AD基于森林、树和域组成的层次结构:最顶层是森林,森林下面的下一层是树,可以对域的集合进行分组,最底层是域,也是最离散的单位,实际上是本地站点或用户组。装备组。这种分层结构是AD 的关键要素,也是其受欢迎的重要原因。但随着企业网络边界的变化,对本地网络的感知也发生了变化,AD 仍然依赖于对用户和设备进行分组并授予适当访问权限的传统方法。这种传统方法将每个用户或设备视为一个对象和一个可以包含在域中的单元。
1. AD 的关键功能
AD的关键功能可以概括为三点:身份验证、授权以及用户和设备管理。
1)身份验证
AD 将员工的用户名和密码存储在数据库中。当设备尝试连接到Internet 或用户请求访问该设备时,用户名和密码会安全地传输到AD,以便根据用户的凭据进行验证,然后AD 会将用户名和散列密码与内部数据库进行比较,并返回匹配。
2)授权
除了验证用户凭据之外,AD 还可以授予对网络上特定应用程序的访问权限。例如,企业可能只允许部分员工访问Microsoft SharePoint 服务器。在这种情况下,企业可以在AD 中创建用户安全组,并将SharePoint 服务器配置为仅对该特定组的成员可见。这样可以有效防止其他没有权限的用户。员工访问。
3)设备管理
AD 的另一个关键功能是通过组策略对象(GPO) 进行管理。事实上,GPO 使管理员能够在员工设备上执行各种任务,包括实施密码策略、将用户设备连接到某些驱动器、设置注册表等。对于经验丰富的管理员来说,GPO 有助于控制设备组。 GPO 可以分为两种类型,一种用于用户,一种用于系统。系统GPO涉及应用程序和网络软件、系统安全、交换机等与系统配置相关的项目,包括:
待安装软件的DNS 配置启动/关闭脚本密码时效及复杂性账户锁定时长/阈值Kerberos 配置审核策略,配置用户权限管理(如设置系统时间、更改时区、安装应用程序等) 安全选项(如如启用/禁用USB 闪存驱动器或CD-ROM 等) 事件日志上限和日志保留允许运行的服务特定注册表设置有线和无线网络策略(是否需要802.1X) Windows 防火墙配置允许的网络列表密钥管理策略(包括BitLocker 解锁管理和可访问的致发布者和受信任人员的信函) 软件限制策略Microsoft NAP 配置(网络访问保护) AppLocker(阻止恶意软件、未经授权的应用程序、为每个用户/计算机强制执行应用程序控制策略) AD 安全策略网络QoS 配置(服务质量)用户GPO是针对单个用户或用户组设置的,包括与用户管理和用户体验一致性相关的设置:
要安装的软件登录/注销脚本公钥策略软件安装限制文件夹重定向(允许管理员共享公共文件,而不是将其存储在本地系统帐户中) 网络QoS 配置(服务质量) 在控制面板设置中隐藏/显示项目桌面管理(桌面壁纸、添加、编辑、删除或禁用项目) 网络连接管理共享文件夹配置“开始”菜单的布局和配置全局系统管理限制(例如安装驱动程序、访问任务管理器、管理电源设置等) 管理Windows 组件(例如最新的Windows 11 功能、桌面小部件、窗口管理器、文件浏览器等) IE 浏览器的互联网隐私和安全设置
2. 未来的企业目录是什么样的?
随着IT行业向目录即服务(DaaS)这一新的云目录服务迈进,有一个不可避免的问题:现代云目录服务将如何影响传统AD?
简而言之,云目录服务将增强和简化AD的管理,同时提高安全性,并最终取代AD。
造成这种转变的原因是,AD实际上更适合以微软生态系统为中心的企业,它与Windows、域控制器和其他微软应用程序紧密相连。随着Google Apps和Office 365等云服务的普及,企业继续采用其他操作系统和设备类型,这将降低AD的价值。另一方面,AD 对于整个用户群、各种设备和应用程序的身份验证、访问授权和跨平台设备组管理至关重要。虽然AD不能解决以上所有问题,但它在一定程度上启发了云目录服务DaaS的发展。
标签:
用户评论
哎呀,一直以为AD和DaaS是两个独立的领域,没想到它们竟然有关系,这让我对数据广告有了新的认识。
有11位网友表示赞同!
这个关系太有意思了,以前我只知道AD是广告,现在才知道DaaS是数据即服务,两者结合果然有妙处。
有14位网友表示赞同!
哎呀,看完这篇文章,我对AD和DaaS的理解豁然开朗,没想到它们之间还有这样的联系。
有18位网友表示赞同!
标题里的这个“原来”用得太好了,让我对AD和DaaS的关系有了全新的认识。
有10位网友表示赞同!
这篇文章让我对AD和DaaS的关系有了更深的理解,特别是DaaS这个概念,之前真是模糊得很。
有19位网友表示赞同!
我一直觉得AD和DaaS风马牛不相及,没想到竟然有这样的联系,真是长知识了。
有11位网友表示赞同!
这篇文章让我重新审视了AD和DaaS的关系,感觉之前对广告的理解太肤浅了。
有16位网友表示赞同!
没想到AD和DaaS还有这样的关系,这个发现真是太惊喜了。
有20位网友表示赞同!
这篇文章让我对AD和DaaS有了全新的认识,特别是DaaS这个服务,感觉潜力无限。
有16位网友表示赞同!
这个标题用得太巧妙了,一下子就吸引了我的注意力,读完后感觉收获颇丰。
有12位网友表示赞同!
一直对AD和DaaS的关系感到困惑,这篇文章终于让我明白了,谢谢作者的分享。
有20位网友表示赞同!
这个关系让我对广告行业有了新的认识,感觉未来广告的发展方向会更加多元化。
有18位网友表示赞同!
这篇文章让我对AD和DaaS有了更深的理解,特别是DaaS在广告中的应用,让我眼前一亮。
有8位网友表示赞同!
标题里的“原来”两个字,让我对AD和DaaS的关系产生了浓厚的兴趣,读完后确实让人惊喜。
有19位网友表示赞同!
以前对AD和DaaS的了解很片面,这篇文章让我看到了两者之间的深层联系,太棒了。
有12位网友表示赞同!
这篇文章让我对AD和DaaS的关系有了全新的认识,特别是DaaS在广告中的重要作用,让我对数据服务有了新的认识。
有10位网友表示赞同!
这个标题太吸引人了,读完文章后,我对AD和DaaS的关系有了全新的理解,感觉受益匪浅。
有19位网友表示赞同!
这篇文章让我对AD和DaaS的关系有了全新的认识,特别是DaaS这个概念,让我对广告行业有了更深的思考。
有19位网友表示赞同!
这个标题太贴切了,AD和DaaS的关系确实让人意想不到,感谢作者的分享。
有5位网友表示赞同!