什么是 Active Directory 及其工作原理？

世界各地各种规模的组织都使用 Active Directory 来帮助管理权限并控制对关键网络资源的访问。但它到底是什么？它对您的业务有何潜在帮助？

什么是活动目录？

Active Directory (AD) 是一种在 Microsoft Windows Server 上运行的目录服务。 Active Directory的主要功能是使管理员能够管理权限并控制对网络资源的访问。在Active Directory中，数据被存储为对象，其中包括用户、组、应用程序和设备，并且这些对象根据其名称和属性进行分类。

什么是 Active Directory 域服务？

Active Directory 域服务 (AD DS) 是 Active Directory 的核心组件，提供对用户进行身份验证并确定他们可以访问哪些网络资源的主要机制。 AD DS 还提供其他功能，例如单点登录 (SSO)、安全证书、LDAP 和访问权限管理。

Active Directory 域服务的层次结构

AD DS 以由域、树和林组成的分层结构组织数据，如下所述。

域：域代表一组共享同一 AD 数据库的对象，例如用户、组和设备。您可以将域视为树中的分支。域具有与标准域和子域相同的结构，例如yourdomain.com 和 sales.yourdomain.com。

树：树是按逻辑层次结构分组在一起的一个或多个域。由于树中的域是相关的，因此它们被称为相互“信任”。

森林：森林是AD中最高级别的组织，包含一群树木。森林中的树也可以相互信任，并且还可以共享目录架构、目录、应用程序信息和域配置。

组织单位：OU 用于组织用户、组、计算机和其他组织单位。

容器：容器与 OU 类似，但与 OU 不同的是，无法将组策略对象 (GPO) 链接到通用 Active Directory 容器。

其他活动目录服务

除了 Active Directory 域服务之外，AD 还提供一些其他关键服务。下面列出了其中一些服务：

轻量级目录服务：AD LDS 是轻量级目录访问协议 (LDAP) 目录服务。它仅提供 AD DS 功能的子集，这使其在运行位置方面更加通用。例如，它可以作为独立的目录服务运行，而无需与 Active Directory 的完整实现集成。

证书服务：您可以创建、管理和共享加密证书，使用户能够通过互联网安全地交换信息。

Active Directory 联合服务：ADFS 是 AD 的单点登录 (SSO) 解决方案，允许员工使用一组凭据访问多个应用程序，从而简化用户体验。

权限管理服务：AD RMS 是一组有助于管理安全技术的工具，可帮助组织确保数据安全。此类技术包括加密、证书和身份验证，涵盖一系列应用程序和内容类型，例如电子邮件和 Word 文档。

托管 AD DS 的服务器称为域控制器 (DC)。域控制器还可用于对其他 MS 产品进行身份验证，例如 Exchange Server、SharePoint Server、SQL Server、文件服务器等。

Windows 活动目录入门

在 Windows Server 上设置 Active Directory 的全面分步指南超出了本文的范围。相反，我将提供安装 AD 所需步骤的基本摘要，这至少应该为您指明正确的方向。假设您已经安装了 Windows Server (2016)，您将需要...

• 更改您的 DNS 设置，使您的服务器 IP 地址成为主 DNS 服务器。
• 打开服务器管理器，您可以通过 PowerShell 以管理员身份登录并输入 ServerManager.exe 来访问它。
• 在服务器管理器窗口中，单击添加角色和功能，然后单击下一步按钮开始设置过程。
• 在显示选择服务器角色的窗口中，选中显示Active Directory 域服务的框。将出现一个弹出框。单击添加功能，然后单击下一步继续。
• 继续单击下一步按钮，直到到达最终屏幕。除非您知道自己在做什么，否则最好保持默认设置不变。
• 完成向导后，单击安装，然后等待安装过程完成。

安装 Active Directory 域服务后，您将需要配置安装，其中包括更改默认密码、设置 OU、域、树和林。如前所述，设置和配置 Active Directory 的详细说明超出了本文的范围。有关详细的最新说明，您需要查阅官方文档。

什么是 Azure 活动目录

鉴于越来越多的组织将其业务运营转移到云端，微软推出了 Azure Active Directory (Azure AD)，这是基于云的 Windows AD 版本，它还可以与本地 AD 实施同步。据称，Azure AD 是 Office 365 和其他 Azure 产品的支柱；但是，它也可以与其他云服务和平台集成。 Windows 和 Azure AD 之间的一些差异如下。

通信：如前所述，Azure AD 使用 REST API，而 Windows AD 使用 LDAP。

身份验证：Windows AD 使用 Kerberos 和 NTLM 进行身份验证，而 Azure AD 使用自己内置的基于 Web 的身份验证协议。

结构：与按 OU、树、林和域组织的 Windows AD 不同，Azure AD 使用用户和组的扁平结构。

设备管理：与 Windows AD 不同，Azure AD 可以通过移动设备进行管理。 Azure AD 不依赖组策略对象 (GPO) 来确定哪些设备和服务器能够连接到网络。

如果您正在阅读有关 Active Directory 的文章，那么您很可能尚未使用它。在这种情况下，您可能最好从 Azure AD 开始，而不是 Windows AD。您可能想要使用 Windows AD 的主要原因之一是您要存储大量有价值的数据，并且拥有一支由经验丰富的 IT 专业人员组成的团队来管理您的网络安全计划。

• Active Directory 帐户频繁锁定的常见原因
• Active Directory 中审核成功和失败的登录尝试
• 十大 Active Directory 攻击方法

• 活动目录审核
• Azure AD 审核
• 组策略审核
• 活动目录安全
• AD账户锁定工具