Windows安全基础-AD域
目录
AD域的基本概念
域是什么?
AD域与工作组的区别
AD域的功能
AD域的对象与属性
AD域的结构
AD域的逻辑结构
域控制器
信任关系
DNS域AD域
DNS对AD域的作用
AD域中对DNS的要求
AD域的管理
组策略
组策略的作用
组策略的结构
AD域的基本概念
域是什么?
域是Windows网络中独立运行的基本单位,域之间互相访问则需要建立信任关系,域有安全边界的作用
域既是Windows网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows操作系统中,域是安全边界
域是共享用户账号,计算机账号和安全策略的计算机集合
能实现文件的共享,集中统一计算机,便于管理
AD的全称是Active Directory-活动目录
Active Directory (活动目录)是微软Windows Server中,负责架构中大型网络环境的集中式目录管理服务,许多AD域的管理工具都是利用这个界面来呼叫并使用AD域的资料
Active Directory网络
Active Directory也被作为微软服务器类软件,如Exchange,Lync,桌面管控等,与网域构连的资料结构
Active Directory服务
Microsoft Active Directory服务是Windows平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段
AD域与工作组的区别
工作组(Work Group)是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。
不同点:
1.管理模式
工作组实现的是分散的管理模式,每一台计算机都是独立自主的,用户账号和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限由每台计算机自身控制
域实现的是主/从管理模式,通过一台域控制集中管理域内用户账号和权限
2.资源访问
在“域”模式下,资源的访问有比较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作
3.安全认证
域控制器中包含了由这个域的账户,密码,属于这个域的计算机等信息构成的数据库
工作组只是进行本地电脑的信息与安全的认证
AD域的功能
1.计算机管理
管理服务器及客户端计算机账户,所有的服务器及客户端计算机加入域管理并实施组策略
2.应用系统支撑
支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统
3.资源管理
管理打印机、文件共享服务等网络资源
4.桌面配置
系统管理员可以集中的配置各种桌面配置策略
5.管理服务
管理用户域账号、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理组策略
AD域的对象与属性
对象:代表用户创建的对象类的真实实例
属性:存储对象的信息
AD域的结构
AD域的逻辑结构
包括域,组织单元,树和森林,它们用于影射组织机构或业务职能的不同层面
多个组织单元组成一个域,多个域组成一个树,多个树组成森林,活动目录是域的基础,如果将企业看成一个字典,企业里的资源就是字典的内容,活动目录就是字典的索引,即活动目录存储的是网络中资源的快捷方式,用户通过寻找快捷方式定位资源
组织单元 OU
OU是域下面的容器对象,用于组织对活动目录对象的管理,是最小的管理单元
OU可用来匹配一个企业的实际组织结构,域的管理员可以指定某个用户去管理某个OU
OU也可以像域一样做成树状的结构,即OU下面还可以有OUAD
组织单元用以结构化活动目录
组织单元的划分:
组织单元的特性:
包含用户、组、打印机、计算机、联系人,每一个组织单元都可以组成完整的组织结构
在一个组织单元中,可以应用相应的组策略
灵活 - 容易建立、删除、改变、
域树、森林
域树:
多个网域组成域树
域间的组织关系
将AD中多网域相互的关系阶层化
森林:
多个域树组成一个森林
作为不同网域间的资讯交换角色
符合AD树状结构的规范
一个组织中最多只能有一个森林
域控制器
概念:
参与活动目录复制
在域中作为单操作主机角色
我们所有的用户,所有的对象信息、服务都存储在域控制器上
信任关系
由于域控制器的作用,域内的用户是不能够跨段进行访问的,如果一定要进行跨段访问,则需要在两个域之间建立信任关系
信任关系的作用:允许一个域内的用户能够访问另一个域的资源
域信任关系:信任关系域和被信任关系域
域与域之间具有一定的信任关系,域信任关系使得一个域中的用户可由另一个域中的域控制器进行验证,才能使一个域中的用户访问另一个域中的资源
信任关系:域A信任域B,则域B中的用户可以通过域A中的域控制器进行身份验证后访问域A中的资源,则域A与域B之间的关系就是信任关系
被信任关系:就是被一个域信任的关系,在上面的例子中域B就是被域A信任,域B与域A的关系就是被信任关系
信任关系的两种形式:
单向不可传递的信任关系:
双向可传递的信任关系:
双向可传递信任用于描述一个树中父域和子域之间的关系,也用于描述一个森林中顶层域之间的关系
在缺省的情况下,一个树中域之间的信任关系是自动的建立和保持的
在双向可传递的信任中,如果域A信任域B,并且与域B信任域C,那么域A就信任域C,域C也就信任域A
DNS域AD域
两者的关系:
DNS服务器对域来说不可或缺
域中的计算机使用DNS域名,DNS需要为域中的计算机提供域名解析服务
域中的计算机需要利用DNS提供的SRV记录来定位域控制器
所谓SRV记录,就是记录在哪台主机上具有哪些服务的一种记录
DNS对AD域的作用
名称解析
DNS将计算机名称转换为IP地址
计算机使用DNS在网络上相互定位
定位活动目录的物理组件
DNS使用域控制器提供的服务
域中的计算机使用DNS来定位域控制器和全局编录
AD域中对DNS的要求
1.支持SRV记录
2.支持动态更新协议
AD域的管理
组策略
组策略的作用
方便管理AD域中的用户和计算机的工作环境
用户桌面环境
计算机启动/关机与用户登录/注销时所执行的脚本文件
进行软件的分发
进行安全策略设置
在实际工作环境下,通过组策略可以对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境,降低布置用户和计算机环境的总费用,只需设置一次,相应的用户或计算机即可全部使用规定的设置,减少用户不正确配置环境的可能性,推行公司使用计算机的规范,桌面环境规范,安全策略
组策略不适用于早期的Windows操作系统,,如Windows 9X/NT,那是使用的是“系统策略”,同时Windows 10 的家庭版也是没有的
组策略是系统策略的更高级拓展,从"系统策略“具有发展而来,具有更多的管理模板、更灵活的设置对象及更多的功能
组策略的结构
组策略的配置
Windows安全基础-AD域相关推荐
- 【转】SharePoint 2013中修改windows 活动目录(AD)域用户密码的WebPart(免费下载)
前段时间工作很忙,好久没更新博客了,趁国庆休假期间,整理了两个之前积累很实用的企业集成组件,并在真正的大型项目中经受住了考验:.Net版SAP RFC适配器组件和SharePoint 2013修改AD ...
- SharePoint 2013中修改windows 活动目录(AD)域用户密码的WebPart(免费下载)
转:http://www.cnblogs.com/nbpowerboy/p/3355943.html 前段时间工作很忙,好久没更新博客了,趁国庆休假期间,整理了两个之前积累很实用的企业集成组件,并在真 ...
- AD域建设管理(一)| 安装windows server2019、AD域、AD域证书服务
AD域建设管理(一)| 安装windows server2019.AD域.AD域证书服务 1.环境介绍及前言 2.安装配置win server 2019虚拟机 3.安装AD域服务.AD证书服务 3.1 ...
- Windows Server 2016 AD域(二)允许部分用户使用USB存储设备
1:禁止OU中所有用户使用USB存储设备,请参考. Windows Server 2016 AD域(一)禁用USB存储设备_yleihj的博客-CSDN博客 2:有时候因工作需要有事用户还是需要使用U ...
- 2016域控服务器迁移,Windows Server 2016 AD 域控制器迁移到 Windows Server 2019
Windows Server 2019 也出来一段时间了,先前搭建的Windows Server 2016域控制器测试环境也不能浪费,顺便体验下Windows Server 2019,本文记录了Win ...
- ad域帐号登录提示无法处理请求_微软Windows Server之AD域控制器迁移测试方案
一.概述 某公司成立初期机房建设时使用window server 2003搭建AD域作为公司账户管理系统.随着公司的办公人员增加以及功能需求,目前AD域服务器已不能满足业务的需求.Windows se ...
- Windows Server 2003 AD域升级至Windows Server 2008 R2实战案例
某公司2003AD升级为2008R2AD过程 域名是:testad.com DC1:AD004(windows 2003 AD,DNS.GC.五大角色) DC2:AD005(windows 2003 ...
- Windows server 2016 AD域的安装和升级域控制器
首先我们要先安装好Windows Server 2016的操作系统.之后我们需要添加角色和功能. 为什么要安装AD域和升级成为域控制器呢? 因为域就像一个超级管理者,它可以管理加入到域网络中的所有机器 ...
- windows server2016创建AD域账户并登录
上篇介绍了Windows Server2016下安装配置AD域,查看文章请点这里 接下来介绍创建AD域账户并登录域账户的流程步骤 创建域账户 1)右键AD服务器,选择Active Directory管 ...
- Windows server服务篇1:Windows Server 2012R2 AD域控 辅助域 只读域 子域
Windows Server 2012R2 域与活动目录介绍 域与活动目录 什么是域 域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(Trust Relati ...
最新文章
- POJ1094查分约束,判断关系是否唯一
- 【手把手教你Maven】构建过程
- xcode 创建模拟器_Xcode编译WebKit
- stream 定长循环_Java8之Stream流代替For循环操作
- SAP License:SAP实施Roll out项目经验谈(二)
- 【数学建模】基于matlab细胞传输模型实现交通流【含Matlab源码 376期】
- java 拼音搜索功能设计与实现
- Python输入一个三位数,输出其个位数字、十位数字和百位数字。
- MGS摄像头:USF56S335_3238_V2 IMX335 5MP UVC应用手册
- Liferay layout_configuration 分析
- 2021年3月31最新论文(计算机视觉,图像分割,图像识别,图像分类)
- Unity CommandBuffer实现毛玻璃特效
- 分享假如你买到缩水U盘了怎么办?认倒霉?肯定不能的!
- 如何手动控制Mac的风扇
- 鸡啄米C++编程入门教程系列
- 专门卖游戏辅助的平台_各大游戏售卖平台
- Linux服务器cpu性能模式,linux cpu开启性能模式
- 学习笔记——进程间通信之管道详解
- python爬虫爬取网上图片
- 北大邮箱收件服务器,北京大学网络服务