前言
1、記錄這篇文章主要是為了讓一些想了解內(nèi)網(wǎng)的,進(jìn)行一些基礎(chǔ)知識(shí)點(diǎn)的認(rèn)識(shí)
2、內(nèi)網(wǎng)也指局域網(wǎng)(Local Area ,LAN),是指在某一區(qū)域內(nèi)由多臺(tái)計(jì)算機(jī)互連而成的計(jì)算機(jī)組,組網(wǎng)范圍通常在數(shù)千米以內(nèi)。在局域網(wǎng)中,可以實(shí)現(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等,內(nèi)網(wǎng)是封閉的,可以由辦公室內(nèi)的兩臺(tái)計(jì)算機(jī)組成,也可以由一個(gè)公司內(nèi)的大量計(jì)算機(jī)組成
3、學(xué)習(xí)內(nèi)網(wǎng)的基礎(chǔ)知識(shí),可以從以下的一些節(jié)點(diǎn)進(jìn)行學(xué)習(xí)
文章目錄
一、工作組
工作組()這個(gè)概念,就是將不同的計(jì)算機(jī)按功能(或部門)分別列入不同的工作組,就例如技術(shù)部的計(jì)算機(jī)都列人"技術(shù)部"工作組、行政部的計(jì)算機(jī)都列入"行政部"工作組,要想訪問某個(gè)部門的資源,只要在"網(wǎng)絡(luò)"里雙擊該部門的工作組名,就可以看到該部門的所有計(jì)算機(jī)了
如在一個(gè)大型的單位里,可能有成百上千臺(tái)計(jì)算機(jī)互相連接組成局域網(wǎng),相比不分組的情況,分組后的情況有序得多
處在同一交換機(jī)下的"技術(shù)部"工作組和"行政部"工作組,如圖
加入或者創(chuàng)建工作組的方法很簡單,在系統(tǒng)屬性里面,選擇更改選項(xiàng),在自己的計(jì)算機(jī)名下,可以選擇工作組
如果輸入的工作組名稱在網(wǎng)絡(luò)中不存在,就相當(dāng)于新建了一個(gè)工作組(暫時(shí)也只有這臺(tái)計(jì)算機(jī)在該工作組內(nèi)),選擇確定后,會(huì)提示需要重新啟動(dòng),在重新啟動(dòng)之后進(jìn)人"網(wǎng)絡(luò)",就可以看到所加入的工作組的成員了。當(dāng)然,也可以退出工作組(只要修改工作組的名稱即可)
這時(shí)在網(wǎng)絡(luò)中,別人可以訪問我們的共享資源,我們也可以加入同一網(wǎng)絡(luò)中的任何工作組。工作組就像一個(gè)可以自由進(jìn)人和退出的社團(tuán),方便同組的計(jì)算機(jī)互相訪問,工作組沒有集中管理作用,工作組里的所有計(jì)算機(jī)都是對等的
二、域
假?zèng)]有這樣的應(yīng)用場景:一個(gè)公司有200臺(tái)計(jì)算機(jī)查看工作組計(jì)算機(jī) 沒有權(quán)限,我們希望某臺(tái)計(jì)算機(jī)的賬戶 Alan 可以訪問每臺(tái)計(jì)算機(jī)的資源或者在每臺(tái)計(jì)算機(jī)上登錄。那么,在工作組環(huán)境中,我們必須在這200臺(tái)計(jì)算機(jī)各自的SAM 數(shù)據(jù)庫中創(chuàng)建 Alan 這個(gè)賬戶,一旦Alan想要更換密碼,必須進(jìn)行200次更改密碼的操作
域()是一個(gè)有安全邊界的計(jì)算機(jī)集合(安全邊界的意思是,在兩個(gè)域中,一個(gè)域中的用戶無法訪問另一個(gè)域中的資源),可以簡單地把域理解成升級版的工作組。用戶要想訪問域內(nèi)的資源,必須以合法的身份登錄域,而用戶對域內(nèi)的資源擁有什么樣的權(quán)限,還取決于用戶在域內(nèi)的身份
域控制器( )是域中的一臺(tái)類似管理服務(wù)器的計(jì)算機(jī),域控制器負(fù)責(zé)所有連入的計(jì)算機(jī)和用戶的驗(yàn)證工作。域內(nèi)的計(jì)算機(jī)如果想要互相訪問,都要經(jīng)過域控制器的審核
城控制器是整個(gè)域的通信樞紐,所有的權(quán)限身份驗(yàn)證都在域控制器上進(jìn)行,也就是說,域內(nèi)所有用來驗(yàn)證身份的賬號(hào)和密碼散列值都保存在域控制器中
域中一般有如下幾個(gè)環(huán)境
1、單域
通常,對于一些需求小的公司,建立一個(gè)域就可以滿足需求,在一個(gè)域內(nèi)查看工作組計(jì)算機(jī) 沒有權(quán)限,一般要有至少兩臺(tái)域服務(wù)器,一臺(tái)作為DC,另一臺(tái)作為備份DC,活動(dòng)目錄的數(shù)據(jù)庫(包括用戶的賬號(hào)信息)是存儲(chǔ)在DC中的
2、父域和子域
出于管理及其他需求,需要在網(wǎng)絡(luò)中劃分多個(gè)域,第一個(gè)域稱為父域,各分部的域稱為該域的子域。例如,一個(gè)大公司的各個(gè)分公司位于不同的地點(diǎn),就需要使用父域及子域,這樣處理有一個(gè)好處,就是分公司可以通過自己的域來管理自己的資源,還有一種情況是出于安全策略的考慮。例如,一個(gè)公司的財(cái)務(wù)部希望使用特定的安全策略(包括賬號(hào)密碼策略等),那么可以將財(cái)務(wù)部作為一個(gè)子域來單獨(dú)管理
3、域樹
域樹(Tree)是多個(gè)域通過建立信任關(guān)系組成的集合。一個(gè)域管理員只能管理本域,不能訪問或者管理其他域。如果兩個(gè)域之間需要互相訪問,則需要建立信任關(guān)系(Trust )。信任關(guān)系是連接不同域的橋梁,域樹內(nèi)的父域與子域,不但可以按照需要互相管理,還可以跨網(wǎng)絡(luò)分配文件和打印機(jī)等設(shè)備及資源,從而在不同的域之間實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享與管理、通信及數(shù)據(jù)傳輸
在一個(gè)域樹中,父域可以包含多個(gè)子域。各子城之間用點(diǎn)號(hào)隔開,一個(gè)"."代表一個(gè)層次,放在域名最后的子域稱為最高級子域或一級城,它前面的子域稱為二級域,例如,域的級別比域低,子域只能使用父域的名字作為其域名的后綴,也就是說,在一個(gè)域樹中,域的名字是連續(xù)的
4、域森林
域森林()是指多個(gè)域樹通過建立信任關(guān)系組成的集合。例如,在一個(gè)公司兼并場景中,某公司使用域樹 ,被兼并的公司本來有自己的域樹,域樹 無法掛在域樹 下,所以,域樹 與域樹 之間需要通過建立信任關(guān)系來構(gòu)成域森林,通過域樹之間的信任關(guān)系,可以管理和使用整個(gè)域森林中的資源,并保留被兼并公司自身原有的特性
5、域名服務(wù)器
域名服務(wù)器( Name ,DNS)是指用于實(shí)現(xiàn)域名( Name)和與之相對應(yīng)的IP地址()轉(zhuǎn)換的服務(wù)器,從對域樹的介紹中可以看出,域樹中的域名和 DNS 域名非常相似,而實(shí)際上,因?yàn)橛蛑械挠?jì)算機(jī)是使用DNS來定位域控制器、服務(wù)器及其他計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)的,所以域的名字就是DNS 域的名字,DNS服務(wù)器和域控制器通常配置在同一臺(tái)機(jī)器上
三、活動(dòng)目錄
活動(dòng)目錄( ,AD)是指域環(huán)境中提供目錄服務(wù)的組件
目錄用于存儲(chǔ)有關(guān)網(wǎng)絡(luò)對象(例如用戶、組、計(jì)算機(jī)、共享資源、打印機(jī)和聯(lián)系人等)的信息,目錄服務(wù)是指幫助用戶快速、準(zhǔn)確地從目錄中找到其所需要的信息的服務(wù)
域樹內(nèi)的所有域共享一個(gè)活動(dòng)目錄,這個(gè)活動(dòng)目錄內(nèi)的數(shù)據(jù)分散存儲(chǔ)在各個(gè)域中,且每個(gè)域只存儲(chǔ)該域內(nèi)的數(shù)據(jù),活動(dòng)目錄就相當(dāng)于字典的索引
活動(dòng)目錄主要提供以下功能
活動(dòng)目錄是微軟提供的統(tǒng)一管理基礎(chǔ)平臺(tái),ISA、、SMS等都依賴這個(gè)平臺(tái)
四、域控制器和活動(dòng)目錄的區(qū)別
1、如果網(wǎng)絡(luò)規(guī)模較大,就要把網(wǎng)絡(luò)中的眾多對象,例如計(jì)算機(jī)、用戶、用戶組、打印機(jī)、共享文件等,分門別類、井然有序地放在一個(gè)大倉庫中,并將檢索信息整理好,以便查找、管理和使用這些對象(資源)。這個(gè)擁有層次結(jié)構(gòu)的數(shù)據(jù)庫,就是活動(dòng)目錄數(shù)據(jù)庫,簡稱AD庫
2、那么,我們應(yīng)該把這個(gè)數(shù)據(jù)庫放在哪臺(tái)計(jì)算機(jī)上呢?要實(shí)現(xiàn)域環(huán)境,其實(shí)就是要安裝 AD,如果內(nèi)網(wǎng)中的一臺(tái)計(jì)算機(jī)上安裝了 AD,它就變成了DC(用于存儲(chǔ)活動(dòng)目錄數(shù)據(jù)庫的計(jì)算機(jī))。
3、回顧前面的一個(gè)應(yīng)用場景,在域環(huán)境中,只需要在活動(dòng)目錄中創(chuàng)建 Alan賬戶一次,就可以在200臺(tái)計(jì)算機(jī)中的任意一臺(tái)上使用該賬戶登錄;如果要更改Alan賬戶的密碼,只需要在活動(dòng)目錄中更改一次就可以了
五、安全域的劃分
1、劃分安全域的目的是將一組安全等級相同的計(jì)算機(jī)劃入同一個(gè)網(wǎng)段,這個(gè)網(wǎng)段內(nèi)的計(jì)算機(jī)擁有相同的網(wǎng)絡(luò)邊界,并在網(wǎng)絡(luò)邊界上通過部署防火墻來實(shí)現(xiàn)對其他安全域的網(wǎng)絡(luò)訪問控制策略(NACL),從而允許哪些IP 地址訪問此域、允許此域訪問哪些IP地址和網(wǎng)段進(jìn)行設(shè)置,這些措施,將使得網(wǎng)絡(luò)風(fēng)險(xiǎn)最小化
2、一個(gè)典型的中小型內(nèi)網(wǎng)的安全域劃分,如圖,一個(gè)虛線框表示一個(gè)安全域(也是網(wǎng)絡(luò)的邊界,一般分為 DMZ和內(nèi)網(wǎng)),通過硬件防火墻的不同端口實(shí)現(xiàn)隔離
有一個(gè)用路由器連接的內(nèi)網(wǎng)中,可以將網(wǎng)絡(luò)劃分為三個(gè)區(qū)域:安全級別最高的內(nèi)網(wǎng),安金級別中等的DMZ,安全級別最低的外網(wǎng),這三個(gè)區(qū)域負(fù)責(zé)完成不同的任務(wù),因此需要設(shè)置不同的訪問策略
3、DMZ 稱為隔離區(qū),是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪同內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū), DMZ是對外提供服務(wù)的區(qū)域,因此可以從外部訪問,同時(shí)網(wǎng)絡(luò)邊界上一般會(huì)部署防火墻及人侵檢測、人侵防御產(chǎn)品等
4、在配置一個(gè)擁有DMZ 的網(wǎng)絡(luò)時(shí),通常需要定義如下訪問控制策略,以實(shí)現(xiàn)其屏障功能
5、內(nèi)網(wǎng)又可以分為辦公區(qū)和核心區(qū)
六、域中計(jì)算機(jī)的分類
在域結(jié)構(gòu)的網(wǎng)絡(luò)中,計(jì)算機(jī)的身份是不平等的,有域控制器、成員服務(wù)器、客戶機(jī)、獨(dú)立服務(wù)器四種類型
1、域控制器
域控制器用于管理所有的網(wǎng)絡(luò)訪問,包括登錄服務(wù)器、訪問共享目錄和資源,域控制器中存儲(chǔ)了域內(nèi)所有的賬戶和策略信息,包括安全策略、用戶身份驗(yàn)證信息和賬戶信息
在網(wǎng)絡(luò)中,可以有多臺(tái)計(jì)算機(jī)被配置為域控制器,以分擔(dān)用戶的登錄、訪問等操作。多個(gè)域控制器可以一起工作,自動(dòng)備份用戶賬戶和活動(dòng)目錄數(shù)據(jù)
2、成員服務(wù)器
成員服務(wù)器是指安裝了服務(wù)器操作系統(tǒng)并加入了域、但沒有安裝活動(dòng)目錄的計(jì)算機(jī),其主要任務(wù)是提供網(wǎng)絡(luò)資源,成員服務(wù)器的類型通常有文件服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、Web服務(wù)器、郵件服務(wù)器、防火墻、遠(yuǎn)程訪問服務(wù)器、打印服務(wù)器等
3、客戶機(jī)
域中的計(jì)算機(jī)可以是安裝了其他操作系統(tǒng)的計(jì)算機(jī),用戶利用這些計(jì)算機(jī)和域中的賬戶就可以登錄域,這些計(jì)算機(jī)被稱為域中的客戶機(jī),域用戶賬號(hào)通過域的安全驗(yàn)證后,即可訪問網(wǎng)絡(luò)中的各種資源
4、獨(dú)立服務(wù)器
獨(dú)立服務(wù)器和域沒有關(guān)系,如果服務(wù)器既不加入域,也不安裝活動(dòng)目錄,就稱其為獨(dú)立服務(wù)器,獨(dú)立服務(wù)器可以創(chuàng)建工作組、與網(wǎng)絡(luò)中的其他計(jì)算機(jī)共享資源,但不能使用活動(dòng)目錄提供的任何服務(wù)
域控制器用于存放活動(dòng)目錄數(shù)據(jù)庫,是域中必須要有的,而其他三種計(jì)算機(jī)則不是必須要有的,也就是說,最簡單的域可以只包含一臺(tái)計(jì)算機(jī),這臺(tái)計(jì)算機(jī)就是該域的域控制器
七、域內(nèi)權(quán)限解讀
組(Group)是用戶賬號(hào)的集合,通過向一組用戶分配權(quán)限,就可以不必向每個(gè)用戶分別分配權(quán)限,例如,管理員在日常工作中,不必為單個(gè)用戶賬號(hào)設(shè)置獨(dú)特的訪問權(quán)限,只需要將用戶賬號(hào)放到相應(yīng)的安全組中;管理員通過配置安全組訪問權(quán)限,就可以為所有加入安全組的用戶賬號(hào)配置同樣的權(quán)限
1、域本地組
多域用戶訪問單域資源(訪問同一個(gè)域)可以從任何域添加用戶賬號(hào)、通用組和全局組,但只能在其所在域內(nèi)指派權(quán)限,域本地組不能嵌套在其他組中,域本地組主要用于授予本域內(nèi)資源的訪問權(quán)限
2、全局組
單域用戶訪問多域資源(必須是同一個(gè)域中的用戶),只能在創(chuàng)建該全局組的域中添加用戶和全局組,可以在域森林的任何域內(nèi)指派權(quán)限,全局組可以嵌套在其他組中
可以將某個(gè)全局組添加到同一個(gè)域的另一個(gè)全局組中,或者添加到其他域的通用組和域本地組中(不能添加到不同域的全局組中,全局組只能在創(chuàng)建它的域中添加用戶和組),雖然可以通過全局組授予用戶訪問任何域內(nèi)資源的權(quán)限,但一般不直接用它來進(jìn)行權(quán)限管理
全局組和域本地組的關(guān)系,與域用戶賬號(hào)和本地賬號(hào)的關(guān)系相似,域用戶賬號(hào)可以在全局使用,即在本域和其他關(guān)系的其他域中都可以使用,而本地賬號(hào)只能在本機(jī)中使用
3、通用組
通用組的成員來自域森林中任何域的用戶賬號(hào),全局組和其他通用組,可以在該域森林的任何域中指派權(quán)限,可以嵌套在其他組中,非常適合在域森林內(nèi)的跨域訪問中使用。不過,通用組的成員不是保存在各自的域控制器中的,而是保存在全局編錄(GC)中的,任何變化都會(huì)導(dǎo)致全林復(fù)制
全局編錄通常用于存儲(chǔ)一些不經(jīng)常發(fā)生變化的信息,由于用戶賬號(hào)信息是經(jīng)常變化的,建議不要直接將用戶賬號(hào)添加到通用組中,而要先將用戶賬號(hào)添加到全局組中,再把這些相對穩(wěn)定的全局組添加到通用組中
可以這樣簡單地記憶:域本地組來自全林,作用于本域;全局組來自本域,作用于全林;通用組來自全林,作用于全林
4、A-G-DL-P 策略
A-G-DL-P 策略是指將用戶賬號(hào)添加到全局組中,將全局組添加到域本地組中,然后為域本地組分配資源權(quán)限
按照A-G-DL-P策略對用戶進(jìn)行組織和管理是非常容易的,在 A-G-DL-P 策略形成以后,當(dāng)需要給一個(gè)用戶添加某個(gè)權(quán)限時(shí),只要把這個(gè)用戶添加到某個(gè)本地域組中就可以了
在安裝域控制器時(shí),系統(tǒng)會(huì)自動(dòng)生成一些組,稱為內(nèi)置置組。內(nèi)置組定義了一些常用的權(quán)限通過將用戶添加到內(nèi)置組中,可以使用戶獲得相應(yīng)的權(quán)限