部署AD DS的原因:
AD DS 提供了一個集中式的系統,用於管理網絡上的用戶、計算機和 其他資源。
AD DS 特點:
1、集中式目錄
2、單一登錄SSO訪問,DC(域控制器)來進行身份驗證,來發放票據授權進行網絡資源的訪問
3、集成安全性
4、可伸縮性
5、公共管理界面
使用AD DS 集中管理網絡的:
1、提供了一個集中的地方來管理用戶和組帳戶以及相應的工具集
2、提供了一個集中的地方來分配對共享網絡資源的訪問權
3、為支持 AD DS 的應用程序提供目錄服務
4、提供用於配置應用於所有用戶和計算機的安全策略的多種選項
5、提供用於管理用戶桌面和安全設置的組策略(GPO)
AD DS 組件概述:
AD DS 由物理組件和邏輯組件組成。
物理組件有 數據存儲 , 域控制器 , 全局編錄服務器 , 只讀域控制器 (RODC)
邏輯組件有 分區 , 架構 , 域, 域樹 , 林 , 站點 , 組織單位 (OU)
身份驗證:
身份驗證是在網絡上驗證用戶身份的過程。
身份驗證包含兩個組成部分: 第一種是交互式登陸,第二種是網絡身份驗證
1、交互式登錄:授予對本地計算機的訪問權,如下圖
有時候我們會發現域用戶不能在DC上登陸,原因就是安全策略里面的本地登陸選項中的用戶或組沒有包含這個用戶如下圖
同時我們也可以知道為什么域用戶可以在域中的機器上(除了域控,除非經過特殊修改)進行登陸,我們看下域機器的本地策略就知道了,如下圖
2、網絡身份驗證:授予對網絡資源 的訪問權
舉個例子比如IPC管道通信,也是對網絡資源的訪問,我們需要建立管道,需要用戶名和賬號密碼
授權:
授權是驗證通過身份驗證的用戶是否有權限來執行某個操作的過程。
SID的查看:whoami /all
訪問控制表ACL:是存在於計算機中的一張表,它使操作系統明白每個用戶對特定系統對象,例如文件目錄或單個文件的存取權限。每個對象擁有一個在訪問控制表中定義的安全屬性。這張表對於每個系統用戶有擁有一個訪問權限,當一個用戶來訪問,ACL中檢查是否允許這個用戶訪問,看它的SID是否存儲在ACL中
