活动目录 kerberos 身份验证的过程组策略

活动目录

在Windows系统平台下进行集中管理，方便网络资源的检索，使企业可以轻松地管理，通过活动目录组件（Active Directory，简称AD）来实现目录服务。它将网络中的各种资源组合起来，杂的网络环境。在Windows Server 2016平台下的Active Directory 服务包括 Active Directory 证书服务 (AD CS)、Active Directory 域服务 (AD DS)、Active Directory 联合身份验证服务 (AD FS)、Active Directory 轻型目录服务 (AD LDS) 和 Active Directory 权限管理服务 (AD RMS)。

安装活动目录的必要条件

要把一台计算机加入域，必须要由网络管理员尽行相应的设置，在Windows Server 2016上创建域需要满足以下条件： 1.必须具有一个静态的IP地址，如10.1.1.100； 2.必须有一个磁盘分区是NTFS格式的，用于放置存储域公共文件服务器副本的共享文件夹（SYSVOL文件夹），且有足够多的空闲磁盘空间（至少250MB）； 3.安装活动目录时的登录用户必须有管理员组（Administrators）权限； 4.符合DNS规格的域名，如abc.com； 5.有相应DNS服务器的支持，用于解析域名而且当前服务器的TCP/IP设置里的DNS地址需要配置成该DNS服务器地址；

Kerberos 身份验证的过程

活动目录需要做验证，验证就是用Kerberos身份验证

kerberos 网络认证的协议 client server DC（KDC） DC 域控制器

KDC 密钥分发中心

AD（Account Database）账户数据库存储所有Client的白名单只有白名单里面的client才能申请TGT

AS 身份验证服务为client生成TGT（票据）

TGS 票据发放服务为client生成某个服务生成 TGT 入场卷通过入场卷获得票据临时凭证

Ticket 票据网络对象互相访问的凭证

kerberos 身份验证的过程

客户端（client）访问服务器首先要去到KDC（密钥分发中心）下的AS（身份验证）中获取一个TCT（票据），那么TGT就会向AD（账户数据库）中查看该客户端是否在client的白名单中，在的话才可以申请TGT。

客户端从AS（身份验证服务）中获取到TGT之后去到TGS（票据发放服务）为客户端（client）生成某个服务生成TGT入场券。这也是客户端（client）通过入场券获得票据的临时凭证。

客户端收到两个票据后发送给服务器。服务器收到请求。双方完成验证。

写的非常粗略。

组策略

组策略是活动目录管理用的

把计算机加入域模式后，普通用户通过域管理员分配的用户帐号、权限登录客户端、访问域内的授权资源。使用域模式，不仅使得资源管理更加集中，统一。也使得在组模式下实现起来繁琐甚至难以实现的管理难题得到了解决，如，禁止域内计算机上运行某种特定程序，统一域内所有计算机的桌面、IE主页，将某软件集中分发给域内计算机等等。网络管理员可以通过在域控制器使用“组策略”，并把设置好的组策略分发到域内计算机上，实现统一的管理。所谓组策略（GPO），就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户组来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。

最后可结合之前的博客一起参考活动目录的配置与管理(7条消息) 活动目录的配置与管理_fc8l的博客-CSDN博客