Active Directory 域服务–域控架构详解（1）

本人最近研究域控，安全行业对于域控的详情大多只是在内网域渗透以及运维的AD域部署。将运维AD域以及安全域渗透结合起来的文章少之又少，特将这段时间的研究总结成文。本文详情会分两个部分，详情篇幅较长，涉及到安全运维偏多，较适用于甲方安全运维的同学~

第一部分详细叙述域和林的基本认识、域林中主机角色以及集中域控制器的作用等、第二部分会简述到组策略的配置，账号密码的管理、域共享文件的管理以及相关域渗透等。

不论是单纯的甲方安全运维，还是乙方业务涉及到的对用户域环境的加固，又或者者是安全渗透涉及到的内网域渗透。以上所有的点归结到最终都需要对域控有所理解。本篇详细叙述域林架构，涉及点较多，较为啰嗦，但是收集比较全面，参考了大量文章去收集，只是对域控的架构有个简单的罗列~

windows server2012 AD DS域服务，其实质依然是身份验证系统 ，企业管理使用的组策略是基于身份验证系统（域客户和计算机账户）的上层应用。学些域过程中，部署域环境比较简单，难的是管理依赖于域的应用。微软网络级产品基本都和域绑定得比较紧密。

首先是对于域控制器的安装以及额外控制器的安装，可参考以及链接：

https://www.cnblogs.com/tuyile006/p/4514335.html

https://www.cnblogs.com/airoot/p/7774977.html

https://blog.csdn.net/xiezuoyong/article/details/9452753

http://www.mamicode.com/info-detail-1927408.html

……

更多请百度~

一 域控制器

windows server2012中域控制器包括3中类型：额外域控制器、域控制器以及只读域控制器。

假如网络中安装的是第一台域控制器，该服务器默认为林根服务器，也是根域服务器，FSMO（操作主机）角色默认安装到第一台域控制器。（FSMO角色 文章下面会有详细详情）

假如是额外域控制器，FSMO（操作主机）角色转移到额外控制器后，额外控制器将提升为域控制器。域控制器和额外域控制器之间是平行关系，他们之间的区别在于能否存在FSMO角色。

域控制器中运行AD DS域服务，该服务和普通服务应用相同，可以通过“服务”控制台管理AD DS域服务，完成“启动”、“中止”、“暂停”等操作。域控制器增加到“Domain Controllers”组织单位中。

2 额外域控制器

成员服务器使用“增加角色和功能”向导增加“AD DS域服务”角色后，将被提升为额外域控制器，成员服务器增加到域内“Domain Controllers”组织单位中。该服务器上运行“AD DS域服务”，提供管理任务，存储Active Directory数据库。

3 只读域控制器

只读域控制器（只读域控制器 文章下面会有详细详情）服务与AD DS域服务相同，同样以服务的方式存在，但是Active Directory数据库只能读取不能写入，Active Directory数据库是AD DS域服务器数据库的一部分，非完整Active Directory数据库副本。只读域控制器加入到域内“Domain Controllers”组织单位中。

只读域控制器只能将可读写域控制器Active Directory数据库设置的缓存账号同步到只读域控制器中，无法对只读控制器中的Active Directory数据库进行更改，假如只读域控制器需要更改Active Directory数据库的数据，更改的数据首先在可读写域控制器上更改完成，而后复制到只读写域控制器中。

二 常用域概念

1、域的实质

域是一套统一身份验证系统，是企业应用的基础，用身份验证系统完成企业级别的业务系统应用，例如Exchange Server、Forefront Threat Management Gateway、SharePoint Server、File Server、SQL Server、打印机共享等。

2、域应用

域是一个有安全边界的集合，同一个域中的计算机彼此之间建立信任关系，计算机之间允许互相访问。

域应用中，难的不是域环境部署而是依赖域环境的应用。例如组策略（Windows Server 2012中提供数千个相关策略），首先确认客户身份，而后组策略根据客户身份（计算机账户或者者域客户账户）进行限制。尽管谈到域就谈到组策略，但是组策略属于上层应用，组策略通过客户身份验证和域绑定得比较紧密，大部分企业管理都是通过组策略完成。

单域环境中只使用一个DNS名字空间，例如http://book.com。域中的所有计算机账户和客户账户都是用同一个域后缀（DNS名称后缀）。

3、规划域

域的规划本身存在多样性。每个企业都有不同的需求。

• 考虑到集团下的各个公司一般都是独立运行管理，集团多公司使用单林多域。中型企业交叉业务比较多，一般情况是一个总部+多个分公司。建议使用父子域或者者集中地管理一个域，而后划分站点。

小型企业使用单域。

根据个人实践经验，假如没有特殊需求，域规划越简单越好，能用单域多站点处理的应用尽量不使用父子域，能用父子域处理的应用尽量不使用单林多域环境。

根域

网络中创立第一个域就是根域，一个域林中只能有一个根域，根域在整个域林中处于重要地位，对其余域具有最高管理权限。通过“Get-ADForest”命令，验证根域所在的服务器，通常架构主机角色和域命名主机角色所在的域控制器。

域树

域树由多个域组成，这些域共享同一存储结构和配置，形成一个连续的名字空间（相同的DNS后缀）。树中的域通过信任关系连接，林包含一个或者多个域树。域树中的域层次越深级别越低，一个“.”代表一个层次，如域http://bj.book.com比http://book.com这个域级别低，由于它有两个层次关系，而http://book.com只有一个层次，而域http://hdq.bj.book.com又比http://bj.book.com级别低，道理一样，它们都属于同一个域树，http://bj.book.com就属于http://book.com的子域。父子域之间的关系是双向信任关系。

域林

创立根域时默认建立一个域林，同时也是整个林的根域，同时其域名也是林的名称。例如http://book.com是网络中第一个域的根域，也是整个林的根域，林的名称就是http://book.com。通过Powershell命令“Get-ADForest”查看林的相关参数。

域树必需建立在域林下，一个域林可以有多棵域树。已经存在的域不能加入一棵树中，也不能将一个已经存在的域树加入到一个域林中，假如肯定要把一个域加入到一棵域树中，或者者要把一个域树加入到一个域林中，唯一可行的方法就是从零开始建立新域。