网络安全服务基础Windows--第12节-域与活动目录

news2024/12/21 5:44:56
工作组
在Windows环境中配置⼯作组相对简单,适合⼩型⽹络环境,如家庭或⼩型办公室⽹络。⼯作组通过简单的⽹络共享和本地管理来实现资源共享,⽽不依赖于中央控制的服务器。
定义:⼯作组是⼀种对等⽹络模型,在这种模型中,每台计算机独⽴管理⾃⼰的⽤户和资源。在⼯作组中,没有中央控制的计算机。
⽹络资源:⼯作组中的⽹络资源较少,每台计算机管理⾃⼰的资源如打印机、⽂件等。
管理⽅式:在⼯作组中,资源和⽤户的管理是分散的。每台计算机的管理员负责维护其系统的安全和配置。
规模适⽤性:⼯作组最适合⼩型⽹络,如家庭⽹络或⼩型办公室,通常适⽤于少于⼗台计算机的环境。

在Windows⽹络中,域是⼀种形式的计算机⽹络,其中所有的计算机成员都被集中管理。域提供了⼀种⽅法来管理⼀个⼤型⽹络的权限和资源,如⽤户账户、计算机、打印机等设备。域中的计算机可以共享资源,例如⽂件系统和打印机,⽤户只需在域中进⾏⼀次登录(单点登录),就可以访问其有权限的所有资源。
域是通过⼀个或多个服务器配置成为域控制器实现的,这些域控制器负责维护域的安全策略和⽤户帐户信息。⼀个企业可以拥有⼀个或多个域,这些域可以设置信任关系,共享数据和⽤户访问权限。

 域(Domain)

域是⼀个或多个⽹络的集合,这些⽹络在⼀个中央数据库中共享相同的⽤户帐户、安全策略和安全关系。域提供了⼀种⽅法来集中管理⽤户、组、计算机和其他对象的身份验证和授权。所有这些管理⼯作都是在⼀个中央位置进⾏,使得管理员可以轻松地为新⽤户设置帐户,更新策略或部署新程序和服务到整个⽹络。

 域控制器(Domain Controller, DC)

域控制器是管理域资源的服务器。它存储了所有域⽤户帐户信息和安全策略,并负责处理域中的身份验证请求,如⽤户登录。当⼀个⽤户试图访问⽹络资源时,他们的登录请求被发送到域控制器,域控制器验证⽤户的凭据并决定是否授予访问权限。

功能和⻆⾊  

域控制器主要负责以下功能:
身份验证服务:验证⽤户或计算机的凭证,确保它们是谁说的那样。
⽬录服务:提供⼀个中央位置,⽤于存储⽹络对象如⽤户、组、计算机的信息,通常这是通过Active Directory实现的。
策略管理:集中管理和实施安全策略和⽤户配置,如密码策略、权限设置等。

 如何设置和维护

在设置域时,通常⾸先需要安装并配置Active Directory Domain Services(AD DS),然后将⾄少⼀台服务器提升为域控制器。这个过程包括:
1. 安装Active Directory:在Windows Server上,通过服务器管理器安装AD DS⻆⾊。
2. 提升为域控制器:运⾏Active Directory域服务安装向导,创建新域或加⼊现有域,并将服务器设置为域控制器。

管理和监控

管理域环境涉及监控域控制器的健康状况,管理⽤户帐户和安全策略,以及确保数据备份和灾难恢复计划的有效性。
使⽤⼯具如Microsoft Management Console (MMC) 和 PowerShell,可以有效地管理域和域控制器。

 域结构

 逻辑结构

单域(Single Domain)
定义:单域环境只包含⼀个域。这是最简单的Active Directory结构,适⽤于不需要复杂管理或特别隔离的⼩型组织。
特点:管理简单,所有资源如⽤户、计算机、策略都在同⼀个域中管理。没有跨域信任问题,⽹络管理和维护相对容易。

域树(Domain Tree)
定义:域树是由⼀个或多个相关域组成的集合,这些域共享⼀个连续的命名空间。树中的域通过双向传递信任关系连接。
特点:所有域在结构上是平级的或有层次的,具有共同的安全策略和关系。域树可以帮助组织更好地管理扩展和按逻辑分组资源。

域林(Domain Forest)
定义:域林是⼀个或多个域树的集合,其中每个树的命名空间都是独⽴的,但它们共享⼀个全局⽬录架构。
特点:林是AD的最⾼安全边界,它可以进⾏林间信任、架构更新和策略制定。林允许⼤型组织在保持某种独⽴的同时,实现跨多个树的资源共享。

组织单元(Organizational Unit, OU)
定义:组织单元是AD中的⼀个容器对象,⽤于对⽤户、组、设备等资源进⾏逻辑分组。
特点:OU是⽇常管理的基本单元,允许管理员对集合内的资源应⽤特定的策略和权限。OU的设计通常反映了组织的⾏政结构或业务需求,如按部⻔、地理位置等进⾏组织。

如何理解这些结构的关系和应⽤ 

层级性: 域是AD结构的基本组成部分,⽐OU更⾼级。⼀个域可以包含多个OU 。单域属于单⼀层 7 级,域树和域林代表了更复杂的层级关系,其中包含了多个域。
管理灵活性:随着从单域到林的过渡,管理灵活性和复杂性增加,允许⼤型组织有效地控制不同地区和部⻔的策略。
安全和策略应⽤:通过OU,管理员可以更细致地控制策略和权限,例如只对特定部⻔的⽤户应⽤某个特定的安全策略。

 物理结构

物理结构主要与数据的物理存储和AD服务的分布有关,涉及到如何在⽹络中布置域控制器、站点和复制拓扑。这些结构保证AD可以在⽹络中⾼效、安全地运⾏,特别是在⼴域⽹络环境中。

1. 站点(Sites)
定义:站点是⼀组互连的局域⽹络(LAN),它们之间的⽹络连接速度很快。AD中的站点⽤来组织⽹络中的物理结构。
作⽤:站点帮助优化⽹络流量和复制流量。AD利⽤站点信息来配置和优化在慢速或昂贵的⼴域⽹络链接上的复制。站点还⽤于帮助客户端找到最近的域控制器,从⽽减少登录和认证的延迟。
站点是AD中的⼀个物理概念,⽤于表示⼀个或多个⾼速⽹络连接的局部区域。在AD中,站点不仅帮助管理员组织⽹络的物理结构,还对以下⽅⾯有重要影响:
优化复制:站点帮助AD优化数据复制过程。通过配置站点和站点之间的连接,AD可以确定数据应如何在⽹络中⾼效复制,尤其是在跨⼴域⽹络连接时。
客户端请求处理:站点还⽤于帮助客户端找到最近的域控制器,从⽽提⾼登录和请求处理的速度。
流量管理:通过站点配置,可以控制⽹络流量,防⽌跨⼴域⽹络的不必要流量,优化⽹络带宽使⽤。
2. 域控制器(Domain Controllers)
域控制器是管理AD域资源的服务器,它负责存储域中所有对象的信息和管理安全策略。域控制器在AD的物理结构中扮演着核⼼⻆⾊:
身份验证和授权:域控制器处理所有的⽤户登录请求,执⾏身份验证并授权⽤户访问⽹络资源。
数据存储和管理:所有的⽤户数据、组策略和安全相关信息都存储在域控制器上。在有多个域控制器的环境中,这些数据会在它们之间复制,以确保数据的⼀致性和可⽤性。
服务位置:域控制器通常在多个地理位置部署,与站点的配置相结合,以确保⽤户和应⽤程序可以快速访问AD服务。

3.复制拓扑(Replication Topology)
定义:复制拓扑定义了域控制器如何相互复制信息的路径和⽅式。
组成:AD⾃动创建和维护复制拓扑,使⽤知识⼀致性检查器(KCC)来动态调整复制路径,确保所有的域控制器都能接收到更新的数据。

4.全局编录(Global Catalog)
定义:全局编录(GC)是⼀个域控制器,它包含了森林中所有域的部分可读属性的副本。这些属性被优化⽤于⽀持森林范围内的查询操作。
作用:全局编录服务器处理跨域的查询请求,如⽤户登录时验证⽤户身份和构建⽤户的访问权限列表。它也是必需的,以便⽤户能够登录到⽹络。

 物理部署的最佳实践

多域控制器:在每个主要的地理位置部署多个域控制器,以提供冗余和容错。
合理站点设计:合理规划站点和站点链接,以确保有效的复制和最⼩的⽹络流量。
全局编录的策略部署:在多个地理位置部署全局编录服务器,确保快速响应时间和业务连续性。

 主要区别

1、集中管理:域中可以设置集中式的管理员和安全策略,对域内的计算机和⽤户进⾏统⼀的
配置和管理。⽽在⼯作组中,每台计算机都需要单独进⾏配置和管理,这使得管理⼯作变得更加繁琐和复杂。
2、资源共享:域中的资源可以被整个域内的计算机共享,这使得资源更加⽅便地被访问和使
⽤。⽽在⼯作组中,资源通常只能被⼯作组内的计算机共享,跨⼯作组的资源共享⽐较困难。
3、认证和授权:域内可以集中进⾏⽤户认证和授权,使得⽤户只需要在域内的⼀台计算机上
进⾏认证,就可以在域内的其他计算机上登录和使⽤资源。⽽在⼯作组中,每台计算机都需要单独进⾏⽤户认证,这使得认证过程更加繁琐和复杂。
4、安全性:域可以设置更加严格的安全策略,对⽤户和计算机的⾏为进⾏更加严格的控制和
监管。⽽在⼯作组中,安全性相对较低,因为每台计算机都需要单独进⾏安全配置和管理。

 活动目录

活动⽬录(Active Directory,AD)是Microsoft开发的⼀种⽬录服务,⽤于Windows域⽹络。活动⽬录允许管理员通过⼀个⽤户友好的界⾯集中管理域中的资源、⽤户帐户、安全策略等。它使⽤轻量⽬录访问协议(LDAP)来访问和维护信息。

主要功能包括: 

身份管理:管理⽤户账户和计算机账户,以及它们的属性。
策略管理:集中管理⽤户和计算机的策略。
认证和授权:提供Kerberos协议⽀持的安全和单点登录功能。
⽬录服务:提供⼀个分布式数据库,存储和管理关于⽹络资源的信息以及应⽤程序数据。

 活动目录的组织结构主要包括以下几个层级:

域:基本的组织单元,存储所有⽤户、组和设备的信息。
树:包含⼀个或多个具有共同命名策略的域。
森林:由⼀个或多个域树组成,是活动⽬录的最⾼级逻辑容器。
组织单位(Organizational Unit, OU):OU 是域中的容器,⽤于组织和管理对象。OU 可以嵌套,⽀持更细粒度的管理。
全局编录(Global Catalog, GC):GC 是包含所有域中所有对象的⼦集的数据库,⽤于加速查询和跨域登录。

 设置活动目录

活动⽬录通常在安装Windows Server时作为⻆⾊添加,并在⾸次安装时通过运⾏AD DS(Active Directory Domain Services)安装向导进⾏配置。安装AD DS并提升服务器为域控制器后,就可以创建域,并开始添加⽤户和配置策略。

 使⽤场景

活动⽬录⾮常适⽤于需要严格控制⽤户和设备访问权限的⼤型企业环境。它⽀持⾃动化、提供了强⼤的安全性和管理多个域和森林的能⼒。通过使⽤组策略(Group Policy),管理员可以在整个组织中实施安全设置、软件安装等操作。

Active Directory名称空间  

在AD中,名称空间通常指的是在整个林或域中使⽤的命名约定。AD使⽤DNS格式来命名资源和服务位置,这允许AD使⽤DNS结构来⽀持⽬录服务的位置和复制服务。例如,在AD中,域控制器的名称会映射到其在DNS中的记录,以便⽹络中的其他服务和客户端可以找到它。
我们在服务器上通过查找⼀个对象可以查到的所有关联信息总和,如⼀个⽤户,如果我们在服务器已给这个⽤户定义了讲如:⽤户名、⽤户密码、⼯作单位、联系电话、家庭住址等,那上⾯所说的总和⼴义上理解就是“⽤户”这个名字的名字空间,因为我们只输⼊⼀个⽤户名即可找到上⾯我所列的⼀切信息。

 对象属性是构成数据模型的基本元素。这些概念有助于组织和管理⽹络中的各种资源。

对象(Object)
定义:在AD中,对象是⼀个独⽴实体,代表了⽹络环境中的⼀个资源或实体。每个对象都属于⼀个特定的类别,如⽤户、计算机、打印机、组等。
作⽤:对象存储了关于其代表的实体的信息,并且可以在⽬录中被查找和管理。例如,⽤户对象包含了关于⼀个⽤户的所有信息,如姓名、密码、权限设置等。
结构:对象由多个属性组成,这些属性定义了对象的特性和配置。在AD中,对象的属性可以是静态的(如姓名或电⼦邮件地址),也可以是动态的(如登录次数或最后登录时间)。

属性(Attribute)
定义:属性是附加在对象上的数据项,⽤于描述或配置对象。每个属性都有⼀个特定的数据类型和值范围。
作⽤:属性为对象提供了具体的信息,使得对象的管理和使⽤变得具体和有针对性。例如,⽤户对象的属性可以包括⽤户名、电⼦邮件地址、部⻔等。
定制:在AD中,管理员可以根据需要定制对象的属性,例如添加额外的属性来存储组织特定的信息或调整现有属性以符合特定的安全或业务需求。

应⽤实例
⽤户管理:在AD中,⽤户对象可能包括⽤户名、密码、电话号码、办公地点等属性。这些属性帮助管理员管理⽤户身份和控制对资源的访问权限。
资源访问:计算机和打印机等设备对象也通过属性定义,如设备位置、⽹络配置等,这些属性帮助⽹络中的⽤户找到并正确地使⽤这些资源。
安全与策略应⽤:某些属性,如安全标识符(SID)或访问控制列表(ACLs),⽤于定义安全策略和控制访问权限。

管理⼯具
AD提供了多种⼯具和服务,如Active Directory⽤户和计算机(ADUC)、Active Directory管理中⼼等,这些⼯具允许管理员创建、修改和删除对象和属性。这些管理活动是通过图形⽤户界⾯(GUI)或命令⾏⼯具(如PowerShell)完成的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2106630.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

ASP源码 发布站改制最终版 原来3000ok网通大站的源程序

ASP源码 新服发布站改制最终版 原来3000ok网通大站的源程序 这个是非常完整 兼容性很强的。 后台地址:http://你的域名/admin 账号:admin 密码:admin 会员发布地址:http://你的域名/gamevip 源码下载:https://downlo…

【网络安全】IIS未授权访问敏感数据

未经许可,不得转载。 文章目录 正文攻击方法正文 IIS 是 Internet Information Services 的缩写,是微软开发的一个基于 Windows 的 Web 服务器。 HAProxy 是一个知名的高性能负载均衡器和代理服务器。它通常用于将流量分发到多个后端服务器,常与 Web 服务器(包括 IIS)一…

智匠MindCraft:一站式AI模型API调用平台

智匠MindCraft提供了一站式的AI模型解决方案,通过单一API接口,用户可以轻松调用多种主流AI模型,涵盖大语言模型、图片生成、视频生成、语音识别和语音合成等多个领域。以下是该平台的详细介绍: 1、平台概览 主页访问&#xff1a…

基于Qt设计的人脸课堂考勤机系统(219)

文章目录 一、前言1.1 项目介绍【1】开发背景【2】项目实现的功能1.2 设计思路【1】系统架构设计【2】流程设计【3】关键技术实现【2】整体构架1.3 项目开发背景【1】选题的意义【2】可行性分析【3】参考文献【4】摘要【5】项目背景1.4 开发工具的选择1.5 系统框架图1.6 系统功…

How to apply streaming in azure openai dotnet web application?

题意:"如何在 Azure OpenAI 的 .NET Web 应用程序中应用流式处理?" 问题背景: I want to create a web api backend that stream openai completion responses. "我想创建一个 Web API 后端,用于流式传输 OpenAI…

计算机领域学术会议(ICCBD+AI 2024)

第五届计算机、大数据与人工智能国际会议(ICCBDAI 2024)将于2024年11月1日-3日在江西景德镇召开。 本届会议由景德镇陶瓷大学主办,西安交通大学、暨南大学、南京邮电大学、景德镇学院、ELSP(爱迩思出版社)、ESBK国际学…

《中国储运》是什么级别的期刊?是正规期刊吗?能评职称吗?

​问题解答 问:《中国储运》是不是核心期刊? 答:不是,是知网收录的正规学术期刊。 问:《中国储运》级别? 答:国家级。主管单位: 中储发展股份有限公司 主办单位&…

Openwrt远程唤醒Windows

OpenWrt 安装 luci-app-wol 安装 luci-app-wol,按下一节配置好Windows和主板。 电脑设置 参考 主板BIOS如何设置启用网络唤醒(WOL: Wake On Lan)功能远程唤醒远程控制——Windows 注意 关闭 “电源选项”下“电源按钮”的“启用快速启动”

微软的Teams只有会议号和密码怎么参会呢

客户只给了个会议邀请的截图,没有办法获取直接的参会链接,只能通过图上的会议号码和密码来进入会议,如果这样必须要先登录,但我不想登录怎么办呢? 可以通过以下链接来实现: https://www.microsoft.com/zh-c…

苹果永久删除的照片怎么恢复?这里有你需要的答案,秘籍大公开

“苹果手机里面的照片删除了怎么办?”相信您的第一反应一定是冲去最近删除的文件夹里,只需要轻轻一点就能恢复照片。但有时,我们已经将最近删除文件夹里的照片给清空了,又或者删除时间超过30天了。这时,苹果永久删除的…

解决 Android 上的 .NET MAUI/Xamarin.AndroidX 应用调用 ASP.NET Core API 端点时 SSL 连接被拒绝的问题

从虚拟机调用本地API报各种 SSL 连接不上的错误,这给本地调试造成了极大的不便,在被这个问题困扰了多日以后,终于在GitHub上找到答案 基于这个 帖子 ,有一个回复 他写了一个帮助类,专门用来调试本地的API,…

002:显示DICOM图像(替换掉 vtkImageViewer2 )

VTK 医学图像处理---DICOM图像显示 对第一个DICOM显示例子的展开(替换掉vtkImageViewer2类) 两个例子实现的效果对比,其中右侧是对第一个例子展开后的显示效果,展示了一个完整的VTK渲染管线的过程。 目录 VTK 医学图像处理---DIC…

项目文章|PNAS:中国农大田见晖教授团队揭示DNA甲基化保护早期胚胎线粒体基因组稳定性

大家好,这里是专注表观组学十余年,领跑多组学科研服务的易基因。 在早期哺乳动物胚胎中,线粒体氧化代谢增强是着床后生存和发育的重要特征;着床前期的线粒体重塑是正常胚胎发生的关键事件。在这些变化中,氧化磷酸化&a…

Java学习中如何分辨 = 和 == 及其使用方法

在学习Java编程语言时, 和 是两个非常基础的运算符,虽然它们看起来相似,但在语义和应用场景上却有明显的区别。理解并正确使用这两个符号对于编写正确且高效的Java代码至关重要。 1. 运算符:赋值运算符 在Java中是赋值运算符&a…

”wait”和“notify”为什么要在Synchronized代码块里面?

wait和notify用来实现多线程之间的协调,wait表示让线程进入到阻塞状态,notify表示让阻塞的线程唤醒。 wait和notify必然是成对出现的,如果一个线程被wait()方法阻塞,那么必然需要另外一个线程通过notify()方法来唤醒这个被阻塞的…

作为技术Leader如何带散一个团队

theme: channing-cyan 大家好,我是程序员凌览。 这个话题本身就很有趣——如何有效地带散一个团队,精选了两位网友的回答让我们一起来看看。 第一位网友的回答 1938年10月14日,毛泽东谈了如何把团队带好。你反着来,肯定能把团…

【计算机组成原理】 计算机发展历程

文章目录 计算机发展历程计算机系统的概念计算机硬件计算机软件 计算机硬件的发展计算机的四代变化计算机元件的更新换代 计算机软件的发展计算机的发展趋势 计算机发展历程 计算机系统的概念 计算机系统 计算机硬件 计算机软件 计算机硬件 计算机的实体,如主…

16、java 面向对象之三:方法参数的值传递机制(参数为基本数据类型、参数为引用数据类型的案例剖析及内存解析)

java 面向对象之三: Ⅰ、方法的参数传递:参数为基本数据类型1、基本数据类型的值传递:其一、代码为:其二、内存解析为:其三、截图为: Ⅱ、方法的参数传递:参数为引用数据类型1、引用数据类型的值…

docker镜像多阶段构建

Docker 多阶段构建是为了创建轻量化和更高效的 Docker 镜像而产生的一种技术。通过使用多阶段构建,可以将不同阶段的构建需求分离开来,最终结果只包含实际部署所需要的部分,从而缩小镜像的大小。 以下是使用多阶段构建的基本步骤&#xff1a…

SpringBoot项目初始化搭建

SpringBoot项目搭建 创建SpringBoot项目事务编程式事务声明式事务 PageHelper主要特点:依赖使用常用方法 跨域问题JSONP(JSON with Padding)工作原理:代码示例 CORS(Cross-Origin Resource Sharing)工作原理…