Active Directory 是 Windows 域网络的目录服务

介绍

Active Directory 是在域内部连接的机器和服务器的集合,它们是构成 Active Directory 网络的更大域林的集合部分。Active Directory 包含许多功能部件,

Active Directory 的各个部分

  • 域控制器
  • 森林、树木、领域
  • 用户+组
  • 信托
  • 政策
  • 领域服务

域控制器

域控制器是安装了 Active Directory 域服务 ( AD DS) 并已提升为林中的域控制器的Windows服务器。域控制器是 Active Directory 的中心——它们控制域的其余部分。

域控制器的任务

  • 拥有AD DS 数据存储
  • 处理身份验证和授权服务
  • 从林中的其他域控制器复制更新
  • 允许管理员访问管理域资源

AD DS 数据存储

Active Directory 数据存储包含存储和管理目录信息(例如用户、组和服务)所需的数据库和进程。

AD DS 数据存储的一些内容和特征

  • 包含 NTDS.dit - 一个数据库,其中包含 Active Directory 域控制器的所有信息以及域用户的密码哈希
  • 默认存储在 %SystemRoot%\NTDS
  • 只能由域控制器访问

森林

森林是一切的定义;它是将网络的所有其他部分和部分保存在一起的容器。没有森林,所有其他树木和域都将无法交互。

想到森林时要注意的一件事是不要从字面上去想它——它是一个物理的东西,就像它是一个比喻的东西一样。当我们说“森林”时,它只是一种描述这些树和域之间由网络建立的联系的方式。

森林概况

森林是 Active Directory 网络中一个或多个域树的集合。它将网络的各个部分作为一个整体进行分类。

森林由这些部分组成

  • 树 - Active Directory 域服务中的域层次结构
  • 域 - 用于分组和管理对象
  • 组织单位 (OU) - 组、计算机、用户、打印机和其他 OU 的容器
  • 信任 - 允许用户访问其他域中的资源
  • 对象 - 用户、组、打印机、计算机、共享
  • 域服务 - DNS服务器、LLMNR、IPv6
  • 域架构 - 对象创建规则

用户和组

Active Directory 中的用户和组由您决定;当您创建域控制器时,它带有默认组和两个默认用户:Administrator 和 guest。创建新用户和创建新组以添加用户由您决定。

用户类型

  • 域管理员 - 这是大老板:他们控制着域,并且是唯一有权访问域控制器的人。
  • 服务帐户(可以是域管理员)- 除了服务维护外,这些帐户在大多数情况下从未使用过,Windows 等服务需要它们才能将服务与服务帐户配对
  • 本地管理员——这些用户可以以管理员身份对本地机器进行更改,甚至可以控制其他普通用户,但他们无法访问域控制器
  • 域用户 - 这些是您的日常用户。他们可以登录到他们有权访问的机器上,并且可能拥有机器的本地管理员权限,具体取决于组织。

团体概览

组通过将用户和对象组织到具有指定权限的组中,可以更轻松地向用户和对象授予权限。有两种主要类型的 Active Directory 组

  • 安全组——这些组用于为大量用户指定权限
  • 通讯组 - 这些组用于指定电子邮件通讯组列表。作为攻击者,这些群体对我们的益处不大,但在枚举中仍然有益

默认安全组

  • Domain Controllers - 域中的所有域控制器
  • 域来宾 - 所有域来宾
  • 域用户 - 所有域用户
  • 域计算机 - 加入域的所有工作站和服务器
  • Domain Admins - 域的指定管理员
  • Enterprise Admins - 指定的企业管理员
  • 架构管理员 - 架构的指定管理员
  • DNS管理员 - DNS 管理员组
  • DNS更新代理 - 允许代表某些其他客户端(例如 DHCP 服务器)执行动态更新的 DNS 客户端。
  • 允许的 RODC 密码复制组 - 该组中的成员可以将其密码复制到域中的所有只读域控制器
  • Group Policy Creator Owners - 该组中的成员可以修改域的组策略
  • 拒绝 RODC 密码复制组 - 该组中的成员不能将其密码复制到域中的任何只读域控制器
  • 受保护的用户 - 该组的成员获得针对身份验证安全威胁的额外保护。
  • 证书发布者 - 该组的成员被允许向目录发布证书
  • 只读域控制器 - 该组的成员是域中的只读域控制器
  • 企业只读域控制器 - 该组的成员是企业中的只读域控制器
  • 关键管理员 - 该组的成员可以对域内的关键对象执行管理操作。
  • Enterprise Key Admins - 该组的成员可以对林中的关键对象执行管理操作。
  • Cloneable Domain Controllers - 该组的域控制器成员可以被克隆。
  • RAS 和 IAS 服务器 - 该组中的服务器可以访问用户的远程访问属性

信托+保单

信任和策略齐头并进,以帮助域和树相互通信并维护网络内部的“安全性”。他们将规则置于林内域如何相互交互、外部林如何与林交互以及域必须遵循的总体域规则或策略的位置。

域信任概述

信任是网络中用户访问域中其他资源的机制。在大多数情况下,信任概述了林内域相互通信的方式,在某些环境中,信任可以扩展到外部域,在某些情况下甚至可以扩展到林。

有两种类型的信任决定域的通信方式:

  • 定向 - 信任的方向从信任域流向受信域
  • 传递性——信任关系扩展到两个域之外,包括其他受信任的域

建立的信任类型决定了森林中的域和树如何在攻击 Active Directory 环境时相互通信和发送数据,有时您可能会滥用这些信任以在整个网络中横向移动。

域策略概述

策略是 Active Directory 的重要组成部分,它们决定了服务器的运行方式以及它将遵循和不遵循的规则。您可以将域策略想象成域组,除了它们包含规则而不是权限,并且这些策略不仅适用于一组用户,还适用于整个域。它们只是充当 Active Directory 的规则手册,域管理员可以在他们认为必要时修改和更改以保持网络平稳和安全地运行。除了非常长的默认域策略列表外,域管理员还可以选择添加域控制器上尚未存在的自己的策略,例如:如果您想在域中的所有计算机上禁用 Windows Defender,您可以创建一个新组禁用 Windows Defender 的策略对象。域策略的选项几乎是无穷无尽的,并且是攻击者枚举 Active Directory 网络时的一个重要因素。

  • 禁用 Windows Defender - 在域中的所有计算机上禁用 Windows Defender
  • 数字签名通信(始终)- 可以在域控制器上禁用或启用 SMB 签名

Active Directory 域服务 + 身份验证

Active Directory 域服务是 Active Directory 网络的核心功能;它们允许管理域、安全证书、LDAP 等等。这就是域控制器决定它想做什么以及它想为域提供什么服务的方式。

域服务概述

领域服务正是他们听起来的样子。它们是域控制器向域或树的其余部分提供的服务。可以将多种服务添加到域控制器;下面概述了默认域服务:

  • LDAP - 轻量级目录访问协议;提供应用程序和目录服务之间的通信
  • 证书服务——允许域控制器创建、验证和撤销公钥证书
  • DNS , LLMNR, NBT-NS - 用于识别 IP 主机名的域名服务

域认证概述

Active Directory 最重要的部分——也是 Active Directory 最脆弱的部分——是设置的身份验证协议。Active Directory 有两种主要的身份验证类型:NTLM 和 Kerberos。

  • Kerberos - Active Directory 的默认身份验证服务使用票证授予票证和服务票证来对用户进行身份验证并授予用户访问域中其他资源的权限。
  • NTLM - 默认 Windows 身份验证协议使用加密的质询/响应协议

AD in the Cloud

Azure AD概述

Azure 充当物理 Active Directory 和用户登录之间的中间人。这允许在域之间进行更安全的交易,从而使许多 Active Directory 攻击无效。

Windows Server AD Azure AD
LDAP Rest APIs
NTLM OAuth/SAML
Kerberos OpenID
OU Tree Flat Structure
Domains and Forests Tenants
Trusts Guests

动手实验室

使用powshell来查看机器、计算机、用户和组来 了解 Active Directory 的内部结构

Windows 10 操作系统的名称是什么?

第二个“管理员”名称是什么?

哪个组的组名中有大写“V”?

上次为 SQLService 用户设置的密码是什么时候?

Active Directory Basic的更多相关文章

  1. Enabling Active Directory Authentication for VMWare Server running on Linux《转载》

    Enabling Active Directory Authentication for VMWare Server running on Linux Version 0.2 - Adam Breid ...

  2. 如何通过使用窗体身份验证和 Visual C#.NET 对 Active Directory 验证身份

    本分步指南演示如何在 ASP.NET 应用程序如何使用窗体身份验证允许用户使用轻型目录访问协议 (LDAP),对 Active Directory 进行验证.经过身份验证的用户重定向之后,可以使用Ap ...

  3. Three Steps to Migrate Group Policy Between Active Directory Domains or Forests Using PowerShell

    Three Steps Ahead Have you ever wished that you had three legs? Imagine how much faster you could ru ...

  4. CAS FOR WINDOW ACTIVE DIRECTORY SSO单点登录

    一.CAS是什么? CAS(Central Authentication Service)是 Yale 大学发起的一个企业级的.开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(支持 ...

  5. AD域的安装(在Windows Server 2003中安装Active Directory)

    在Active Directory中提供了一组服务器作为身份验证服务器或登录服务器,这类服务器被称作域控制器(Domain Controller,简称DC).建立一个AD域的过程实际就是在一台运行Wi ...

  6. 简化 Web 应用程序与 Windows Azure Active Directory、ASP.NET 和 Visual Studio 的集成

    大家好! 今天的博文深入讨论我们今天推出的开发人员工具和框架中的一些新功能.我们通过与 ASP.NET 和 Visual Studio 团队合作开发了一些重大的增强功能,让开发人员能够轻松使用 Win ...

  7. SharePoint 2013技巧分享系列 - Active Directory同步显示用户照片

    为了保持通讯信息的一致性,需要设置SharePoint,Exchange, Lync等信息同步更新显示,例如,员工头像信息. 本文介绍如何在SharePoint 2013中同步显示Active Dir ...

  8. Azure Active Directory Connect密码同步问题

    这几天一直在弄O365与本地域账号的密码同步问题.由于微软即将用Azure Active Directory Connect(以下简称AADC)这个同步工具替代之前的DirSync,所以我也研究了下这 ...

  9. 部署额外域控制器,Active Directory

      部署额外域控制器 转自:http://yuelei.blog.51cto.com/202879/117599 如果域中只有一台域控制器,一旦出现物理故障,我们即使可以从备份还原AD,也要付出停机等 ...

  10. Windows Azure Active Directory (2) Windows Azure AD基础

    <Windows Azure Platform 系列文章目录> Windows Azure AD (WAAD)是Windows Azure提供的一个REST风格的服务,为您的云服务提供了身 ...

随机推荐

  1. Trie(字典)树模板

    模板 int son[N][26], cnt[N], idx; // 0号点既是根节点,又是空节点 // son[][]存储树中每个节点的子节点 // cnt[]存储以每个节点结尾的单词数量 // 插 ...

  2. NX二次开发:保存时导出PDF并打开

    该工程为在保存时执行开发的功能,函数入口点ufput.其他还有新建.打开.另存等都可以加入开发的操作,具体看UF_EXIT下的介绍. 用户出口是一个可选特性,允许你在NX中某些预定义的位置(或出口)自 ...

  3. 【深入浅出 Yarn 架构与实现】6-1 NodeManager 功能概述

    本节开始将对 Yarn 中的 NodeManager 服务进行剖析. NodeManager 需要在每个计算节点上运行,与 ResourceManager 和 ApplicationMaster 进行 ...

  4. Thinkpad T14升级Windows11ver22h2失败问题解决小记

    背景 手头的ThinkPad在近一年的时间里每次升级Windows 11的22h2版本每次都会报错,具体有以下几种情况: 更新过程中无问题,重启后黑屏更新过程中会卡在26%左右,然后蓝屏报KENERA ...

  5. 如何通过Java代码将添加页码到PDF文档?

    页码可以清楚了解总页数.定位页数快速寻找自己所要的文段.打印时不会分不清头中尾.很多人在使用办公软件的时候就会选择PDF进行文档的保存,因为PDF在保存之后不会出现乱码甚至是格式改变的情况.在PDF中 ...

  6. 事实胜于雄辩,苹果MacOs能不能玩儿机器/深度(ml/dl)学习(Python3.10/Tensorflow2)

    坊间有传MacOs系统不适合机器(ml)学习和深度(dl)学习,这是板上钉钉的刻板印象,就好像有人说女生不适合编程一样的离谱.现而今,无论是Pytorch框架的MPS模式,还是最新的Tensorflo ...

  7. 部署:windows7下mysql8.0.18部署安装

    一.前期准备(windows7+mysql-8.0.18-winx64) 1.下载地址:https://dev.mysql.com/downloads/ 2.选择直接下载不登录账号,下载的压缩包大概两 ...

  8. Unity快手上手【熟悉unity编辑器,C#脚本控制组件一些属性之类的】

    Unity学习参考文档和开发工具 unity的官网文档:https://docs.unity3d.com/cn/current/Manual/ScriptingSection.html ■ 学习方式: ...

  9. mysql 命令批量修改一个字段/帝国cms sql命令修改一个字段

    UPDATE phome_enewstagsdata SET classid=5 where classid=1 UPDATE phome_ecms_news SET classid=8 where ...

  10. 深谈Spring如何解决Bean的循环依赖

    1. 什么是循环依赖 Java循环依赖指的是两个或多个类之间的相互依赖,形成了一个循环的依赖关系,这会导致程序编译失败或运行时出现异常.下面小岳就带大家来详细分析下Java循环依赖. 简单来讲就是:假 ...