Active Directory 域服务：它是什么及其工作原理

今天，我将回答您可能有的有关 Active Directory 域服务的所有关键问题。

什么是 Active Directory 域服务？它与活动目录有什么不同吗？

Active Directory 域服务 (AD DS) 和 Active Directory (AD) 是同一件事：一个数据库（或目录），其中包含关键信息（例如您拥有的所有各种用户和计算机）以及控制大部分正在进行的活动的关联服务在您的 IT 环境中。

正如《雷德蒙德》杂志的一篇文章所述，“Active Directory 环境意味着您必须至少拥有一台安装了 Active Directory 域服务的服务器。 ”

Active Directory 域服务实际上是做什么的？

AD DS有两个核心功能：

• 身份验证——通常通过检查他们提供的用户 ID 和密码来确保每个用户都是他们声称的身份
• 授权 - 允许每个用户仅访问他们有权使用的数据

请注意，我在这里使用的是一般意义上的“用户”一词； AD DS 不仅为个人提供身份验证和授权，还为设备、应用程序、进程等提供身份验证和授权。

如何安装 Active Directory 域服务？

您本身并不安装 AD DS。相反，它是 Microsoft Windows Server 操作系统中包含的服务器角色之一。当您在计算机上安装 Windows Server 时，您需要指定该服务器将扮演的角色：文件服务器、Web 服务器、DNS 服务器等（参见图 1）。

数字1。当您在计算机上安装 Windows Server 时，您需要指定该服务器将扮演什么角色。

通过为服务器分配 AD DS 角色，可以使其成为域控制器 (DC)。请注意，运行常规版本 Windows 的台式机、笔记本电脑和其他系统不运行 AD DS，并且不能成为 DC。

如图所示，您可以为服务器分配多种其他角色，包括：

• Active Directory 证书服务 (AD CS) - 使 DC 能够提供数字证书、签名和公钥加密服务
• Active Directory 联合身份验证服务 (AD FS) - 提供单点登录 (SSO)，因此用户无需不断提供相同的凭据
• Active Directory 轻型目录服务 - 允许使用 LDAP 与其他目录服务服务器（例如网络中的任何 Linux 计算机）进行通信
• Active Directory 权限管理服务 (RMS) - 通过持久使用策略帮助保护信息，无论内容移动到何处，这些策略都会保留在内容中

我可以有多个服务器运行 Active Directory 域服务吗？

是的！事实上，这是常态：组织几乎总是拥有多个域控制器以实现冗余和可扩展性。如果一个 DC 出现故障，另一 DC 可以介入并提供相同的服务。

Active Directory 复制服务可确保网络上的所有域控制器保持同步。特别是，它使它们都保持最新状态，了解对目录中的用户和计算机进行的任何修改（例如用户的密码更改）以及对架构的任何更改，架构定义了所有对象类（例如用户、组、计算机、域和组织单位）可以存储在您的目录中。

保护域控制器的最佳实践是什么？

很高兴你问了！请务必记住，任何运行 AD DS 的服务器都是网络攻击的首要目标。入侵您的域控制器之一的黑客很容易实现他们的任何邪恶目标，从窃取您最有价值的数据到破坏关键业务流程。而且，正如 Microsoft 指出的那样，“根据攻击者的准备、工具和技能，对 AD DS 数据库的修改甚至无法修复的损坏可以在几分钟到几小时内完成，而不是几天或几周。 ”

因此，保护像诺克斯堡这样的域控制器至关重要。尤其：

• 限制每个 DC 上拥有本地管理权限的人员。
• 仅安装对功能和安全至关重要的应用程序和服务。 DC 应该专门充当 DC。
• 切勿允许域控制器访问互联网。不仅通过策略，而且通过技术控制来禁止在 DC 上使用 Web 浏览器。如果 DC 需要跨站点复制，请在这些站点之间实现安全连接。
• 限制可以交互登录的帐户，并严格遵守这些帐户的密码复杂性和过期时间的最佳实践。请记住，各种团体（例如服务器操作员）授权成员以交互方式登录。
• 最大限度地减少对所有域控制器的网络访问。
• 严格控制对所有 DC 的物理访问。如果您使用虚拟 DC，请了解您的虚拟化管理员是谁并密切关注他们的活动，因为他们可以提升权限。
• 让 Windows Server 保持最新的补丁并尽可能使用最新版本。
• 审核所有 DC 的活动，并确保您收到有关任何可疑行为的警报。
• 备份您的 DC。 （有关一家公司如何未能实施这一最佳实践并不得不将其最后一个生活数据中心从加纳运送到英国的有趣但具有警示意义的故事，请查看此技术简介。）

结论

这就是我对 AD DS 的技术深入了解。为了更实用，我强烈推荐我们的由五部分组成的博客系列，其中涵盖以下所有主题：

• 什么是活动目录？
• 活动目录管理
• 活动目录安全
• 活动目录迁移
• 活动目录报告