文章目录

  • 引言
  • 什么是Active Directory域
  • AD域的作用和重要性
  • AD域的历史和发展
  • AD基础知识
  • AD的定义和概述
  • 定义:
  • 概述:
  • AD域控制器(DC)的角色和功能
  • AD架构和组件
  • AD域的设计和规划
  • 命名规范
  • 域层次结构
  • 组织单位(OU)的设计
  • 域控制器的位置策略
  • 搭建AD域
  • 配置网络环境
  • 安装AD域
  • 配置AD域
  • 用户和组管理
  • 客户机加入域


引言

什么是Active Directory域

Active Directory(AD)域是一种由微软公司开发的网络服务目录服务,用于在网络中集中存储和组织资源和用户信息。AD域提供了一种集中式的身份验证和授权机制,允许组织管理员集中管理网络中的用户、计算机、打印机等资源。

AD域的作用和重要性

Active Directory(AD)域在企业信息技术中扮演着关键的角色,其作用和重要性体现在以下几个方面:

  1. 身份验证和访问控制:
    AD域提供了统一的身份验证机制,允许用户通过单一的登录凭证(用户名和密码)访问网络资源。通过定义访问控制列表(ACL)和权限,域管理员可以精确控制用户对各种资源的访问权限,确保信息和系统的安全性。
  2. 资源集中管理:
    AD域提供了一个集中的、层次结构化的目录服务,用于管理和组织网络中的各种对象,如用户、计算机、打印机、组等。这种集中管理简化了资源的配置、更新和维护,提高了整个网络的效率。
  3. 组织单元和组策略:
    通过组织单元(OU),管理员可以将域中的对象逻辑地分组,从而更好地应用组策略。组策略是一种集中管理和应用系统设置、安全设置以及其他配置的方法,可根据对象的位置、类型或其他属性进行差异化配置。
  4. 集中式身份管理:
    AD域允许管理员在整个网络中集中管理用户和计算机的身份。这包括创建、修改和删除用户账户,重置密码,以及监控和审计用户活动。这种集中管理简化了用户生命周期的管理,提高了操作的一致性。
  5. 安全性和审计:
    AD域提供了强大的安全性功能,包括安全标识符(SID)、访问控制列表(ACL)和安全策略。这些功能帮助管理员保护敏感信息,监控用户活动,并生成审计日志以进行合规性检查。
  6. 域间信任和跨域访问: AD域支持域间信任,允许不同域之间建立信任关系。这使得用户能够跨域访问资源,从而促进了多域环境中的合作和资源共享。
  7. 备份和故障恢复:
    AD域的备份和故障恢复是关键的管理任务。定期备份域控制器的系统状态和目录数据库有助于在发生故障时快速恢复服务,确保业务的连续性。
  8. 支持云集成: 随着云计算的兴起,AD域可以与云服务集成,例如与Azure Active Directory(Azure
    AD)相结合,实现混合云环境中的身份验证和访问控制,进一步提高灵活性和可伸缩性。

AD域的历史和发展

Active Directory(AD)的历史和发展可以追溯到上世纪90年代,其演变过程反映了微软对网络身份管理和目录服务的不断创新。以下是AD域的主要历史和发展阶段:

  1. Windows NT 4.0 Directory Services:在1996年推出的Windows NT
    4.0中,微软首次引入了目录服务,但该服务相对简单,主要用于管理用户和组的基本信息。
  2. Windows 2000 Active Directory:于2000年推出的Windows 2000引入了全新的Active
    Directory服务,这是AD域的雏形。它引入了层次结构的域模型,支持更复杂的目录结构、组织单元(OU)以及更强大的安全性和策略管理。
  3. Windows Server 2003:Windows Server 2003进一步改进了Active
    Directory,并引入了一些新的功能,包括域功能级别、防火墙支持以及增强的安全性和性能。
  4. Windows Server 2008和Windows Server 2008
    R2:这两个版本继续提升了AD域的功能,包括增加了对读写分离域控制器(Read-Only Domain
    Controllers,RODC)的支持、Fine-Grained Password Policies、增强的审计功能等。
  5. Windows Server 2012和Windows Server 2012 R2:引入了动态访问控制(Dynamic Access
    Control,DAC)、域命名服务(DNS)分离、增强的虚拟化支持,以及更好的云集成功能。
  6. Windows Server
    2016:提供了更强大的安全功能,包括受控的管理员特权(JEA),更灵活的身份验证选项,以及支持Windows容器等新功能。
  7. Windows Server 2019:进一步加强了安全性、性能和管理功能,引入了Azure AD连接、更强大的Shielded Virtual Machines、Active Directory的细粒度密码策略等。
  8. Azure Active Directory(Azure AD):随着云计算的兴起,微软推出了Azure Active Directory,作为云中的身份验证和访问控制服务。Azure AD与传统的本地AD域集成,提供了跨云和本地环境的统一身份管理。
  9. 混合云和多云环境:当今,AD域的发展趋势涉及混合云环境,其中组织可以同时使用本地AD域和云中的身份服务。这种混合模型提供了更大的灵活性和可伸缩性。

AD基础知识

AD的定义和概述

定义:

  1. Active
    Directory是一种分层目录服务,允许组织管理员集中管理网络中的资源和用户信息。它提供了一个结构化的数据库,用于存储和组织有关网络对象(如用户、计算机、打印机等)的信息。、

概述:

Active Directory的概述涉及以下关键方面:

  1. 目录服务:Active
    Directory是一种目录服务,用于存储和组织网络中所有对象的信息。这些对象包括用户、计算机、组、打印机等。目录服务允许管理员轻松地查找、访问和管理这些对象。
  2. 域的概念:AD使用域的概念,将网络划分为逻辑上独立的单元。每个域都有自己的安全边界、用户、计算机和策略。域的结构有助于组织管理员更有效地管理网络资源。
  3. 域控制器(Domain Controller):域控制器是运行Active
    Directory服务的服务器,负责存储和提供对目录信息的访问。它处理身份验证请求、管理域中的安全性和复制目录信息到其他域控制器。
  4. 用户和组管理:Active
    Directory允许管理员创建、修改和删除用户账户,并将用户组织成组。这种集中的用户和组管理简化了身份管理和访问控制的任务。
  5. 组织单元(Organizational
    Unit,OU):OU是一种用于组织和管理域中对象的容器。它允许管理员将对象逻辑地分组,以便更好地应用组策略和进行管理。
  6. 组策略对象(Group Policy
    Object,GPO):GPO允许管理员通过集中管理的方式来配置和应用系统设置、安全设置和其他配置。GPO可以应用到整个域、组织单位或特定对象上。
  7. 安全性和权限:Active
    Directory提供了强大的安全性和权限控制机制,通过安全标识符(SID)、访问控制列表(ACL)等实现对资源的精细控制。
  8. 备份和故障恢复:定期备份域控制器的系统状态和目录数据库是确保在发生故障时能够快速恢复服务的重要任务。
  9. 云集成:随着云计算的兴起,Active Directory可以与云服务集成,如Azure Active
    Directory,实现混合云环境中的身份验证和访问控制。

AD域控制器(DC)的角色和功能

Active Directory域控制器(Domain Controller,DC)是运行Active Directory服务的服务器,负责存储和提供对目录信息的访问。域控制器在整个Active Directory域中扮演着关键的角色,其角色和功能包括以下几个方面:

  1. 存储目录信息:域控制器存储了整个域的目录信息,包括用户账户、计算机账户、组信息、安全策略等。这些信息以层次结构的形式组织,形成了一个分层的目录树。
  2. 处理身份验证请求:当用户尝试登录或访问域中的资源时,域控制器负责处理身份验证请求。它验证用户提供的凭证(用户名和密码),确认用户身份,并授予或拒绝访问权限。
  3. 管理安全性和访问控制:域控制器负责实施安全性和访问控制,通过使用安全标识符(SID)、访问控制列表(ACL)等机制来定义用户对域中资源的访问权限。这确保了资源的安全性和隐私。
  4. 处理用户和计算机账户的创建和管理:域控制器允许管理员在域中创建、修改和删除用户账户和计算机账户。这包括分配权限、设置密码策略、重置密码等任务。
  5. 复制目录信息:在多域控制器环境中,域控制器之间进行目录信息的复制,确保在整个域中的各个控制器之间保持一致性。这有助于提高系统的冗余性和可用性。
  6. 处理组策略:域控制器处理并应用组策略对象(Group Policy Objects,GPO),这是一种集中管理和应用系统设置、安全设置和其他配置的方法。GPO可以应用到整个域、组织单位或特定对象上。
  7. 提供DNS服务:域控制器通常也扮演着域内的DNS服务器角色,负责解析域内主机名和IP地址的映射关系。Active Directory依赖于DNS来定位域内的资源。
  8. 支持域间信任:域控制器支持域间信任,使不同域中的用户能够访问对方域的资源。这有助于促进多域环境中的合作和资源共享。
  9. 处理故障恢复:在发生故障时,域控制器的备份和故障恢复是至关重要的。定期备份域控制器的系统状态和目录数据库有助于在发生故障时迅速恢复服务。

AD架构和组件

Active Directory(AD)的架构是一个层次化的结构,由多个组件组成,这些组件协同工作以提供目录服务和身份验证功能。以下是AD架构的主要组件:

  1. 目录服务:AD的核心功能之一是提供目录服务,用于存储和组织网络中所有对象的信息。这些对象包括用户、计算机、组、打印机等。目录服务采用层次结构的树状组织,形成一个逻辑上的域。
  2. 域:AD域是一组对象和服务的集合,它们共享相同的目录数据库、安全政策和信任关系。域是AD中的基本组织单元,可视为一个逻辑单元,包含了与该域关联的所有对象和策略。
  3. 域控制器(Domain Controller,DC):域控制器是运行AD服务的服务器。它存储域的目录数据库,处理身份验证请求,管理安全性和复制目录信息到其他域控制器。每个域至少有一个域控制器。
  4. 林:林是一个包含一个或多个域的树状结构。在单一域的情况下,林和域的概念是相同的。当存在多个域时,它们可以通过信任关系连接在一起形成一个林。林提供了在域之间共享安全性和资源的机制。
  5. 组织单元(Organizational Unit,OU):OU是AD中用于组织和管理对象的容器。OU提供了一种将对象逻辑地分组的方法,使得管理员可以更好地应用组策略和进行管理。OU可以嵌套在其他OU中,形成层次结构。
  6. 目录数据库:目录数据库是AD中存储目录信息的地方。它包含有关所有对象的属性和关系的数据。目录数据库以域控制器的形式存在,并在整个域中进行复制以确保一致性。
  7. 安全标识符(Security Identifier,SID):SID是唯一标识AD中每个安全主体(如用户或组)的字符串。SID由域控制器生成,用于确保全局唯一性,并用于安全性和权限控制。
  8. 全局编录服务器:全局编录服务器(Global Catalog Server)存储了域中所有域的目录信息的副本,以提供快速的全局搜索。全局编录服务器通常是域中的一个或多个域控制器。
  9. LDAP(Lightweight Directory Access Protocol):LDAP是一种用于访问和维护目录服务信息的标准协议。AD使用LDAP作为其主要通信协议,允许客户端应用程序与目录服务进行交互。
  10. KDC(Key Distribution Center):KDC是负责处理身份验证和分发票据的组件。票据用于用户在域中访问资源时进行身份验证。
  11. DNS(Domain Name System):DNS服务在AD中起到关键的作用,负责解析域名和IP地址的映射关系。AD依赖于DNS来定位域内的资源。
    这些组件一起协作,形成了Active Directory的层次化架构,提供了强大的目录服务和身份验证功能,支持组织对网络资源的有效管理和访问控制。

AD域的设计和规划

命名规范

在设计Active Directory(AD)域时,制定一致和有意义的命名规范是至关重要的。这有助于提高管理效率、降低混淆和错误,并确保域的结构能够满足组织的需求。以下是一些建议的AD域命名规范:

  1. 唯一性:域名必须在整个网络中是唯一的。确保不会与其他域发生冲突,避免使用通用的、可能被其他组织使用的域名。
  2. 简洁性:尽量保持域名简洁和易于记忆。短、明了的域名有助于减少错误和提高管理员和用户的工作效率。
  3. 符合DNS规范: AD域名应符合DNS命名规范。这包括使用字母、数字和短横线,并且不以短横线结尾。避免使用特殊字符或空格。
  4. 公司或组织标识:在域名中包含组织的名称或标识,以确保域名与组织的身份关联。例如,如果组织名称是"example",域名可以是"example.com"。
  5. 避免缩写:尽量避免过度使用缩写,以确保域名对管理员和用户都是清晰的。如果使用缩写,确保其易于理解和识别。
  6. 层次结构设计:如果组织拥有多个部门、子公司或分支机构,考虑使用层次结构设计。例如,可以在主域名下创建子域,每个子域代表一个不同的部门或分支。
  7. 区分测试和生产环境:如果可能,使用域名来区分测试和生产环境。例如,“test.example.com"和"prod.example.com”。这有助于防止在测试环境中进行的操作影响生产环境。
  8. 避免使用保留字:避免使用DNS保留字,如"www"、"mail"等,以免引起混淆和冲突。
  9. 统一规范:在整个组织中采用统一的域命名规范,以确保一致性和可维护性。这对于多个域的管理尤为重要。
  10. 考虑未来扩展:在设计域名时考虑到组织的未来扩展和变化。确保命名规范能够灵活适应组织发展的需求。

域层次结构

域层次结构是Active Directory(AD)中组织域的一种层次化布局。它有助于组织管理员更好地管理和组织网络资源,同时提供了一定程度的安全性和隔离。域层次结构的设计涉及到创建和组织域的关系,以下是域层次结构的主要概念:

  1. 单一域模型:单一域模型是最简单的模型,组织中只有一个域。这个域包含所有的用户、计算机和其他资源。单一域模型适用于小型组织,或者不需要将网络分隔成不同的管理单元的情况。
  2. 树状结构:树状结构通过在现有域下创建一个或多个子域,形成一个层次结构。每个子域都是在其父域下创建的,形成一个层次树状结构。每个子域可以有自己的安全策略和管理结构,但它们之间会共享全局目录信息。
  3. 林:林是一个或多个相互信任的域的集合,它们共享相同的全局目录数据库。林的边界由域之间的信任关系定义。每个域都有自己的目录数据库,但林中的所有域共享一个林根。林提供了更大的灵活性和隔离性。
  4. 跨林信任:当林之间建立了信任关系时,就形成了跨林信任。这意味着用户和资源可以在不同的林之间进行身份验证和访问。跨林信任有助于在大型组织中实现资源共享和协作。
  5. 多林模型:多林模型是一种将林与树状结构相结合的方法。每个林内部可以包含一个或多个域,形成树状结构,而多个林之间通过信任关系进行连接。这种模型适用于复杂的组织结构,需要隔离不同业务单元或分支机构的情况。
  6. 根域和子域:在树状结构中,第一个创建的域称为根域。其他域可以作为根域的子域创建。子域是在其父域下创建的,形成域的层次结构。
  7. 层次结构的管理:在设计域层次结构时,考虑到组织的管理需求、安全性要求以及未来的扩展计划。合理的域层次结构可以简化管理、提高安全性,并为组织未来的变化提供灵活性。

域层次结构的设计应该根据组织的实际需求来进行,考虑到组织的大小、复杂性、安全性和未来扩展计划。随着组织的发展,域层次结构也可以进行调整和扩展。

组织单位(OU)的设计

组织单位(Organizational Unit,OU)是Active Directory(AD)中用于组织和管理对象的容器。OU提供了一种逻辑上分组对象的方式,帮助管理员更有效地应用组策略、委派管理权限和进行其他管理操作。以下是设计组织单位时应考虑的关键方面:

  1. 业务结构:设计OU时应该反映组织的业务结构,即组织内不同部门、团队或项目的关系。根据业务流程和组织的逻辑结构创建OU,使得OU能够反映实际的管理需求。
  2. 安全性需求:考虑到安全性需求,可以根据组织的安全策略,将对象划分到不同的OU中。例如,可以根据对象的安全级别、部门或团队将其放置在不同的OU中,以便更精细地控制访问权限。
  3. 组策略应用:OU是应用组策略的边界,因此设计OU时应考虑组策略的应用需求。根据组织内不同部门或用户群体的配置需求,将其放置在适当的OU中,以便轻松地应用不同的组策略。
  4. 委派权限:OU可以用于委派权限,即将管理特定OU的权限授予特定的管理员。设计OU时,考虑哪些管理任务可以被委派给不同的管理者,以提高管理的分布和效率。
  5. 层次结构设计:设计OU的层次结构时,可以考虑创建嵌套的OU,以更好地反映组织的层次结构。例如,可以按照地理位置、部门、项目等创建不同层次的OU。
  6. 对象的生命周期:考虑对象的生命周期管理,包括对象的创建、修改、删除等。将对象组织在合适的OU中,有助于简化生命周期管理,确保对象按照组织的需求进行管理。
  7. 未来扩展计划:考虑到组织的未来发展和变化,设计OU时应具备一定的灵活性。确保OU的设计可以适应组织的扩展、重组或其他变化,避免频繁的重构。
  8. 命名规范:制定一致的OU命名规范,以确保管理员和其他工作人员能够理解和识别OU的用途。命名规范应该简明清晰,能够反映OU所包含对象的内容。
  9. 合理使用OU:避免创建过于复杂的OU层次结构,以免增加管理的复杂性。根据实际需要进行合理的OU组织,避免过度细分和层次结构的复杂化。

设计好OU结构是保持Active Directory组织和管理的重要一环,可以提高系统的可维护性、可管理性和安全性。

域控制器的位置策略

在设计域控制器(Domain Controller,DC)的位置策略时,考虑组织的拓扑结构、网络性能、灾难恢复、安全性等因素是至关重要的。域控制器的位置对于 Active Directory 的性能和可用性有直接影响。以下是一些在确定域控制器位置时需要考虑的策略:

  1. 地理位置:将域控制器分布在不同的地理位置,以满足远程办公室或分支机构的用户的身份验证和资源访问需求。这有助于提高性能,并减少对远程网络的依赖性。
  2. 网络带宽和延迟:考虑网络带宽和延迟,将域控制器部署在网络性能较好的位置,以确保域控制器之间的通信不受到网络瓶颈的影响。
  3. 域边界:在考虑域控制器的位置时,了解组织内部域的边界是重要的。在大型组织中,可以使用子网划分、站点或者故障域来确定域控制器的位置。
  4. 站点设计:在Active Directory中,站点是一组具有高速、可靠网络连接的子网。设计站点可以帮助控制域控制器之间的复制流量,并确保用户在同一站点内的访问速度较快。
  5. 故障域:将域控制器部署在不同的故障域中,以提高整个Active
    Directory的冗余性。确保域控制器的位置考虑到硬件故障、网络故障等因素。
  6. 灾难恢复:在设计域控制器的位置时,考虑到灾难恢复需求。确保有备份域控制器在离主要域控制器较远的地方,以便在灾难情况下迅速恢复服务。
  7. 性能监控:定期监控域控制器的性能,确保它们能够满足用户和应用程序的需求。使用性能监控工具来追踪CPU、内存、磁盘和网络使用情况。
  8. 安全性:在考虑域控制器的位置时,确保考虑到安全性需求。将域控制器放置在受物理和逻辑安全保护的区域,以防止未经授权的访问。
  9. 站点链接:使用站点链接来定义站点之间的连接,并在不同站点之间配置合适的复制拓扑,以确保域控制器之间的复制流量经过最优路径。
  10. 动态注册:考虑启用动态注册,以允许域控制器根据网络变化自动注册其服务。这有助于自动适应网络拓扑的变化。

综合考虑这些因素,域控制器的位置策略应该是一个综合性的决策过程,旨在实现最佳性能、可用性和安全性。在整个设计和实施过程中,需要密切关注组织的需求和特定环境的条件。

搭建AD域

配置网络环境

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_服务器

安装AD域

打开服务器管理器,点击添加角色和功能

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_服务器_02


下一步,直到选择服务器角色,点击Active Directory 域服务,然后点击添加功能。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_服务器_03


接着点击DNS服务器,添加功能,然后下一步。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_服务器_04


下一步,到确认界面点击安装。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_运维_05


安装成功

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_windows_06

配置AD域

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_服务器_07


在选择部署操作点击添加新林,根域名自己改,我这里是mdswe.com,下一步。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_身份验证_08


输入密码并确认密码,要符合密码策略,下一步。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_身份验证_09


其他选项默认,点击安装,安装过程需要重启。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_windows_10


配置完成。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_层次结构_11

用户和组管理

在服务器管理器右上角点击 Active Directory 用户和计算机。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_运维_12


进入Active Directory 用户和计算机后,鼠标右键mdswe.com,点击新建,再点击组织单位。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_服务器_13


输入名称信息部,点击确定。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_层次结构_14


依次创建财务部、行政部、营运部、人力资源部。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_运维_15


鼠标右键信息部,新建用户。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_运维_16


姓名输入张三,用户登录名输入xx.zhangsan,点击下一步。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_windows_17


输入密码,密码要符合密码策略,下一步。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_服务器_18


点击完成,创建成功。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_层次结构_19


依次创建李四、王五、赵六。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_运维_20

客户机加入域

配置服务器与客户机在同一子网,客户机能够ping通mdswe.com。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_windows_21


JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_身份验证_22


鼠标右键此电脑,点击属性

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_windows_23


点击高级系统设置。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_windows_24


在计算机名下点击更改,点击域,输入你的域名,点击确定。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_windows_25


这时候要求你输入账号和密码

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_层次结构_26


加入成功。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_windows_27


加入域后需要重启电脑,重启后登录我们在AD域的账号。

到这我们的AD域已经搭建完成。

JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码_运维_28