Active Directory(AD)是由微软开发的一种目录服务系统,自 1999 年发布以来,它已成为许多企业 IT 基础设施的核心组件。AD 提供了集中化的用户管理、身份验证、访问控制以及各种安全功能,为企业网络的管理和保护提供了强大的支持。
本文将介绍 AD 的基本概念、架构、特点及其使用的关键协议,并探讨其在企业环境中的应用。
集权设施AD的定义与功能
Active Directory 是一个目录服务,旨在用于管理计算机网络中的用户和资源。目录服务是一种可以存储关于用户、计算机、应用程序和其他资源的信息,并允许管理员和用户轻松地查找和访问这些信息的系统。
功能
集中身份验证和授权:
通过域控制器(Domain Controller, DC)进行集中身份验证,确保用户和计算机的安全访问。
目录服务:
存储和组织关于域内资源的信息,方便查找和管理。
组策略管理:
允许管理员配置和管理用户和计算机的设置。
基本概念
域(Domain):
域是 AD 的基本单位,代表一个逻辑组的用户、计算机和其他资源。每个域都有一个唯一的 DNS 名称,例如netstar.com。域中的所有对象都存储在域控制器上,并且通过目录服务进行管理。域提供了一种集中化的管理方式,使得域管理员可以统一管理域内所有资源。
域树(Domain Tree):
域树是 Active Directory 中多个具有信任关系的域的集合,这些域共享一个公共的 DNS 命名空间。每个域都有一个唯一的 DNS 名称,形成层次化的结构,例如 netstar.com 下的 it.netstar.com 和 hr.netstar.com。域树通过自动信任关系,实现了跨域的资源访问和管理。
域森林(Domain Forest):
域森林是 Active Directory 的最高层次结构,它包含一个或多个域树,这些域树共享一个全局目录、架构和配置。森林中的所有域默认通过双向传递信任关系连接,允许跨域资源访问和身份验证。这些信任关系可以根据企业的安全策略进行调整,以限制或允许特定域之间的访问。森林提供了统一的管理框架,支持复杂的企业网络结构。
组织单位 (Organizational Unit, OU):
OU 是域中的容器,用于组织和管理对象。域管理员可以使用 OU 来分组用户、计算机和其他资源,并应用组策略。OU 结构允许灵活的管理权限委派和分层次的管理。
7大核心组件
用户和组
用户是Active Directory中最基本的对象之一,代表网络中的个体,可以是人或服务账户。每个用户对象包含以下关键信息:
用户名:用户的唯一标识。
密码:用于身份验证。
个人信息:如姓名、职务、联系电话等。
组成员身份:用户所属的组,用于权限管理。
组是用户的集合,用于简化权限管理。组分为两种类型:
安全组:用于分配权限和访问控制。通过将用户添加到安全组,可以简化权限管理过程。
分发组:主要用于电子邮件分发,不具备安全功能。
域名系统(DNS)
DNS(Domain Name System)在Active Directory中扮演了重要角色。它用于将域名转换为IP地址,帮助客户端找到域控制器和其他网络资源。主要功能如下:
服务定位(SRV)记录:AD使用SRV记录帮助客户端定位域控制器、全局编录服务器等。
命名解析:提供域名到IP地址的转换,确保网络通信的顺利进行。
域层次结构:支持AD的域命名空间,使网络资源和服务的访问更加方便。
组策略(Group Policy)
组策略是一种集中管理用户和计算机设置的功能。通过组策略,管理员可以控制各种配置和安全设置。主要功能如下:
策略设置:配置安全设置、软件安装、脚本等。
继承和覆盖:组策略可以应用于域、OU(组织单位)和本地计算机,并且支持继承和覆盖机制。
管理模板:提供预定义的策略设置模板,简化配置过程。
组策略对象(GPO):组策略对象是组策略的具体实现。每个GPO包含多个策略设置,可以链接到域、OU或站点。
轻量级目录访问协议(LDAP)
LDAP(Lightweight Directory Access Protocol)是用于访问和管理目录服务的协议。它是AD的核心通信协议,支持目录数据的查询和修改。主要功能如下:
目录查询:允许客户端查询目录服务中的数据,如用户信息、组成员身份等。
数据操作:支持对目录对象的添加、删除、修改等操作。
目录同步:用于在不同目录服务之间同步数据。
域控制器(DC)
域控制器DC是运行Active Directory服务的服务器,负责处理身份验证请求和目录服务的所有操作。它是存储AD数据库的地方,包含关于域中的用户、计算机、组及其他对象的所有信息。主要功能如下:
身份验证:DC负责对用户和计算机进行身份验证,确保只有经过验证的实体才能访问网络资源。它支持Kerberos和NTLM等身份验证协议。
授权:根据用户或计算机的身份及其在AD中的权限,DC授予或拒绝对资源的访问。
目录服务操作:DC处理所有目录服务的操作,包括对象的创建、删除、修改和查询。
复制:在拥有多个DC的环境中,AD通过多主复制(Multi-Master Replication)在各DC之间同步数据,确保一致性和冗余性。
全局目录服务器(GCS)
全局目录服务器是一个特殊的域控制器,它包含域内所有对象的部分属性,并提供跨域查询服务。GCS在多域环境中尤为重要,因为它能提供快速、全面的目录查询。主要功能如下:
跨域查询:GCS包含所有域中对象的部分属性,可以响应来自任何域的查询请求,提供全局目录服务。
登录验证:在用户登录时,GCS提供快速验证用户在其他域中的群组成员身份。
部分属性集(PAS):GCS存储每个对象的一部分属性,而不是全部属性,这些属性通常用于查询操作。
证书服务(ADCS)
ADCS是一个扩展组件,提供数字证书的创建、管理和分发功能,增强网络安全。主要功能如下:
证书颁发机构(CA):管理和颁发数字证书。
证书注册点:帮助用户和设备请求和获得证书。
证书吊销列表(CRL):管理和发布证书吊销信息。
6大关键协议
MORE
AD在企业中的应用优势
用户管理流程,化繁为简
集中管理用户帐户:
管理员可以通过AD轻松地在一个中心位置创建、修改和删除用户帐户,而不需要逐个访问每台计算机进行操作。
组管理:
AD允许管理员将用户分组,这样可以通过一次操作来分配或更改多个用户的权限。例如,可以为一个部门创建一个组,然后分配该组的访问权限。
策略实施:
通过组策略对象(GPO),管理员可以配置并强制执行用户和计算机的设置,如密码策略、桌面配置和软件安装,从而保持一致性和合规性。
多重BUFF加持,安全感满满
身份验证和授权:
AD使用Kerberos协议进行安全的身份验证,确保只有经过验证的用户和设备才能访问网络资源。通过分配权限,管理员可以精确控制用户对文件、应用程序和系统的访问。
组策略:
管理员可以使用组策略来定义安全设置,如密码复杂性要求、账户锁定策略和防火墙配置。这些策略可以自动应用到所有用户和计算机上,确保整个网络的一致安全性。
审计和日志记录:
AD可以记录所有用户的登录、注销和其他活动,提供详细的审计跟踪,有助于检测和防止安全威胁。
自动化管理,作业效率轻松翻倍
自动化任务:
通过脚本和自动化工具,许多常见的管理任务可以自动执行,如用户帐户创建、密码重置和资源分配。这减少了手动操作的需求,降低了错误率。
集中管理控制台:
使用Active Directory管理工具(如AD用户和计算机管理控制台),管理员可以在一个界面中管理整个网络资源,提高了管理效率。
资源共享:
AD允许管理员集中管理共享资源(如打印机、文件夹和应用程序),简化了用户的访问和使用。
支持本地和云环境
本地和云集成:
AD可以与Azure Active Directory(Azure AD)无缝集成,使企业能够扩展其本地目录服务到云端。这种混合模式允许用户使用单一身份在本地和云资源之间切换,提供了更大的灵活性。
Azure AD的功能:
通过Azure AD,企业可以实现更多的云服务集成,如Office 365、Dynamics 365和其他SaaS应用程序。Azure AD还提供高级功能,如多重身份验证(MFA)、条件访问和应用程序代理。
统一身份管理:
企业可以通过Azure AD Connect工具将本地AD与Azure AD同步,实现统一的身份管理和用户登录体验,简化了跨平台的身份验证过程。
AD安全在高效率、高安全性、高精确性、支持本地与云集成等多重BUFF加持下,突破了一系列安全赛道的难题,随着技术的不断发展和企业需求的不断变化,Active Directory也将积极适应这些变化并不断完善其功能和服务。
原文始发于微信公众号(网星安全):集权系列科普 | 想了解AD&攻击面?独家干货放送(上)