上一句，我們理解了AD域的體系結(jié)構(gòu)和原理。本文介紹了AD域服務(wù)的亮點——AD域的功能。

眾所周知，AD域在企業(yè)內(nèi)網(wǎng)中扮演了重要的角色，集身份驗證和服務(wù)管理于一身。它是如何進(jìn)行身份驗證和資源管理的，在企業(yè)內(nèi)網(wǎng)管理中有什么明顯優(yōu)勢呢？

本篇文章從AD域服務(wù)對資源對象的管理方式開始，逐步講述它的身份驗證能力和策略配置特性。

AD域管理

【全局資源管理】

要將內(nèi)網(wǎng)中的資源部署到AD域內(nèi)，需要在域控上注冊。域計算機(jī)和打印機(jī)、共享文件夾等一起組成域環(huán)境，企業(yè)員工要在這個域環(huán)境內(nèi)辦公，需要注冊成為域用戶。

所有資源注冊成功后，由AD域來統(tǒng)一管理。下面，我們通過AD域管理域計算機(jī)和域用戶的一些特點，來探查其一般模式。

本地計算機(jī)在域控上注冊后就成為域計算機(jī)，擁有單獨的域賬戶，該賬戶記錄計算機(jī)的位置、操作系統(tǒng)類型和計算機(jī)名等信息。

這個計算機(jī)名并非原名，而是在加域后重新生成的。它采用DNS格式，在允許分配單獨名稱的基礎(chǔ)上，還能清晰顯示組織單位中的計算機(jī)結(jié)構(gòu)。比如在zawx.com域下注冊的計算機(jī)，名稱可能為。

企業(yè)員工在域控上注冊成為域用戶后，也會生成單獨的域賬戶，賬戶上保存了員工的電話、郵箱、身份證號等基本信息，還有權(quán)限、賬號密碼等信息。

權(quán)限分配

不同用戶擁有不同權(quán)限：

?普通域用戶：

普通域用戶接受域管理員的指派，對資源的使用程度有限制。一般是根據(jù)員工崗位的實際情況賦予權(quán)限，比如允許使用打印機(jī)，拒絕修改共享文件夾等。

?域管理員：

域管理員管理域內(nèi)資源的使用關(guān)系，委派域用戶間的適應(yīng)關(guān)系，比如允許A用戶更改其它用戶的密碼。

?企業(yè)管理員：

企業(yè)管理員賬戶存在于企業(yè)的每一個域中，擁有對每一個域的登錄權(quán)限。它是企業(yè)中權(quán)限級別最高的賬戶，能夠指派或取消域管理員權(quán)限。

由上，我們可以看出AD域?qū)Y源的一般管理模式是：為注冊資源創(chuàng)建一個單獨賬戶，在這個賬戶上記錄資源的一般信息（如位置、電話）和特殊的域內(nèi)信息（如權(quán)限、域內(nèi)名稱）。

在數(shù)據(jù)庫中，AD域?qū)⑦@些資源信息以樹形目錄的方式組織，在葉子節(jié)點存儲數(shù)據(jù)。

這種形式下，管理員可以直接使用標(biāo)識名（DN）和相對標(biāo)識名（RDN）兩種命名路徑來訪問資源，相比于挨個對比，極大地提升了資源搜索效率。

【統(tǒng)一身份驗證】

域用戶在內(nèi)網(wǎng)中采用單點登錄方式，即登錄過程由域控統(tǒng)一驗證，驗證成功就可訪問域內(nèi)資源。

登錄過程中，域計算機(jī)將用戶信息發(fā)送給域控，域控會進(jìn)行計算機(jī)和用戶兩個賬號的驗證。

域控對計算機(jī)進(jìn)行驗證的方式是通過對比本地和域控上保存的計算機(jī)賬戶密碼。本地密碼每30天更新一次，新舊密碼同時保存。驗證過程中，先發(fā)送新密碼，再發(fā)送舊密碼。兩密碼中的任何一個與域控上保存的密碼相同，就能通過驗證。

而對域用戶的驗證一般是用的Kerberos認(rèn)證。Kerberos認(rèn)證服務(wù)器KDC安裝在域控上，由AS和TGS組成。用戶信息先發(fā)送給AS，由AS在AD數(shù)據(jù)庫中查詢是否有該用戶記錄，如果存在且信息吻合，就返回一個TGT。之后用戶使用TGT向TGS請求Ticket，然后就能使用該Ticket訪問特定服務(wù)了。

正是因為登錄驗證過程是在域控上統(tǒng)一進(jìn)行，域用戶在任一域計算機(jī)上都能登錄，并獲得同樣的該用戶權(quán)限。這種方式讓用戶登錄更具靈活性，也增強(qiáng)了抵抗主機(jī)故障的能力。

策略配置

【集中策略配置】

AD域最大的管理優(yōu)勢是，只需一次操作，就能實現(xiàn)大量資源屬性的配置。要達(dá)到這種效果，有分組和組策略兩種方式。分組情況下，需要域管理員手動將符合條件的域用戶加到一個組中，然后對該組對象進(jìn)行配置，最終作用到組內(nèi)每一個用戶身上，一般有通信組和安全組兩種類型。在通信組中，對該通信組發(fā)送一次消息，就會分發(fā)給組內(nèi)所有成員，比如郵件組。

安全組主要是用來設(shè)置權(quán)限，通常將企業(yè)內(nèi)同一崗位的員工放到一個組中配置權(quán)限；對新加入的用戶，可以將它添加到相應(yīng)的組，直接繼承該組權(quán)限。組策略對象由容器和模板兩部分組成。如果將容器用食物來比喻，模板就像調(diào)味料，決定食物是什么味道的。容器一般由組織單位、域、站點等來充當(dāng)，而模板可以是首選項設(shè)置、軟件安裝等。

創(chuàng)建域時，通常會形成兩個默認(rèn)組策略對象，一個是默認(rèn)域策略，一個是默認(rèn)域控制器策略。這兩個組策略配置了域的基本屬性，一般不能被修改。

拿域組策略來說，組策略會對域中的每個計算機(jī)和用戶產(chǎn)生影響。組策略的應(yīng)用效果保存在注冊表中，計算機(jī)通過讀取注冊表來表現(xiàn)組策略內(nèi)容。如果計算機(jī)所屬的域和組織單位等都分別配置了組策略，它將根據(jù)優(yōu)先級從小到大地應(yīng)用。通常的優(yōu)先級順序是：本地組策略——站點組策略——域組策略——組織單位組策略，如果有沖突，則以最高優(yōu)先級為準(zhǔn)。集中策略配置為管理員省去了不少麻煩，幫助企業(yè)提高了整體工作效率。

網(wǎng)絡(luò)安全

同時，AD域在發(fā)展得越來越適應(yīng)企業(yè)管理需求時，也面臨著更多針對它的獨特攻擊手法。在大量應(yīng)用AD域的基礎(chǔ)上，我們也應(yīng)當(dāng)注重其安全防護(hù)建設(shè)。

在AD域的安全管理兩篇科普文章中，我們分別為大家介紹了域的形成和架構(gòu)、AD域服務(wù)的功能。不知道大家覺得如何呢？如果想了解其他AD域的拓展內(nèi)容，請給我們留言，我們會持續(xù)不斷地為大家提供更多的AD域知識與支持。

隨著windows系統(tǒng)在國內(nèi)企業(yè)的普遍應(yīng)用，AD域也成了目前企業(yè)用來管理員工日常工作的重要工具。但由于其自身的管理功能不完善，企業(yè)IT管理員在進(jìn)行域內(nèi)相關(guān)事件處理時并不方便。因此提高AD域管理效率已經(jīng)成為企業(yè)IT管理員的重要訴求。

AD域管理過程中經(jīng)常會遇到批量事件處理需求，其中包括：用戶的批量創(chuàng)建，密碼的批量修改，用戶信息的批量上傳等等。遇到此類事件，通過其自身的管理功能，管理員只能逐一對其進(jìn)行處理，導(dǎo)致該類事件被大量積壓。

卓豪AD域管理工具

ADManager Plus是目前功能最全面的AD域管理工具之一，尤其在批量事件處理方面能夠給IT管理員帶來巨大幫助，它通過CSV文件和自定義模板進(jìn)行批量管理操作，極大的節(jié)省了IT管理員處理此類事件的時間，對AD域管理效率提升具有重要意義。不僅如此，ADManager Plus還具有許多其他功能，能夠完全滿足企業(yè)日常的所有AD管理需求。

AD域管理作為企業(yè)IT管理工作的重要組成部分，對企業(yè)正常運行有重要意義。提升員工IT技能往往需要企業(yè)付出大量成本，而且仍然很難在短期實現(xiàn)，因此，未來的企業(yè)AD域管理將更多依靠于工具。ADManager Plus將更多的被應(yīng)用于企業(yè)AD管理工作中，它極大的優(yōu)化了以往的AD域管理模式，對企業(yè)健康發(fā)展具有至關(guān)重要的意義。

結(jié)語

本文我們探討了AD域的資源管理、身份驗證和策略配置等功能屬性，此基礎(chǔ)上，更多特性等著我們在企業(yè)應(yīng)用實踐中一一探索。