什么是Active Directory？分步教程

随着网络资源复杂性的增加，目录服务对于管理IT基础架构变得越来越重要。没有目录服务的名称大于 活动目录. 微软的目录服务已被确立为网络管理员的主要工具。在本Active Directory教程中，我们将了解Active Directory是什么，如何使用它以及Active Directory工具（例如SolarWinds Access Rights Manager）。主题包括：

• 什么是活动目录?
• Active Directory会做什么?
• 如何设置活动目录
• 如何使用Active Directory：设置域控制器，创建目录用户
• 要监视的Active Directory事件
• 信任关系（和信任类型）
• Active Directory林和树概述
• Active Directory报告（使用SolarWinds访问权限管理器）

什么是活动目录? 

Active Directory是 目录服务 或在本地网络环境中存储数据对象的容器。该服务将数据记录在 使用者, 设备, 应用领域, 团体, 和 设备 在层次结构中.

数据的结构使得可以从一个位置查找连接到网络的资源的详细信息。本质上，Active Directory就像网络的电话簿一样，因此您可以轻松查找和管理设备.

Active Directory会做什么? 

企业使用目录服务（例如Active Directory）的原因很多。主要原因是方便。 Active Directory使用户可以从一个位置登录并管理各种资源。登录凭据是统一的，因此，无需输入帐户详细信息即可访问每台机器，更易于管理多个设备.

如何设置Active Directory（使用RSAT） 

首先，您需要首先确保您拥有 Windows专业版 要么 Windows企业版 已安装，否则您将无法安装 远程服务器管理工​​具. 然后执行以下操作：

对于Windows 10版本1809：

1. 右键点击 开始 按钮并转到 设定值 > 应用 > 管理可选功能 > 新增功能.
2. 现在选择 RSAT：Active Directory域服务和轻型目录工具.
3. 最后选择 安装 然后去 开始 > Windows管理工具 安装完成后即可访问Active Directory.

对于Windows 8（和Windows 10版本1803） 

1. 下载并为您的设备安装正确版本的Server Administrator工具：Windows 8，Windows 10.
2. 接下来，右键单击 开始 按钮并选择 控制面板 > 程式 > 程序和特点 > 打开或关闭Windows功能.
3. 向下滑动并单击 远程服务器管理工​​具 选项.
4. 现在点击 角色管理工具.
5. 点击 AD DS和AD LDS工具 并验证 AD DS工具 已检查.
6. 按 好.
7. 去 开始 > 管理工具 在 开始 菜单访问Active Directory.

如何使用Active Directory：如何设置域控制器，创建目录用户 

如何设置域控制器

使用Active Directory时，您要做的第一件事就是设置域控制器。域控制器是一台中央计算机，它将响应身份验证请求并验证整个网络中的其他计算机。域控制器 存储所有其他计算机的登录凭据 和打印机.

所有其他计算机都连接到域控制器，以便用户可以从一个位置验证每台设备。这样做的好处是管理员不必管理数十个登录凭据.

设置域控制器的过程相对简单. 为您的域控制器分配一个静态IP地址 和 安装Active Directory域服务 要么 ADDS. 现在，请按照以下说明进行操作：

1. 打开 服务器管理器 然后点击 角色摘要 > 添加角色和功能.
2. 请点击 下一个.
3. 选择 远程桌面服务 安装 如果要在虚拟机中部署域控制器，或选择 基于角色或基于功能的安装.
4. 从中选择服务器 服务器池.
5. 选择 Active Directory域服务列表中的s，然后单击 下一个.
6. 保留“功能”为默认状态，然后按 下一个.
7. 请点击 如果需要，自动重新启动目标服务器 然后点击 安装. 安装完成后关闭窗口.
8. 安装ADDS角色后，通知将显示在 管理 菜单。按 将此服务器提升为域控制器.
9. 现在点击 新增森林 然后输入一个 根域名. 按 下一个.
10. 选择 域功能级别 您需要并在其中输入密码 键入目录服务还原模式（DSRM密码） 部分。请点击 下一个.
11. 显示“ DNS选项”页面时，单击 下一个 再次.
12. 在 NetBios域名 框（最好与根域名相同）。按 下一个.
13. 选择一个文件夹来存储数据库和日志文件。请点击 下一个.
14. 按 安装 完成。您的系统现在将重新启动.

创建Active Directory用户

用户数 和 电脑 是使用Active Directory时需要管理的两个最基本的对象。在本节中，我们将研究如何创建新的用户帐户。该过程相对简单，管理用户最简单的方法是通过 Active Directory用户和计算机 或随附的ADUC工具 远程服务器管理工​​具 要么 RSAT 包。您可以按照以下说明安装ADUC：

在Windows 10版本1809和更高版本上安装ADUC：

1. 右键点击 开始 按钮并单击 设定值 > 应用, 然后点击 管理可选功能 > 新增功能.
2. 选择 RSAT：Active Directory域服务和轻型目录工具.
3. 选择 安装 并等待安装完成.
4. 去 开始 > Windows管理工具 访问功能.

在Windows 8和Windows 10版本1803或更低版本上安装ADUC： 

1. 为您的Windows版本下载并安装Remote Server Administrator工具。您可以通过以下链接之一进行操作：
   Windows 10的远程服务器管理器工具，Windows 8的远程服务器管理器工具或Windows 8.1的远程服务器管理器工具.

1. 右键点击 开始 > 控制面板 > 程式 > 程序和特点 > 打开或关闭Windows功能.
2. 向下滚动并选择 远程服务器管理工​​具.
3. 扩大 角色管理员工具 > AD DS和AD LDS工具.
4. 校验 AD DS工具 然后按 好.
5. 去 开始 > 管理工具 然后选择 Active Directory用户和计算机.

如何使用ADUC创建新用户 

1. 打开 服务器管理器, 去 工具类 菜单并选择 Active Directory用户和计算机.
2. 展开域，然后单击 用户数.
3. 右键单击右侧窗格，然后按 新 > 用户.
4. 当显示“新对象-用户”框时，输入 名字, 姓, 用户登录名 然后点击 下一个.
5. 输入密码，然后按 下一个.
6. 请点击 完.
7. 新的用户帐户可以在 用户数 ADUC部分.

要监视的Active Directory事件 

像所有形式的基础架构一样，需要对Active Directory进行监视以保持保护状态。监视目录服务对于防止网络攻击并为用户提供最佳的最终用户体验至关重要.

下面我们将列出您应该注意的一些最重要的网络事件。如果您发现上述任何事件，则应尽快进行进一步调查，以确保您的服务没有受到损害.

当前Windows事件ID旧版Windows事件ID说明

4618	不适用	安全事件模式已被识别.
4649	不适用	检测到重播攻击（可能是误报）.
4719	612	系统审核策略已更改.
4765	不适用	SID历史记录已添加到帐户.
4766	不适用	尝试将SID历史记录添加到帐户失败.
4794	不适用	尝试启动目录服务还原模式.
4897	801	启用角色分离.
4964	不适用	特殊组已被分配了新的登录名.
5124	不适用	OCSP响应程序服务上的安全性已更新.
不适用	550	潜在的DoS攻击.
1102	517	审核日志已清除.

Active Directory林和树概述 

森林和树木是钻研Active Directory时经常听到的两个术语。这些术语指的是Active Directory的逻辑结构。简单来说， 树是具有单个域或对象组的实体 然后是子域. 森林是一组域 放在一起。什么时候 多棵树组合在一起，他们成为一片森林.

森林中的树木通过 信任关系, 这使不同的域可以共享信息。所有 域将自动相互信任 因此您可以使用在根域上使用的相同帐户信息来访问它们.

每个林使用一个统一的数据库。从逻辑上讲，森林位于层次结构的最高级别，而树位于底部。网络管理员在使用Active Directory时面临的挑战之一是管理林并保持目录安全.

例如，网络管理员将负责选择 单林设计 要么 多林设计. 单目录林设计简单，低成本且易于管理，仅由一个目录林组成整个网络。相比之下，多林设计将网络划分为不同的林，这有利于安全，但会使管理更加复杂.

信任关系（和信任类型） 

如上所述，信任用于促进域之间的通信。信任使身份验证和两个实体之间的资源访问成为可能。本质上，信任可以是单向或双向的。在信任内，两个域分为信任域和信任域.

在单向信任中， 信任域访问身份验证详细信息 信任域的名称，以便用户可以访问其他域的资源。在双向信任中，两个域都将接受对方的身份验证详细信息。所有 林中的域自动相互信任, 但您也可以在不同林中的域之间建立信任关系以传输信息.

您可以通过以下方式创建信任 新信托向导. 的 新的信任向导 是一个配置向导，可让您创建新的信任关系。在这里您可以查看 域名, 信托类型, 和 传递性的 现有信任的状态，然后选择要创建的信任的类型.

信托类型 

Active Directory中有多种信任类型。我们在下表中列出了这些：

信任类型传输类型方向默认值？说明

父母与子女	传递性的	双向	是	将子域添加到域树时，建立父子信任关系.
树根	传递性的	双向	是	在目录林中创建域树后即建立树根信任.
外部	非传递性	单向或双向	没有	提供对Windows NT 4.0域中或目录林信任不支持的位于其他目录林中的域中资源的访问.
领域	传递式或非传递式	单向或双向	没有	在非Windows Kerberos领域和Windows Server 2003域之间形成信任关系.
森林	传递性的	单向或双向	没有	在森林之间共享资源.
捷径	传递性的	单向或双向	没有	减少Windows Server 2003林中两个域之间的用户登录时间.

使用SolarWinds访问权限管理器进行Active Directory报告（免费试用）

在Active Directory上生成报告对于优化性能和保持合规性至关重要。最好的Active Directory报表工具之一是 SolarWinds访问权限管理器（ARM）. 创建该工具的目的是提高对如何使用和管理目录凭据的可见性。例如，您可以查看具有不安全配置和凭据滥用的帐户，这些帐户可能表明存在网络攻击.

使用第三方工具，例如 SolarWinds访问权限管理器 之所以有用，是因为它为您提供了直接通过Active Directory很难或无法访问的信息和功能。.

除了生成报告，您还可以 自动删除无效或过期的帐户 该网络犯罪分子的目标. SolarWinds访问权限管理器 起价为3,444美元（2,829英镑）。还有一个 30天免费试用 您可以下载的版本.

SolarWinds访问权限管理器下载30天免费试用版

Active Directory教程：基础知识 

Active Directory是用于管理网络中资源的最佳工具之一。在本文中，我们只是探讨了此工具的潜力。如果您使用的是Active Directory，请记住，它是网络攻击者的潜在切入点。记下关键目录事件并使用目录监视器将大大有助于最大程度地减少恶意攻击的风险并保护服务的可用性.