項目7 配置活動目錄的對象和信任

WindowsServer活動目錄企業(yè)應用（微課版）項目7配置活動目錄對象和信任楊云主編項目背景ActiveDirectory域服務相關知識在初始部署ActiveDirectory域服務（ADDS）后，ADDS管理員最常見的任務是配置和管理ADDS對象。大多數(shù)公司會給每位員工分配一個用戶賬戶，并把用戶賬戶添加到ADDS中的一個或多個組中。用戶賬戶和組賬戶用于訪問基于WindowsServer的網(wǎng)絡資源，如網(wǎng)站、郵箱和共享文件夾。此外管理員還要配置和管理ActiveDirectory信任。兩個域之間具備信任關系后，雙方的用戶便可以訪問對方域內(nèi)的資源并利用對方域的成員計算機登錄。。項目目標委派對ADDS對象的管理訪問權限ActiveDirectory域服務相關知識域與林信任概述建立快捷方式信任建立林信任稱ActiveDirectory域服務相關知識7.1委派對ADDS對象的管理訪問權7.1.1ActiveDirectory對象權限ActiveDirectory對象權限允許用戶控制哪些管理員或用戶可訪問單個對象或?qū)ο髮傩?，以及控制他們的訪問權類型，從而達到保護資源的目的。用戶使用權限來分配對組織單位或組織單位層次結構的管理特權，以便管理ActiveDirectory對象。ActiveDirectory域服務相關知識1．標準和特殊權限用戶可以使用標準權限來配置大多數(shù)ActiveDirectory對象權限任務。標準權限最為常用。但是，如果需要授予更細致的權限級別，那么就要用到特殊權限。特殊權限允許對特定的一類對象或者某個對象類的各個屬性設置權限。例如，用戶可以授予某個用戶對容器中的組對象類的完全控制權限，只授予用戶修改容器中的組成員身份的能力，或者只授予用戶更改所有用戶賬戶的單個屬性（如電話號碼）所需要的權限。ActiveDirectory域服務相關知識2．配置權限配置權限時，可使用以下選項，如表7-1所示。表7-1配置權限使用的選項ActiveDirectory域服務相關知識3．繼承權限一般而言，當在父對象上設置了權限時，該容器中的對象將繼承父級的權限。例如，如果在OU級別分配權限，那么默認情況下，該OU中的對象將繼承所有這些權限。可以修改或刪除繼承的權限。但是在將權限顯式分配給子對象時，必須首先打破權限繼承，然后再分配所需的權限。ActiveDirectory域服務相關知識WindowsServer2012中的權限繼承在以下方面簡化了管理權限的任務：在創(chuàng)建子對象時，無需手動將權限應用到子對象。應用于父對象的權限統(tǒng)一應用于所有子對象。若要修改容器中所有對象的權限，則只需要修改父對象的權限。子對象自動繼承更改。ActiveDirectory域服務相關知識7.1.2有效權限“有效權限”工具可幫助確定對ActiveDirectory對象的權限。該工具計算授予指定用戶或組的權限，并計入實際從組成員身份獲得的權限，以及從父對象繼承的任何權限。1．有效權限特點ActiveDirectory對象的有效權限有以下特點：累積權限是授予用戶賬戶和組賬戶的ActiveDirectory權限的組合。拒絕權限覆蓋同級的繼承權限。顯式分配的權限優(yōu)先。在對象類或?qū)傩陨显O置的顯式“允許”權限將覆蓋繼承的“拒絕”權限。ActiveDirectory域服務相關知識對象所有者總是可以更改權限。所有者控制如何在對象上設置權限以及將權限授予何人。創(chuàng)建ActiveDirectory對象的人就是其所有者。Administrators組擁有在安裝ActiveDirectory期間創(chuàng)建的，或者由內(nèi)置Administrators組的任何成員創(chuàng)建的對象。所有者總是可以更改對象的權限，即便是所有者對該對象的所有訪問權都被拒絕。ActiveDirectory域服務相關知識2．檢索有效權限為了檢索有關ADDS中的有效權限的信息，可以使用“有效權限”工具。如果指定的用戶或組是域?qū)ο?，那么必須有權讀取該對象在域中的成員身份信息。在計算有效權限時，不能使用特殊標識。這意味著，如果將權限分配給任何特殊標識，那么它們將不會包含在有效權限列表中。ActiveDirectory域服務相關知識7.1.3控制委派控制委派是將ActiveDirectory對象的管理職責分配給另一個用戶或組的能力（如圖7-1所示）。圖7-1控制委派ActiveDirectory域服務相關知識委派管理將日常管理任務分攤給多個用戶，從而減輕網(wǎng)絡管理工作的管理負擔。利用委派管理，可以將基本管理任務分配給普通用戶或組。例如，可以給部門主管分配修改其部門組成員身份的權力。通過委派管理，可以賦予公司中的組對其本地網(wǎng)絡資源的更多控制權。通過限制管理員組的成員，還可以幫助保護網(wǎng)絡，使其免受意外或惡意破壞。ActiveDirectory域服務相關知識可以按照以下4種方式定義管理控制的委派：授予創(chuàng)建或修改某個組織單位中的所有對象，或者域中的所有對象的權限。授予創(chuàng)建或修改某個組織單位中的所有對象，或者域級別的某些類型的對象的權限。授予創(chuàng)建或修改某個組織單位中的所有對象，或者域級別的某個對象的權限。授予修改某個組織單位中的所有對象，或者域級別的某個對象的某些屬性的權限（如授予重置用戶賬戶密碼的權限）。ActiveDirectory域服務相關知識委派管理權限的主要益處之一是可以授予用戶在ADDS中的有限范圍內(nèi)執(zhí)行特定任務，而無需授予他們?nèi)魏胃鼘挿旱墓芾頇嘞蕖？梢詫⑽蓹嘞薜姆秶拗茷槟硞€OU，或者限制為某個對象，甚至是對象的某個屬性。在只有一個管理員團隊負責所有管理任務的小型公司中，可能不會選擇控制委派。但是，很多公司可能會找到某種方法來委派對某些任務的控制。通常，這是在部門OU級別或者在分支機構OU級別實現(xiàn)的。ActiveDirectory域服務相關知識7.2配置ADDS信任采用ADDS的很多公司將只部署一個域，但是，大型公司，或者需要允許訪問其他公司或其他業(yè)務單位資源的公司，可能需要在同一個ActiveDirectory林或者一個單獨的林中部署多個域。對于在域間訪問資源的用戶，必須為域或林配置信任。本節(jié)描述如何在ActiveDirectory環(huán)境中配置和管理信任。ActiveDirectory域服務相關知識圖7-2ADDS信任的特點7.2.1ADDS信任信任允許安全主體將其憑據(jù)從一個域傳到另一個域，并且是允許域間資源訪問所必需的。配置了域間信任后，用戶可以在自己的域中進行身份驗證，然后他們的安全憑據(jù)可用于訪問其他域中的資源。其特點如圖7-2所示。ActiveDirectory域服務相關知識7.2.2ADDS信任選項圖7-3表示了所有的信任選項。表7-2描述了WindowsServer2012支持的信任。圖7-3ADDS信任選項ActiveDirectory域服務相關知識表7-2ADDS信任類型ActiveDirectory域服務相關知識1．受信任域?qū)ο笤谠O置同林內(nèi)的域之間、跨林的域之間，以及與外部領域之間的信任時，有關這些信任的信息存儲在ADDS中，這樣就能在需要時檢索這些信息（如圖7-4所示）。受信任域?qū)ο螅═DO）存儲著這些信息。圖7-4信任在林中的工作方式ActiveDirectory域服務相關知識TDO存儲有關信任的信息，如信任可傳遞性和類型。每當創(chuàng)建信任時，將同時創(chuàng)建新的TDO，并存儲在該信任的域中的System容器中。2．信任如何使用戶能訪問林中的資源當用戶嘗試訪問另一個域中的資源時，Kerberos身份驗證協(xié)議必須確定信任域是否與被信任域之間有信任關系。為了確定此關系，Kerberos版本5協(xié)議遍歷信任路徑（利用TDO獲得對目標域的域控制器的引用）。目標域控制器為被請求的服務發(fā)出一個服務票證。信任路徑是信任層次結構中的最短路徑。ActiveDirectory域服務相關知識當受信任域中的用戶嘗試訪問其他域中的資源時，該用戶的計算機首先聯(lián)系自己域中的域控制器，以向資源驗證身份。如果資源不在該用戶的域中，那么域控制器將使用與其父級的信任關系，并將該用戶的計算機引向其父域中的域控制器。這種查找資源的嘗試將沿著信任層次結構向上連續(xù)進行，有可能直到林根域，然后沿著信任層次結構向下，直至聯(lián)系到資源所在域中的域控制器。ActiveDirectory域服務相關知識7.2.4信任在林間的工作方式WindowsServer2012支持跨林信任，這種信任允許一個林中的用戶訪問另一個林中的資源。當用戶嘗試訪問受信任林中的資源對，ADDS必須首先找到資源，然后才可驗證用戶身份，并允許用戶訪問資源。以下是Windows7.1客戶端計算機如何查找并訪問含有WindowsServer2012服務器的另一個林中的資源的描述（如圖7-5所示）。ActiveDirectory域服務相關知識ActiveDirectory域服務相關知識①登錄到BEIJING.L域的用戶試圖訪問S林中的某個共享文件夾。該用戶的計算機聯(lián)系BEIJING.L中的域控制器，并使用資源所在的計算機的服務主體名（SPN）請求服務票證。SPN可以是主機或域的DNS名稱，也可以是服務連接點對象的可分辨名稱。②資源不在BEIJING.L中，因此BEIJING.L的域控制器查詢?nèi)志庝?，以了解資源是否位于林中的另一個域內(nèi)。由于全局編錄只包含有關其自己的林的信息，因此找不到對應的SPN。全局編錄然后檢查其數(shù)據(jù)庫，以查找有關與它的林之間建立的任何林信任的信息。如果全局編錄找到林信任，那么它將把林信任TDO中列出的名稱后綴與目標SPN的后綴進行比較。找到匹配項后，全局編錄提供有關如何從BEIJING.L中的域控制器定位到該資源的路由信息。ActiveDirectory域服務相關知識③BEIJING.L的域控制器將對其父域L的引用發(fā)送給用戶的計算機。④用戶計算機聯(lián)系L中的域控制器，以獲得對S林的根域域控制器的引用。⑤用戶計算機使用L域中的域控制器返回的引用，聯(lián)系S中的域控制器，以獲得對被請求服務的服務票證。⑥資源不在S林的林根域中，因此域控制器聯(lián)系其全局編錄以查找SPN。全局編錄找到該SPN的匹配項，然后將其發(fā)送給域控制器。ActiveDirectory域服務相關知識⑧用戶計算機聯(lián)系J域控制器上的密鑰發(fā)行中心（KDC），并通過協(xié)商獲得允許用戶訪問J域中的資源的票證。⑨用戶計算機將服務器服務票證發(fā)送給共享資源所在的計算機，該計算機讀取用戶的安全憑據(jù)，然后構造訪問令牌，令牌給予用戶對資源的訪問權。ActiveDirectory域服務相關知識7.2.5用戶主體名稱用戶主體名稱（UPN）是僅在登錄到WindowsServer2012網(wǎng)絡時使用的登錄名。其主要特點如圖7-6所示。圖7-6用戶主體名稱ActiveDirectory域服務相關知識UPN有兩個部分，它們由@待號分隔，例如suzan@。用戶主體名稱前綴，如上例中的suzan。用戶主體名稱后綴，如上例中的。默認情況下，后綴是創(chuàng)建該用戶賬戶的域名?？梢允褂镁W(wǎng)絡中的其他域，或者創(chuàng)建附加后綴為用戶配置其他后綴。例如，可能需要配置后綴來創(chuàng)建與用戶的電子郵件地址匹配的用戶登錄名。ActiveDirectory域服務相關知識使用UPN具備以下優(yōu)點：用戶可使用其UPN登錄到林中的任何域。UPN可與用戶的電子郵件名稱相同，因為UPN的格式與標準電子郵件地址的格式相同。ActiveDirectory域服務相關知識名稱后綴路由是提供跨林名稱解析的機制：當兩個WindowsServer2012林通過林信任連接時，名稱后綴路由自動啟用。例如，如果在L林和S林之間配置了林信任，那么在L林中有賬戶的用戶可使用其UPN來登錄到S林中的計算機。身份驗證請求將自動路由到L林中的相應域控制器。但是，如果兩個林有相同的UPN后綴，那么當用戶登錄另一個林中的計算機時，用戶將無法使用附帶該后綴的UPN名稱。如果L和S組織都使用R作為UPN后綴，那么用戶將無法使用此后綴在對方的林中登錄。ActiveDirectory域服務相關知識在配置林信任時，可確定UPN名稱后綴路由錯誤。如果多個林共有同一個UPN后綴，那么在嘗試配置信任時，“新建信任向?qū)А睂z測并顯示兩個UPN名稱后綴之間的沖突。ActiveDirectory域服務相關知識7.2.6選擇性身份驗證設置在WindowsServer2012林中限制跨信任身份驗證的另一個選項是選擇性身份驗證。利用選擇性身份驗證，可以限制林中的哪些計算機可由另一個林中的用戶訪問。其特點如圖7-7所示。圖7-7選擇性身份驗證設置ActiveDirectory域服務相關知識1．選擇