微软 Active Directory(AD)是微软为其网络设计的一款软件,用于管理企业内网用户的创建、更改和注销,同时也能管理网络安全、相关策略和软件更新。AD 通常部署在企业内网的 Windows 服务器上,和域控制器协作创建“域”,也就是可信网络。AD 基于开源 LDAP 和 Kerberos 协议,在过去十年已成为本地用户目录的标准。
AD 基于林、树和域组成的分层结构:顶层是林,林的下一层是树,可以对域集合进行分组,底层是域,也是最离散的单元,实际上是本地站点或用户组、设备组。这种分层结构是 AD 的一个关键要素,也是 AD 受欢迎的一大原因。但随着企业网络边界的变化,对本地网络的看法也在改变,AD 依然通过传统方法对用户和设备进行分组,并授予适当的访问权限。这种传统方法将每个用户或设备都视为一个对象,并且是可以包含在一个域中的单元。
1. AD 的关键功能
AD 的关键功能可以总结为以下三点:身份验证、授权以及用户和设备管理。
1)身份验证
AD 将员工的用户名密码存储在数据库中。当设备尝试联网或用户请求访问设备时,用户名和密码会安全传输到 AD 与用户凭据进行核验,然后 AD 将用户名和哈希密码与内部数据库进行比较,并返回匹配结果。
2)授权
除了核验用户凭据之外,AD 还能对网络中的特定应用授予访问权限。例如,企业可能只允许部分员工访问 Microsoft SharePoint 服务器,像这种情况,企业可以在 AD 中创建一个用户安全组,将 SharePoint 服务器配置为仅该特定组成员可见,这样就能有效防止其他没有权限的员工访问。
3)设备管理
AD 还有一个关键功能就是通过组策略对象(Group Policy Objects,GPOs)管理。实际上,GPOs 支持管理员在员工设备上执行各种任务,包括强制设置密码策略、将用户的设备连接到某些驱动器、设置注册表等等。对于有经验的管理员来说,GPOs 在控制设备群方面很有帮助。GPOs 可以分为两种类型,一种用于用户,一种用于系统。系统 GPOs 涉及与应用和网络软件、系统安全、开关等系统配置相关的项目,具体包括:
-
待安装软件
-
DNS 配置
-
启动/关闭脚本
-
密码老化和复杂度
-
账号锁定时长/阈值
-
Kerberos 配置
-
审计策略和配置
-
用户权限管理(如设置系统时间、更改时区、安装应用等)
-
安全选项(如启用/禁用 U盘 或 CD-ROM 等)
-
事件日志上限和日志保留
-
允许运行的服务
-
特定注册表设置
-
有线和无线网络策略(是否需要 802.1X)
-
Windows 防火墙配置
-
允许访问的网络列表
-
密钥管理策略(包括 BitLocker 解锁管理以及可信发布者和可信人员)
-
软件限制策略
-
Microsoft NAP 配置(网络访问保护)
-
AppLocker(阻止恶意软件、未授权应用,为每个用户/计算机实施应用控制策略)
-
AD 安全策略
-
网络 QoS 配置(服务质量)
用户 GPOs 针对单个用户或用户组进行设置,包括用户管理、用户体验一致性的相关设置:
-
待安装软件
-
登录/注销脚本
-
公钥策略
-
软件安装限制
-
文件夹重定向(允许管理员将公用文件共享而不是存储在本地系统账号上)
-
网络 QoS 配置(服务质量)
-
隐藏/显示控制面板中的项目
-
桌面设置管理(桌面壁纸,添加、编辑、删除或禁用项目)
-
网络连接管理
-
共享文件夹配置
-
开始菜单的布局和配置
-
全局系统管理限制(如安装驱动程序、访问任务管理器、管理电源设置等)
-
管理 Windows 组件(如最新的 Windows 11 功能、桌面小部件、窗口管理器、文件资源管理器等)
-
IE 浏览器的网络隐私和安全设置
2. 未来的企业目录是什么样的?
在IT 行业转向目录即服务(DaaS)这一全新的云目录服务过程中,有一个问题无法回避:现代化的云目录服务将如何影响传统 AD?
简单来说,云目录服务将增强并简化 AD 的管理,同时提升安全性,并最终取代 AD。
这一转变的原因在于 AD 其实更适用于以微软生态为中心的企业,它与 Windows、域控制器和其他微软应用紧密相关。而随着 Google Apps 和 Office 365 等云服务的普及,企业不断采用其他操作系统和设备类型,这就会降低 AD 的价值。另一方面,AD 对整个用户群、各种设备和应用的身份验证、访问授权以及跨平台设备组管理都至关重要。虽然 AD 不能解决上述所有问题,但在一定程度上启发了云目录服务 DaaS 的发展。
目前,AD 仍是企业的核心构成,但云目录服务也在将 AD 扩展到云基础设施以及其他设备类型上。此外,随着一些企业选择了业务上云,他们正在用 DaaS 解决方案取代 AD。
作为能够高度兼容 AD 的宁盾身份目录服务,能够弥补微软 AD 在现代复杂IT环境下的诸多不足,例如对Mac、iOS等泛终端的统一管理;对非微软系应用、云应用的身份管理和访问授权;企微、钉钉、飞书等移动社交账号为中心的身份管理场景对接;用户自助改密、找回密码等自服务;多因素认证能力;信创场景下的国产化替代……这些困扰着企业的需求都能得到解决,宁盾身份目录服务让 AD 更好用更强大,帮助企业实现平稳的国产化替代。
所有评论(0)