黑客培训班,浅谈微软AD和云目录DaaS的关系

  • 作者:
  • 时间:2022-05-17 09:30:17
简介 黑客培训班,浅谈微软AD和云目录DaaS的关系

微软 Active Directory(AD)是微软为其网络设计的一款软件,用于管理企业内网用户的创建、更改和注销,同时也能管理网络安全、相关策略和软件更新。AD 通常部署在企业内网的 Windows 服务器上,和域控制器协作创建“域”,也就是可信网络。AD 基于开源 LDAP 和 Kerberos 协议,在过去十年已成为本地用户目录的标准。

AD 基于林、树和域组成的分层结构:顶层是林,林的下一层是树,可以对域集合进行分组,底层是域,也是最离散的单元,实际上是本地站点或用户组、设备组。这种分层结构是 AD 的一个关键要素,也是 AD 受欢迎的一大原因。但随着企业网络边界的变化,对本地网络的看法也在改变,AD 依然通过传统方法对用户和设备进行分组,并授予适当的访问权限。这种传统方法将每个用户或设备都视为一个对象,并且是可以包含在一个域中的单元。

1. AD 的关键功能

AD 的关键功能可以总结为以下三点:身份验证、授权以及用户和设备管理。

1)身份验证

AD 将员工的用户名密码存储在数据库中。当设备尝试联网或用户请求访问设备时,用户名和密码会安全传输到 AD 与用户凭据进行核验,然后 AD 将用户名和哈希密码与内部数据库进行比较,并返回匹配结果。

2)授权

除了核验用户凭据之外,AD 还能对网络中的特定应用授予访问权限。例如,企业可能只允许部分员工访问 Microsoft SharePoint 服务器,像这种情况,企业可以在 AD 中创建一个用户安全组,将 SharePoint 服务器配置为仅该特定组成员可见,这样就能有效防止其他没有权限的员工访问。

3)设备管理

AD 还有一个关键功能就是通过组策略对象(Group Policy Objects,GPOs)管理。实际上,GPOs 支持管理员在员工设备上执行各种任务,包括强制设置密码策略、将用户的设备连接到某些驱动器、设置注册表等等。对于有经验的管理员来说,GPOs 在控制设备群方面很有帮助。GPOs 可以分为两种类型,一种用于用户,一种用于系统。系统 GPOs 涉及与应用和网络软件、系统安全、开关等系统配置相关的项目,具体包括:

  • 待安装软件

  • DNS 配置

  • 启动/关闭脚本

  • 密码老化和复杂度

  • 账号锁定时长/阈值

  • Kerberos 配置

  • 审计策略和配置

  • 用户权限管理(如设置系统时间、更改时区、安装应用等)

  • 安全选项(如启用/禁用 U盘 或 CD-ROM 等)

  • 事件日志上限和日志保留

  • 允许运行的服务

  • 特定注册表设置

  • 有线和无线网络策略(是否需要 802.1X)

  • Windows 防火墙配置

  • 允许访问的网络列表

  • 密钥管理策略(包括 BitLocker 解锁管理以及可信发布者和可信人员)

  • 软件限制策略

  • Microsoft NAP 配置(网络访问保护)

  • AppLocker(阻止恶意软件、未授权应用,为每个用户/计算机实施应用控制策略)

  • AD 安全策略

  • 网络 QoS 配置(服务质量)

用户 GPOs 针对单个用户或用户组进行设置,包括用户管理、用户体验一致性的相关设置:

  • 待安装软件

  • 登录/注销脚本

  • 公钥策略

  • 软件安装限制

  • 文件夹重定向(允许管理员将公用文件共享而不是存储在本地系统账号上)

  • 网络 QoS 配置(服务质量)

  • 隐藏/显示控制面板中的项目

  • 桌面设置管理(桌面壁纸,添加、编辑、删除或禁用项目)

  • 网络连接管理

  • 共享文件夹配置

  • 开始菜单的布局和配置

  • 全局系统管理限制(如安装驱动程序、访问任务管理器、管理电源设置等)

  • 管理 Windows 组件(如最新的 Windows 11 功能、桌面小部件、窗口管理器、文件资源管理器等)

  • IE 浏览器的网络隐私和安全设置

2. 未来的企业目录是什么样的?

在IT 行业转向目录即服务(DaaS)这一全新的云目录服务过程中,有一个问题无法回避:现代化的云目录服务将如何影响传统 AD?

简单来说,云目录服务将增强并简化 AD 的管理,同时提升安全性,并最终取代 AD。

这一转变的原因在于 AD 其实更适用于以微软生态为中心的企业,它与 Windows、域控制器和其他微软应用紧密相关。而随着 Google Apps 和 Office 365 等云服务的普及,企业不断采用其他操作系统和设备类型,这就会降低 AD 的价值。另一方面,AD 对整个用户群、各种设备和应用的身份验证、访问授权以及跨平台设备组管理都至关重要。虽然 AD 不能解决上述所有问题,但在一定程度上启发了云目录服务 DaaS 的发展。

目前,AD 仍是企业的核心构成,但云目录服务也在将 AD 扩展到云基础设施以及其他设备类型上。此外,随着一些企业选择了业务上云,DaaS 解决方案也在逐步取代 AD。