定需求。

这些组件，使 Active Directory 成为一个功能强大、安全可靠的身份管理和目录服务。每个组件都有其独特的角色和功能，共同构建了一个完整的 AD 环境。
服务和工具补充和扩展 Active Directory 的功能，帮助管理员能够更好地管理、维护和优化其 AD 环境。

域控制器（Domain Controller）

域控制器是 Active Directory 中的主要操作角色，负责存储和管理域中的目录数据库。

存储目录数据库： 域控制器存储有关域中的对象（如用户、计算机、组等）信息。
LDAP 服务： 提供 LDAP（轻量级目录访问协议）服务，客户端可以查询和修改存储在目录数据库中的信息。
身份验证服务： 管理用户和计算机的身份验证。当用户登录到域时，域控制器验证其身份，并授予适当的访问权限。
Kerberos 认证： 身份验证机制，使用 Kerberos 协议对用户身份验证。
复制服务： 在多个域控制器之间进行定期的复制，保证目录数据库的一致性。
Global Catalog： 根据需求域控制器配置为全局编录服务器，提供对整个林中对象的全局查找能力。
处理登录请求： 处理用户登录请求并分发登录令牌，授予用户在域中的访问权限。

域计算机对象

域计算机对象是域中的计算机设备，可以是服务器、工作站或其他网络设备。

标识计算机设备： 域计算机对象标识和存储有关域中计算机的信息，包括计算机的名称、操作系统版本等。
加入域： 当计算机设备加入域时，在域中创建相应的域计算机对象。域控制器可以管理和验证这些计算机设备。
管理策略： 域计算机对象允许管理员通过组策略（Group Policy）来管理计算机的配置和行为。组策略可以通过域控制器推送到域中的计算机。
身份验证： 当计算机设备登录到域时，域计算机对象用于身份验证。域控制器验证计算机的身份，并分配相应的访问权限。
DNS 注册： 计算机加入域后，相关的 DNS 记录会自动注册到域中，以便域内其他计算机能够解析该计算机的名称。
存储计算机属性： 域计算机对象存储关于计算机的一些属性，如计算机描述、操作系统版本、创建日期等。

域控制器和域计算机对象共同构建 Active Directory 环境中的基础设施，支持用户和计算机的安全身份验证、访问控制以及集中管理。

域控制器角色

域控制器在 Active Directory 中有不同的角色和分类，每个角色都具有特定的功能。

主域控制器（Primary Domain Controller, PDC）：
- 在域中只能有一个主域控制器。
- 存储主要的域数据库副本，负责所有的写操作（用户更改密码等）。
- 充当域中其他域控制器的主要源，负责同步更新。
附属域控制器（Backup Domain Controller, BDC）：
- 早期版本的 Windows 中使用的术语，现在的域控制器不再明确区分主域控制器和附属域控制器。
- 域控制器之间的角色不再是主次关系，而是相对独立的。
只读域控制器（Read-Only Domain Controller, RODC）：
- 存储只读副本的域控制器，不允许直接在该控制器上进行写操作。
- 适用于边缘网络或不太安全的环境，提高了安全性。
全局编录服务器角色（Global Catalog Server）：
- 存储全局编录，提供对整个林中对象的全局查找能力。
- 包含域中所有域的部分副本，以支持跨域查询。
架构主控制器角色（Schema Master）：
- 管理 Active Directory 架构，负责对架构的更改和更新。
- 只能有一个架构主控制器在整个林中。
域命名主控制器角色（Domain Naming Master）：
- 管理域命名空间，负责添加或删除域。
- 只能有一个域命名主控制器在整个林中。
RID 主控制器角色（RID Master）：
- 分配唯一的相对标识符（RID）池给每个域控制器，创建安全标识。
- 只能有一个RID主控制器在整个林中。
基础架构主控制器角色（Infrastructure Master）：
- 负责在不同域之间维护对象的引用关系。
- 当一个对象在一个域中被引用到另一个域时，基础架构主控制器负责更新引用。

这些角色分散在不同的域控制器上，确保了系统的可伸缩性和可靠性。域控制器的角色分配可以根据网络拓扑和组织需求进行调整。在较小的网络中，一个域控制器可能同时拥有多个角色，而在大型网络中，这些角色可能被分布到多个域控制器上，以提高性能和可用性。

管理用户和计算机

在 Active Directory 中，对计算机和用户的管理涉及到许多方面，包括创建、配置、授权、监控等。
)
AD 中对计算机和用户管理做一个简短描述：

用户管理：

创建用户账户：
- 使用 Active Directory Users and Computers 工具或 PowerShell 等方式创建用户。
- 设置用户名、密码、用户主体名称等基本信息。
存储用户：
- 使用组织单元（OU）将用户账户按结构存放，便于管理。
- 利用组织结构反映组织的层次和结构。
分配组成员资格：
- 将用户添加到适当的安全组或分配权限组，以授予用户相应的访问权限。
密码策略和重置：
- 配置密码策略，包括复杂性要求、密码过期等。
- 支持用户密码的重置和管理。
账户启用和禁用：
- 启用或禁用用户账户，控制用户是否可以登录。
- 配置帐户锁定策略以防止恶意登录尝试。
审计和监控：
- 启用审计策略，跟踪用户活动和权限更改。
- 监控用户的登录和注销情况。

用户属性

Active Directory 中的用户对象有很多属性，用于存储和管理用户的各种信息。
一些常见的用户属性：

Common-Name (cn)：
- 用户对象的通用名称。
Distinguished Name (dn)：
- 用户对象的区别名称，唯一标识该对象在整个目录树中的位置。
Object Class (objectClass)：
- 标识用户对象的类别，默认为"user"。
sAMAccountName：
- 用户的安全帐户管理器（SAM）帐户名称，用于登录和身份验证。
userPrincipalName：
- 用户主体名称， Kerberos 身份验证等。
User Account Control (userAccountControl)：
- 用户对象的状态和属性信息，例如是否启用、是否需要密码更改等。
Given Name (givenName)：
- 用户的名字或给定名。
Surname (sn)：
- 用户的姓氏。
DisplayName：
- 用户的显示名称，默认是用户的全名。
Description：
- 提供有关用户的描述信息，管理员添加描述。
Title：
- 的职务或头衔。
Department：
- 所属的部门。
Company：
- 所属的公司。
Email Address (mail)：
- 电子邮件地址。
Telephone Number (telephoneNumber)：
- 电话号码。
Street Address (streetAddress)：
- 街道地址。
City (l)：
- 用户所在城市。
State (st)：
- 用户所在州或省。
Postal Code (postalCode)：
- 用户邮政编码。
Member Of：
- 存储用户所属的安全组。
Manager：
- 用户直接经理或上级。
When Created / When Changed：
- 记录用户对象的创建时间和上次更改时间。
Account Expiration Date (accountExpires)：
- 指定用户帐户的过期日期。
Last Logon / Last Logoff：
- 记录用户的最后登录和注销时间。

这些属性提供有关用户的各种信息，从基本的身份信息到联系信息和职务信息等等。

计算机管理：

创建计算机账户：
- 使用 Active Directory Users and Computers 工具或 PowerShell 创建计算机账户。
- 设置计算机名称、计算机类型等基本信息。
计算机对象：
- 使用组织单元（OU）对计算机账户进行存放和编排，便于管理。
- 利用组织结构反映组织的网络拓扑。
计算机属性管理：
- 维护计算机属性，包括操作系统信息、描述等。
- 通过组策略管理计算机配置，功能和软件。
加入域和离开域：
- 将计算机加入域，以便进行身份验证和访问域资源。
- 可以将计算机从域中撤销，使其成为工作组成员。
计算机的审计和监控：
- 启用审计策略，跟踪计算机的活动和权限更改。
- 监控计算机的性能和状态。

这些管理方法和功能使管理员能够有效地组织、配置、授权和监控域中的用户和计算机。

计算机属性

域内计算机对象，表示和管理域中的计算机设备。计算机对象同样具有许多属性。
域内计算机对象的一些常见属性：

Common-Name (cn)：
- 存储计算机对象的通用名称。
Distinguished Name (dn)：
- 存储计算机对象的区别名称，唯一标识该对象在整个目录树中的位置。
Object Class (objectClass)：
- 标识计算机对象的类别，默认为"computer"。
sAMAccountName：
- 存储计算机对象的安全帐户管理器（SAM）帐户名称，用于身份验证和识别计算机。
userAccountControl：
- 包含计算机对象的状态和属性信息，例如是否启用、是否需要密码更改等。
Operating System (operatingSystem)：
- 存储计算机的操作系统名称，例如 “Windows 10”.
Operating System Version (operatingSystemVersion)：
- 存储计算机操作系统的版本信息，例如 “10.0 (Build 19042)”.
Operating System Service Pack (operatingSystemServicePack)：
- 存储计算机操作系统的服务包信息。
Description：
- 提供有关计算机的描述信息，可以是管理员添加的自定义描述。
Location (location)：
- 存储计算机的位置信息，一般由管理员添加。
Member Of：
- 存储计算机对象所属的安全组。
DnsHostName：
- 存储计算机的 DNS 主机名。
Service Principal Names (SPNs)：
- 存储用于 Kerberos 身份验证的服务主体名称。
When Created / When Changed：
- 记录计算机对象的创建时间和上次更改时间。