微软统一身份管理和访问控制
AD域服务器配置使用手册
AD域服务器配置使用手册目录•简介•安装AD域服务器•配置AD域服务器•使用AD域服务器•常见问题与解决方案简介Active Directory(简称AD)是由微软公司开发的一种目录服务,用于管理和组织网络中的用户、计算机、应用程序等资源。
AD域服务器是一个核心组件,用于集中管理和分发资源,提供统一的身份验证和访问控制。
本文档将指导您进行AD域服务器的安装、配置和使用,以便在企业网络中实现集中管理和统一认证。
在安装AD域服务器之前,您需要确保以下条件已满足:•一台运行Windows Server操作系统的服务器•具有管理员权限的帐户•确保网络连接正常按照以下步骤进行AD域服务器的安装:1.在服务器上运行Windows Server安装程序。
2.选择“自定义安装”选项,并选择“域控制器”角色。
3.指定域的名称,并设置管理员密码。
4.安装必要的依赖项和组件。
5.完成安装过程。
安装完成后,您需要进行AD域服务器的配置,以满足特定的网络需求。
以下是一些常见的AD域服务器配置任务:•添加组织单位(OU)和用户组:用于组织和管理用户和计算机资源。
•配置组策略:通过组策略设置实施安全和配置要求。
•创建用户账户和共享文件夹:用于授权和权限管理。
•配置安全认证和访问控制:用于保护网络资源免受未经授权的访问。
•配置域名服务器(DNS)和动态主机配置协议(DHCP):用于自动分配IP地址和解析域名。
您可以通过Windows Server管理工具如Active Directory用户和计算机、组策略管理等进行以上配置任务。
使用AD域服务器一旦AD域服务器配置完成,您可以开始使用其提供的功能:•用户身份验证和访问控制:用户可以使用域帐户登录到域中的任何计算机,并访问授权的资源。
•统一管理:通过AD域服务器,您可以集中管理用户、计算机和应用程序的配置和访问权限。
•自动化管理:通过组策略和脚本,可以自动化管理和配置群组策略、软件安装等。
windows安全体系
TCSEC 定义的内容
美国 TCSEC(桔皮书)的 7 个安全级别,从低到高依次为 D、C1、C2、B1、B2、B3 和 A 级。我们分别来 介绍下:
该流程过程如图二:
Winlogon and Gina Winlogon 调用 GINA DLL,并监视安全认证序列。而 GINA DLL 提供一个交互式的界面为用户登陆提供 认证请求。GINA DLL 被设计成一个独立的模块,当然我们也可以用一个更加强有力的认证方式(指纹、 视网膜)替换内置的 GINA DLL。
数据保密性
处于企业中的服务器数据的安全性对于企业来讲,决定着企业的存亡。加强数据的安全性是每个企业都需 考虑的。从数据的加密方式,以及数据的加密算法,到用户对公司内部数据的保密工作。我们最常见的是 采用加密算法进行加密。在通信中,我们最常见的有 SSL2.0 加密,数据以及其他的信息采用 MD5 等。 虽然 MD5 的加密算法已经被破解,但是 MD5 的安全性依然能后保证数据的安全。
访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新 获取访问令牌。
安全描述符(Security descriptors)
Windows 系统中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。
访问控制列表(Access control lists)
在 NTFS 文件系统种,对方访问控制做得非常的到位。选择一个文件夹单击右键选择“属性”,在“安全”选 项里可以看到用户所具有的权限值。NTFS 文件系统很好的解决了多用户对资源的特级访问权限。要访问 资源,必须是该资源允许被访问,然后是用户或应用通过第一次认证后再访问。
AD域控基础知识概述
AD域控基础知识概述AD域控基础知识概述AD(Active Directory,活动目录)是微软公司开发的一种用于管理和组织网络中用户、计算机和其他资源的目录服务。
它是Windows 操作系统中的一个关键组件,并在企业网络环境中广泛应用。
AD域控(Domain Controller)是在服务器上部署和运行的AD服务的实例,负责管理目录数据、身份验证和访问控制等功能。
在本文中,我们将深入探讨AD域控的基础知识,包括其架构、功能和优势等方面。
一、AD域控的架构AD域控的架构是基于分布式目录服务(Distributed Directory Service)概念构建的,并采用了多主/多副本的复制机制,以提高系统的可靠性和可伸缩性。
1. 域(Domain)域是AD中最基本的逻辑单元,用于组织和管理一组对象,如用户、计算机和资源等。
域将相关对象组织在一起,并为其提供统一的身份验证和访问控制机制。
每个域都有一个唯一的名称,用于在网络中标识和访问。
2. 树(Tree)树是由一个或多个域构成的层次结构,形成了一个命名空间。
树形结构的每个节点都代表一个域,而域之间通过双向的信任关系进行连接。
域的层次结构使得系统的管理更加方便和灵活。
3. 林(Forest)林是多个树的集合,它们共享一个共同的目录架构、命名空间和安全策略。
林是AD中最高级别的逻辑组织单位,它提供了全局的目录服务和统一的身份认证机制。
4. 域控制器(Domain Controller)域控制器是在服务器上安装和配置的AD服务的实例。
它存储和管理域中的目录数据,并提供了身份验证、访问控制和其他相关功能。
一个域可以有一个或多个域控制器,通过复制机制来保持数据的一致性和可用性。
二、AD域控的功能AD域控作为一个目录服务系统,提供了以下重要功能:1. 目录服务(Directory Services)AD域控存储了网络中的对象信息,如用户、计算机、组织单位等。
它提供了高效的目录查找和数据检索机制,使得用户和应用程序可以快速访问和管理这些对象。
微软统一身份管理与授权系统解决方案
支持单点登 录的应用
携带ticket,再次访问应用
转到认证服务
Active Directory (AD)SSO 解决方案
如果没有其它应用认 证过,则显示认证页 面。最终将认证信息, 加密为Ticket,重定向 回应用
认证服务 扩展
基于AD SSO认证服务(扩展)
Windows Server
通用SSO系统缺陷
帐号没有规范标准 密码安全性不强 支持认证方式单一 缺少独立的用户管理功能
➢结论 各方面扩展性不强
Active Directory (AD)SSO 解决方案
解决之道- Active Directory SSO
基于表单的Passport认证
用户的 浏览器
第一次访问应用 的页面
没有认证过,需要重 定向到认证服务
成功登 录操作
SSO 服务
统一身份授权管理系统可定制性
认证服务
Ticket的加密算法 定制认证操作 认证界面 Cookie的加解密算法
应用
Ticket的解密算法 Cookie的加解密算法 认证方式(集成Windows认证) Principal的构造
Active Directory (AD)SSO 解决方案
SSO认证服务
Active Directory
ADSI
数据库
提供了可扩展的基于集成身份认证登录方式 密码安全性加强 (密码策略强、密码不可逆) 用户数据访问扩展性好(LDAP协议开放)
Active Directory (AD)SSO 解决方案
统一身份授权(SSO)系统功能介绍
实现Web应用跨服务器的表单认证 为应用提供认证的HttpModule,自 动完成Principal的构造 提供登录和注销的控件 可定制性
微软统一身份管理和访问控制解决方案(IAM)和产品路线介绍
企业 IT 应用现状
• 企业 IT 基础设施已经相对完善 • IT 系统在企业中的作用越来越重要
– OA – MIS – 财务系统 – MRP / MRPII – ERP – CRM
您的体系结构是否像这样呢?
• 东拼西凑 • 非端到端基础结构 • 需要大量人工干预 • 不确定是否安全
• 用户生产力降低
用户等待访问他们所需的系统或软件 太多的密码导致更多的helpdesk请求 丢失文件需要从磁带进行费时的恢复
• 安全威胁的风险增加
系统访问没有很快或完全撤销 难以在公司内强制实施安全策略 难以保持最新的安全补丁
管理现状 – 手动的事实
人员密集型的特性决定成本
自动化程度
手动
62%
脚本 14%
登录到 Windows
Exchange
活动目录
Web 服务
灵活的验证
Kerberos X509 v3/智能卡 生物鉴定
单一登录到:
Windows 文件服务器 Windows Web 应用程序 Exchange email SQL Server BizTalk Server 其他微软应用程序 第三方集成应用程序
用户身份的生命周期
1
新建用户
- 用户 利
离职用户 - 除帐户 - 删除权利
3
支持部门 - 密码重置 - 新建权利
2
更改用户 - 升职 - 调动 - 权利更改
IAM主要应用场景
企业与员工 B2E Business to Employees
减少登录次数 用户设置 / 取消注销 口令管理
内容
• 为什么需要IAM? • IAM如何解决问题 • 微软IAM解决方案
EETrust统一身份管理及访问控制系统
EETrust统一身份管理及访问控制系统(UID System)1. 概述EETrust统一身份管理及访问控制系统(UID System)是通过构建企业级用户目录管理,实现不同用户群体之间统一认证,将大量分散的信息和系统进行整合和互联,形成整体企业的信息中心和应用中心。
UID System系统使企业员工通过单一的入口安全地访问企业内部全部信息与应用,为员工集中获取企业内部信息提供渠道,为员工集中处理企业内部IT系统应用提供统一窗口。
2. 面向服务(SOA)的体系结构2.1 系统架构系统采用先进的面向服务的体系架构,基于PKI理论体系,提供身份认证、单点登录、访问授权、策略管理等相关产品,这些产品以服务的形式展现在UID系统中,用户能方便的使用这些服务,形成企业一站式信息服务平台。
在各功能模块的实现和划分上,充分考虑各个功能之间的最少耦合性,对外提供的服务接口设计中,严格按照面向服务思想进行设计,在内部具体实现中,采用CORBA、DCOM、J2EE体系结构,保证各个模块的跨平台特性。
UID面向服务关系图根据上图,应用程序使用服务时,通过UID提供的服务定位器,配置相关服务接口实现,各服务之间通过服务代理,可以组合成新的服务供服务定位器调用。
各服务之间相对独立,任何一个安全功能的调整和增减,不会造成应用程序调用的修改和重复开发。
2.2 功能模块2.2.1 结构图说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。
具体包含以下主要功能模块:"认证中心(AuthDB)存储企业用户目录,完成对用户身份、角色等信息的统一管理;"授权和访问管理系统(AAMS)用户的授权、角色分配;访问策略的定制和管理;用户授权信息的自动同步;用户访问的实时监控、安全审计;"身份认证服务(AuthService、AuthAgent)身份认证前置(AuthAgent)为应用系统提供安全认证服务接口,中转认证和访问请求;身份认证服务(AuthService)完成对用户身份的认证和角色的转换;"访问控制服务(AccsService、UIDPlugIn)应用系统插件(UIDPlugIn)从应用系统获取单点登录所需的用户信息;用户单点登录过程中,生成访问业务系统的请求,对敏感信息加密签名;" CA中心及数字证书网上受理系统用户身份认证和单点登录过程中所需证书的签发;用户身份认证凭证(USB智能密钥)的制作;2.2.2 系统(门户)互访模块调用关系图说明:1、黑色箭头描述了员工通过A系统访问B系统的模块调用逻辑关系;2、红箭头描述了员工通过B系统访问A系统的模块调用逻辑关系;2.2.3 角色管理和认证为了实现门户及相关系统的统一认证,建设统一的身份管理中心,身份管理中心集中对用户身份进行管理。
ad域概念以及作用
AD域概念及其关键概念1. AD域的定义AD(Active Directory)域是一种由微软公司开发的基于目录服务的身份验证和授权服务,用于管理和组织网络中的用户、计算机和其他网络资源。
它是一种分布式数据库系统,旨在提供集中管理和控制网络资源的能力。
AD域可以理解为一个逻辑上的容器,它可以包含多个组织单元(OU,Organizational Unit),每个OU又可以包含多个用户、计算机和其他网络资源。
AD域通过一组规则和策略来管理和控制这些资源的访问和配置。
2. AD域的重要性AD域在企业网络中起着至关重要的作用,具有以下几个重要性:2.1 集中管理和控制AD域提供了集中管理和控制网络资源的能力。
管理员可以通过AD域来创建、修改和删除用户账户、计算机账户以及其他网络资源的账户,以及配置这些账户的访问权限和其他属性。
这种集中管理和控制的方式大大简化了管理员的工作,提高了工作效率。
2.2 统一身份验证和授权AD域作为一个身份验证和授权服务,可以统一管理和验证用户的身份,确保只有授权的用户可以访问网络资源。
通过AD域,用户只需要一个账户和密码就可以访问所有的网络资源,不需要分别登录不同的系统。
这大大简化了用户的登录过程,提高了用户体验。
2.3 安全性和权限控制AD域提供了丰富的安全性和权限控制机制,可以对用户、计算机和其他网络资源进行细粒度的访问控制。
管理员可以通过AD域来定义和管理用户的访问权限,限制用户对某些敏感数据或系统的访问。
这种权限控制机制可以有效地保护企业的数据和系统安全。
2.4 集成其他服务和应用AD域可以与其他服务和应用集成,例如邮件服务器、文件共享服务器、VPN等。
通过与AD域的集成,这些服务和应用可以直接使用AD域中的用户账户和权限信息,简化了配置和管理过程,并提供了更好的用户体验。
3. AD域的关键概念在理解AD域的概念和作用之前,需要了解一些与AD域相关的关键概念。
3.1 域(Domain)域是AD中最基本的组织单位,它是一个逻辑上的容器,用于管理和组织网络中的用户、计算机和其他网络资源。
windows 2012 域控基本知识 -回复
windows 2012 域控基本知识-回复Windows Server 2012是微软推出的一款服务器操作系统,它具备许多功能和特点,而其中一个重要的功能就是域控制器(Domain Controller)。
一、什么是域控制器域控制器是Windows Server中的一个角色,用于集中管理和控制域中的用户、计算机和资源。
它允许管理员在整个网络中设置和管理全局策略,同时提供用户认证和授权的功能。
域控制器通常作为中心节点,在企业网络中起到关键的作用。
二、域的概念和作用1. 域的定义:在Windows Server中,域是由一组计算机和资源组成的逻辑网络,这些计算机和资源由一个公共的身份认证和安全机制管理。
域允许用户通过单一登录认证访问所有的网络资源。
2. 域的作用:域的建立使得网络管理更加简便和安全。
通过域控制器,管理员可以集中管理用户和计算机账户,实现统一的身份认证和授权机制。
域还提供了分层授权和管理权限的能力,可以根据不同的组织结构和安全需求对用户和计算机进行灵活的管理。
三、Windows Server 2012中的域控制器安装和配置1. 安装域控制器:要安装域控制器,首先需要将Windows Server 2012服务器添加到现有的域或创建一个新的域。
然后,通过“服务器管理器”或命令行工具执行“添加角色和功能”向导,选择“域控制器”角色,并按照提示完成安装过程。
2. 配置域控制器:安装完成后,需要进行一些配置来使域控制器正常工作。
首先,需要指定域的名称和安全设置。
然后,设置域控制器的网络连接、IP地址和DNS等网络设置。
还可以配置域的全局策略、用户和计算机对象的属性,以及安全和审计设置。
3. 备份和恢复:域控制器存储着大量的关键数据,因此备份和恢复操作非常重要。
Windows Server 2012提供了一套完整的备份和恢复工具,可以对域控制器的系统状态、活动目录数据库和配置信息进行定期备份,并在需要时进行恢复。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文件共享
ERP/CRM
远程用户
企业业务
扩展 Windows 单一登录
登录到 活动目录
活动目录
Kerberos 应用程序
UNIX
Kerberos
Services for UNIX
Host Integration Server
390/AS400 Windows to RACF 账户 Windows to AS/400 安全系统 双向口令同步
Windows 用户 帐户信息 优先级 配置文件 策略
Active Directory
Windows 客户端 管理配置文件 网络信息 策略
其他 目录 白皮书 电子商务 其他 NOS 用户注册表 安全性 策略
Windows 服务器 管理配置文件 网络信息 服务 打印机 文件共享 策略 网络设备 配置 QoS 策略 安全策略 防火墙服务 配置 安全策略 VPN 策略
Passport 管理用户凭据 Passport 管理用户验证 管理员管理用户访问控制
应用程序
企业到企业 B2B
通过活动目录实现 Extranet 访问管理
企业 Extranet
“信任的” 业务伙伴
Cookie
授权检测
Web 应用 1 SSO 代理 Web 应用 2 SSO 代理
活动目录
SSL会话
One way, incremental sync of configurable subset of data from AD to ADAM Limited transformations (users to proxy)
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
产品线和未来发展 问题/解答
企业 IT 应用现状
企业 IT 基础设施已经相对完善 IT 系统在企业中的作用越来越重要
OA MIS 财务系统 MRP / MRPII ERP CRM
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
产品线和未来发展 问题/解答
需求: 身份生命周期管理
生命周期(Lifecycle)管理:
Manage data through various phases during its useful life
Integration Services (MIIS)
Directory Services (AD, ADAM)
Access Services (ADFS)
身份管理和访问控制 Policy management, compliance assessment, reporting, enforcement 生命周期管理 与其它系统的连接和互操作
Windows 集成应用程序
企业与员工 B2E
将单一登录扩展到网络
IAS/RADIUS
Exchange
VPN / 远程访问网关
Web Service
Internet
公司网络
活动目录
集成网络登录服务
集成 VPN 单一登录 集成无线网单一登录 证书与智能卡登录 基于标准的互操作 • L2TP/IPSEC VPN • 802.1x 无线与有线局域网 • RADIUS • EAP • PEAP (Windows .NET)
焦点 可管理性 安全性 互操作性
电子邮件服务器 邮箱信息 地址簿
应用程序 服务器配置 Internet 单点配置 应用程序专用的目录信息 策略
提供管理、安全性和互操作性的焦点
Active Directory
分布式存储库
数字 ID 和属性 公司组 安全组 应用程序和服务位置 管理和安全策略 数字证书 网络访问策略
商业成本
IT 管理成本提高
密码重设是一项主要的helpdesk成本 用户信息的手动更新 helpdesk部署、配置及对软件安装的疑难解答
用户生产力降低
用户等待访问他们所需的系统或软件 太多的密码导致更多的helpdesk请求 丢失文件需要从磁带进行费时的恢复
安全威胁的风险增加
系统访问没有很快或完全撤销 难以在公司内强制实施安全策略 难以保持最新的安全补丁
产品线和未来发展 问题/解答
微软IAM解决方案框架
Web Clients
Smart Clients
Web Servers
Server Services
Microsoft and Non-Microsoft
微软身份管理和访问控制平台 Smart client SSO, web SSO, claims-based access control, federation 自服务和管理授权 Metadata publication
应用需求:
Automated provisioning and de-provisioning Keep data in ADAM in sync with corporate AD installation Simple setup and maintenance
可选方案:身份生命周期管理
ADAM Sync
产品线和未来发展 问题/解答
IAM:统一身份管理和访问控制
目录和用户标识的简化管理
利用活动目录实现用户和桌面管理 活动目录和微软标识集成服务器MIIS自动进行 标识生命周期管理 利用单一登录SSO降低复杂度
网络资源的安全访问
活动目录支持标识和访问管理 通过活动目录和组策略管理控制台GPMC强制 公司策略 利用VPN和无线连接安全访问内部资源
减少登录次数 用户设置 / 取消注销 口令管理
客户门户 – Web 单一登录 客户自服务 口令重置 合作伙伴门户 – Web 单一登录 委派管理 合作伙伴自服务
企业与企业 B2B Business to Business
企业与员工 B2E
集成 Windows 单一登录
Internet
桌面
商业影响
安全威胁的风险增加 生产力降低 helpdesk 费用增加
B2B 用户帐户/凭证
UNIX 应用程序
从业务经理角度
商业问题
需要掌握商业信息 公司数据是否安全? 需要职员具有更高生产力 网络是否安全?
成本压力
IT 成本提高 需要更好的远 程访问 紧张的预算 需要购买 CRM 系统
管理现状 – 手动的事实
人员密集型的特性决定成本
自动化程度
手动
62% 60%
脚本
14% 16% 18% 17% 17% 24%
自动化工具
25% 24% 24% 28% 29% 23%
人们在手动任务上 耗费的时间
58% 56% 54% 53%
响应百分比
人员成本在五年周期的 TCO 中占据超 过 60%
用户身份的生命周期
1 4 新建用户
- 用户 ID 创建 - 凭据颁发 - 权利
离职用户 - 除帐户 - 删除权利
2
3
支持部门 - 密码重置 - 新建权利
更改用户 - 升职 - 调动 - 权利更改
IAM主要应用场景
企业与员工 B2E Business to Employees 企业与客户 B2C Business to Customers
您的体系结构是否像这样呢?
东拼西凑 非端到端基础结构 需要大量人工干预 不确定是否安全
从 IT 角度
IT 挑战
Web 服务 电子邮件 Netware 文件 服务器
VPN UNIX 应用程序
Internet
太多用户目录 提供新帐户 密码管理 审核用户行为 未经授权的桌面更改 软件限制和分发 外出的公司职员
微软标识集成服务器 MIIS
活动目录
目录同步
应用程序
应用程序
LDAP (例如 iPlanet 等) 关系数据库 应用程序特定
SQL
账户预置
LDAP
自动账户创建 自动账户取消预置
口令管理 (MIIS 2003)
账户目录
企业应用
口令重置自服务
企业与客户 B2C
在B2C环境中使用 Active Directory 和 Passport
WIN220 Identity and Access Management
微软统一身份管理和访问控制 解决方案(IAM)和产品路线介绍
Feifei Qian Technical Solution Professional Microsoft China ffqian@
内容
来源: IDC 2002, Microsoft Primary Quantitative Research。400 个针对 IT 专业人员(拥有 25 台以上服务器的数据中心)的半小时电话调查
内容
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
商业影响
B2B 桌面 Account Directory
人员和时间密集 新职员的访问被延迟 未经授权访问的风险 没有单独的用户视图
从用户角度
用户挑战
Web 服务 电子邮件 Netware 文件 服务器
VPN
过多的凭据 哪个凭据适用于哪个应用程序呢? 多重登录 设置新用户需要等待很长时间 未经授权的桌面更改