web安全day8：深入浅出掌握windows域

作为普通人，工作生活中很少有听到域的概念，但是作为桌面运维工程师，域这个概念在工作中是不陌生的，如果企业网络中计算机和用户数量较多时，要实现高效管理，就需要windows域。但是很多人并不完全理解域的概念和意义，我计划用三篇博文，通过实验和理论结合，把计算机的域这个概念讲明白。

Windows域是计算机网络的一种形式，其中所有用户帐户，计算机，打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。身份验证在域控制器上进行。在域中使用计算机的每个人都会收到一个唯一的用户帐户，然后可以为该帐户分配对该域内资源的访问权限。从Windows Server 2003开始， Active Directory是负责维护该中央数据库的Windows组件。Windows域的概念与工作组的概念形成对比，在该工作组中，每台计算机都维护自己的安全主体数据库。

1、环境、域、工作组的概念

domain代表一种环境，即域环境。在我们的内网中，存在两种环境：

1）工作组环境

2）域环境

如果说工作组是“免费的旅店”那么域就是“星级的宾馆”，工作组可以随便出出进进，而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。

打开我的电脑属性，可以看到我们所在工作组，即我们处于工作组环境。

工作组环境是默认模式，在这个环境中，人人平等，但是并不利于企业管理和企业发展，无法进行统一设置和统一管理，为了方便企业中网络管理员统一管理或者说集成管理，我们一般使用域环境，在域环境中，人人不平等，有层级关系。

域有以下一些特点：集中、统一管理。

2、域的组成

1）域控制器：一般是服务器，简称域控。DC:Domain Cotocoller。一个域中可以有多个DC，因为DC很重要，一旦DC出现故障，可能影响域中所有成员的正常上网等工作，所以需要多台进行冗余。

2）成员机：成员机之间平等。

3、域的部署

在企业中，我们一般以搭建一台DC服务器作为部署域的象征动作，作为新入职的员工，我们在办理入职手续的时候，网络管理员已经为我们配置了以我们姓名为特征的电脑，加入了我们公司的域中。比如李强入职了新东方，新东方的域名被定义为xdf.com，那么大概率他的计算机名会被定义为liqiang.xdf.com，同时作为一台dc，它默认也是一台dns服务器，我们此前已经知道，dns服务器可以通过域名解析得到ip地址，因此，我们只要知道了liqiang.xdf.com就知道李强的计算机的ip地址了。

那么域是如何实现集中统一管理的呢？

我们部署dc实际上是在dc上安装了若干个软件。产生了一张表，即活动目录AD（active dictionary），这里面有很多域资源，其中有一个叫做域账号和其相对应的口令。比如qiang.li和它的口令123.com

AD非常重要，以至于我们在称呼域的时候有时候也叫AD域。

我们还是以李强为例，他的计算机中实际上存在了两个账户，一个是liqiang.xdf.com,还有一个是本地管理员，他既然加入了域，就会自动指向我们的dc，即我们的dns服务器，这决定了他是否能够上网，因为他需要解析地址。

如果网络管理员希望进入李强的计算机，即使他不知道李强计算机的本地管理员口令，但是由于他管理着整个公司的域资源，他是有域账号的，李强既然加入了公司的域，那么他必然会有域账号，网络管理员就可以使用李强的域账号进入李强的计算机。

GPO叫做组策略，group policy 。

公司有很多域账号，所以还需要给它们分组，一般是按照组织架构进行分组的。

我们总结以下，域的部署需要以下条件：

1）安装域控制器---产生域环境

2）安装活动目录---生成域控制器

4、活动目录的特点

集中管理、统一管理。

我们可以这样理解域和活动目录的关系：

域是网络中的逻辑慨念，和工作组的概念类似，域的等级更高些而已，与通过DC的设置对整个域中的成员进行管理和控制，你可以将域视为一个逻辑上的计算机，域中的账户可以在如何一台成员计算机上登录；AD就是一个域管理工具，它存储了域的配置信息可以视其为一个数据库，DC就是一台安装了AD的server计算机