Active Directory安全概述

Active Directory的基本设计目标之一是定义单个集中的用户和信息资源库。 Active Directory记录有关网络上所有用户，计算机和资源的信息。每个域充当逻辑边界，域的成员（包括工作站，服务器和域控制器）共享有关其中对象的信息。

存储在Active Directory中的信息确定哪些用户可以访问哪些资源。通过使用分配给Active Directory对象的权限，您可以控制网络安全的所有方面。

在本章中，您将了解与Active Directory相关的安全性详细信息。但请注意，Active Directory安全性只是整个网络安全性的一个方面。您还应确保已为文件系统，网络设备和其他资源实施了适当的访问控制设置。让我们首先看一下网络安全的各个组成部分，包括使用安全主体和管理安全性和权限，访问控制列表（ACL）和访问控制条目（ACE）。

在设置网络时，应始终牢记网络中90％的黑客都是内部的。 这意味着内部权限和安全性（以及外部安全性）需要尽可能强大，同时仍允许用户执行其工作。

了解有效的目录功能

让我们来看看一些Active Directory功能以及每个功能作为管理员可以为您做些什么。

Active Directory是Microsoft域的核心和灵魂，我永远无法充分了解Active Directory中包含的角色和功能。 其中许多功能已经讨论过，但接下来的内容将是70-411考试的好评:

Active Directory Certificate Services Active Directory证书服务（AD CS）提供可自定义的一组服务，允许您颁发和管理公钥基础结构（PKI）证书。 这些证书可用于采用公钥技术的软件安全系统.

Active Directory Domain Services Active Directory域服务（AD DS）包括使部署域控制器更简单的新功能，并允许您更快地实现它们。 AD DS还使域控制器更加灵活，既可以审计也可以授权访问文件。 此外，AD DS旨在通过一致的图形和脚本管理体验使执行管理任务变得更加容易.

Active Directory Rights Management Services Active Directory权限管理服务（AD RMS）提供管理和开发工具，使您可以使用行业安全技术，包括加密，证书和身份验证。 使用这些技术可以使组织创建可靠的信息保护解决方案.

Hyper-V Hyper-V是Windows Server 2012 R2中功能最多的功能之一。 微软的新口号是“Windows Server 2012 R2，从云端构建”，这与Hyper-V有很大关系。 它允许组织通过创建和管理虚拟化计算环境来整合服务器。 它通过使用内置于Windows Server 2012 R2中的虚拟化技术来实现此目的.

IPAM IP地址管理（IPAM）是Windows Server 2012引入的新功能之一.IPAM允许管理员自定义和监控公司网络上的IP地址基础结构.

Kerberos Authentication Windows Server 2012 R2使用Kerberos身份验证（版本5）协议和扩展进行基于密码和公钥的身份验证。 Kerberos客户端作为安全支持提供程序（SSP）安装，可以通过安全支持提供程序接口（SSPI）进行访问.

Managed Service Accounts 最初为Windows Server 2008 R2和Windows 7创建的独立托管服务帐户是配置的域帐户，允许自动密码管理和服务主体名称（SPN）管理，包括将管理委派给其他管理员的功能.

Security Auditing 安全审核使组织能够帮助维护企业的安全性。 通过使用安全审核，您可以验证对计算机，资源，应用程序和服务的授权或未授权访问。 安全审核的最大优势之一是验证法规遵从性.

TLS/SSL (Schannel SSP) Schannel是一个安全支持提供程序（SSP），它使用安全套接字层（SSL）和传输层安全性（TLS）Internet标准身份验证协议。 安全支持提供程序接口（SSPI）是Windows系统用于允许与安全相关的功能（包括身份验证）的API.

Windows Deployment Services Windows部署服务允许管理员远程安装Windows操作系统。 管理员可以使用Windows部署服务通过使用基于网络的安装来设置新计算机.