集权设施管理-AD域安全策略（二）

news2024/10/6 0:53:21

活动目录（AD）凭借其独特管理优势，从众多企业管理服务中脱颖而出，成为内网管理中的佼佼者。采用活动目录来管理的内网，称为AD域。

了解AD域，有助于企业员工更好地与其它部门协作，同时提高安全意识。中安网星由此推出AD域安全科普系列，为大家讲解AD域的安全管理。

上一篇文章，我们了解了AD域的架构和原理。本篇文章我们将引入AD域服务的重头戏——AD域的功能。

众所周知，AD域在企业内网中扮演了重要的角色，集身份验证和服务管理于一身。它是如何进行身份验证和资源管理的，在企业内网管理中有什么明显优势呢？

本篇文章从AD域服务对资源对象的管理方式开始，逐步讲述它的身份验证能力和策略配置特性。

全局资源管理

要将内网中的资源部署到AD域内，需要在域控上注册。域计算机和打印机、共享文件夹等一起组成域环境，企业员工要在这个域环境内办公，需要注册成为域用户。

所有资源注册成功后，由AD域来统一管理。下面，我们通过AD域管理域计算机和域用户的一些特点，来探查其一般模式。

本地计算机在域控上注册后就成为域计算机，拥有单独的域账户，该账户记录计算机的位置、操作系统类型和计算机名等信息。

这个计算机名并非原名，而是在加域后重新生成的。它采用DNS格式，在允许分配单独名称的基础上，还能清晰显示组织单位中的计算机结构。比如在zawx.com域下注册的计算机，名称可能为pc.zawx.com。

企业员工在域控上注册成为域用户后，也会生成单独的域账户，账户上保存了员工的电话、邮箱、身份证号等基本信息，还有权限、账号密码等信息。

不同用户拥有不同权限：

普通域用户：

普通域用户接受域管理员的指派，对资源的使用程度有限制。一般是根据员工岗位的实际情况赋予权限，比如允许使用打印机，拒绝修改共享文件夹等。

域管理员：

域管理员管理域内资源的使用关系，委派域用户间的适应关系，比如允许A用户更改其它用户的密码。

企业管理员：

企业管理员账户存在于企业的每一个域中，拥有对每一个域的登录权限。它是企业中权限级别最高的账户，能够指派或取消域管理员权限。

由上，我们可以看出AD域对资源的一般管理模式是：为注册资源创建一个单独账户，在这个账户上记录资源的一般信息（如位置、电话）和特殊的域内信息（如权限、域内名称）。

在数据库中，AD域将这些资源信息以树形目录的方式组织，在叶子节点存储数据。

这种形式下，管理员可以直接使用标识名（DN）和相对标识名（RDN）两种命名路径来访问资源，相比于挨个对比，极大地提升了资源搜索效率。

统一身份验证

域用户在内网中采用单点登录方式，即登录过程由域控统一验证，验证成功就可访问域内资源。

登录过程中，域计算机将用户信息发送给域控，域控会进行计算机和用户两个账号的验证。

域控对计算机进行验证的方式是通过对比本地和域控上保存的计算机账户密码。本地密码每30天更新一次，新旧密码同时保存。验证过程中，先发送新密码，再发送旧密码。两密码中的任何一个与域控上保存的密码相同，就能通过验证。

而对域用户的验证一般是用的Kerberos认证。Kerberos认证服务器KDC安装在域控上，由AS和TGS组成。用户信息先发送给AS，由AS在AD数据库中查询是否有该用户记录，如果存在且信息吻合，就返回一个TGT。之后用户使用TGT向TGS请求Ticket，然后就能使用该Ticket访问特定服务了。

正是因为登录验证过程是在域控上统一进行，域用户在任一域计算机上都能登录，并获得同样的该用户权限。这种方式让用户登录更具灵活性，也增强了抵抗主机故障的能力。