活動目錄（AD）憑借其獨特管理優(yōu)勢，從眾多企業(yè)管理服務(wù)中脫穎而出，成為內(nèi)網(wǎng)管理中的佼佼者。采用活動目錄來管理的內(nèi)網(wǎng)，稱為AD域。了解AD域，有助于企業(yè)員工更好地與其它部門協(xié)作，同時提高安全意識。中安網(wǎng)星由此推出AD域安全科普系列，為大家講解AD域的安全管理。

AD域?qū)⑵髽I(yè)內(nèi)網(wǎng)中的所有資源對象集中到域控上，存儲在AD數(shù)據(jù)庫中，采用DNS規(guī)則命名，方便管理的同時提高安全性。

這一篇文章中，我們先給大家介紹下AD域服務(wù)的應(yīng)用環(huán)境——域，在了解清楚域的形成和結(jié)構(gòu)之后，才能對AD域服務(wù)的功能有更深入的理解。

?

域的形成

在企業(yè)辦公場景中，經(jīng)常需要部門間互相共享資源，如果每與其它計算機通信一次，都要經(jīng)過一次身份驗證，會大大影響部門間的協(xié)調(diào)性，影響辦公效率。

?

如果我們簡單地關(guān)閉身份驗證服務(wù)，將會導致計算機面臨嚴重的安全風險，這種方法得不償失。最好是與企業(yè)內(nèi)部計算機通信時能夠免去身份驗證，而與外部計算機通信時依然保留身份驗證服務(wù)。

這就需要在內(nèi)部員工計算機間構(gòu)建信任關(guān)系，建立了信任關(guān)系的計算機連起來就形成域。域外計算機與域內(nèi)計算機通信需要進行身份驗證，不同域的域計算機通信前需建立信任關(guān)系。當以域為單位建立信任關(guān)系時，可以在兩域中的所有計算機間進行免驗證通信。

?

而企業(yè)員工只需注冊成域用戶，在任一臺域計算機上登錄，就能與其它域用戶通信。

這其實與單點登錄的功能類似。單點登錄中，用戶只需進行一次身份驗證，就能訪問所有服務(wù)器。在域中，域用戶只需要在登錄時進行一次身份驗證，就能與其它域用戶進行免驗證通信。

這個對用戶進行身份驗證的服務(wù)器就是域控制器（DC），簡稱域控。

域控

域控是集中存儲域內(nèi)所有資源對象及其屬性的服務(wù)器。如果把域內(nèi)資源對象看作團隊成員，域控就相當于團隊的領(lǐng)導者，所有人都要聽它安排，所有事情都要給它匯報，包括對象信息變動、權(quán)限劃分、資源分配等。

?

比如，企業(yè)中有新員工入職時，就要在域控上給他注冊一個賬號。該賬號作為他進行域內(nèi)活動的唯一憑證，關(guān)聯(lián)他的所有信息，包括工作崗位、電話號碼、對域內(nèi)資源的使用權(quán)限等。

?

也正因此，黑客侵入企業(yè)內(nèi)網(wǎng)后，都會想方設(shè)法橫向移動到域控主機，奪取其控制權(quán)，進而掌握域內(nèi)所有資源信息。

更為棘手的是，假使黑客攻破了域控主機，刪除其上存儲的全部信息，并破壞域控主機的正常功能，那么即使企業(yè)能夠檢測查殺入侵活動，也無法恢復正常業(yè)務(wù)功能。

這種情況下，我們通常會通過部署額外域控的方式來降低風險。顧名思義，額外域控就是在在已經(jīng)存在一個域控的基礎(chǔ)上，又多設(shè)置的域控。

我們只要將主域控上的信息備份到額外域控，并同步更新，那么在主域控發(fā)生故障時，就能用額外域控暫時代替主域控，保證信息系統(tǒng)的正常運行。

?

除此之外，額外域控還有一個重要作用，就是提高效率，它可以在有許多域用戶要求提供服務(wù)時，替主域控分擔壓力，由它來響應(yīng)部分用戶的請求，從而提高企業(yè)整體效率。

?

除了以上提到的兩種類型，還有一種只能讀不能寫的域控，簡稱只讀域控（RODC）。

在只讀域控管轄的域范圍，用戶只能進行登錄驗證和查找資源，而無法修改資源信息和配置組策略等，一般在企業(yè)的分支機構(gòu)中應(yīng)用較多。

當分支機構(gòu)與中心內(nèi)網(wǎng)間斷開聯(lián)系，用戶無法通過中心域控登錄，為了不影響他的正常工作，就由中心域控將用戶信息拷貝到只讀域控上，用戶就能通過只讀域控驗證登錄。

這樣，就能保證分支機構(gòu)的權(quán)限不必過大，也能正常運行。

?

域控作為域內(nèi)資源管理的主導者，擁有極大的權(quán)限，也經(jīng)常成為攻擊者侵入企業(yè)內(nèi)網(wǎng)的目標。保護內(nèi)網(wǎng)安全，我們必須加強對域控的防護。

?

域樹、域林

作為一臺集中管理資源的設(shè)備，單一域控的承載能力是有限的，當域內(nèi)用戶數(shù)量達到它的承載極限時，為了滿足需求，需要在其下再劃分一個域。

?

新劃分的域從舊域中衍生出來，與舊域建立了雙向傳遞的信任關(guān)系，兩者共享同一個存儲結(jié)構(gòu)和配置。因為他們間存在上下層次的依賴關(guān)系，一般我們將舊域稱為父域，新域稱為子域。

父域和子域形成連續(xù)的名字空間，同一名字空間的域連成域樹。通常將第一個創(chuàng)建的域作為樹根，其它隨后創(chuàng)建的域就作為樹的枝干延伸。每一個子域都用其上父域的名字作為域名后綴，比如，父域的名稱是zawx.com時,子域的名稱可能為a.zawx.com。

?

當內(nèi)網(wǎng)中形成了多棵域樹，會給管理增加困難。實際上，不管劃分了多少片域形成了多少棵域樹，他們都是屬于同一個企業(yè)的。我們可以將企業(yè)中的所有域樹連起來，用統(tǒng)一的活動目錄管理，這就形成了域林。

?

“林”中的所有“樹”共享同一個存儲結(jié)構(gòu)、配置和全局目錄。通常將“林”中第一個創(chuàng)建的域作為根域，根域相當于“林”的主人，能夠管理其它域，并在其上存儲部分其它域的資源。

“林”中的域用戶登錄后，不僅可以與本域用戶進行免驗證通信，還能與林中其它域用戶免驗證通信。甚至在其它域賦予權(quán)限后，能查找及使用它域的資源。

?

簡單來說，域樹、域林是多個域的集合，從概念上來看，域樹、域林代表了更大范圍的信任聯(lián)系，能協(xié)調(diào)更多部門間的通信和資源使用關(guān)系，更大程度上提高企業(yè)整體的協(xié)作效率。

?

# 結(jié)語?#

以上篇章中，我們?yōu)榇蠹抑v解了域、域控和域樹、域林。在企業(yè)中應(yīng)用時，通常將每個子公司單獨劃分成域，由子公司管理，再在各個域間建立雙向傳遞的信任關(guān)系形成域樹、域林，由企業(yè)統(tǒng)一管理。

實際上，域樹域林的形成是借助了活動目錄強大的拓展性?；顒幽夸洠ˋD）在內(nèi)網(wǎng)管理中的優(yōu)勢不限于此，還有很多值得探索的地方，下一篇文章中，我們將給大家詳細介紹AD域服務(wù)的功能。