- 企业网络安全建设最佳实践
- 张敬 李江涛 张振峰等编著
- 1915字
- 2021-06-09 16:36:12
第6章 域控及域安全
6.1 概述
6.1.1 工作组和域
Windows Server 有两种网络环境:工作组和域。默认为工作组环境,如图6-1所示。
工作组网络也称为“对等式”网络。因为网络中每台计算机的地位是平等的,并且它们的资源及管理分散在每台计算机上,所以工作组环境的特点就是分散管理。在工作组环境中,每台计算机都有自己的“本机安全账户数据库”,称为SAM 数据库。SAM 数据库是干什么用的呢?平时我们登录计算机时,输入账户和密码,计算机就会去 SAM 数据库验证,如果输入的账户存在SAM 数据库中,则 SAM 数据库会通知系统允许登录。SAM 数据库默认存储在 C:/WINDOWS/system32/config 文件夹中,这便是工作组环境中的登录验证过程。
图6-1 Windows Server的两种网络环境
有这样一种应用场景:某公司有 200 台计算机,我们希望某台计算机上的账户 Bob 可以访问每台计算机内的资源或可以在每台计算机上登录。那么在工作组环境中,我们必须要在这200台计算机的各个SAM数据库中创建Bob账户。一旦Bob想要更换密码,则必须要更改200次。如果该公司有5000台计算机或上万台计算机该怎么办呢?这便是域环境可以简单实现的应用场景。
域网实现的是主-从管理模式,通过一台域控制器集中管理域内用户账户和权限,账户信息保存在域控制器内,共享信息分散在每台计算机中。在域环境下,资源的访问有较严格的管理,至少有一台服务器负责每一台连入网络的计算机和用户的验证工作,像一个单位的门卫一样,这台服务器称为“域控制器(Domain Controller,DC)”。域控制器中包含这个域的账户、密码及属于这个域的计算机等信息构成的数据库。当计算机连入网络时,域控制器首先要鉴别这台计算机是否属于这个域,用户使用的登录账户、密码是否正确。如果以上信息有一样不正确,则域控制器就会拒绝这个用户从这台计算机登录。不能登录,用户就不能访问服务器上有权限保护的资源,从而在一定程度上保护了网络上的资源,而工作组只是进行本地计算机信息与安全的认证。
6.1.2 域管理的好处
域管理的好处有如下几点:
(1)方便管理。权限管理比较集中,管理人员可以较好地管理计算机资源。
(2)安全性高,有利于企业的一些保密资源的管理。比如,一个文件只能让某一个人看,或者指定的人员可以看,但不可以删、改、移等。
(3)方便对用户操作进行权限设置,可以分发、指派软件等,实现网络内的软件一起安装。
(4)使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上统一进行备份、管理,用户的数据更加安全、有保障。
(5)方便用户使用各种资源。
(6)SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装,并能集中管理系统补丁(如 Windows Updates),不需要每台客户端服务器都下载同样的补丁,从而节省了大量网络带宽。
(7)资源共享。用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个与所有已知属性相匹配的对象列表,通过域使得基于一个或多个对象属性来查找一个对象变成可能。
(8)集中管理。域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理员可以登录到一台计算机来管理网络中任何计算机上的管理对象。在Windows NT网络中,当用户一次登录一个域服务器后,就可以访问该域中已经开放的全部资源,而无须对同一域进行多次登录,但在需要共享不同域中的服务时,对每个域都必须登录一次,否则无法访问未登录域服务器中的资源或无法获得未登录域的服务。
(9)可扩展性。在活动目录中,通过将目录组织成几个部分存储信息,从而允许存储大量对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。
(10)安全性。域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,只要用户具有对资源的合适权限,用户可以登录一台计算机来使用网络上另外一台计算机上的资源。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。
(11)可冗余性。每个域控制器保存和维护目录的一个副本。在域中创建的每一个用户账户都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,它们会定期相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(如用户修改了口令),可以迅速地复制到其他域控制器上,从而当一台域控制器出现故障时,用户仍然可以通过其他域控制器进行登录,保障了网络的顺利运行。