【安全科普】AD域安全管理（一）

活动目录（AD）凭借其独特管理优势，从众多企业管理服务中脱颖而出，成为内网管理中的佼佼者。采用活动目录来管理的内网，称为AD域。

了解AD域，有助于企业员工更好地与其它部门协作，同时提高安全意识。中安网星由此推出AD域安全科普系列，为大家讲解AD域的安全管理。

AD域将企业内网中的所有资源对象集中到域控上，存储在AD数据库中，采用DNS规则命名，方便管理的同时提高安全性。

这一篇文章中，我们先给大家介绍下AD域服务的应用环境——域，在了解清楚域的形成和结构之后，才能对AD域服务的功能有更深入的理解。

域的形成

在企业办公场景中，经常需要部门间互相共享资源，如果每与其它计算机通信一次，都要经过一次身份验证，会大大影响部门间的协调性，影响办公效率。

如果我们简单地关闭身份验证服务，将会导致计算机面临严重的安全风险，这种方法得不偿失。最好是与企业内部计算机通信时能够免去身份验证，而与外部计算机通信时依然保留身份验证服务。

这就需要在内部员工计算机间构建信任关系，建立了信任关系的计算机连起来就形成域。域外计算机与域内计算机通信需要进行身份验证，不同域的域计算机通信前需建立信任关系。当以域为单位建立信任关系时，可以在两域中的所有计算机间进行免验证通信。

而企业员工只需注册成域用户，在任一台域计算机上登录，就能与其它域用户通信。

这其实与单点登录的功能类似。单点登录中，用户只需进行一次身份验证，就能访问所有服务器。在域中，域用户只需要在登录时进行一次身份验证，就能与其它域用户进行免验证通信。

这个对用户进行身份验证的服务器就是域控制器（DC），简称域控。

域控

域控是集中存储域内所有资源对象及其属性的服务器。如果把域内资源对象看作团队成员，域控就相当于团队的领导者，所有人都要听它安排，所有事情都要给它汇报，包括对象信息变动、权限划分、资源分配等。

比如，企业中有新员工入职时，就要在域控上给他注册一个账号。该账号作为他进行域内活动的唯一凭证，关联他的所有信息，包括工作岗位、电话号码、对域内资源的使用权限等。

也正因此，黑客侵入企业内网后，都会想方设法横向移动到域控主机，夺取其控制权，进而掌握域内所有资源信息。

更为棘手的是，假使黑客攻破了域控主机，删除其上存储的全部信息，并破坏域控主机的正常功能，那么即使企业能够检测查杀入侵活动，也无法恢复正常业务功能。

这种情况下，我们通常会通过部署额外域控的方式来降低风险。顾名思义，额外域控就是在在已经存在一个域控的基础上，又多设置的域控。

我们只要将主域控上的信息备份到额外域控，并同步更新，那么在主域控发生故障时，就能用额外域控暂时代替主域控，保证信息系统的正常运行。

除此之外，额外域控还有一个重要作用，就是提高效率，它可以在有许多域用户要求提供服务时，替主域控分担压力，由它来响应部分用户的请求，从而提高企业整体效率。

除了以上提到的两种类型，还有一种只能读不能写的域控，简称只读域控（RODC）。

在只读域控管辖的域范围，用户只能进行登录验证和查找资源，而无法修改资源信息和配置组策略等，一般在企业的分支机构中应用较多。

当分支机构与中心内网间断开联系，用户无法通过中心域控登录，为了不影响他的正常工作，就由中心域控将用户信息拷贝到只读域控上，用户就能通过只读域控验证登录。

这样，就能保证分支机构的权限不必过大，也能正常运行。

域控作为域内资源管理的主导者，拥有极大的权限，也经常成为攻击者侵入企业内网的目标。保护内网安全，我们必须加强对域控的防护。

域树、域林

作为一台集中管理资源的设备，单一域控的承载能力是有限的，当域内用户数量达到它的承载极限时，为了满足需求，需要在其下再划分一个域。

新划分的域从旧域中衍生出来，与旧域建立了双向传递的信任关系，两者共享同一个存储结构和配置。因为他们间存在上下层次的依赖关系，一般我们将旧域称为父域，新域称为子域。

父域和子域形成连续的名字空间，同一名字空间的域连成域树。通常将第一个创建的域作为树根，其它随后创建的域就作为树的枝干延伸。每一个子域都用其上父域的名字作为域名后缀，比如，父域的名称是zawx.com时,子域的名称可能为a.zawx.com。

当内网中形成了多棵域树，会给管理增加困难。实际上，不管划分了多少片域形成了多少棵域树，他们都是属于同一个企业的。我们可以将企业中的所有域树连起来，用统一的活动目录管理，这就形成了域林。

“林”中的所有“树”共享同一个存储结构、配置和全局目录。通常将“林”中第一个创建的域作为根域，根域相当于“林”的主人，能够管理其它域，并在其上存储部分其它域的资源。

“林”中的域用户登录后，不仅可以与本域用户进行免验证通信，还能与林中其它域用户免验证通信。甚至在其它域赋予权限后，能查找及使用它域的资源。

简单来说，域树、域林是多个域的集合，从概念上来看，域树、域林代表了更大范围的信任联系，能协调更多部门间的通信和资源使用关系，更大程度上提高企业整体的协作效率。

# 结语 #

以上篇章中，我们为大家讲解了域、域控和域树、域林。在企业中应用时，通常将每个子公司单独划分成域，由子公司管理，再在各个域间建立双向传递的信任关系形成域树、域林，由企业统一管理。

实际上，域树域林的形成是借助了活动目录强大的拓展性。活动目录（AD）在内网管理中的优势不限于此，还有很多值得探索的地方，下一篇文章中，我们将给大家详细介绍AD域服务的功能。

【安全科普】AD域安全管理（一）相关推荐

【安全科普】AD域安全协议（一）kerberos
在网络空间中,用户进行通信时,要将自己的信息转换成数据,在网络上传输给对方.最初是不加密直接传输的,但是对话信息容易被他人查看,所以就出现了加密模式.这种方式,一定程度上保护了通信安全,但一些&quo ...
【安全科普】AD域安全协议（三）LDAP
前言 LDAP是一种目录访问协议,它规定了以树状结构的方式来存储和访问数据. 然而协议是抽象的,要产生具体的功效,必须在应用中实现,比如AD域服务就实现了LDAP协议. LDAP最明显的优势就是读取速 ...
无影云电脑居家办公最佳实践（AD域账号）
简介:2020年初新冠肺炎疫情在全球迅速蔓延,突如其来的疫情让大多数企业不得不停工停产,企业在探索和实践各种新的办公方式,远程办公.居家办公的需求和市场规模呈现出爆发式增长,已成为企业的共识和全球趋势 ...
ad域下文件服务器,ad域建立文件服务器
ad域建立文件服务器内容精选换一换修改服务IP地址,并且将DNS地址指向本机,然后修改计算机名为server.安装AD域服务之后,机器名称会自动变成"主机名+域名"的形式,例 ...
Windows server服务篇1：Windows Server 2012R2 AD域控辅助域只读域子域
Windows Server 2012R2 域与活动目录介绍域与活动目录什么是域域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(Trust Relati ...
VWware-安装AD域服务
AD域控就是基于轻型目录访问协议将企业网络中的资源(包括用户.计算机.服务器.数据库.共享文件.共享打印机等)合理.安全.有效的管理起来.通俗来说就是:解决了单点登录,简化了身份认证,完成了不同用户资 ...
配置和维护ad服务器,ad域服务器硬件配置
ad域服务器硬件配置内容精选换一换云堡垒机与AD服务器对接,认证登录系统的用户身份,AD认证的模式包括认证模式和同步模式两种.认证模式在此模式下,云堡垒机不会同步AD域服务器上的用户信息,需要管 ...
windows server2012 AD域相关操作
AD域主要作用就是集中管理,限制域内用户或计算机的所有操作,主要管理公司员工,就像通讯录一样,还能管理了电脑,打印机等, 权限管理,ADhelper 可以实现WEB方式的AD域管理,方便.快捷.其余不 ...
使用Novell.Directory.Ldap.NETStandard在.NET Core中验证AD域账号
Novell.Directory.Ldap.NETStandard是一个在.NET Core中,既支持Windows平台,又支持Linux平台,进行Windows AD域操作的Nuget包. 首先我们 ...
用ldap方式访问AD域的的错误解释
在配置OTRS时遇到的问题,查到以下信息,以便查询. python-ldap访问AD域的的错误一般会如下格式: {'info': '80090308: LdapErr: DSID-0C090334, ...

【安全科普】AD域安全管理（一）

【安全科普】AD域安全管理（一）相关推荐

最新文章

热门文章