用戶身份驗(yàn)證和授權(quán)對(duì)于保護(hù)您的網(wǎng)絡(luò)基礎(chǔ)設(shè)施至關(guān)重要。它確保只有值得信賴的相關(guān)用戶才能訪問(wèn)網(wǎng)絡(luò)。Windows Server 域在邏輯上對(duì)網(wǎng)絡(luò)中的用戶、PC 和其他對(duì)象進(jìn)行分組，而域控制器則對(duì)域資源的訪問(wèn)請(qǐng)求進(jìn)行身份驗(yàn)證。它還存儲(chǔ)有關(guān)用戶帳戶和設(shè)備的信息并執(zhí)行安全策略。了解域控制器在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中的重要作用，并為其設(shè)置容錯(cuò)功能。

域控制器做什么？

每臺(tái)PC都有自己的本地賬號(hào)，但是這些賬號(hào)不能用來(lái)上網(wǎng)。這是因?yàn)?IT 管理員集中配置和管理用戶帳戶更有意義，而不是在每臺(tái) PC 上單獨(dú)配置和管理。此外，未綁定到特定設(shè)備的集中管理用戶帳戶允許用戶從幾乎任何工作站訪問(wèn)網(wǎng)絡(luò)資源。這正是域控制器對(duì)于您組織的 IT 基礎(chǔ)架構(gòu)必不可少的原因。

在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中，域用于對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)和其他設(shè)備進(jìn)行分組以便于管理。在域內(nèi)，域控制器用于對(duì)用戶進(jìn)行身份驗(yàn)證和授權(quán)，并集中存儲(chǔ)帳戶信息，而不是在每臺(tái)計(jì)算機(jī)上單獨(dú)存儲(chǔ)。

域控制器是 Windows Server 域的安全基礎(chǔ)，最初是在 Windows NT（1993 年首次發(fā)布）中引入的。基本上，域控制器是一臺(tái)服務(wù)器計(jì)算機(jī)，就像 Windows Server 域的大腦一樣。它存儲(chǔ)用戶憑據(jù)并控制誰(shuí)可以訪問(wèn)域的資源。每當(dāng)用戶嘗試訪問(wèn)域時(shí)，請(qǐng)求必須通過(guò)域控制器，然后域控制器運(yùn)行登錄過(guò)程以驗(yàn)證用戶。域控制器還根據(jù)用戶角色確定訪問(wèn)權(quán)限，例如普通用戶和系統(tǒng)管理員。它確保不良行為者遠(yuǎn)離，只有授權(quán)用戶才能訪問(wèn)他們控制的域中的相關(guān)資源。

為什么域控制器很重要？

域控制器監(jiān)督域訪問(wèn)中的所有內(nèi)容，防止對(duì)域網(wǎng)絡(luò)進(jìn)行不必要的訪問(wèn)，同時(shí)允許用戶使用所有批準(zhǔn)的目錄服務(wù)。

由于域控制器控制所有網(wǎng)絡(luò)訪問(wèn)，因此使用其他安全功能來(lái)保護(hù)它至關(guān)重要，例如：

• 安全且隔離的網(wǎng)絡(luò)。
• 安全措施和加密用于保護(hù)存儲(chǔ)和傳輸?shù)臄?shù)據(jù)。
• 在控制器上，不允許使用遠(yuǎn)程桌面協(xié)議等不安全協(xié)議。
• 部署在物理限制區(qū)域內(nèi)進(jìn)行。
• 補(bǔ)丁和配置管理快速完成。
• 域控制器對(duì) Internet 的訪問(wèn)受到限制。

由于域控制器處理對(duì)公司計(jì)算資源的所有訪問(wèn)，因此必須構(gòu)建它們以抵御攻擊，然后仍然能夠在逆境中發(fā)揮作用。

什么是活動(dòng)目錄？

Microsoft 在 Windows Server 2000 中引入了用于集中域管理的 Active Directory (AD)。但在 2008 年的 Windows Server 中，Active Directory 還包括其他服務(wù)，例如用于單點(diǎn)登錄的目錄聯(lián)合服務(wù)、用于公鑰加密的安全證書、權(quán)限管理和輕量級(jí)目錄訪問(wèn)協(xié)議 (LDAP)。

本質(zhì)上，Active Directory 是用于管理多個(gè) Windows Server 域的框架，而域控制器是 Active Directory 的關(guān)鍵部分。服務(wù)器運(yùn)行 Active Directory 并根據(jù)存儲(chǔ)在 Active Directory 中的數(shù)據(jù)對(duì)用戶進(jìn)行身份驗(yàn)證。

Active Directory 將信息存儲(chǔ)為組織成林、樹(shù)和域的對(duì)象。每個(gè) AD 林可以有多個(gè)域，域控制器管理這些域之間的信任，以授予用戶從一個(gè)域訪問(wèn)另一個(gè)域的權(quán)限。域之間存在幾種類型的信任：

• 單向信任：一個(gè)域的用戶可以訪問(wèn)另一個(gè)域的資源，反之則不行。
• 雙向信任：一個(gè)域的用戶可以訪問(wèn)另一個(gè)域，反之亦然。
• 傳遞信任：在父域和子域之間自動(dòng)創(chuàng)建的雙向信任關(guān)系。
• 顯式信任：由系統(tǒng)管理員手動(dòng)創(chuàng)建的信任。
• 森林信任：兩個(gè)森林之間的信任。選擇性身份驗(yàn)證也可以在這種類型的信任中實(shí)現(xiàn)。
• 外部信任：屬于不同林的域之間的信任。

系統(tǒng)管理員還可以通過(guò)域控制器設(shè)置安全策略，例如密碼復(fù)雜度。

在 Active Directory 中設(shè)置域控制器

1. 領(lǐng)域評(píng)估
   • 首先，您必須評(píng)估將安裝域控制器的域。這種評(píng)估包括決定需要什么樣的域控制器，它們將安裝在哪里，以及它們將如何與域的現(xiàn)有系統(tǒng)交互。
2. 新增/部署
   • 設(shè)置域控制器位置以及運(yùn)行集中式域控制器和任何虛擬域控制器所需的任何資源，無(wú)論您是計(jì)劃新部署 AD 域控制器還是向現(xiàn)有域添加新控制器。
3. 安全設(shè)計(jì)
   • 保護(hù)域控制器免受內(nèi)部和外部威脅至關(guān)重要。此外，確保域控制器體系結(jié)構(gòu)安全，不會(huì)因網(wǎng)絡(luò)中斷、斷電或任何類型的故障而導(dǎo)致服務(wù)中斷。

域控制器的好處

域控制器的好處包括：

• 支持受保護(hù)的身份驗(yàn)證和傳輸協(xié)議的域控制器提高了身份驗(yàn)證過(guò)程的安全性。
• 域控制器通過(guò)檢查對(duì)文件服務(wù)器和其他網(wǎng)絡(luò)資源的訪問(wèn)，實(shí)現(xiàn)與 Microsoft AD 等目錄服務(wù)的順暢交互。
• 在公司網(wǎng)絡(luò)和廣域網(wǎng)中，復(fù)制和分布式域控制器實(shí)施安全策略并阻止任何不需要的訪問(wèn)。
• 公司可以使用用于域控制器管理的集中式域控制器來(lái)驗(yàn)證所有目錄服務(wù)請(qǐng)求。

為什么我應(yīng)該有一個(gè)輔助域控制器？

域控制器對(duì)用戶進(jìn)行身份驗(yàn)證和授權(quán)，這是網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中的主要安全功能。它具有 Windows Server 域領(lǐng)域的所有密鑰。現(xiàn)在，如果您的域控制器出現(xiàn)故障，您的用戶將無(wú)法驗(yàn)證自己的身份并訪問(wèn)域的任何資源。所有需要 Active Directory 身份驗(yàn)證的應(yīng)用程序、服務(wù)，甚至關(guān)鍵業(yè)務(wù)系統(tǒng)都將無(wú)法訪問(wèn)。互聯(lián)網(wǎng)協(xié)議 (IP) 地址的自動(dòng)指定將失敗，迫使系統(tǒng)管理員恢復(fù)到手動(dòng)分配。

您甚至可能需要從頭開(kāi)始重建整個(gè)服務(wù)器，如果您的公司沒(méi)有既定的備份協(xié)議，這可能需要幾天甚至幾周的時(shí)間。這就是為什么彈性對(duì)于確保業(yè)務(wù)連續(xù)性和最小停機(jī)時(shí)間或無(wú)停機(jī)時(shí)間如此重要的原因。投資輔助域控制器可以在域控制器發(fā)生故障時(shí)大大減少停機(jī)時(shí)間。當(dāng)您的 IT 團(tuán)隊(duì)努力恢復(fù)出現(xiàn)故障的域控制器時(shí)，輔助域控制器將確保您的用戶能夠訪問(wèn)重要的域資源，并確保關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)繼續(xù)運(yùn)行，直到一切恢復(fù)正常。

使用輔助域控制器，您可以避免徹底失敗。在基礎(chǔ)結(jié)構(gòu)級(jí)別進(jìn)行最近的備份可以加快和簡(jiǎn)化主域控制器的恢復(fù)過(guò)程。最初這看起來(lái)像是一個(gè)額外的負(fù)擔(dān)，但它可以節(jié)省您的 IT 團(tuán)隊(duì)在業(yè)務(wù)運(yùn)營(yíng)停止時(shí)在極端壓力下從頭開(kāi)始重建整個(gè)基礎(chǔ)架構(gòu)的時(shí)間和資源。

云目錄服務(wù)如何提供幫助？

以前，IT 基礎(chǔ)架構(gòu)主要基于 Microsoft，因此公司完全依賴 Microsoft 的 Active Directory 進(jìn)行訪問(wèn)管理。但現(xiàn)在，隨著 IT 網(wǎng)絡(luò)越來(lái)越多地轉(zhuǎn)向云，基于云的訪問(wèn)管理選項(xiàng)也應(yīng)運(yùn)而生。云目錄服務(wù)是傳統(tǒng)本地 Active Directory 的調(diào)制解調(diào)器替代品。這些服務(wù)通過(guò)云交付，可用于從頭構(gòu)建身份管理系統(tǒng)或跨云和本地環(huán)境擴(kuò)展您公司的 Active Directory 服務(wù)。

云目錄服務(wù)提供與 Microsoft Active Directory 服務(wù)類似的功能，并增加了云的安全性、可擴(kuò)展性和便利性。對(duì)于在單個(gè)域控制器上運(yùn)行的公司，云目錄服務(wù)（例如 Azure Directory）使得在云中設(shè)置輔助域控制器變得極其簡(jiǎn)單快捷。借助 Azure 云中的輔助域控制器，您的網(wǎng)絡(luò)基礎(chǔ)設(shè)施可以以極低的成本享受業(yè)務(wù)連續(xù)性和彈性。

通過(guò)在 Azure 中設(shè)置輔助域控制器，您的公司可以利用 Azure Active Directory 提供的全面身份和訪問(wèn)管理解決方案。這包括管理用戶和組，以及跨多個(gè)軟件即服務(wù) (SaaS) 應(yīng)用程序?yàn)橛脩籼峁┌踩L問(wèn)。這也可以使您的公司更接近于遵守通用數(shù)據(jù)保護(hù)條例 (GDPR) 和 Cyber?? Essentials。