?活動目錄（AD）憑借其獨特管理優(yōu)勢，從眾多企業(yè)管理服務(wù)中脫穎而出，成為內(nèi)網(wǎng)管理中的佼佼者。采用活動目錄來管理的內(nèi)網(wǎng)，稱為AD域。

了解AD域，有助于企業(yè)員工更好地與其它部門協(xié)作，同時提高安全意識。中安網(wǎng)星由此推出AD域安全科普系列，為大家講解AD域的安全管理。

上一篇文章，我們了解了AD域的架構(gòu)和原理。本篇文章我們將引入AD域服務(wù)的重頭戲——AD域的功能。

眾所周知，AD域在企業(yè)內(nèi)網(wǎng)中扮演了重要的角色，集身份驗證和服務(wù)管理于一身。它是如何進行身份驗證和資源管理的，在企業(yè)內(nèi)網(wǎng)管理中有什么明顯優(yōu)勢呢？

本篇文章從AD域服務(wù)對資源對象的管理方式開始，逐步講述它的身份驗證能力和策略配置特性。

全局資源管理

要將內(nèi)網(wǎng)中的資源部署到AD域內(nèi)，需要在域控上注冊。域計算機和打印機、共享文件夾等一起組成域環(huán)境，企業(yè)員工要在這個域環(huán)境內(nèi)辦公，需要注冊成為域用戶。

所有資源注冊成功后，由AD域來統(tǒng)一管理。下面，我們通過AD域管理域計算機和域用戶的一些特點，來探查其一般模式。

本地計算機在域控上注冊后就成為域計算機，擁有單獨的域賬戶，該賬戶記錄計算機的位置、操作系統(tǒng)類型和計算機名等信息。

這個計算機名并非原名，而是在加域后重新生成的。它采用DNS格式，在允許分配單獨名稱的基礎(chǔ)上，還能清晰顯示組織單位中的計算機結(jié)構(gòu)。比如在zawx.com域下注冊的計算機，名稱可能為pc.zawx.com。

企業(yè)員工在域控上注冊成為域用戶后，也會生成單獨的域賬戶，賬戶上保存了員工的電話、郵箱、身份證號等基本信息，還有權(quán)限、賬號密碼等信息。

不同用戶擁有不同權(quán)限：

普通域用戶：

普通域用戶接受域管理員的指派，對資源的使用程度有限制。一般是根據(jù)員工崗位的實際情況賦予權(quán)限，比如允許使用打印機，拒絕修改共享文件夾等。

域管理員：

域管理員管理域內(nèi)資源的使用關(guān)系，委派域用戶間的適應關(guān)系，比如允許A用戶更改其它用戶的密碼。

企業(yè)管理員：

企業(yè)管理員賬戶存在于企業(yè)的每一個域中，擁有對每一個域的登錄權(quán)限。它是企業(yè)中權(quán)限級別最高的賬戶，能夠指派或取消域管理員權(quán)限。

由上，我們可以看出AD域?qū)Y源的一般管理模式是：為注冊資源創(chuàng)建一個單獨賬戶，在這個賬戶上記錄資源的一般信息（如位置、電話）和特殊的域內(nèi)信息（如權(quán)限、域內(nèi)名稱）。

在數(shù)據(jù)庫中，AD域?qū)⑦@些資源信息以樹形目錄的方式組織，在葉子節(jié)點存儲數(shù)據(jù)。

這種形式下，管理員可以直接使用標識名（DN）和相對標識名（RDN）兩種命名路徑來訪問資源，相比于挨個對比，極大地提升了資源搜索效率。

統(tǒng)一身份驗證??

域用戶在內(nèi)網(wǎng)中采用單點登錄方式，即登錄過程由域控統(tǒng)一驗證，驗證成功就可訪問域內(nèi)資源。

登錄過程中，域計算機將用戶信息發(fā)送給域控，域控會進行計算機和用戶兩個賬號的驗證。

域控對計算機進行驗證的方式是通過對比本地和域控上保存的計算機賬戶密碼。本地密碼每30天更新一次，新舊密碼同時保存。驗證過程中，先發(fā)送新密碼，再發(fā)送舊密碼。兩密碼中的任何一個與域控上保存的密碼相同，就能通過驗證。

而對域用戶的驗證一般是用的Kerberos認證。Kerberos認證服務(wù)器KDC安裝在域控上，由AS和TGS組成。用戶信息先發(fā)送給AS，由AS在AD數(shù)據(jù)庫中查詢是否有該用戶記錄，如果存在且信息吻合，就返回一個TGT。之后用戶使用TGT向TGS請求Ticket，然后就能使用該Ticket訪問特定服務(wù)了。

正是因為登錄驗證過程是在域控上統(tǒng)一進行，域用戶在任一域計算機上都能登錄，并獲得同樣的該用戶權(quán)限。這種方式讓用戶登錄更具靈活性，也增強了抵抗主機故障的能力。

集中策略配置

AD域最大的管理優(yōu)勢是，只需一次操作，就能實現(xiàn)大量資源屬性的配置。

要達到這種效果，有分組和組策略兩種方式。

分組情況下，需要域管理員手動將符合條件的域用戶加到一個組中，然后對該組對象進行配置，最終作用到組內(nèi)每一個用戶身上，一般有通信組和安全組兩種類型。

在通信組中，對該通信組發(fā)送一次消息，就會分發(fā)給組內(nèi)所有成員，比如郵件組。

安全組主要是用來設(shè)置權(quán)限，通常將企業(yè)內(nèi)同一崗位的員工放到一個組中配置權(quán)限；對新加入的用戶，可以將它添加到相應的組，直接繼承該組權(quán)限。

組策略對象由容器和模板兩部分組成。如果將容器用食物來比喻，模板就像調(diào)味料，決定食物是什么味道的。容器一般由組織單位、域、站點等來充當，而模板可以是首選項設(shè)置、軟件安裝等。

創(chuàng)建域時，通常會形成兩個默認組策略對象，一個是默認域策略，一個是默認域控制器策略。這兩個組策略配置了域的基本屬性，一般不能被修改。

拿域組策略來說，組策略會對域中的每個計算機和用戶產(chǎn)生影響。組策略的應用效果保存在注冊表中，計算機通過讀取注冊表來表現(xiàn)組策略內(nèi)容。

如果計算機所屬的域和組織單位等都分別配置了組策略，它將根據(jù)優(yōu)先級從小到大地應用。通常的優(yōu)先級順序是：本地組策略——站點組策略——域組策略——組織單位組策略，如果有沖突，則以最高優(yōu)先級為準。

集中策略配置為管理員省去了不少麻煩，幫助企業(yè)提高了整體工作效率。

結(jié)語?

本文我們探討了AD域的資源管理、身份驗證和策略配置等功能屬性，此基礎(chǔ)上，更多特性等著我們在企業(yè)應用實踐中一一探索。

同時，AD域在發(fā)展得越來越適應企業(yè)管理需求時，也面臨著更多針對它的獨特攻擊手法。在大量應用AD域的基礎(chǔ)上，我們也應當注重其安全防護建設(shè)。