域(Domain)

网络中多台计算机通过逻辑的方式组织到一起进行集中管理,这种集中管理的环境称为域

域控制器(Domain Controller DC)

每个域中至少有一台域服务器,集中存放整个域的用户帐号和安全数据库,安装了活动目录(AD)的主机称为域控制器,所有的权限身份验证都在域控制器上进行

域环境

​ 单域:一般至少两台域服务器,一台作为DC,一台作为备份DC

​ 父域和子域:出于管理需求,需要在网络中划分多个域,第一个域称为父域,各分部的域称为子域,不同的域之间,信息交互的条目会大大减少,且可以压缩后进行交互,节约带宽,并且域管可以针对各个域,设置不同的安全策略,灵活管理

​ 域树: 域管理器只能管理本域,如果需要管理其他域,则需要建立信任关系,域树则是指多个域通过建立信任关系组成的集合,同理,多个域树通过建立信任关系组成的集合则称为域林

image-20210601194649876

​ 域名服务器(DNS): 用于实现域名和与之对应的IP地址之间相互转换,因为域中的计算机是使用DNS来定位域控和其他服务器的,所以域的名字就是DNS域的名字(DNS和DC一般在同一台机器上)

活动目录(Active Directory,AD)

活动目录是一个目录数据库,储存整个windows网络中的对象的相关信息,可以理解为存储了网络中所有资源的快捷方式,也是一种服务,可对活动目录中数据执行各种操作

在活动目录中,管理员不需要考虑被管理对象的地理位置,只需要按照一定的方式将这些对象放置在不同的容器中,这种不需要考虑被管理对象的具体地理位置的组织框架称为逻辑结构

活动目录的逻辑结构包括:

  • 组织单元(OU)
  • 域树
  • 域森林

安全域划分

划分安全域的目的是将一组安全等级相同的计算机划入同一个网段,这个网段内的计算机拥有相同的网络边界,并在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略(NACL),从而对允许那些IP地址访问此域、允许此域访问那些IP地址和网段进行设置

image-20210601213206985

在一个用路由器连接的内网中,可以将网络划分为三个区域:

  1. 安全级别最高的内网
  2. 安全级别中等的DMZ
  3. 安全级别最低的外网(Internet)

三个区域负责不同的任务,因此需要设置不同的访问策略

image-20210601213721089

image-20210601213900922

域内权限解读

组(Group)是用户账号的集合,通过向一组用户分配权限,就可以不必向每个用户分别分配权限,在实际中,只需要将用户账号放到相应的安全组中即可

1.域本地组

不能被嵌套在其他的组中,主要用于为其他用户授予本域内资源的访问权限

2.域全局组

image-20210601215244893

3.通用组

image-20210601215429300

4.A-G-DL-P策略

A-G-DL-P策略是指将用户账号添加到全句组中,将全局组添加到域本地组中,然后为域本地组分配资源权限的

  • A表示用户账号(Account)
  • G表示全局组(Global Group)
  • U表示通用组(Universal Group)
  • DL表示域本地组(Domain Local Group)
  • P表示资源权限(Permission,许可)

全局组和通用组的权限

image-20210602155018007