上一篇文章，我們了解了AD域的架構(gòu)和原理。本篇文章我們將引入AD域服務(wù)的重頭戲——AD域的功能。

眾所周知，AD域在企業(yè)內(nèi)網(wǎng)中扮演了重要的角色，集身份驗(yàn)證和服務(wù)管理于一身。它是如何進(jìn)行身份驗(yàn)證和資源管理的，在企業(yè)內(nèi)網(wǎng)管理中有什么明顯優(yōu)勢呢？

本篇文章從AD域服務(wù)對資源對象的管理方式開始，逐步講述它的身份驗(yàn)證能力和策略配置特性。

【全局資源管理】

要將內(nèi)網(wǎng)中的資源部署到AD域內(nèi)，需要在域控上注冊。域計算機(jī)和打印機(jī)、共享文件夾等一起組成域環(huán)境，企業(yè)員工要在這個域環(huán)境內(nèi)辦公，需要注冊成為域用戶。

所有資源注冊成功后，由AD域來統(tǒng)一管理。下面，我們通過AD域管理域計算機(jī)和域用戶的一些特點(diǎn)，來探查其一般模式。

本地計算機(jī)在域控上注冊后就成為域計算機(jī)，擁有單獨(dú)的域賬戶，該賬戶記錄計算機(jī)的位置、操作系統(tǒng)類型和計算機(jī)名等信息。

這個計算機(jī)名并非原名，而是在加域后重新生成的。它采用DNS格式，在允許分配單獨(dú)名稱的基礎(chǔ)上，還能清晰顯示組織單位中的計算機(jī)結(jié)構(gòu)。比如在zawx.com域下注冊的計算機(jī)，名稱可能為pc.zawx.com。

企業(yè)員工在域控上注冊成為域用戶后，也會生成單獨(dú)的域賬戶，賬戶上保存了員工的電話、郵箱、身份證號等基本信息，還有權(quán)限、賬號密碼等信息。

不同用戶擁有不同權(quán)限：

普通域用戶：

普通域用戶接受域管理員的指派，對資源的使用程度有限制。一般是根據(jù)員工崗位的實(shí)際情況賦予權(quán)限，比如允許使用打印機(jī)，拒絕修改共享文件夾等。

域管理員：

域管理員管理域內(nèi)資源的使用關(guān)系，委派域用戶間的適應(yīng)關(guān)系，比如允許A用戶更改其它用戶的密碼。

企業(yè)管理員：

企業(yè)管理員賬戶存在于企業(yè)的每一個域中，擁有對每一個域的登錄權(quán)限。它是企業(yè)中權(quán)限級別最高的賬戶，能夠指派或取消域管理員權(quán)限。

由上，我們可以看出AD域?qū)Y源的一般管理模式是：為注冊資源創(chuàng)建一個單獨(dú)賬戶，在這個賬戶上記錄資源的一般信息（如位置、電話）和特殊的域內(nèi)信息（如權(quán)限、域內(nèi)名稱）。

在數(shù)據(jù)庫中，AD域?qū)⑦@些資源信息以樹形目錄的方式組織，在葉子節(jié)點(diǎn)存儲數(shù)據(jù)。

這種形式下，管理員可以直接使用標(biāo)識名（DN）和相對標(biāo)識名（RDN）兩種命名路徑來訪問資源，相比于挨個對比，極大地提升了資源搜索效率。

?統(tǒng)一身份驗(yàn)證??

域用戶在內(nèi)網(wǎng)中采用單點(diǎn)登錄方式，即登錄過程由域控統(tǒng)一驗(yàn)證，驗(yàn)證成功就可訪問域內(nèi)資源。

登錄過程中，域計算機(jī)將用戶信息發(fā)送給域控，域控會進(jìn)行計算機(jī)和用戶兩個賬號的驗(yàn)證。

域控對計算機(jī)進(jìn)行驗(yàn)證的方式是通過對比本地和域控上保存的計算機(jī)賬戶密碼。本地密碼每30天更新一次，新舊密碼同時保存。驗(yàn)證過程中，先發(fā)送新密碼，再發(fā)送舊密碼。兩密碼中的任何一個與域控上保存的密碼相同，就能通過驗(yàn)證。

而對域用戶的驗(yàn)證一般是用的Kerberos認(rèn)證。Kerberos認(rèn)證服務(wù)器KDC安裝在域控上，由AS和TGS組成。用戶信息先發(fā)送給AS，由AS在AD數(shù)據(jù)庫中查詢是否有該用戶記錄，如果存在且信息吻合，就返回一個TGT。之后用戶使用TGT向TGS請求Ticket，然后就能使用該Ticket訪問特定服務(wù)了。

正是因?yàn)榈卿涷?yàn)證過程是在域控上統(tǒng)一進(jìn)行，域用戶在任一域計算機(jī)上都能登錄，并獲得同樣的該用戶權(quán)限。這種方式讓用戶登錄更具靈活性，也增強(qiáng)了抵抗主機(jī)故障的能力。

【集中策略配置】

AD域最大的管理優(yōu)勢是，只需一次操作，就能實(shí)現(xiàn)大量資源屬性的配置。

要達(dá)到這種效果，有分組和組策略兩種方式。

分組情況下，需要域管理員手動將符合條件的域用戶加到一個組中，然后對該組對象進(jìn)行配置，最終作用到組內(nèi)每一個用戶身上，一般有通信組和安全組兩種類型。

在通信組中，對該通信組發(fā)送一次消息，就會分發(fā)給組內(nèi)所有成員，比如郵件組。

安全組主要是用來設(shè)置權(quán)限，通常將企業(yè)內(nèi)同一崗位的員工放到一個組中配置權(quán)限；對新加入的用戶，可以將它添加到相應(yīng)的組，直接繼承該組權(quán)限。

組策略對象由容器和模板兩部分組成。如果將容器用食物來比喻，模板就像調(diào)味料，決定食物是什么味道的。容器一般由組織單位、域、站點(diǎn)等來充當(dāng)，而模板可以是首選項(xiàng)設(shè)置、軟件安裝等。

創(chuàng)建域時，通常會形成兩個默認(rèn)組策略對象，一個是默認(rèn)域策略，一個是默認(rèn)域控制器策略。這兩個組策略配置了域的基本屬性，一般不能被修改。

拿域組策略來說，組策略會對域中的每個計算機(jī)和用戶產(chǎn)生影響。組策略的應(yīng)用效果保存在注冊表中，計算機(jī)通過讀取注冊表來表現(xiàn)組策略內(nèi)容。

如果計算機(jī)所屬的域和組織單位等都分別配置了組策略，它將根據(jù)優(yōu)先級從小到大地應(yīng)用。通常的優(yōu)先級順序是：本地組策略——站點(diǎn)組策略——域組策略——組織單位組策略，如果有沖突，則以最高優(yōu)先級為準(zhǔn)。

集中策略配置為管理員省去了不少麻煩，幫助企業(yè)提高了整體工作效率。

# 結(jié)語?#

本文我們探討了AD域的資源管理、身份驗(yàn)證和策略配置等功能屬性，此基礎(chǔ)上，更多特性等著我們在企業(yè)應(yīng)用實(shí)踐中一一探索。

同時，AD域在發(fā)展得越來越適應(yīng)企業(yè)管理需求時，也面臨著更多針對它的獨(dú)特攻擊手法。在大量應(yīng)用AD域的基礎(chǔ)上，我們也應(yīng)當(dāng)注重其安全防護(hù)建設(shè)。

在AD域的安全管理兩篇科普文章中，我們分別為大家介紹了域的形成和架構(gòu)、AD域服務(wù)的功能。不知道大家覺得如何呢？如果想了解其他AD域的拓展內(nèi)容，請給我們留言，我們會持續(xù)不斷地為大家提供更多的AD域知識與支持。