微软 AD |域控制器 | 组件 | 域服务 | 对象解析

news2024/12/25 1:53:55

介绍

Active Directory(AD),是微软的目录服务,提供强大的功能和管理体系,用于组织管理和安全存储网络上的资源和用户、计算机、服务对象等信息。
image.png
AD 功能:

  1. 身份验证和访问控制:

    • 提供集中式的身份验证服务,允许用户通过单一登录(Single Sign-On)访问多个资源。
    • 实施灵活的访问控制,管理用户对网络资源的权限。
  2. 目录服务:

    • 存储组织中的对象信息,如用户、计算机、组等,以层次结构的形式进行管理和维护。
    • 使用LDAP(轻量级目录访问协议)提供对目录数据的标准访问。
  3. 组织单元(OU):

    • 允许管理员将目录中的对象组织成层次结构,以简化管理和应用策略。
    • 提供灵活的组织单元(OU)结构,可根据组织的需要进行定制。
  4. 组策略(Group Policy):

    • 允许管理员通过组策略集中管理用户和计算机的配置。
    • 应用安全设置、脚本、软件部署等,确保一致性和安全性。
  5. 安全标识和身份管理:

    • 为域中的每个对象分配唯一的安全标识符(SID)。
    • 提供对用户、计算机和组等对象的集中身份管理。
  6. 复制服务:

    • 在多个域控制器之间进行定期的复制,以确保目录数据库的一致性。
    • 提供高可用性和故障恢复机制。
  7. 认证服务:

    • 支持多种身份验证机制,包括Kerberos认证。
    • 提供安全的用户身份验证,防止未经授权的访问。
  8. DNS集成:

    • 与域名系统(DNS)集成,提供对域中对象的域名解析服务。
    • 使用DNS名称标识域中的对象。
  9. 证书服务(AD CS):

    • 提供数字证书的管理和发布,用于加密通信和身份验证。
    • 集成到域中以支持公钥基础设施(PKI)。
  10. 目录集成服务:

    • 允许管理员集成AD和其他目录服务,实现跨平台的身份管理。
  11. 目录联合身份认证服务(AD FS):

    • 提供身份验证和授权服务,支持跨域身份验证。
    • 用于实现单一登录(Single Sign-On)和访问控制。
  12. 目录审计:

    • 记录对目录中对象的更改,以实现审计和合规性需求。

Active Directory 提供安全、高效、集中化的身份管理和资源访问控制解决方案。其灵活性和可扩展性使其成为基础设施中不可或缺的一部分。

组件

Active Directory(AD),由多个组件组成。这些组件共同工作,提供身份验证、授权、资源管理等服务。

组件介绍:

  1. Domain Services (域服务):

    • Domain Controller (域控制器): AD中最重要的组件之一。域控制器存储对象(如用户、计算机、打印机等)信息,并通过LDAP(Lightweight Directory Access Protocol)提供对这些信息的访问。

    • Active Directory Database (AD数据库): 存储所有AD对象的数据库。包括用户帐户、组、计算机等。

    • LDAP (轻量级目录访问协议): 用于在AD中检索和修改目录信息的协议。

    • Kerberos 认证: 提供强大的身份验证机制,用于验证用户和计算机。

  2. Certificate Services (证书服务):

    • 证书颁发机构 (CA): 签署和管理数字证书,用于加密通信和身份验证。CA创建、签署和分发证书,确保安全通信。

    • 证书模板: 提供证书的内容、格式和用途的模板,例如用户证书、计算机证书、服务器证书等。

  3. Directory Federation Services (目录联合身份认证服务):

    • Security Token Service (STS): 发布安全令牌,允许用户通过单一身份验证登录到多个服务。支持跨域身份验证和授权。

    • Claims-based Authentication (基于声明的身份验证): 使用声明向用户提供对资源的访问权限,区别于的用户名和密码。

  4. Lightweight Directory Services (轻量级目录服务):

    • AD LDS (Active Directory Lightweight Directory Services): 为应用程序提供轻量级目录服务,允许在单个服务器上存储目录数据,不必部署完整的域控制器。
  5. Group Policy (组策略):

    • Group Policy Objects (GPOs): 用于配置Windows客户端和服务器的安全性和行为。通过GPO管理员可以集中管理组织中计算机和用户的设置。
  6. Active Directory Administrative Center (ADAC):

    • 管理中心: 提供图形用户界面,管理员可以更轻松地管理和配置 AD。是用于执行各种管理任务的集中管理工具。

管理扩展

除了上面提到的主要功能组件外,还有一些其他与 Active Directory 相关的组件和服务,这些组件是为了增强 AD 的功能、扩展支持范围或提供附加的管理和安全性。
其他相关组件:

  1. Windows PowerShell for Active Directory:

    • PowerShell 模块: 提供了一套命令行工具,使管理员能够使用脚本自动执行各种 AD 管理任务。自动化和批量操作更加容易。
  2. Read-Only Domain Controllers (RODC):

    • 只读域控制器: 提供在边缘网络或不太安全的环境中部署域控制器选项。RODC 存储只读副本,不允许对域数据库进行写操作,以此减少潜在的安全风险。
  3. Active Directory Rights Management Services (AD RMS):

    • AD RMS 服务器: 用于创建和管理对文档和电子邮件等内容的权限。AD RMS 支持文件加密、访问控制和策略保护。
  4. Active Directory Web Services (ADWS):

    • Web 服务: 允许开发人员通过 Web 服务接口与 Active Directory 进行交互。提供标准的 Web 协议与 AD 进行通信的方式。
  5. Active Directory Recycle Bin:

    • 回收站: 允许管理员还原意外删除的 AD 对象。启用回收站后,可以方便的还原被删除的用户、组、计算机等对象。
  6. Active Directory Trusts:

    • 信任关系: 允许不同的 AD 域之间建立信任关系,使用户和资源可以跨域进行访问。信任关系有单向和双向两种类型。
  7. Windows Server Backup with AD Integration:

    • 备份集成: 允许使用 Windows Server Backup 对整个域控制器进行备份和还原,包括 AD 数据库和系统状态。
  8. Active Directory Site and Services:

    • 站点和服务: 用于配置和管理 AD 网络拓扑结构,提供多个站点之间复制和通信效率。
  9. Active Directory Monitoring and Troubleshooting Tools:

    • 监控和故障排除工具: 包括 Event Viewer、Replication Monitor、DCDiag 等工具,用于监视和解决 AD 环境中的问题。
  10. Active Directory Migration Tools (ADMT):

  • 迁移工具: 允许管理员在不同的域之间迁移用户、组和计算机等对象。主要用于合并域或域迁移操作。
  1. Active Directory Schema:
  • 架构: 包含有关 AD 中对象和属性的定义。架构管理工具允许管理员扩展或修改 AD 架构的特定需求。

这些组件,使 Active Directory 成为一个功能强大、安全可靠的身份管理和目录服务。每个组件都有其独特的角色和功能,共同构建了一个完整的 AD 环境。
服务和工具补充和扩展 Active Directory 的功能,帮助管理员能够更好地管理、维护和优化其 AD 环境。

域控制器(Domain Controller)

域控制器是 Active Directory 中的主要操作角色,负责存储和管理域中的目录数据库。

  1. 存储目录数据库: 域控制器存储有关域中的对象(如用户、计算机、组等)信息。

  2. LDAP 服务: 提供 LDAP(轻量级目录访问协议)服务,客户端可以查询和修改存储在目录数据库中的信息。

  3. 身份验证服务: 管理用户和计算机的身份验证。当用户登录到域时,域控制器验证其身份,并授予适当的访问权限。

  4. Kerberos 认证: 身份验证机制,使用 Kerberos 协议对用户身份验证。

  5. 复制服务: 在多个域控制器之间进行定期的复制,保证目录数据库的一致性。

  6. Global Catalog: 根据需求域控制器配置为全局编录服务器,提供对整个林中对象的全局查找能力。

  7. 处理登录请求: 处理用户登录请求并分发登录令牌,授予用户在域中的访问权限。

域计算机对象

域计算机对象是域中的计算机设备,可以是服务器、工作站或其他网络设备。

  1. 标识计算机设备: 域计算机对象标识和存储有关域中计算机的信息,包括计算机的名称、操作系统版本等。

  2. 加入域: 当计算机设备加入域时,在域中创建相应的域计算机对象。域控制器可以管理和验证这些计算机设备。

  3. 管理策略: 域计算机对象允许管理员通过组策略(Group Policy)来管理计算机的配置和行为。组策略可以通过域控制器推送到域中的计算机。

  4. 身份验证: 当计算机设备登录到域时,域计算机对象用于身份验证。域控制器验证计算机的身份,并分配相应的访问权限。

  5. DNS 注册: 计算机加入域后,相关的 DNS 记录会自动注册到域中,以便域内其他计算机能够解析该计算机的名称。

  6. 存储计算机属性: 域计算机对象存储关于计算机的一些属性,如计算机描述、操作系统版本、创建日期等。

域控制器和域计算机对象共同构建 Active Directory 环境中的基础设施,支持用户和计算机的安全身份验证、访问控制以及集中管理。

域控制器角色

域控制器在 Active Directory 中有不同的角色和分类,每个角色都具有特定的功能。
image.png

  1. 主域控制器(Primary Domain Controller, PDC):

    • 在域中只能有一个主域控制器。
    • 存储主要的域数据库副本,负责所有的写操作(用户更改密码等)。
    • 充当域中其他域控制器的主要源,负责同步更新。
  2. 附属域控制器(Backup Domain Controller, BDC):

    • 早期版本的 Windows 中使用的术语,现在的域控制器不再明确区分主域控制器和附属域控制器。
    • 域控制器之间的角色不再是主次关系,而是相对独立的。
  3. 只读域控制器(Read-Only Domain Controller, RODC):

    • 存储只读副本的域控制器,不允许直接在该控制器上进行写操作。
    • 适用于边缘网络或不太安全的环境,提高了安全性。
  4. 全局编录服务器角色(Global Catalog Server):

    • 存储全局编录,提供对整个林中对象的全局查找能力。
    • 包含域中所有域的部分副本,以支持跨域查询。
  5. 架构主控制器角色(Schema Master):

    • 管理 Active Directory 架构,负责对架构的更改和更新。
    • 只能有一个架构主控制器在整个林中。
  6. 域命名主控制器角色(Domain Naming Master):

    • 管理域命名空间,负责添加或删除域。
    • 只能有一个域命名主控制器在整个林中。
  7. RID 主控制器角色(RID Master):

    • 分配唯一的相对标识符(RID)池给每个域控制器,创建安全标识。
    • 只能有一个RID主控制器在整个林中。
  8. 基础架构主控制器角色(Infrastructure Master):

    • 负责在不同域之间维护对象的引用关系。
    • 当一个对象在一个域中被引用到另一个域时,基础架构主控制器负责更新引用。

这些角色分散在不同的域控制器上,确保了系统的可伸缩性和可靠性。域控制器的角色分配可以根据网络拓扑和组织需求进行调整。在较小的网络中,一个域控制器可能同时拥有多个角色,而在大型网络中,这些角色可能被分布到多个域控制器上,以提高性能和可用性。

管理用户和计算机

在 Active Directory 中,对计算机和用户的管理涉及到许多方面,包括创建、配置、授权、监控等。
image.png)
AD 中对计算机和用户管理做一个简短描述:

用户管理:
  1. 创建用户账户:

    • 使用 Active Directory Users and Computers 工具或 PowerShell 等方式创建用户。
    • 设置用户名、密码、用户主体名称等基本信息。
  2. 存储用户:

    • 使用组织单元(OU)将用户账户按结构存放,便于管理。
    • 利用组织结构反映组织的层次和结构。
  3. 分配组成员资格:

    • 将用户添加到适当的安全组或分配权限组,以授予用户相应的访问权限。
  4. 密码策略和重置:

    • 配置密码策略,包括复杂性要求、密码过期等。
    • 支持用户密码的重置和管理。
  5. 账户启用和禁用:

    • 启用或禁用用户账户,控制用户是否可以登录。
    • 配置帐户锁定策略以防止恶意登录尝试。
  6. 审计和监控:

    • 启用审计策略,跟踪用户活动和权限更改。
    • 监控用户的登录和注销情况。
用户属性

Active Directory 中的用户对象有很多属性,用于存储和管理用户的各种信息。
一些常见的用户属性:

  1. Common-Name (cn):

    • 用户对象的通用名称。
  2. Distinguished Name (dn):

    • 用户对象的区别名称,唯一标识该对象在整个目录树中的位置。
  3. Object Class (objectClass):

    • 标识用户对象的类别,默认为"user"。
  4. sAMAccountName:

    • 用户的安全帐户管理器(SAM)帐户名称,用于登录和身份验证。
  5. userPrincipalName:

    • 用户主体名称, Kerberos 身份验证等。
  6. User Account Control (userAccountControl):

    • 用户对象的状态和属性信息,例如是否启用、是否需要密码更改等。
  7. Given Name (givenName):

    • 用户的名字或给定名。
  8. Surname (sn):

    • 用户的姓氏。
  9. DisplayName:

    • 用户的显示名称,默认是用户的全名。
  10. Description:

    • 提供有关用户的描述信息,管理员添加描述。
  11. Title:

    • 的职务或头衔。
  12. Department:

    • 所属的部门。
  13. Company:

    • 所属的公司。
  14. Email Address (mail):

    • 电子邮件地址。
  15. Telephone Number (telephoneNumber):

    • 电话号码。
  16. Street Address (streetAddress):

    • 街道地址。
  17. City (l):

    • 用户所在城市。
  18. State (st):

    • 用户所在州或省。
  19. Postal Code (postalCode):

    • 用户邮政编码。
  20. Country ©:

    • 用户所在国家。
  21. Member Of:

    • 存储用户所属的安全组。
  22. Manager:

    • 用户直接经理或上级。
  23. When Created / When Changed:

    • 记录用户对象的创建时间和上次更改时间。
  24. Account Expiration Date (accountExpires):

    • 指定用户帐户的过期日期。
  25. Last Logon / Last Logoff:

    • 记录用户的最后登录和注销时间。

这些属性提供有关用户的各种信息,从基本的身份信息到联系信息和职务信息等等。

计算机管理:
  1. 创建计算机账户:

    • 使用 Active Directory Users and Computers 工具或 PowerShell 创建计算机账户。
    • 设置计算机名称、计算机类型等基本信息。
  2. 计算机对象:

    • 使用组织单元(OU)对计算机账户进行存放和编排,便于管理。
    • 利用组织结构反映组织的网络拓扑。
  3. 计算机属性管理:

    • 维护计算机属性,包括操作系统信息、描述等。
    • 通过组策略管理计算机配置,功能和软件。
  4. 加入域和离开域:

    • 将计算机加入域,以便进行身份验证和访问域资源。
    • 可以将计算机从域中撤销,使其成为工作组成员。
  5. 计算机的审计和监控:

    • 启用审计策略,跟踪计算机的活动和权限更改。
    • 监控计算机的性能和状态。

这些管理方法和功能使管理员能够有效地组织、配置、授权和监控域中的用户和计算机。

计算机属性

域内计算机对象,表示和管理域中的计算机设备。计算机对象同样具有许多属性。
域内计算机对象的一些常见属性:

  1. Common-Name (cn):

    • 存储计算机对象的通用名称。
  2. Distinguished Name (dn):

    • 存储计算机对象的区别名称,唯一标识该对象在整个目录树中的位置。
  3. Object Class (objectClass):

    • 标识计算机对象的类别,默认为"computer"。
  4. sAMAccountName:

    • 存储计算机对象的安全帐户管理器(SAM)帐户名称,用于身份验证和识别计算机。
  5. userAccountControl:

    • 包含计算机对象的状态和属性信息,例如是否启用、是否需要密码更改等。
  6. Operating System (operatingSystem):

    • 存储计算机的操作系统名称,例如 “Windows 10”.
  7. Operating System Version (operatingSystemVersion):

    • 存储计算机操作系统的版本信息,例如 “10.0 (Build 19042)”.
  8. Operating System Service Pack (operatingSystemServicePack):

    • 存储计算机操作系统的服务包信息。
  9. Description:

    • 提供有关计算机的描述信息,可以是管理员添加的自定义描述。
  10. Location (location):

    • 存储计算机的位置信息,一般由管理员添加。
  11. Member Of:

    • 存储计算机对象所属的安全组。
  12. DnsHostName:

    • 存储计算机的 DNS 主机名。
  13. Service Principal Names (SPNs):

    • 存储用于 Kerberos 身份验证的服务主体名称。
  14. When Created / When Changed:

    • 记录计算机对象的创建时间和上次更改时间。

计算机属性提供有关域内计算机对象信息,可以用于身份验证、管理和跟踪计算机设备。

总结

在 Active Directory 中,用户和计算机的管理涉及多个方面,包括创建、组织、分配权限、配置属性、密码策略、审计等。
这些管理方法有助于有效地配置、授权、维护和监控域中的用户和计算机,确保基础架构及网络安全高效运行。通过适当的管理实践满足组织管理需求。

Ending


~喜欢的话,请收藏 | 关注(✪ω✪)~
~万一有趣的事还在后头呢,Fight!!(o^-^)~''☆ミ☆ミ~……

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1413231.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

2024 高级前端面试题之 CSS 「精选篇」

该内容主要整理关于 CSS 的相关面试题,其他内容面试题请移步至 「最新最全的前端面试题集锦」 查看。 CSS模块精选篇 1. 盒模型2. BFC3. 层叠上下文4. 居中布局5. 选择器权重计算方式6. 清除浮动7. link 与 import 的区别8. CSS3的新特性9. CSS动画和过渡10. 有哪些…

Mac中java jdk、android sdk、flutter sdk目录

1、Java JDK 目录 (1)官网下载的 Java JDK Java JDK下载官网 /Library/Java/JavaVirtualMachines(2)Android Studio下载的 Java JDK /Users/用户名/Library/Java/JavaVirtualMachines2、Android SDK 目录 /Users/用户名/Libr…

以梦为码,CodeArts Snap 缩短我与算法的距离

背景 最近一直在体验华为云的 CodeArts Snap,逐渐掌握了使用方法,代码自动生成的准确程度大大提高了。 自从上次跟着 CodeArts Snap 学习用 Python 编程,逐渐喜欢上了 Python。 我还给 CodeArts Snap 起了一个花名: 最佳智能学…

SQL注入实战:二阶注入

一、二阶注入的原理 1、二阶注入也称为SOL二次注入。 2、二次注入漏洞是一种在Web应用程序中广泛存在的安全漏洞形式:相对于一次注入漏洞而言,二次注入漏洞更难以被发现,但是它却具有与一次注入攻击漏洞相同的攻击威力。 3、简单的说,二次…

GitHub国内打不开(解决办法有效)

最近国内访问github.com经常打不开,无法访问。 github网站打不开的解决方法 1.打开网站http://tool.chinaz.com/dns/ ,在A类型的查询中输入 github.com,找出最快的IP地址。 2.修改hosts文件。 在hosts文件中添加: # localhost n…

Leetcode—2807. 在链表中插入最大公约数【中等】

2023每日刷题(九十九) Leetcode—2807. 在链表中插入最大公约数 实现代码 /*** Definition for singly-linked list.* struct ListNode {* int val;* ListNode *next;* ListNode() : val(0), next(nullptr) {}* ListNode(int x) : val…

Datawhale 组队学习之大模型理论基础 Task7 分布式训练

第8章 分布式训练 8.1 为什么分布式训练越来越流行 近年来,模型规模越来越大,对硬件(算力、内存)的发展提出要求。因为内存墙的存在,单一设持续提高芯片的集成越来越困难,难以跟上模型扩大的需求。 为了…

力扣每日一题 ---- 1039. 多边形三角剖分的最低得分

这题的难点在哪部分呢,其实是怎么思考。这道题如果之前没做过类似的话,还是很难看出一些性质的,这题原本的话是没有图片把用例显示的这么详细的。这题中有个很隐晦的点没有说出来 剖出来的三角形是否有交叉,这题中如果加一个三角…

企业级大数据安全架构(六)数据授权和审计管理

作者:楼高 本节详细介绍企业级大数据架构中的第六部分,数据授权和审计管理 1.Ranger简介 Apache Ranger是一款被设计成全面掌管Hadoop生态系统的数据安全管理框架,为Hadoop生态系统众多组件提供一个统一的数据授权和管理界面, 管…

Redis为什么速度快:数据结构、存储及IO网络原理总结

Redis,作为内存数据结构存储的佼佼者,其高性能表现一直备受赞誉。那么,Redis究竟是如何实现这一点的呢?接下来,我们将更深入地探讨其背后的关键技术,并提供进一步的优化策略。 一、内存存储与数据结构设计…

【Linux】进程概述

创作不易&#xff0c;本篇文章如果帮助到了你&#xff0c;还请点赞 关注支持一下♡>&#x16966;<)!! 主页专栏有更多知识&#xff0c;如有疑问欢迎大家指正讨论&#xff0c;共同进步&#xff01; &#x1f525;c系列专栏&#xff1a;C/C零基础到精通 &#x1f525; 给大…

FlashInternImage实战:使用FlashInternImage实现图像分类任务(一)

文章目录 摘要安装包安装timm 数据增强Cutout和MixupEMA项目结构编译安装DCNv4环境安装过程配置CUDAHOME解决权限不够的问题 按装ninja编译DCNv4 计算mean和std生成数据集 摘要 https://arxiv.org/pdf/2401.06197.pdf 论文介绍了Deformable Convolution v4&#xff08;DCNv4&…

单片机学习笔记---动态数码管显示

上一节我们得出一个结论&#xff0c;多位一体的数码管不可能在同一时刻显示多个不同数字&#xff0c;即使有多位选中的话&#xff0c;那显示的数字也会是相同的。这是由于他们共用引脚导致的这个现象。当然这也是为了节省引脚的连接方式&#xff0c;方便操作。 那这样的连接方式…

React中使用LazyBuilder实现页面懒加载方法二

前言&#xff1a; 在一个表格中&#xff0c;需要展示100条数据&#xff0c;当每条数据里面需要承载的内容很多&#xff0c;需要渲染的元素也很多的时候&#xff0c;容易造成页面加载的速度很慢&#xff0c;不能给用户提供很好的体验时&#xff0c;懒加载是优化页面加载速度的方…

NC开发客户端(前端)连接启动失败can‘t connect to server, please wait

效果图 解决方法 IP地址和端口要对应 1-IP地址中间启动&#xff0c;肯定是这个127.0.0.1 2-端口号&#xff0c;要对应中间件启动在控制台输出的端口 或者是在home目录-》bin-》sysConfig.bat这里面的服务器&#xff0c; 里面可以看到对应启动ip地址和端口

浪花 - 响应拦截器(强制登录)

1. 配置响应拦截器 import axios from axios;const myAxios axios.create({baseURL: http://localhost:8080/api/, });myAxios.defaults.withCredentials true;// 请求拦截器 myAxios.interceptors.request.use(function (config) {// Do something before request is sentc…

【C++】list讲解及模拟

目录 list的基本介绍 list模拟实现 一.创建节点 二.迭代器 1.模版参数 2.迭代器的实现&#xff1a; a. ! b. c. -- d. *指针 e.&引用 整体iterator (与const复用)&#xff1a; 三.功能实现 1.模版参数 2.具体功能实现&#xff1a; 2.1 构造函数 2.2 begi…

第139期 做大还是做小-Oracle名称哪些事(20240125)

数据库管理139期 2024-01-25 第139期 做大还是做小-Oracle名称哪些事&#xff08;20240125&#xff09;1 问题2 排查3 扩展总结 第139期 做大还是做小-Oracle名称哪些事&#xff08;20240125&#xff09; 作者&#xff1a;胖头鱼的鱼缸&#xff08;尹海文&#xff09; Oracle A…

云计算中的弹性是什么?

云弹性是指当客户需求增加或减少时&#xff0c;自动从数据中心配置和取消配置资源。这使得云资源(包括计算、存储和内存资源)能够根据需求变化快速重新分配。CPU/处理、内存、输入/输出带宽和存储容量等计算资源可以根据需要增加或减少&#xff0c;而不会影响系统性能。 它旨在…

前端工程化基础(一):Node模块化

Node模块化 Node.js是什么 官方定义&#xff1a;Node.js是一个基于V8 JavaScript引擎的JavaScript运行时的环境 Node.js基于V8引擎来执行 JavaScript代码&#xff0c;但是Node.js中不仅仅有V8 我们知道&#xff0c;V8可以嵌入到C应用程序中&#xff0c;因此无论是Chrome还是No…