部署AD DS的原因:
AD DS 提供了一个集中式的系统,用于管理网络上的用户、计算机和 其他资源。
AD DS 特点:
1、集中式目录
2、单一登录SSO访问,DC(域控制器)来进行身份验证,来发放票据授权进行网络资源的访问
3、集成安全性
4、可伸缩性
5、公共管理界面
使用AD DS 集中管理网络的:
1、提供了一个集中的地方来管理用户和组帐户以及相应的工具集
2、提供了一个集中的地方来分配对共享网络资源的访问权
3、为支持 AD DS 的应用程序提供目录服务
4、提供用于配置应用于所有用户和计算机的安全策略的多种选项
5、提供用于管理用户桌面和安全设置的组策略(GPO)
AD DS 组件概述:
AD DS 由物理组件和逻辑组件组成。
物理组件有 数据存储 , 域控制器 , 全局编录服务器 , 只读域控制器 (RODC)
逻辑组件有 分区 , 架构 , 域, 域树 , 林 , 站点 , 组织单位 (OU)
身份验证:
身份验证是在网络上验证用户身份的过程。
身份验证包含两个组成部分: 第一种是交互式登陆,第二种是网络身份验证
1、交互式登录:授予对本地计算机的访问权,如下图
有时候我们会发现域用户不能在DC上登陆,原因就是安全策略里面的本地登陆选项中的用户或组没有包含这个用户如下图
同时我们也可以知道为什么域用户可以在域中的机器上(除了域控,除非经过特殊修改)进行登陆,我们看下域机器的本地策略就知道了,如下图
2、网络身份验证:授予对网络资源 的访问权
举个例子比如IPC管道通信,也是对网络资源的访问,我们需要建立管道,需要用户名和账号密码
授权:
授权是验证通过身份验证的用户是否有权限来执行某个操作的过程。
SID的查看:whoami /all
访问控制表ACL:是存在于计算机中的一张表,它使操作系统明白每个用户对特定系统对象,例如文件目录或单个文件的存取权限。每个对象拥有一个在访问控制表中定义的安全属性。这张表对于每个系统用户有拥有一个访问权限,当一个用户来访问,ACL中检查是否允许这个用户访问,看它的SID是否存储在ACL中