活動目錄（AD）憑借其獨(dú)特管理優(yōu)勢，從眾多企業(yè)管理服務(wù)中脫穎而出，成為內(nèi)網(wǎng)管理中的佼佼者。采用活動目錄來管理的內(nèi)網(wǎng)，稱為AD域。

了解AD域，有助于企業(yè)員工更好地與其它部門協(xié)作，同時(shí)提高安全意識。中安網(wǎng)星由此推出AD域安全科普系列，為大家講解AD域的安全管理。

AD域?qū)⑵髽I(yè)內(nèi)網(wǎng)中的所有資源對象集中到域控上，存儲在AD數(shù)據(jù)庫中，采用DNS規(guī)則命名，方便管理的同時(shí)提高安全性。

這一篇文章中，我們先給大家介紹下AD域服務(wù)的應(yīng)用環(huán)境——域，在了解清楚域的形成和結(jié)構(gòu)之后，才能對AD域服務(wù)的功能有更深入的理解。

域的形成

在企業(yè)辦公場景中，經(jīng)常需要部門間互相共享資源，如果每與其它計(jì)算機(jī)通信一次，都要經(jīng)過一次身份驗(yàn)證，會大大影響部門間的協(xié)調(diào)性，影響辦公效率。

如果我們簡單地關(guān)閉身份驗(yàn)證服務(wù)，將會導(dǎo)致計(jì)算機(jī)面臨嚴(yán)重的安全風(fēng)險(xiǎn)，這種方法得不償失。最好是與企業(yè)內(nèi)部計(jì)算機(jī)通信時(shí)能夠免去身份驗(yàn)證，而與外部計(jì)算機(jī)通信時(shí)依然保留身份驗(yàn)證服務(wù)。

這就需要在內(nèi)部員工計(jì)算機(jī)間構(gòu)建信任關(guān)系，建立了信任關(guān)系的計(jì)算機(jī)連起來就形成域。域外計(jì)算機(jī)與域內(nèi)計(jì)算機(jī)通信需要進(jìn)行身份驗(yàn)證，不同域的域計(jì)算機(jī)通信前需建立信任關(guān)系。當(dāng)以域?yàn)閱挝唤⑿湃侮P(guān)系時(shí)，可以在兩域中的所有計(jì)算機(jī)間進(jìn)行免驗(yàn)證通信。

而企業(yè)員工只需注冊成域用戶，在任一臺域計(jì)算機(jī)上登錄，就能與其它域用戶通信。

這其實(shí)與單點(diǎn)登錄的功能類似。單點(diǎn)登錄中，用戶只需進(jìn)行一次身份驗(yàn)證，就能訪問所有服務(wù)器。在域中，域用戶只需要在登錄時(shí)進(jìn)行一次身份驗(yàn)證，就能與其它域用戶進(jìn)行免驗(yàn)證通信。

這個(gè)對用戶進(jìn)行身份驗(yàn)證的服務(wù)器就是域控制器（DC），簡稱域控。

域控

域控是集中存儲域內(nèi)所有資源對象及其屬性的服務(wù)器。如果把域內(nèi)資源對象看作團(tuán)隊(duì)成員，域控就相當(dāng)于團(tuán)隊(duì)的領(lǐng)導(dǎo)者，所有人都要聽它安排，所有事情都要給它匯報(bào)，包括對象信息變動、權(quán)限劃分、資源分配等。

比如，企業(yè)中有新員工入職時(shí)，就要在域控上給他注冊一個(gè)賬號。該賬號作為他進(jìn)行域內(nèi)活動的唯一憑證，關(guān)聯(lián)他的所有信息，包括工作崗位、電話號碼、對域內(nèi)資源的使用權(quán)限等。

也正因此，黑客侵入企業(yè)內(nèi)網(wǎng)后，都會想方設(shè)法橫向移動到域控主機(jī)，奪取其控制權(quán)，進(jìn)而掌握域內(nèi)所有資源信息。

更為棘手的是，假使黑客攻破了域控主機(jī)，刪除其上存儲的全部信息，并破壞域控主機(jī)的正常功能，那么即使企業(yè)能夠檢測查殺入侵活動，也無法恢復(fù)正常業(yè)務(wù)功能。

這種情況下，我們通常會通過部署額外域控的方式來降低風(fēng)險(xiǎn)。顧名思義，額外域控就是在在已經(jīng)存在一個(gè)域控的基礎(chǔ)上，又多設(shè)置的域控。

我們只要將主域控上的信息備份到額外域控，并同步更新，那么在主域控發(fā)生故障時(shí)，就能用額外域控暫時(shí)代替主域控，保證信息系統(tǒng)的正常運(yùn)行。

除此之外，額外域控還有一個(gè)重要作用，就是提高效率，它可以在有許多域用戶要求提供服務(wù)時(shí)，替主域控分擔(dān)壓力，由它來響應(yīng)部分用戶的請求，從而提高企業(yè)整體效率。

除了以上提到的兩種類型，還有一種只能讀不能寫的域控，簡稱只讀域控（RODC）。

在只讀域控管轄的域范圍，用戶只能進(jìn)行登錄驗(yàn)證和查找資源，而無法修改資源信息和配置組策略等，一般在企業(yè)的分支機(jī)構(gòu)中應(yīng)用較多。

當(dāng)分支機(jī)構(gòu)與中心內(nèi)網(wǎng)間斷開聯(lián)系，用戶無法通過中心域控登錄，為了不影響他的正常工作，就由中心域控將用戶信息拷貝到只讀域控上，用戶就能通過只讀域控驗(yàn)證登錄。

這樣，就能保證分支機(jī)構(gòu)的權(quán)限不必過大，也能正常運(yùn)行。

域控作為域內(nèi)資源管理的主導(dǎo)者，擁有極大的權(quán)限，也經(jīng)常成為攻擊者侵入企業(yè)內(nèi)網(wǎng)的目標(biāo)。保護(hù)內(nèi)網(wǎng)安全，我們必須加強(qiáng)對域控的防護(hù)。

域樹、域林

作為一臺集中管理資源的設(shè)備，單一域控的承載能力是有限的，當(dāng)域內(nèi)用戶數(shù)量達(dá)到它的承載極限時(shí)，為了滿足需求，需要在其下再劃分一個(gè)域。

新劃分的域從舊域中衍生出來，與舊域建立了雙向傳遞的信任關(guān)系，兩者共享同一個(gè)存儲結(jié)構(gòu)和配置。因?yàn)樗麄冮g存在上下層次的依賴關(guān)系，一般我們將舊域稱為父域，新域稱為子域。

父域和子域形成連續(xù)的名字空間，同一名字空間的域連成域樹。通常將第一個(gè)創(chuàng)建的域作為樹根，其它隨后創(chuàng)建的域就作為樹的枝干延伸。每一個(gè)子域都用其上父域的名字作為域名后綴，比如，父域的名稱是zawx.com時(shí),子域的名稱可能為a.zawx.com。

當(dāng)內(nèi)網(wǎng)中形成了多棵域樹，會給管理增加困難。實(shí)際上，不管劃分了多少片域形成了多少棵域樹，他們都是屬于同一個(gè)企業(yè)的。我們可以將企業(yè)中的所有域樹連起來，用統(tǒng)一的活動目錄管理，這就形成了域林。

“林”中的所有“樹”共享同一個(gè)存儲結(jié)構(gòu)、配置和全局目錄。通常將“林”中第一個(gè)創(chuàng)建的域作為根域，根域相當(dāng)于“林”的主人，能夠管理其它域，并在其上存儲部分其它域的資源。

“林”中的域用戶登錄后，不僅可以與本域用戶進(jìn)行免驗(yàn)證通信，還能與林中其它域用戶免驗(yàn)證通信。甚至在其它域賦予權(quán)限后，能查找及使用它域的資源。

簡單來說，域樹、域林是多個(gè)域的集合，從概念上來看，域樹、域林代表了更大范圍的信任聯(lián)系，能協(xié)調(diào)更多部門間的通信和資源使用關(guān)系，更大程度上提高企業(yè)整體的協(xié)作效率。

# 結(jié)語?#

以上篇章中，我們?yōu)榇蠹抑v解了域、域控和域樹、域林。在企業(yè)中應(yīng)用時(shí)，通常將每個(gè)子公司單獨(dú)劃分成域，由子公司管理，再在各個(gè)域間建立雙向傳遞的信任關(guān)系形成域樹、域林，由企業(yè)統(tǒng)一管理。

實(shí)際上，域樹域林的形成是借助了活動目錄強(qiáng)大的拓展性?；顒幽夸洠ˋD）在內(nèi)網(wǎng)管理中的優(yōu)勢不限于此，還有很多值得探索的地方，下一篇文章中，我們將給大家詳細(xì)介紹AD域服務(wù)的功能。