Active Directory 是一个目录服务

旨在用于管理计算机网络中的用户和资源。目录服务是一种可以存储关于用户、计算机、应用程序和其他资源的信息，并允许管理员和用户轻松地查找和访问这些信息的系统。

功能

集中身份验证和授权：通过域控制器（Domain Controller, DC）进行集中身份验证，确保用户和计算机的安全访问。
目录服务：存储和组织关于域内资源的信息，方便查找和管理。
组策略管理：允许管理员配置和管理用户和计算机的设置。

基本概念

域（Domain）：
域是 AD 的基本单位，代表一个逻辑组的用户、计算机和其他资源。每个域都有一个唯一的 DNS 名称，例如netstar.com。域中的所有对象都存储在域控制器上，并且通过目录服务进行管理。域提供了一种集中化的管理方式，使得域管理员可以统一管理域内所有资源。

域树（Domain Tree）：
域树是 Active Directory 中多个具有信任关系的域的集合，这些域共享一个公共的 DNS 命名空间。每个域都有一个唯一的 DNS 名称，形成层次化的结构，例如 netstar.com 下的 it.netstar.com 和 hr.netstar.com。域树通过自动信任关系，实现了跨域的资源访问和管理。

域森林（Domain Forest）：
域森林是 Active Directory 的最高层次结构，它包含一个或多个域树，这些域树共享一个全局目录、架构和配置。森林中的所有域默认通过双向传递信任关系连接，允许跨域资源访问和身份验证。这些信任关系可以根据企业的安全策略进行调整，以限制或允许特定域之间的访问。森林提供了统一的管理框架，支持复杂的企业网络结构。

组织单位 (Organizational Unit, OU)：
OU 是域中的容器，用于组织和管理对象。域管理员可以使用 OU 来分组用户、计算机和其他资源，并应用组策略。OU 结构允许灵活的管理权限委派和分层次的管理。

7大核心组件

用户和组

用户是Active Directory中最基本的对象之一，代表网络中的个体，可以是人或服务账户。每个用户对象包含以下关键信息：
用户名：用户的唯一标识。
密码：用于身份验证。
个人信息：如姓名、职务、联系电话等。

组成员身份：用户所属的组，用于权限管理。
组是用户的集合，用于简化权限管理。组分为两种类型：
安全组：用于分配权限和访问控制。通过将用户添加到安全组，可以简化权限管理过程。
分发组：主要用于Exchange电子邮件系统的邮件分发，不具备安全功能。

域名系统（DNS）

DNS（Domain Name System）在Active Directory中扮演了重要角色。它用于将域名转换为IP地址，帮助客户端找到域控制器和其他网络资源。主要功能如下：
服务定位（SRV）记录：AD使用SRV记录帮助客户端定位域控制器、全局编录服务器等。
命名解析：提供域名到IP地址的转换，确保网络通信的顺利进行。
域层次结构：支持AD的域命名空间，使网络资源和服务的访问更加方便。

组策略（Group Policy）

组策略是一种集中管理用户和计算机设置的功能。通过组策略，管理员可以控制各种配置和安全设置。主要功能如下：
策略设置：配置安全设置、软件安装、脚本等。
继承和覆盖：组策略可以应用于域、OU（组织单位）和本地计算机，并且支持继承和覆盖机制。
管理模板：提供预定义的策略设置模板，简化配置过程。
组策略对象（GPO）：组策略对象是组策略的具体实现。每个GPO包含多个策略设置，可以链接到域、OU或站点。

轻量级目录访问协议（LDAP）

LDAP（Lightweight Directory Access Protocol）是用于访问和管理目录服务的协议。它是AD的核心通信协议，支持目录数据的查询和修改。主要功能如下：
目录查询：允许客户端查询目录服务中的数据，如用户信息、组成员身份等。
数据操作：支持对目录对象的添加、删除、修改等操作。
目录同步：用于在不同目录服务之间同步数据。

域控制器（DC）

域控制器DC是运行Active Directory服务的服务器，负责处理身份验证请求和目录服务的所有操作。它是存储AD数据库的地方，包含关于域中的用户、计算机、组及其他对象的所有信息。主要功能如下：
身份验证：DC负责对用户和计算机进行身份验证，确保只有经过验证的实体才能访问网络资源。它支持Kerberos和NTLM等身份验证协议。
授权：根据用户或计算机的身份及其在AD中的权限，DC授予或拒绝对资源的访问。
目录服务操作：DC处理所有目录服务的操作，包括对象的创建、删除、修改和查询。
复制：在拥有多个DC的环境中，AD通过多主复制（Multi-Master Replication）在各DC之间同步数据，确保一致性和冗余性。

全局目录服务器（GCS）

全局目录服务器是一个特殊的域控制器，它包含域内所有对象的部分属性，并提供跨域查询服务。GCS在多域环境中尤为重要，因为它能提供快速、全面的目录查询。主要功能如下：
跨域查询：GCS包含所有域中对象的部分属性，可以响应来自任何域的查询请求，提供全局目录服务。
登录验证：在用户登录时，GCS提供快速验证用户在其他域中的群组成员身份。
部分属性集（PAS）：GCS存储每个对象的一部分属性，而不是全部属性，这些属性通常用于查询操作。

证书服务（ADCS）

ADCS是一个扩展组件，提供数字证书的创建、管理和分发功能，增强网络安全。主要功能如下：
证书颁发机构（CA）：管理和颁发数字证书。
证书注册点：帮助用户和设备请求和获得证书。
证书吊销列表（CRL）：管理和发布证书吊销信息。

6大关键协议

LDAP (Lightweight Directory Access Protocol)：LDAP 是 AD 访问和查询目录信息的主要协议。它提供了一种标准化的方式来访问和操作目录服务，使得 AD 可以与其他 LDAP 兼容的系统和应用程序集成。
Kerberos：Kerberos 是 AD 的主要身份验证协议，提供强大的安全性和单点登录（SSO）功能。Kerberos 使用票据授予机制，确保用户身份验证的安全性和有效性。
DNS (Domain Name System)：DNS 是 AD 命名空间的重要组成部分，用于解析域名和 IP 地址。AD 依赖 DNS 来定位域控制器和其他目录服务组件。
SMB (Server Message Block)：SMB 协议用于文件共享和打印服务。AD 使用 SMB 协议来支持文件访问和共享，以及其他网络服务。
RPC (Remote Procedure Call)：RPC 是 AD 进行远程管理和服务调用的基础协议。它允许客户端和服务器之间进行远程调用，支持分布式计算环境中的交互。
NTLM (NT LAN Manager)：NTLM 是一种较旧的身份验证协议，尽管 Kerberos 已经成为主流，但 NTLM 仍然在某些情况下使用，特别是与非 Windows 系统的兼容性方面。

AD在企业中的应用优势

用户管理流程，化繁为简
集中管理用户帐户：
管理员可以通过AD轻松地在一个中心位置创建、修改和删除用户帐户，而不需要逐个访问每台计算机进行操作。

组管理：
AD允许管理员将用户分组，这样可以通过一次操作来分配或更改多个用户的权限。例如，可以为一个部门创建一个组，然后分配该组的访问权限。

策略实施：
通过组策略对象（GPO），管理员可以配置并强制执行用户和计算机的设置，如密码策略、桌面配置和软件安装，从而保持一致性和合规性。

多重BUFF加持，安全感满满

身份验证和授权：

AD使用Kerberos协议进行安全的身份验证，确保只有经过验证的用户和设备才能访问网络资源。通过分配权限，管理员可以精确控制用户对文件、应用程序和系统的访问。

组策略：

管理员可以使用组策略来定义安全设置，如密码复杂性要求、账户锁定策略和防火墙配置。这些策略可以自动应用到所有用户和计算机上，确保整个网络的一致安全性。

审计和日志记录：

AD可以记录所有用户的登录、注销和其他活动，提供详细的审计跟踪，有助于检测和防止安全威胁。

自动化管理，作业效率轻松翻倍

自动化任务：
通过脚本和自动化工具，许多常见的管理任务可以自动执行，如用户帐户创建、密码重置和资源分配。这减少了手动操作的需求，降低了错误率。

集中管理控制台：

使用Active Directory管理工具（如AD用户和计算机管理控制台），管理员可以在一个界面中管理整个网络资源，提高了管理效率。

资源共享：

AD允许管理员集中管理共享资源（如打印机、文件夹和应用程序），简化了用户的访问和使用。

支持本地和云环境

本地和云集成：

AD可以与Azure Active Directory（Azure AD）无缝集成，使企业能够扩展其本地目录服务到云端。这种混合模式允许用户使用单一身份在本地和云资源之间切换，提供了更大的灵活性。

Azure AD的功能：

通过Azure AD，企业可以实现更多的云服务集成，如Office 365、Dynamics 365和其他SaaS应用程序。Azure AD还提供高级功能，如多重身份验证（MFA）、条件访问和应用程序代理。

统一身份管理：

企业可以通过Azure AD Connect工具将本地AD与Azure AD同步，实现统一的身份管理和用户登录体验，简化了跨平台的身份验证过程。

AD安全在高效率、高安全性、高精确性、支持本地与云集成等多重BUFF加持下，突破了一系列安全赛道的难题，随着技术的不断发展和企业需求的不断变化，Active Directory也将积极适应这些变化并不断完善其功能和服务。