网络安全服务基础Windows--第12节-域与活动目录

工作组
在Windows环境中配置⼯作组相对简单,适合⼩型⽹络环境,如家庭或⼩型办公室⽹络。⼯作组通过简单的⽹络共享和本地管理来实现资源共享,⽽不依赖于中央控制的服务器。
定义:⼯作组是⼀种对等⽹络模型,在这种模型中,每台计算机独⽴管理⾃⼰的⽤户和资源。在⼯作组中,没有中央控制的计算机。
⽹络资源:⼯作组中的⽹络资源较少,每台计算机管理⾃⼰的资源如打印机、⽂件等。
管理⽅式:在⼯作组中,资源和⽤户的管理是分散的。每台计算机的管理员负责维护其系统的安全和配置。
规模适⽤性:⼯作组最适合⼩型⽹络,如家庭⽹络或⼩型办公室,通常适⽤于少于⼗台计算机的环境。

在Windows⽹络中,域是⼀种形式的计算机⽹络,其中所有的计算机成员都被集中管理。域提供了⼀种⽅法来管理⼀个⼤型⽹络的权限和资源,如⽤户账户、计算机、打印机等设备。域中的计算机可以共享资源,例如⽂件系统和打印机,⽤户只需在域中进⾏⼀次登录(单点登录),就可以访问其有权限的所有资源。
域是通过⼀个或多个服务器配置成为域控制器实现的,这些域控制器负责维护域的安全策略和⽤户帐户信息。⼀个企业可以拥有⼀个或多个域,这些域可以设置信任关系,共享数据和⽤户访问权限。

 域(Domain)

域是⼀个或多个⽹络的集合,这些⽹络在⼀个中央数据库中共享相同的⽤户帐户、安全策略和安全关系。域提供了⼀种⽅法来集中管理⽤户、组、计算机和其他对象的身份验证和授权。所有这些管理⼯作都是在⼀个中央位置进⾏,使得管理员可以轻松地为新⽤户设置帐户,更新策略或部署新程序和服务到整个⽹络。

 域控制器(Domain Controller, DC)

域控制器是管理域资源的服务器。它存储了所有域⽤户帐户信息和安全策略,并负责处理域中的身份验证请求,如⽤户登录。当⼀个⽤户试图访问⽹络资源时,他们的登录请求被发送到域控制器,域控制器验证⽤户的凭据并决定是否授予访问权限。

功能和⻆⾊  

域控制器主要负责以下功能:
身份验证服务:验证⽤户或计算机的凭证,确保它们是谁说的那样。
⽬录服务:提供⼀个中央位置,⽤于存储⽹络对象如⽤户、组、计算机的信息,通常这是通过Active Directory实现的。
策略管理:集中管理和实施安全策略和⽤户配置,如密码策略、权限设置等。

 如何设置和维护

在设置域时,通常⾸先需要安装并配置Active Directory Domain Services(AD DS),然后将⾄少⼀台服务器提升为域控制器。这个过程包括:
1. 安装Active Directory:在Windows Server上,通过服务器管理器安装AD DS⻆⾊。
2. 提升为域控制器:运⾏Active Directory域服务安装向导,创建新域或加⼊现有域,并将服务器设置为域控制器。

管理和监控

管理域环境涉及监控域控制器的健康状况,管理⽤户帐户和安全策略,以及确保数据备份和灾难恢复计划的有效性。
使⽤⼯具如Microsoft Management Console (MMC) 和 PowerShell,可以有效地管理域和域控制器。

 域结构

 逻辑结构

单域(Single Domain)
定义:单域环境只包含⼀个域。这是最简单的Active Directory结构,适⽤于不需要复杂管理或特别隔离的⼩型组织。
特点:管理简单,所有资源如⽤户、计算机、策略都在同⼀个域中管理。没有跨域信任问题,⽹络管理和维护相对容易。

域树(Domain Tree)
定义:域树是由⼀个或多个相关域组成的集合,这些域共享⼀个连续的命名空间。树中的域通过双向传递信任关系连接。
特点:所有域在结构上是平级的或有层次的,具有共同的安全策略和关系。域树可以帮助组织更好地管理扩展和按逻辑分组资源。

域林(Domain Forest)
定义:域林是⼀个或多个域树的集合,其中每个树的命名空间都是独⽴的,但它们共享⼀个全局⽬录架构。
特点:林是AD的最⾼安全边界,它可以进⾏林间信任、架构更新和策略制定。林允许⼤型组织在保持某种独⽴的同时,实现跨多个树的资源共享。

组织单元(Organizational Unit, OU)
定义:组织单元是AD中的⼀个容器对象,⽤于对⽤户、组、设备等资源进⾏逻辑分组。
特点:OU是⽇常管理的基本单元,允许管理员对集合内的资源应⽤特定的策略和权限。OU的设计通常反映了组织的⾏政结构或业务需求,如按部⻔、地理位置等进⾏组织。

如何理解这些结构的关系和应⽤ 

层级性: 域是AD结构的基本组成部分,⽐OU更⾼级。⼀个域可以包含多个OU 。单域属于单⼀层 7 级,域树和域林代表了更复杂的层级关系,其中包含了多个域。
管理灵活性:随着从单域到林的过渡,管理灵活性和复杂性增加,允许⼤型组织有效地控制不同地区和部⻔的策略。
安全和策略应⽤:通过OU,管理员可以更细致地控制策略和权限,例如只对特定部⻔的⽤户应⽤某个特定的安全策略。

 物理结构

物理结构主要与数据的物理存储和AD服务的分布有关,涉及到如何在⽹络中布置域控制器、站点和复制拓扑。这些结构保证AD可以在⽹络中⾼效、安全地运⾏,特别是在⼴域⽹络环境中。

1. 站点(Sites)
定义:站点是⼀组互连的局域⽹络(LAN),它们之间的⽹络连接速度很快。AD中的站点⽤来组织⽹络中的物理结构。
作⽤:站点帮助优化⽹络流量和复制流量。AD利⽤站点信息来配置和优化在慢速或昂贵的⼴域⽹络链接上的复制。站点还⽤于帮助客户端找到最近的域控制器,从⽽减少登录和认证的延迟。
站点是AD中的⼀个物理概念,⽤于表示⼀个或多个⾼速⽹络连接的局部区域。在AD中,站点不仅帮助管理员组织⽹络的物理结构,还对以下⽅⾯有重要影响:
优化复制:站点帮助AD优化数据复制过程。通过配置站点和站点之间的连接,AD可以确定数据应如何在⽹络中⾼效复制,尤其是在跨⼴域⽹络连接时。
客户端请求处理:站点还⽤于帮助客户端找到最近的域控制器,从⽽提⾼登录和请求处理的速度。
流量管理:通过站点配置,可以控制⽹络流量,防⽌跨⼴域⽹络的不必要流量,优化⽹络带宽使⽤。
2. 域控制器(Domain Controllers)
域控制器是管理AD域资源的服务器,它负责存储域中所有对象的信息和管理安全策略。域控制器在AD的物理结构中扮演着核⼼⻆⾊:
身份验证和授权:域控制器处理所有的⽤户登录请求,执⾏身份验证并授权⽤户访问⽹络资源。
数据存储和管理:所有的⽤户数据、组策略和安全相关信息都存储在域控制器上。在有多个域控制器的环境中,这些数据会在它们之间复制,以确保数据的⼀致性和可⽤性。
服务位置:域控制器通常在多个地理位置部署,与站点的配置相结合,以确保⽤户和应⽤程序可以快速访问AD服务。

3.复制拓扑(Replication Topology)
定义:复制拓扑定义了域控制器如何相互复制信息的路径和⽅式。
组成:AD⾃动创建和维护复制拓扑,使⽤知识⼀致性检查器(KCC)来动态调整复制路径,确保所有的域控制器都能接收到更新的数据。

4.全局编录(Global Catalog)
定义:全局编录(GC)是⼀个域控制器,它包含了森林中所有域的部分可读属性的副本。这些属性被优化⽤于⽀持森林范围内的查询操作。
作用:全局编录服务器处理跨域的查询请求,如⽤户登录时验证⽤户身份和构建⽤户的访问权限列表。它也是必需的,以便⽤户能够登录到⽹络。

 物理部署的最佳实践

多域控制器:在每个主要的地理位置部署多个域控制器,以提供冗余和容错。
合理站点设计:合理规划站点和站点链接,以确保有效的复制和最⼩的⽹络流量。
全局编录的策略部署:在多个地理位置部署全局编录服务器,确保快速响应时间和业务连续性。

 主要区别

1、集中管理:域中可以设置集中式的管理员和安全策略,对域内的计算机和⽤户进⾏统⼀的
配置和管理。⽽在⼯作组中,每台计算机都需要单独进⾏配置和管理,这使得管理⼯作变得更加繁琐和复杂。
2、资源共享:域中的资源可以被整个域内的计算机共享,这使得资源更加⽅便地被访问和使
⽤。⽽在⼯作组中,资源通常只能被⼯作组内的计算机共享,跨⼯作组的资源共享⽐较困难。
3、认证和授权:域内可以集中进⾏⽤户认证和授权,使得⽤户只需要在域内的⼀台计算机上
进⾏认证,就可以在域内的其他计算机上登录和使⽤资源。⽽在⼯作组中,每台计算机都需要单独进⾏⽤户认证,这使得认证过程更加繁琐和复杂。
4、安全性:域可以设置更加严格的安全策略,对⽤户和计算机的⾏为进⾏更加严格的控制和
监管。⽽在⼯作组中,安全性相对较低,因为每台计算机都需要单独进⾏安全配置和管理。

 活动目录

活动⽬录(Active Directory,AD)是Microsoft开发的⼀种⽬录服务,⽤于Windows域⽹络。活动⽬录允许管理员通过⼀个⽤户友好的界⾯集中管理域中的资源、⽤户帐户、安全策略等。它使⽤轻量⽬录访问协议(LDAP)来访问和维护信息。

主要功能包括: 

身份管理:管理⽤户账户和计算机账户,以及它们的属性。
策略管理:集中管理⽤户和计算机的策略。
认证和授权:提供Kerberos协议⽀持的安全和单点登录功能。
⽬录服务:提供⼀个分布式数据库,存储和管理关于⽹络资源的信息以及应⽤程序数据。

 活动目录的组织结构主要包括以下几个层级:

域:基本的组织单元,存储所有⽤户、组和设备的信息。
树:包含⼀个或多个具有共同命名策略的域。
森林:由⼀个或多个域树组成,是活动⽬录的最⾼级逻辑容器。
组织单位(Organizational Unit, OU):OU 是域中的容器,⽤于组织和管理对象。OU 可以嵌套,⽀持更细粒度的管理。
全局编录(Global Catalog, GC):GC 是包含所有域中所有对象的⼦集的数据库,⽤于加速查询和跨域登录。

 设置活动目录

活动⽬录通常在安装Windows Server时作为⻆⾊添加,并在⾸次安装时通过运⾏AD DS(Active Directory Domain Services)安装向导进⾏配置。安装AD DS并提升服务器为域控制器后,就可以创建域,并开始添加⽤户和配置策略。

 使⽤场景

活动⽬录⾮常适⽤于需要严格控制⽤户和设备访问权限的⼤型企业环境。它⽀持⾃动化、提供了强⼤的安全性和管理多个域和森林的能⼒。通过使⽤组策略(Group Policy),管理员可以在整个组织中实施安全设置、软件安装等操作。

Active Directory名称空间  

在AD中,名称空间通常指的是在整个林或域中使⽤的命名约定。AD使⽤DNS格式来命名资源和服务位置,这允许AD使⽤DNS结构来⽀持⽬录服务的位置和复制服务。例如,在AD中,域控制器的名称会映射到其在DNS中的记录,以便⽹络中的其他服务和客户端可以找到它。
我们在服务器上通过查找⼀个对象可以查到的所有关联信息总和,如⼀个⽤户,如果我们在服务器已给这个⽤户定义了讲如:⽤户名、⽤户密码、⼯作单位、联系电话、家庭住址等,那上⾯所说的总和⼴义上理解就是“⽤户”这个名字的名字空间,因为我们只输⼊⼀个⽤户名即可找到上⾯我所列的⼀切信息。

 对象属性是构成数据模型的基本元素。这些概念有助于组织和管理⽹络中的各种资源。

对象(Object)
定义:在AD中,对象是⼀个独⽴实体,代表了⽹络环境中的⼀个资源或实体。每个对象都属于⼀个特定的类别,如⽤户、计算机、打印机、组等。
作⽤:对象存储了关于其代表的实体的信息,并且可以在⽬录中被查找和管理。例如,⽤户对象包含了关于⼀个⽤户的所有信息,如姓名、密码、权限设置等。
结构:对象由多个属性组成,这些属性定义了对象的特性和配置。在AD中,对象的属性可以是静态的(如姓名或电⼦邮件地址),也可以是动态的(如登录次数或最后登录时间)。

属性(Attribute)
定义:属性是附加在对象上的数据项,⽤于描述或配置对象。每个属性都有⼀个特定的数据类型和值范围。
作⽤:属性为对象提供了具体的信息,使得对象的管理和使⽤变得具体和有针对性。例如,⽤户对象的属性可以包括⽤户名、电⼦邮件地址、部⻔等。
定制:在AD中,管理员可以根据需要定制对象的属性,例如添加额外的属性来存储组织特定的信息或调整现有属性以符合特定的安全或业务需求。

应⽤实例
⽤户管理:在AD中,⽤户对象可能包括⽤户名、密码、电话号码、办公地点等属性。这些属性帮助管理员管理⽤户身份和控制对资源的访问权限。
资源访问:计算机和打印机等设备对象也通过属性定义,如设备位置、⽹络配置等,这些属性帮助⽹络中的⽤户找到并正确地使⽤这些资源。
安全与策略应⽤:某些属性,如安全标识符(SID)或访问控制列表(ACLs),⽤于定义安全策略和控制访问权限。

管理⼯具
AD提供了多种⼯具和服务,如Active Directory⽤户和计算机(ADUC)、Active Directory管理中⼼等,这些⼯具允许管理员创建、修改和删除对象和属性。这些管理活动是通过图形⽤户界⾯(GUI)或命令⾏⼯具(如PowerShell)完成的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/415861.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【鸿蒙开发从0到1 day05】

一. 清除浮动 1.当外面的大盒子,仅仅只设置了宽度,里面的子盒子为了行排序, 设置了浮动,以至于小盒子脱标,大盒子的高度为0,这个时候就会导致大盒子下面的盒子会跑上去 解决办法方法一:给父盒子添加overflow:hidden,这个就是如果子盒子有溢出,,溢出部分会隐藏方法二:在子盒子的…

Linux【2】文件目录-ls进阶

目录 ls 组合使用:ls -lha​编辑 ls 通配符 ls .是隐藏文件 ls -a可以显示所有文件包括隐藏文件 ls- l列表形式,详细信息 ls -l -h 大小更详细 组合使用:ls -lha ls 通配符 *任意长度 ?一个字符 带扩展名 可选from…

计算机网络-VRRP切换与回切过程

前面我们学习了VRRP选举机制,根据VRRP优先级与IP地址确定主设备与备份设备,这里继续进行主备切换与主备回切以及VRRP抢占模式的学习。 一、VRRP主备切换 主备选举时根据优先级选择主设备,状态切换为Master状态,那当什么时候会切换…

HTTPS 协议“加密和解密”详细介绍

目录 一、加密 二、HTTPS的工作过程 2.1 引入对称加密 2.2 引入非对称加密 2.3 中间人攻击 2.4 引入证书 2.5 理解数据签名 2.6 通过证书解决中间人攻击 三、总结 HTTPS 是一个应用层协议,是在 HTTP 协议的基础上引入了一个加密层。 一、加密 加密就是把明文&#x…

Golang环境安装、配置详细

Windows下安装Go开发环境 点我下载 Windows配置Go环境变量 出现工具install失败时,切换其它代理 # 1. 七牛 CDN go env -w GOPROXYhttps://goproxy.cn,direct# 2. 阿里云 go env -w GOPROXYhttps://mirrors.aliyun.com/goproxy/,direct# 3. 官方 go env -w GOP…

【wsl2】从C盘迁移到G盘

参考大神 C盘的ubuntu22.04 非常大,高达30g 迁移后就只有几百M了: 右键有一个move没有敢尝试 迁移过程 Windows PowerShell Copyright (C) Microsoft Corporation. All rights reserved.Install the latest PowerShell for new features and improveme…

Xcode插件开发

Xcode插件开发 文章目录 Xcode插件开发一、插件开发流程创建插件Extension文件介绍文件说明 二、插件使用安装说明 一、插件开发流程 创建插件的过程并不复杂,只是官方教程,过于简单,所以这里补充下创建细节 创建插件 环境:Xco…

vue在生产环境和测试环境去掉 console 打印日志 只保留 “error“、 “warn“

vue在生产环境和测试环境去掉 console 打印日志 只保留 “error”、 “warn” 文章目录 vue在生产环境和测试环境去掉 console 打印日志 只保留 "error"、 "warn"一、安装插件二、babel.config.js配置 一、安装插件 npm install babel-plugin-transform-r…

C++11中的function和bind

目录 1.一个引例 2.function 什么是function? function模板原型 function的使用 使用示例代码 使用function解决引例中的问题 3.bind 什么是bind? 如何理解bind? bind的使用 4.function和bind总结 1.一个引例 看下面这一段代码…

仿华为车机UI--图标从Workspace拖动到Hotseat同时保留图标在原来位置

基于Android13 Launcher3,原生系统如果把图标从Workspace拖动到Hotseat里则Workspace就没有了,需求是执行拖拽动作后,图标同时保留在原位置。 实现效果如下: 实现思路: 1.如果在workspace中拖动,则保留原来“改变图标…

前端脚手架,自动创建远程仓库并推送

包含命令行选择和输入配置,远程仓库拉取模板,根据配置将代码注入模板框架的代码中,自动创建远程仓库,初始化git并提交至远程仓库,方便项目开发,简化流程。 目录结构 创建一个bin文件夹,添加ind…

云计算之存储

目录 一、产品介绍 1.1 对象存储oss 1.2 特点 二、产品技术背景 三、产品架构及功能 四、常见问题及排查思路 4.1 两个bucket目录文件如何快速复制? 4.2 oss里的目录如何删除? 4.3 能否统计oss一个目录的大小 4.4 异常诊断 - 上传下载速度慢 4…

CentOS 7安装Docker详细步骤-无坑-丝滑-顺畅

一,安装软件包 yum install -y yum-utils device-mapper-persistent-data lvm2二,更换yum源为阿里源: yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 三,查看docker版本&…

uniapp 自定义微信小程序 tabBar 导航栏

背景 做了一个校园招聘类小程序,使用 uniapp vue3 uview-plus pinia 构建,这个小程序要实现多角色登录,根据权限动态切换 tab 栏文字、图标。 使用pages.json中配置tabBar无法根据角色动态配置 tabBar,因此自定义tabBar&…

交换机自动化备份配置(H3C_无人值守)

介绍: 在日常运维过程中,需要定时备份设备的配置,在设备数量过于庞大的情况下,对我们的运维工作会造成极大地不便,通过python自动化能够完美解决人工手动保存设备配置的问题。而且自动化运维在未来也一定是大势所趋&a…

Spring框架——springweb(一篇包会)

目录 一、Springweb概述 1.SpringWeb特点 2.SpringWeb组件 3.SpringWeb运行流程 二、搭建Springweb 1.导入框架所需的包 2.配置 DispatcherServlet 3.开启SpringWeb注解 4.处理器类搭建 5.请求处理 (1)接收请求RequestMapping (2&…

2.1概率统计的世界

欢迎来到概率统计的世界!在量化交易中,概率统计是至关重要的工具。通过理解概率,我们可以用数学的方法来描述市场行为,预测未来走势,并制定交易策略。让我们一起从基础概念开始,逐步深入,揭开概…

vmware中克隆过来的linux节点无system eth0

问题现象 使用vmware虚拟机的克隆功能后,找不到system eth0 解决办法 编辑/etc/udev/rules.d/70-persistent-net.rules文件 可以看到,eth0,是克隆前机器的网卡,eth1是克隆后机器生成的网卡,所以把NAME"eth0&q…

Windows安装docker,启动ollama运行open-webui使用AIGC大模型写周杰伦歌词

Windows安装docker,启动ollama运行open-webui使用AIGC大模型写周杰伦歌词 1、下载docker的Windows版本。 docker下载地址: https://docs.docker.com/desktop/install/windows-install/https://docs.docker.com/desktop/install/windows-install/ 2、设…

(十五)SpringCloudAlibaba-Sentinel持久化到Nacos

前言 在前面我们已经将Sentinel配置的规则持久化到系统的文件中。本章节我们将Sentinel持久化到Nacos中; 传送门(Sentinel数据持久化到文件)https://blog.csdn.net/weixin_45876411/article/details/140742963 默认情况下 Sentinel 只能接收到 Nacos 推送的消息,但…