企业网络安全建设最佳实践
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

6.2 活动目录

Active Directory 又称为活动目录,是 Windows 系统中非常重要的目录服务。活动目录用于存储网络上各种对象的有关信息,包括用户账户、组、打印机、共享文件夹等,并把这些数据存储在目录服务数据库中,以便管理员和用户快速查询及使用。活动目录具有安全性、可扩展性、可伸缩性等特点,活动目录必须与 DNS 集成在一起,可基于策略进行管理。可以理解为活动目录是 Windows 网络中的一种目录服务,其存储了整个网络上的资源,方便管理员和用户快速查询。

活动目录是一个分布式的目录服务,信息可以分布在多台不同的计算机上,保证用户能够快速访问,因为多台计算机上有相同的信息,所以在信息容错方面具有很强的控制能力,既提高了管理效率,又使网络应用更加方便。活动目录是由组织单元、域(domain)、域树(tree)、森林(forest)构成的层次结构。组织单元(OU)是活动目录中的一个特殊容器,它可把用户、组、计算机和打印机等对象组织起来。

域是最基本的管理单元,同时也是最基层的容器,它可以对员工、计算机等基本数据进行存储。在一个活动目录中可以根据需要建立多个域,如“甲公司”的财务科、人事科、销售科就可以各建一个域,因为这几个域同属甲公司,所以就可以将这几个域构成一棵域树并交给域树管理,这棵域树就是甲公司。又因为甲公司、乙公司、丙公司都归属于A 集团,为了让 A 集团可以更好地管理这三家子公司,就可以将这三家公司的域树集中起来组成域森林,即 A 集团。因此 A 集团可以按“子公司(域树)→部门→员工”的方式进行层次分明的管理。活动目录这种层次结构使企业网络具有极强的扩展性,便于组织、管理及目录定位。

6.2.1 命名空间

命名空间是一个界定好的区域,比如,把电话簿看成一个“命名空间”,就可以通过电话簿这个界定好的区域里的某个人名,找到与这个人名相关的电话、地址及公司名称等信息。而Windows Server 2003的活动目录只有一个命名空间,通过活动目录里的对象名称就可以找到与这个对象相关的信息。活动目录的“命名空间”采用 DNS 的架构,所以活动目录的域名采用DNS的格式来命名。可以把域名命名为contoso.com,abc.com等。

6.2.2 域和域控制器

域,是由网络管理员定义的一组计算机集合,实际上就是一个计算机网络。在这个网络中,至少有一台计算机被管理员指定为存储网络中全部对象的相关信息,这台计算机称为域控制器。在域控制器中保存着整个网络的用户账户及目录数据库,即活动目录。

管理员可以通过修改活动目录的配置来实现对网络的管理和控制。例如,管理员可以在活动目录中为每个用户创建域用户账户,使他们可登录域并访问域的资源。同时管理员可以控制所有网络用户的行为,如控制用户能否登录、在什么时间登录、登录后能执行哪些操作等。而域中的客户计算机要访问域的资源,则必须先加入域,并通过管理员创建的域用户账户登录域,才能访问域资源。

安装了活动目录的计算机称为域控制器。在第一次安装活动目录时,安装活动目录的那台计算机就成为域控制器,简称“域控”。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等。一个域可以有多个域控制器。为了获得高可用性和容错能力,规模较小的域只需两个域控制器,一个实际使用,另一个用于容错性检查。规模较大的域可以使用多个域控制器。

6.2.3 域树和域林

1.域树

当配置多个域的网络时,如在 system.com 域下有 Beijing.system.com 和 Shanghai.system.com两个域空间,应该将其配置为域树的形式。如图6-2所示就是一棵域树,最上层的域名为 system.com,是该域的根域(Root Domain),也称为父域。下面的 Beijing.system.com 和 Shanghai.system.com是根域的子域。

图 6-2 中的域树符合 DNS 域名的命名规则,其名称空间是连续的,也就是子域中包含父域的域名。这是判断两个域是否属于同一棵域树的重要条件。整棵域树共享一个活动目录,即整棵域树内只有一个活动目录,不过这个活动目录是分布在不同域中的,每一个域只存储和本地域相关的配置,但在整体上形成一个大的分布式活动目录数据库。

图6-2 域树

2.域林

如果网络的规模比域树还要大,例如,它包括多棵域树,每一棵域树都有自己唯一的命名空间,则被称为域林。

整个域中存在一个根域,这个根域是域林中最先安装的域。如图 6-3 所示,sys.com是第一个存在的域,即根域,这个域林名为 sys.com。当在创建域林时,每一棵域树的根域与林根域之间双向的、转移性的信任关系都会自动被创建起来,因此每一棵域树中的每一个域内的用户,只要拥有权限,就可以访问其他任何一棵域树内的资源,也可以到其他任何一棵域树内的计算机登录。

图6-3 域林

3.域间信任

两个域之间必须创建信任关系(Trust Relationship),才可以访问对方域内的资源。而任何一个新域加入域树后,这个域会自动信任其前一层父域,同时父域也会自动信任这个新子域,并且这些信任关系具备双向传递性(Two-way Transitive)。由于这个信任工作通过Kerberos Security Protocol 来完成,因此也被称为Kerros Trust。图6-4中Beijing.system.com 和 system.com 相互信任,而system.com 又与 Shanghai.system.com 相互信任。Beijing.system.com 和 Shanghai.system.com也会自动建立起双向信任关系,称为隐形的信任关系(Implicti Trust)。因此只要拥有适当权限,这个新域的用户便可访问其他域内的资源,同理其他域内的用户也可以访问这个新域内的资源。

图6-4 信任关系

本周热推:
Recurrent Neural Networks with Python Quick Start GuideLearning MongoidAWS Lambda Quick Start GuideLearning Karaf CellarLearning QGIS 2.0
上一章目录下一章