Active Directory 林：什么是 AD 林？

对于许多组织来说，Active Directory 林是 IT 基础架构的一个关键元素，但常常被低估。让我们确切地探讨一下 Active Directory 林是什么，以及为什么拥有可靠的 Active Directory 林恢复策略对于保护您的业务至关重要。

什么是 Active Directory 林？

您可能知道，Active Directory (AD) 是一个数据库和一组服务，可帮助用户在 Microsoft IT 环境中完成工作。 数据库（或目录）包含有关您的环境的重要信息，包括有哪些用户和计算机以及允许执行哪些操作。 服务控制着正在进行的大部分活动；特别是，他们确保每个人都是他们声称的人（身份验证），并允许他们仅访问他们被允许使用的数据（授权）。

Active Directory 具有三个主要层：域、域树和林：

• 域是一组共享同一 AD 数据库的用户、计算机和其他 Active Directory 对象，例如您公司芝加哥办事处的所有 AD 对象。
• 域树是一个或多个域的集合，这些域以分层父子结构分组在一起，具有连续的命名空间和域之间的可传递信任关系。例如，域 Quest.com 和 Sales.Quest.com 将被视为 Quest.com 域树的一部分。
• 森林是一组具有共享目录模式、目录、应用程序信息和域配置的多棵树。架构定义林中对象的类和属性，全局编录服务器提供 AD 林中所有对象的列表。

除了结构差异之外，了解 Active Directory 域和 Active Directory 林之间用途的差异也很重要：

• 域是一个管理边界 - 特定单个域的对象存储在单个 Active Directory 数据库中，并且可以一起管理。
• 林是一个安全边界 - 不同 Active Directory 林中的对象无法相互交互，除非每个林的管理员在它们之间创建信任。

需要多少森林？

每个 Active Directory 至少有一个林。组织可以选择拥有两个或更多 Active Directory 林，或者由于合并和收购 (M&A) 交易，他们最终可能会拥有多个林。

单一林是最具成本效益的选择，主要是因为它需要最少的管理开销。由于林中的所有对象都列在单个全局目录中，因此它还可以实现用户之间的最大限度的协作。

多个林可能是理想的，甚至是必要的，具体取决于组织中各组的数据隔离和数据自治要求。然而，拥有多个森林本身并不能增强安全性；您需要妥善管理和保护每片森林。因此，一定要平衡拥有多个森林的成本和收益。特别是，最佳实践要求每个林都有单独的 IT 管理团队，以确保适当的职责划分。

通常，只有最大和最复杂的组织才会拥有多个 Active Directory 林。大多数组织都会创建具有多个子域的单个林，每个子域都有自己的 Active Directory 数据库，其中包含自己的资源、权限、组策略对象 (GPO) 等。

森林设计模型有哪些？

Active Directory 林设计模型共有三种：组织模型、资源模型和限制访问模型。大型组织可能需要使用模型组合来满足其各个业务部门或其他群体的需求。

组织森林模型

每个 Active Directory 设计都至少包含一个组织林。在此模型中，用户帐户和资源包含在林中并独立管理。

当您需要服务自治、服务隔离或数据隔离时，组织林模型特别有价值，因为可以将林配置为拒绝林外任何人的访问。尽管如此，可以在组织林和其他林之间建立信任关系，这使得任一林中的管理员都可以授予对其他林中资源的访问权限。

资源林模型

资源林，顾名思义，就是致力于资源的；资源林不包含用户帐户（服务管理和其他特定目的所需的帐户除外）。林信任用于使其他林的用户能够访问资源林中的资源。

此模型不再常见，但当需要服务隔离来保护需要保持高可用性状态的网络区域（例如制造或其他关键任务资源）时，它可能很有用。

限制访问森林模型

受限访问林是一个单独的林，其中包含必须与组织其他部分隔离的用户帐户和数据。用户拥有单独的帐户和单独的工作站来访问受限访问林中的数据。不存在信任，因此无法授予来自其他林的用户访问受限数据的权限。

该模型用于需要最高安全性的情况，例如机密政府项目。为了提高安全性，受限访问林可以位于单独的物理网络上。

什么是红森林？

红森林是 Microsoft 增强安全管理环境 (ESAE) 的常见昵称。基本上，ESAE 是一种分层安全方法，涉及创建特殊的管理林（称为红色森林）来管理 Active Directory 中的所有特权身份并更好地保护它们免受损害。

ESAE 模型承诺了宝贵的好处，但对于大多数组织来说并不实用，因为它需要极其复杂且成本高昂的架构，而且实施过程很繁琐，并且会增加停机风险。

Microsoft 将在大多数情况下淘汰红森林模型，转而采用现代的企业访问模型，该模型包含基于云的特权访问策略，可提供相同或更好的安全性，并且可以使用 Microsoft 的快速现代化计划（RAMP）。

Active Directory 林最佳实践

设计、管理和保护 Active Directory 林的策略很容易成为多个单独的博客文章。但以下是一些最佳实践：

• 如果可能的话，只使用一片森林。这种方法简化了管理任务，同时降低了成本和复杂性。
• 如果您有多个林，请特别注意您在它们之间建立的信任。
• 按照 Microsoft 指南选择 Active Directory 林的根域。 林根域包含企业管理员组和架构管理员组，它们用于管理关键的林级操作，例如添加和删除域以及更改架构。
• 将域和林功能级别设置为您的环境可以支持的最高值（默认情况下，自 Windows Server 2008 于 2020 年停止支持以来，它们都设置为 Windows Server 2012）。 功能级别确定可用的 Active Directory 域服务 (AD DS) 功能，以及可以在域或林中的域控制器上运行哪些 Windows Server 操作系统。请注意，功能级别无法降级，但可以提升。
• 为了在分布式环境中实现高可用性，请将所有域控制器配置为提供 DNS 和全局编录服务。

创建 Active Directory 林恢复计划

最后一项最佳实践值得更充分的讨论。正如我们所看到的，您的 Active Directory 林是一个动态、复杂且精密的生态系统，它为您的组织提供重要的身份验证和授权服务。事实上，健康、运转良好的森林对于当今的任何核心业务流程都至关重要。

同时，您的 Active Directory 林也是网络攻击的首要目标，并且容易受到自然灾害、故障和人为错误的影响。例如，勒索软件攻击可以在几分钟甚至几秒钟内关闭您的 Active Directory 林。 Active Directory 停止运行的时间越长，您的业务停止运行的时间就越长。事实上，每一秒都很重要：40% 的企业表示，一小时的停机成本为 100 万至 500 万美元以上，在最坏的情况下，损失可能达到每分钟数百万美元 。

最大限度地减少停机时间以及不可避免地对您的业务造成的损害的最佳方法是采用由正确工具支持的全面 Active Directory 林恢复策略。本地方法还不够。事实上，当使用 Microsoft 工具手动执行时，AD 林恢复是一个困难、耗时且容易出错的过程。 Microsoft 的 Active Directory 林恢复指南概述了 18 个高级步骤（每个步骤包含无数子步骤），这些步骤必须在每个 DC 上正确并按正确的顺序执行，并在从备份恢复的所有 DC 之间进行协调。而且，很多步骤并不是AD管理员所熟悉的操作，它们是乏味的、通常基于命令行的操作，因此很容易犯错误，从而重新损坏您的目录并要求您重新开始。

因此，最佳实践是寻找提供以下所有功能的备份和恢复解决方案：

• 可靠的 AD 备份使流程更加高效并最大限度地减少恶意软件隐藏的地方
• 分阶段恢复使您的业务能够快速恢复正常
• 灵活的恢复选项，不仅包括分阶段恢复，还包括恢复到干净的操作系统和裸机恢复 (BMR)
• 将操作系统干净地恢复到云端，以便您可以快速将 AD 恢复到您当场创建的随时可用、安全且经济高效的虚拟机
• 恶意软件检测，在创建备份文件后、添加更新时的存储期间以及使用集成的 Microsoft Defender 功能开始恢复之前定期检查文件是否有病毒
• 安全存储 — 根据 IPSec 规则隔离的强化服务器，并定期检查以确认备份完整性
• 操作系统恢复快速恢复域控制器的操作系统，无需依赖其他DC
• 虚拟测试实验室，您可以使用生产数据演示和验证您的 Active Directory 灾难恢复计划
• 混合恢复，可恢复纯云对象和属性，例如 Azure AD 组、Azure B2B 和 B2C 帐户以及条件访问策略

结论

Active Directory 提供保持业务运行以及数据和系统安全所需的重要身份验证和授权服务。通过遵循此处详细介绍的最佳实践，您可以建立并维护有效的 Active Directory 林结构。尽管如此，没有任何组织能够免受网络攻击、错误和灾难的影响，这些攻击、错误和灾难可能会摧毁整个森林，因此制定全面的森林恢复计划、彻底测试并定期实践也至关重要。