一個(gè)域描述了一組用戶、系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)服務(wù)器和其他任何資源，這些資源都受到一組共同的管理規(guī)則的控制。通常，一個(gè)域還包括一個(gè)物理空間，比如一個(gè)辦公室或多個(gè)辦公室。如果你在域內(nèi)，你就處于一個(gè)理論上安全和可信的空間。如果在外面，你就是不可信的，所以域?qū)嶋H上就像是你的城堡，周圍有護(hù)城河。

域控制器（Domain Controller，DC）是一臺(tái)服務(wù)器，管理網(wǎng)絡(luò)和身份安全，有效地充當(dāng)用戶驗(yàn)證和授權(quán)進(jìn)入域內(nèi) IT 資源的門衛(wèi)。域控制器在微軟目錄服務(wù)術(shù)語(yǔ)中尤其重要，作為驗(yàn)證 Windows 用戶身份的主要方式，以便讓他們?cè)L問(wèn) Windows 系統(tǒng)、應(yīng)用程序、文件服務(wù)器和網(wǎng)絡(luò)。它們還托管 Active Directory 服務(wù)。

Windows 系統(tǒng)在企業(yè)解決方案中的流行，使域控制器成為網(wǎng)絡(luò)架構(gòu)中的常見(jiàn)術(shù)語(yǔ)。然而，最近的趨勢(shì)已經(jīng)使它們的使用過(guò)時(shí)了，特別是對(duì)于非 Windows 系統(tǒng)。如今的域控制器不符合中小型企業(yè)（SME）的要求。這導(dǎo)致許多企業(yè)尋求替代的云身份和訪問(wèn)管理（IAM）解決方案以及適用于 Windows 之外系統(tǒng)的設(shè)備管理。無(wú)域企業(yè)通過(guò)基于云的基礎(chǔ)設(shè)施實(shí)現(xiàn)了域控制器為 Windows 網(wǎng)絡(luò)所做的事情。它將身份視為邊界，將設(shè)備視為資源的網(wǎng)關(guān)。

然而，域控制器仍然是中小型企業(yè)的基礎(chǔ)技術(shù)，并且可以通過(guò)云目錄進(jìn)行擴(kuò)展和改進(jìn)，包括 NingDS 的開(kāi)放式目錄平臺(tái)。本文深入介紹了域控制器的工作原理以及如何使用它們。

01 域控制器簡(jiǎn)介

域控制器的概念最初是由微軟引入的，用于管理基于 Windows NT 的網(wǎng)絡(luò)。它為 IT 管理員提供了一種控制域內(nèi)資源訪問(wèn)的方式，也就是企業(yè)的用戶和 IT 資源。在這種環(huán)境下，所有用戶請(qǐng)求都被發(fā)送到域控制器進(jìn)行身份驗(yàn)證和授權(quán)。然后，域控制器通過(guò)驗(yàn)證用戶名和密碼來(lái)驗(yàn)證用戶身份，并相應(yīng)地授權(quán)訪問(wèn)請(qǐng)求。Windows Server 多年來(lái)已經(jīng)發(fā)展了許多新功能，以支持現(xiàn)代托管范例和部署選項(xiàng)。隨后的發(fā)布版本添加了額外的服務(wù)器角色，并可以跟上更新的硬件、身份驗(yàn)證協(xié)議、報(bào)告、管理和安全要求。

02 域控制器的作用是什么？

域控制器繼續(xù)執(zhí)行網(wǎng)絡(luò)資源的權(quán)限和安全策略，同時(shí)確保網(wǎng)絡(luò)的總體安全性和可靠性。隨后，微軟的Active Directory（AD）的加入使網(wǎng)絡(luò)管理員能夠從一個(gè)集中的位置管理基于 Windows 的網(wǎng)絡(luò)的用戶帳戶和權(quán)限。AD 設(shè)置諸如密碼復(fù)雜性要求或帳戶鎖定等策略，也可以將數(shù)據(jù)和用戶信息復(fù)制到網(wǎng)絡(luò)上的其他域，無(wú)論是在本地還是在其他位置。

在過(guò)去的二十多年里，AD 一直在許多企業(yè)中發(fā)揮著至關(guān)重要的作用。域控制器對(duì)于現(xiàn)代企業(yè)仍然是相關(guān)的，但是如果沒(méi)有包含云服務(wù)來(lái)聯(lián)合身份和管理所有設(shè)備平臺(tái)，就會(huì)將用戶鎖定在 Windows 網(wǎng)絡(luò)中。

03 如何在域控制器上設(shè)置活動(dòng)目錄？

首先，我們來(lái)探討一下 AD 的組成部分?；顒?dòng)目錄由四個(gè)基本服務(wù)組成，這些服務(wù)在域控制器上運(yùn)行，使其能夠提供身份和訪問(wèn)管理：

● 活動(dòng)目錄域服務(wù)（AD DS）。這是活動(dòng)目錄協(xié)議中的主要服務(wù)。除了存儲(chǔ)目錄信息外，它還控制哪些用戶可以訪問(wèn)每個(gè)企業(yè)資源和組策略。AD DS 使用分層結(jié)構(gòu)，包括域、樹(shù)和森林，以協(xié)調(diào)網(wǎng)絡(luò)資源。

● 活動(dòng)目錄輕量級(jí)目錄服務(wù)（AD LDS）。它與 AD DS 共享相同的代碼庫(kù)和功能。但是，與 AD DS 不同，AD LDS 使用輕量級(jí)目錄訪問(wèn)協(xié)議（LDAP），允許在同一服務(wù)器上運(yùn)行多個(gè)實(shí)例。

● 活動(dòng)目錄聯(lián)合服務(wù)（AD FS）。如其名稱所示，AD FS 是一種聯(lián)合身份服務(wù)，提供單點(diǎn)登錄（SSO）功能。它使用許多流行的協(xié)議，如 OAuth、OpenID 和安全斷言標(biāo)記語(yǔ)言（SAML），在不同的身份提供者之間傳遞憑據(jù)。

● 活動(dòng)目錄證書服務(wù)（AD CS）。這是一個(gè)創(chuàng)建本地公鑰基礎(chǔ)設(shè)施（PKI）的服務(wù)，使企業(yè)能夠創(chuàng)建、驗(yàn)證和撤銷內(nèi)部使用的證書。

按照以下步驟設(shè)置AD：

● 安裝 Windows Server：指定一個(gè) Windows Server 實(shí)例作為您的主域控制器。專用一個(gè)滿足運(yùn)行 Windows Server 的最低硬件要求的虛擬化平臺(tái)或服務(wù)器，并留出擴(kuò)展空間。

如果您正在構(gòu)建以 DC 為核心的基礎(chǔ)架構(gòu)，則很可能需要額外的服務(wù)器實(shí)例和角色。微軟修改了其許可制度，使其在每個(gè)核心的基礎(chǔ)上運(yùn)行（更不用說(shuō)您需要的每個(gè)其他客戶端訪問(wèn)許可（CAL）了）。記住這些額外成本，因?yàn)榉?wù)器核心許可可能比你意識(shí)到的要更昂貴。

● 安裝活動(dòng)目錄域服務(wù)：使用服務(wù)器管理器或 PowerShell 安裝 AD DS。制定備份的應(yīng)急計(jì)劃，并解決如果你的 DC 崩潰會(huì)發(fā)生什么的問(wèn)題。

● 將服務(wù)器晉升為域控制器：接下來(lái)，你需要將服務(wù)器晉升為域控制器?；顒?dòng)目錄域服務(wù)安裝向?qū)f(xié)助指定網(wǎng)絡(luò)的適當(dāng)設(shè)置。

● 配置活動(dòng)目錄：根據(jù)你的網(wǎng)絡(luò)要求配置活動(dòng)目錄。這涉及創(chuàng)建組織單位、用戶、組和其他網(wǎng)絡(luò)組件。滿足現(xiàn)代安全標(biāo)準(zhǔn)可能是一個(gè)復(fù)雜的過(guò)程，只有了解其中風(fēng)險(xiǎn)的經(jīng)驗(yàn)豐富的管理員才能嘗試。

● 配置DNS：活動(dòng)目錄在名稱解析方面嚴(yán)重依賴 DNS（域名系統(tǒng)）。正確配置 DNS 以確?；顒?dòng)目錄正常運(yùn)行。至少有兩個(gè)內(nèi)部 DNS 服務(wù)器，并考慮使用活動(dòng)目錄集成區(qū)域。這可以提高可靠性、性能，并且 DNS 服務(wù)器將拒絕未經(jīng)授權(quán)的主機(jī)請(qǐng)求。

● 配置組策略：最后，配置組策略，它允許你跨網(wǎng)絡(luò)管理和強(qiáng)制執(zhí)行策略。組策略設(shè)置可以應(yīng)用于域、站點(diǎn)或組織單元級(jí)別。默認(rèn)的 UI 可能會(huì)具有挑戰(zhàn)性和繁瑣性。GPO 模板使 Windows 更容易實(shí)現(xiàn)強(qiáng)安全姿態(tài)，如 CIS 基準(zhǔn)測(cè)試。

04 域控制器和DNS服務(wù)器是相同的嗎？

域控制器作為主機(jī)訪問(wèn)域資源的門衛(wèi)，并使用 Kerberos 和（或）NTLM 對(duì)進(jìn)入域的用戶/設(shè)備進(jìn)行身份驗(yàn)證。它是執(zhí)行策略和托管 AD 的地方。域名系統(tǒng)（DNS）協(xié)議將 IP 地址轉(zhuǎn)換為 URL，幫助用戶瀏覽網(wǎng)絡(luò)。DNS 服務(wù)器將嚴(yán)格提供 DNS 服務(wù)。

05 其他域控制器實(shí)現(xiàn)選項(xiàng)

以下部署選項(xiàng)可以幫助管理員節(jié)省費(fèi)用并滿足其要求。

● 全局目錄 (GC)：GC 是非官方的靈活的單主操作(FSMO)角色和 AD 特性，可提供跨所有林域的任何對(duì)象的信息。選擇的屬性會(huì)被復(fù)制到 GC 服務(wù)器，這使管理員可以獲取必要的信息。

● 只讀域控制器（RODC）：當(dāng)IT資源有限時(shí)，RODC 是在分支機(jī)構(gòu)托管 Active Directory 只讀副本的選項(xiàng)。它是在企業(yè)的每個(gè)分支機(jī)構(gòu)建立安全數(shù)據(jù)中心設(shè)施的經(jīng)濟(jì)替代方案。身份驗(yàn)證請(qǐng)求發(fā)送到 RODC，而不是通過(guò) WAN 鏈路，以提高安全性。RODC 服務(wù)器僅保存有關(guān) DC 的有限數(shù)據(jù)，憑據(jù)緩存由策略定義。本地管理員可以進(jìn)行更改，而不會(huì)影響總部的主要 DC。

● 目錄服務(wù)還原模式（DSRM）：DSRM 是一種特殊的啟動(dòng)模式，可幫助管理員恢復(fù)AD數(shù)據(jù)庫(kù)并還原系統(tǒng)狀態(tài)。這類似于 Windows 中的“安全模式”概念。黑客有時(shí)使用滲透測(cè)試工具，如 Mimikatz，激活并捕獲本地 DSRM 管理員憑據(jù)。他們可以使用本地管理員帳戶獲得遠(yuǎn)程訪問(wèn)。

06 域控制器設(shè)置和最佳實(shí)踐

攻擊者使用多種常見(jiàn)方法來(lái)提升特權(quán)并創(chuàng)建持久性。以下步驟考慮了這些方法，并有助于防止發(fā)生違規(guī)行為：

√ 禁用默認(rèn)管理員用戶。這是主要攻擊途徑之一。

√ 限制域管理員權(quán)限的使用。不要以管理員用戶身份運(yùn)行，并考慮基于時(shí)間的特權(quán)提升。在安裝 AD 時(shí)，可以通過(guò)實(shí)施身份驗(yàn)證策略隔離來(lái)使管理帳戶處于與其他用戶不同的單獨(dú)的林中。此配置可能需要外部專家、培訓(xùn)和附加工具來(lái)實(shí)現(xiàn)。規(guī)劃設(shè)計(jì)和配置，并實(shí)施監(jiān)控和日志記錄極其重要。

√ 實(shí)施新的 AD 增強(qiáng)功能，例如受保護(hù)的組、受限的 RDP、基于時(shí)間的組成員身份和測(cè)試?？紤]使用入侵檢測(cè)系統(tǒng)，因?yàn)?AD 包含了所有“王國(guó)的鑰匙”。

√ 使用不同的服務(wù)器來(lái)訪問(wèn) RDP 和 MMC。作者遇到了一個(gè)直接在其上托管 RDP 角色服務(wù)的DC，導(dǎo)致不得不重新規(guī)劃和配置，從而保證 DC 環(huán)境的“干凈”。

√ 在 DC 上安裝第三方應(yīng)用程序時(shí)，請(qǐng)謹(jǐn)慎并信任供應(yīng)商。

√ 通過(guò)網(wǎng)絡(luò)過(guò)濾限制對(duì) DC 的互聯(lián)網(wǎng)訪問(wèn)，并考慮采用深度防御方法。微軟建議使用 Defender for Identity（身份防御器），這需要部署傳感器并獲取許可。這是一個(gè)獨(dú)立的訂閱，也包含在高級(jí) SKU 中，包括 Enterprise Mobility + Security 5 suite （EMS E5）。

√ 管理員應(yīng)建立一個(gè)程序來(lái)加固 DC，補(bǔ)丁和修復(fù)，并維持一個(gè)適當(dāng)?shù)陌踩€。例如，防止從 DC 上瀏覽網(wǎng)頁(yè)。微軟建議采取以上行動(dòng)來(lái)保護(hù) DC 免受攻擊。

√ 使用本地管理員密碼解決方案（LAPS）來(lái)管理加入域的計(jì)算機(jī)上的本地管理員密碼。它可以隨機(jī)分配本地管理員的密碼。

07 為什么域控制器很重要？

域控制器可以通過(guò)目錄服務(wù)來(lái)確保對(duì)本地域身份和資源的管理和授權(quán)，并防止對(duì)資源未經(jīng)授權(quán)的訪問(wèn)。它們還可以擴(kuò)展以便支持大型和復(fù)雜的網(wǎng)絡(luò)及定制的目錄要求。

08 域控制器的好處是什么？

域控制器實(shí)現(xiàn)了對(duì)本地域用戶生命周期集中管理。它們可以幫助將 Windows 應(yīng)用程序部署到用戶組中，同時(shí)為文件和程序配置一些安全策略。Windows 域控制器是一種成熟的技術(shù)，得到了廣泛的支持，它可以通過(guò)第三方解決方案進(jìn)行擴(kuò)展，并可用于將身份聯(lián)合到云端。

09 域控制器的局限性是什么？

域控制器不提供開(kāi)箱即用的高可用性或最佳安全實(shí)踐。企業(yè)可能需要在不同的物理位置部署多個(gè)域控制器，以確保沒(méi)有單點(diǎn)故障。域控制器上的負(fù)載也會(huì)隨著環(huán)境的增長(zhǎng)而增加，這可能會(huì)影響依賴于它的應(yīng)用程序和網(wǎng)絡(luò)服務(wù)的性能。針對(duì)這一點(diǎn)可能需要額外的硬件資源或?qū)A(chǔ)設(shè)施進(jìn)行修改來(lái)解決。

這樣就增加了數(shù)據(jù)中心維護(hù)超出標(biāo)準(zhǔn)配置和補(bǔ)丁的開(kāi)銷。新的服務(wù)器需要擴(kuò)展基礎(chǔ)設(shè)施和安全性，并且需要一些專業(yè)知識(shí)和技能才能正確完成。這就增加了培訓(xùn)和人員配置的成本。域控制器將需要仔細(xì)的規(guī)劃、管理和監(jiān)控。

您的域控制器將始終處于零日 Windows 漏洞的風(fēng)險(xiǎn)之中。保持警惕和細(xì)致的授權(quán)管理至關(guān)重要。

啟用遠(yuǎn)程工作也可能是一個(gè)挑戰(zhàn)。以 AD 為中心的 IT 團(tuán)隊(duì)必須通過(guò) VPN 或替代方案（包括軟件定義的 WAN（SD-WAN）和安全訪問(wèn)服務(wù)邊緣（SASE））將遠(yuǎn)程用戶連接到他們的局域網(wǎng)中。否則，面向特定目的的云服務(wù)可以更輕松地管理遠(yuǎn)程端點(diǎn)和身份，而不需要更多的基礎(chǔ)設(shè)施和開(kāi)銷。此外，也不可能將單點(diǎn)登錄（SSO）擴(kuò)展到 Web 應(yīng)用，沒(méi)有多因素身份驗(yàn)證（MFA），也沒(méi)有針對(duì)特權(quán)用戶的條件訪問(wèn)規(guī)則，除非使用附加的云或軟件解決方案。

10 現(xiàn)代域控制器

NingDS 的開(kāi)放目錄平臺(tái)是一種云目錄服務(wù)，通過(guò)將 IAM 和設(shè)備管理轉(zhuǎn)移到云端，消除了對(duì)本地域控制器的需求。它能夠?qū)⒂脩暨B接到他們所需的任何 IT 資源，而不考慮平臺(tái)、協(xié)議、提供者和位置。所有安全身份驗(yàn)證仍會(huì)進(jìn)行，但無(wú)需管理服務(wù)器。您可以保留 AD 并使用除 Azure AD 和 Intune 以外的云服務(wù)進(jìn)行單點(diǎn)登錄 (SSO) 和移動(dòng)設(shè)備管理 (MDM) 來(lái)管理整個(gè)“車隊(duì)”。

云交付降低了基礎(chǔ)設(shè)施成本，簡(jiǎn)化了部署，并最大化您已有的資源。此外，基于屬性的訪問(wèn)控制和 HR 系統(tǒng)集成可以實(shí)現(xiàn)高級(jí)用戶生命周期管理場(chǎng)景，以降低總體管理開(kāi)銷。這些都是 NingDS 自帶的能力（同步器模塊）。

11 開(kāi)放目錄中的域控制器

NingDS 是一個(gè)開(kāi)放目錄平臺(tái)，它統(tǒng)一了身份、訪問(wèn)和設(shè)備管理功能。它可以擴(kuò)展 AD 和免費(fèi)版本的 AAD，以更低的總擁有成本實(shí)現(xiàn)更多功能。NingDS 可以通過(guò)生物識(shí)別、數(shù)字證書、密碼或 SSH 密鑰驗(yàn)證用戶身份。NingDS 確保每個(gè)資源都有連接到它的“最佳方法”，包括 LDAP、OIDC、RADIUS 和 SAML。采用 NingDS 后，用戶可以使用一組憑據(jù)訪問(wèn)系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)、文件服務(wù)器和云應(yīng)用程序，且對(duì)企業(yè)整個(gè)環(huán)境都可提供 MFA 多因素認(rèn)證進(jìn)行登錄保護(hù)，并針對(duì)特權(quán)用戶提供可選的條件規(guī)則。不論用戶從任何設(shè)備訪問(wèn)都將獲得安全、無(wú)摩擦的訪問(wèn)體驗(yàn)。