AD 活动目录管理

Question

域和活动目录的概念

域和活动目录的价值

• 强制终端计算机及用户的安全策略及桌面/应用环境,并可实现批量和自动部署，减轻 IT 人员日常的管理难度和工作强度
• 域中的各类服务和资源（文件和打印共享等) 的访问控制可以灵活的与企业的层次化组织架构相结合，满足复杂的权限分配等管理需求
• 统一的身份验证手段，可与多种 Windows 应用服务（如 Exchange, Sharepoint 等) 及第三方软件集成，实现单点登录，改善用户在多业务中切换中的操作体验

域中的角色

• DC-域控制器
• 成员服务器
• 终端计算机

域控制器中的 AD 数据库文件

• AD 数据库文件默认保存在 C:\Windows\NTDS 目录
• AD 数据库维护过程中必要时可进行五福启停、文件夹重定向、脱机整理、备份及恢复等操作

域控制器之间的 AD 数据库同步

AD 数据库会定时活在发生改变时自动在 DC 之间相互同步复制，同步复制的频率和时间窗口可以配置和定义

特殊类型的域控制器

RODC

• RODC 保存域控制器中 AD 数据库的只读副本
• 不允许再 RODC 本地对数据库作出更改操作
• RODC 适合部署在没有管理需求的远程分支机构

全局编录服务器 GC

• GC 是一种特殊的域控制器，一个域至少部署一台
• GC 用于多域环境和其它域进行数据同步（但不是同步全部数据，通常需同步的数据仅占 AD 数据库总量的 5% ～ 10%），以优化 Exchange Server 等应用的全局或跨域搜索的效率

域和活动目录规划

多域环境的需求

• 一个域可以包含 100 万个对象，绝大多数企业在技术上只需要一个域
• 出现以下需求情况时可能需要考虑多域的部署：
  • IT 管理政策上需要有分离或独立的 IT 管控边界
  • 公司重组或合并等原因影响到域的变化
  • 域的改造和迁徙需要同时新旧域的并存

多域的分布式架构

• 一个域林中可以包含多个域，一个域中可以包含多个子域
• 父域和子域的命名空间(FQDN 域名后缀) 需保持相同和连续

域和域之间的信任关系

信任关系可实现跨域的身份验证和资源访问

• 如果域之间没有信任关系，每个域中的用户只能访问本域中的资源
• 根据场景不同，部分信任关系是默认存在的，部分是需要手工配置的

站点

• 站点(Site) 是指同一个域内包含特定 IP 子网并与特定域控制器关联的网络
• 部署多个站点的目的是优化站点间 DC 的复制同步，同时使客户端能够和就近的 DC 优先通信，优化登录验证的操作

活动目录的规划

• OU 层次化结构规划
• 用户和计算机命名规范
• 组的规划
• AD 管理权限的规划

活动目录中的对象管理

图形化管理工具

命令行管理工具

DS 系列命令集

dsquery、dsadd、dsmod、dsmove、dsrm 等

PowerShell 系列命令

Get-ADDomain、New-Aduser、Search-ADAccount 等

活动目录中的对象

• 对象(Object)
  • 常见的对象包括：用户、组、计算机等
• 容器(Container)
  • 系统内置，是部分对象的默认逻辑存放位置
  • 不能删除或编辑、无法进一步层次化
• 组织单位(OU)
  • 用户创建，用于自定义对象的逻辑存放位置
  • 支持层次化结构、允许编辑

OU(组织单位) 规划

• 一般需体现企业组织架构或地理特征
• OU 中的对象类型是否混合取决与管理的需要
• OU 的主要作用是控制组策略部署范围和活动目录的管理权限委派

对象类型 1:用户

域用户的登录

域用户名 @域名 （如 tester@abc.com） 域名\域用户名 （如 abc\tester）

查看 SID

get-aduser -Identify [username]

用户单个用户的创建和管理方式

• AD 用户和计算机
• AD 管理中心

批量用户的创建和管理方式

• 服务器内置命令行工具（如 csvde 和 ldifde )
• 编写 Powershell 脚本

对象类型 2：组

组的用途

批量设置用户的 权限 或者 权利

组的分类

• 按是否内置：内置组、自定义组
• 按作用范围：本地组、全局组、通用组

对象类型 3：计算机

计算机被动加域

活动目录中事先未创建计算机账号，加域后计算机账户自动保存在默认的 Computers 容器中

计算机主动加域

活动目录中事先已由管理员在指定的 OU 中创建好计算机账号，加域后将根据对应的计算机名关联实现创建在指定的 OU 中的计算机账号

计算机账户密码/安全通道

• 加入域的计算机与域控制器之间通讯的安全通道(Secure Channel) 建立需要密码，由客户端计算机本地生成后上传到域控制器的活动目录中保存，默认每隔 30 天自动更换该密码
• 如果客户端计算机超过 30 天未能和域控制器通信，则域控制器允许使用之前保存在活动目录中上一次已过期的计算机账户密码维系安全通道，但时间最多不能超过两个密码更新周期（默认最长 60 天)，否则安全通道将被破坏，客户端将自动脱域，导致用户无法登录
• 计算机密码的更新周期和有效性等参数可通过组策略调整

对象的查找和筛选

AD 用户和计算机

AD 管理中心

PS 脚本

AD 管理的权利委派

对 AD 的操作委派可以在 OU 层面配置,以分配对该 OU 内对象的常见管理任务给指定的用户或组，减轻域管理员工作负荷（比如修改部门账的属性,解除帐号锁定,重置账户密码等)

RSAT 工具

RAT(Remote Server Administration Tool) 可配合 AD 权利委派，用于在客户端操作系统上进行 AD 域服务的远程操作（如重置密码，解禁密码等)

组策略的配置

组策略概述

组策略的本质是以更友好的方式修改计算机的注册表，组策略中每一项设置都可以和注册表中的键值对应，以实现对操作系统及应用程序的运行控制 组策略包含本地组策略和域组策略

• 本地组策略: gpedit.msc
• 域组策略：域控制器上使用 组策略工具 配置并下发

通过域组策略有助于规范域内终端的统一管理并减少人员的工作量

组策略的常见用途

• 帐号安全/审计策略
• 开机/关机脚本
• 文件夹重定向
• 部署打印机/共享文件夹映射
• 客户端桌面环境设置
• IE 等微软应用程序参数设置
• 软件自动安装部署
• 限制软件运行
• 防火墙安全设置

组策略的分类

维度一：按配置生效的阶段

• 计算机配置
• 用户配置

维度二：安配置是否可以被更改

• 策略
• 首选项

维度三：按配置内容领域

• Windows 设置
• 管理模板

组策略的配置

系统默认包含两个默认的 GPO

• Default Domain Policy 域级别，影响域中所有的计算机和用户
• Default Domain Controller Policy 容器级别，影响所有域控制器

其它的 GPO 需要自行创建配置和链接

部署的注意事项

• GPO 需要在域控制器上配置，且会通过 AD 的复制机制向其他域控同步
• GPO 创建编辑后只有链接到域或 OU 才能使该组策略生效
• 一条 GPO 可以关联到多个 OU 上，一个 OU 上也可包含多条不同的 GPO
• 删除 GPO 链接并不等于删除 GPO，但删除 GPO 会自动删除相关联的 GPO 链接
• 如需让 GPO 不生效，可以禁用 GPO 的某个链接，也可以整体不启用该 GPO，不一定需要删除 GPO 链接或删除 GPO

组策略的应用范围

• GPO 创建后不能直接应用在计算机、用户或用户组上，而是必须要链接到 AD 活动目录中的容器或 OU 上，或直接运用在整个域级别
• GPO 默认会对域或 OU 下所有计算机/用户生效，如要对应用范围做进一步精确控制，可使用 安全过滤(Security Filtering) 或 WMI 筛选器(WMI Filtering)
• GPO 也可以对默认的应用范围设置个别的排除对象

组策略的生效时间

• 计算机启动时自动获取并生效「计算机配置」条目
• 用户登录时自动获取并生效「用户配置」条目
• 计算机已开机或用户已登录则默认需 90-120 分钟才会生效(90 分钟加 30 分钟随机值，以避免并发高峰，该时间可配)
• 客户端可以通过命令 gpupdate/force 强制获取并刷新组策略
• 部分设置即使应用后也需要重启计算机或用户注销重新登录才能生效

客户端查看当前应用的 GPO：

gpresult /h d:\gporesult.html
gpresult /r

##组策略的处理原则

• 继承原则
  • 启用/禁用继承
• 累加性原则
• 优先原则
  • 子 OU > 父 OU > 域 > 站点 > 本地策略
• 顺序原则
  • 同一个 OU 中多条 GPO 按上下次序
• 其他原则
  • OU 中只有计算机则只应用“计算机配置”
  • OU 中只有用户则只应用优先于“用户配置”
  • OU 中同时有计算机和用户则两类配置都启用（有冲突时计算机配置优先)

组策略的其它操作

组策略的备份与恢复

• 可以备份单条 GPO，也可以备份所有 GPO
• 每次备份会记录时间戳，因此可以基于保存多份历史版本做精确恢复

组策略的存储

域的信任关系

信任关系的概念

• 域是安全边界，如果域之间没有信任关系，每个域中的用户只能访问本域内的资源
• 信任关系在两个域之间架起了一座桥梁（信任路径)，使得域用户帐户可以跨域使用，实现了跨域的身份验证和资源访问
• 信任关系常用的场景包括公司并购、外部合作、活动目录迁徙等
• 根据域类型的不同，有些域之间的信任关系默认存在，有些则需要手工创建

信任关系的方向性

• A 域单向信任 B 域

  • A 域中的资源可以被 B 域访问

• A 域和 B 域双向信任

  • A 域中的资源可以被 B 域访问
  • B 域中的资源可以被 A 域访问

信任关系的传递性

• 信任关系如果是可传递的，则多个可传递的信任关系可以自动串接
• 信任关系如果是不可传递的，则信任链断裂，无法完成信任关系自动串接

林内的信任关系

林间的信任关系

快捷信任

信任关系总结

信任关系的配置

林内的信任关系

父子信任，树根信任均为默认存在，无需手工创建

林间的信任关系

• 森林信任或外部信任需手工创建，配置可以是单向或双向
• 本域需要 DNS 查询能够得到对方域控制器的 SRV 记录（条件转发或辅助区域同步)
• 「信任方」和「被信任方」两边分别配置信任的「内向」和「外向」

信任的安全增强

• 选择性身份认证
• 名称后缀路由

操作主机 FSMO

操作主机概述

• 域控制器之间需要同步 AD 的数据库
  • 大部分的数据同步采用 多主机复制机制
  • 少部分的数据同步采用 单主机复制机制
• 操作主机即用于这类特殊的单主机复制，以满足特殊场景下更高效可控的数据同步

操作主机的角色

默认第一台安装的域控制器承担了所有的角色

操作主机的作用

林级别

域级别

操作主机角色的查看

• 命令行方式

查询所有的 FSMO 角色

netdom query fsmo

• 图形化方式

站点及活动目录复制

站点的概念

域用户登录过程

1. PC 终端向 DNS 查询 DC 的 SRV 记录，获取域内所有 DC 的 IP
2. 根据 DNS 中配置的优先级和权重等因素，返回提供服务的 DC 域控制器的 IP
3. 如果所有 DC 的优先级和权重相同，则返回所有的 DC 的 IP，此时会导致 PC 终端所选择的 DC 控制器会具有一定的随机性 注： 可用 set loginserver 查看当前计算机由哪台 DC 服务

问题与挑战

站点-Site

站点由 IP 子网构成，站点内的节点可以相互高速通信

• 默认情况下所有的域控制器都在一个站点中(Default-first-site-name)
• 部署多个站点的目的是优化站点间 DC 的复制同步，同时使客户端能够和就近的 DC 优先通信，优化登录验证的操作
• 建议根据地理位置和互通带宽的实际情况，定义「域控制器」、「iP 子网」、「站点」三者之间的关系
• IP 终端在登录时会自动根据自身 IP 地址在 DNS 中寻找包含本 IP 子网的站点中的 DC 进行登录

站点内的数据复制

• 同一站点内多个 DC 之间的复制采用多主机复制模式(multimaster replication)

• KCC 算法(Knowledge Consistency Checker) 负责自动计算每台 DC 的复制路径，确保从更新的始发 DC 到最远端的 DC 之间的复制关系不超过 3 跳

• 当一台 DC 发生数据改变后，默认等待 15 秒后，通知「直接复制伙伴」来获取更新，直接复制伙伴在获取更新后，会以相同的方式通知自己的复制伙伴来获取更新，直到站点内所有的 DC 都获取到该更新

• 当更新数据很重要时（如用户账户锁定，密码变动，策略变动等)，不会等待 15 秒的延迟再发通知，而是用单主复制模式的「紧急通知」的方式，立即通知复制伙伴

• 即使没有数据更新，站点内 DC 也会每隔一定时间进行数据同步（默认 1 小时，可配置调整)，也可随时手工触发立即复制

过程

• 站点间 DC 的数据复制机制不会一有变化就立即触发通知，而是按指定频率定时复制（默认小时),且必须在复制计划允许的时间窗口内（比如下班以后);也可在必要时由管理员手工触发立即更新
• 每一个站点内都有一台 DC 作为 站点间拓扑生成器(ISTG) ，负责计算该站点和其他站点之间的最佳复制路径
• ITSG 同时指定站点内的一台 DC 为桥头堡服务器(Bridgehead)，负责域间数据复制的出入口跳板。站点内的 DC 将复制更新统一交给 Bridgehead ，由其负责和其他站点的 Bridgehead 通信复制站点间数据，再进一步复制给对方站点内的其他 DC。

站点链接

• 站点和站点之间复制的逻辑通道，建立站点链接需确保 DC 间的 IP 可达
• 设置站点链接的开销(Cost) 将影响路径的选择，默认的开销为 100，越小越优先

站点与组策略

部署站点后可以将组策略的应用范围配置为对站点内对象生效

复制的监视和排错