Active Directory 是 Windows 域网络的目录服务
Active Directory 是在域内部连接的机器和服务器的集合,它们是构成 Active Directory 网络的更大域林的集合部分。Active Directory 包含许多功能部件,
Active Directory 的各个部分
域控制器是安装了 Active Directory 域服务 ( AD DS) 并已提升为林中的域控制器的Windows服务器。域控制器是 Active Directory 的中心——它们控制域的其余部分。
域控制器的任务
AD DS 数据存储
Active Directory 数据存储包含存储和管理目录信息(例如用户、组和服务)所需的数据库和进程。
AD DS 数据存储的一些内容和特征
森林是一切的定义;它是将网络的所有其他部分和部分保存在一起的容器。没有森林,所有其他树木和域都将无法交互。
想到森林时要注意的一件事是不要从字面上去想它——它是一个物理的东西,就像它是一个比喻的东西一样。当我们说“森林”时,它只是一种描述这些树和域之间由网络建立的联系的方式。
森林概况
森林是 Active Directory 网络中一个或多个域树的集合。它将网络的各个部分作为一个整体进行分类。
森林由这些部分组成
Active Directory 中的用户和组由您决定;当您创建域控制器时,它带有默认组和两个默认用户:Administrator 和 guest。创建新用户和创建新组以添加用户由您决定。
用户类型
团体概览
组通过将用户和对象组织到具有指定权限的组中,可以更轻松地向用户和对象授予权限。有两种主要类型的 Active Directory 组
默认安全组
信任和策略齐头并进,以帮助域和树相互通信并维护网络内部的“安全性”。他们将规则置于林内域如何相互交互、外部林如何与林交互以及域必须遵循的总体域规则或策略的位置。
域信任概述
信任是网络中用户访问域中其他资源的机制。在大多数情况下,信任概述了林内域相互通信的方式,在某些环境中,信任可以扩展到外部域,在某些情况下甚至可以扩展到林。
有两种类型的信任决定域的通信方式:
建立的信任类型决定了森林中的域和树如何在攻击 Active Directory 环境时相互通信和发送数据,有时您可能会滥用这些信任以在整个网络中横向移动。
域策略概述
策略是 Active Directory 的重要组成部分,它们决定了服务器的运行方式以及它将遵循和不遵循的规则。您可以将域策略想象成域组,除了它们包含规则而不是权限,并且这些策略不仅适用于一组用户,还适用于整个域。它们只是充当 Active Directory 的规则手册,域管理员可以在他们认为必要时修改和更改以保持网络平稳和安全地运行。除了非常长的默认域策略列表外,域管理员还可以选择添加域控制器上尚未存在的自己的策略,例如:如果您想在域中的所有计算机上禁用 Windows Defender,您可以创建一个新组禁用 Windows Defender 的策略对象。域策略的选项几乎是无穷无尽的,并且是攻击者枚举 Active Directory 网络时的一个重要因素。
Active Directory 域服务是 Active Directory 网络的核心功能;它们允许管理域、安全证书、LDAP 等等。这就是域控制器决定它想做什么以及它想为域提供什么服务的方式。
域服务概述
领域服务正是他们听起来的样子。它们是域控制器向域或树的其余部分提供的服务。可以将多种服务添加到域控制器;下面概述了默认域服务:
域认证概述
Active Directory 最重要的部分——也是 Active Directory 最脆弱的部分——是设置的身份验证协议。Active Directory 有两种主要的身份验证类型:NTLM 和 Kerberos。
Azure AD概述
Azure 充当物理 Active Directory 和用户登录之间的中间人。这允许在域之间进行更安全的交易,从而使许多 Active Directory 攻击无效。
Windows Server AD
Azure AD
LDAP
Rest APIs
NTLM
OAuth/SAML
Kerberos
OpenID
OU Tree
Flat Structure
Domains and Forests
Tenants
Trusts
Guests
使用powshell来查看机器、计算机、用户和组来 了解 Active Directory 的内部结构
Windows 10 操作系统的名称是什么?
第二个“管理员”名称是什么?
哪个组的组名中有大写“V”?
上次为 SQLService 用户设置的密码是什么时候?
手机扫一扫
移动阅读更方便
你可能感兴趣的文章