在过去的二十多年里,AD 一直在许多企业中发挥着至关重要的作用。域控制器对于现代企业仍然是相关的,但是如果没有包含云服务来联合身份和管理所有设备平台,就会将用户锁定在 Windows 网络中。
如何在域控制器上设置活动目录?
首先,我们来探讨一下 AD 的组成部分。活动目录由四个基本服务组成,这些服务在域控制器上运行,使其能够提供身份和访问管理:
活动目录域服务(AD DS)。这是活动目录协议中的主要服务。除了存储目录信息外,它还控制哪些用户可以访问每个企业资源和组策略。AD DS 使用分层结构,包括域、树和森林,以协调网络资源。
活动目录轻量级目录服务(AD LDS)。它与 AD DS 共享相同的代码库和功能。但是,与 AD DS 不同,AD LDS 使用轻量级目录访问协议(LDAP),允许在同一服务器上运行多个实例。
活动目录联合服务(AD FS)。如其名称所示,AD FS 是一种联合身份服务,提供单点登录(SSO)功能。它使用许多流行的协议,如 OAuth、OpenID 和安全断言标记语言(SAML),在不同的身份提供者之间传递凭据。
活动目录证书服务(AD CS)。这是一个创建本地公钥基础设施(PKI)的服务,使企业能够创建、验证和撤销内部使用的证书。
按照以下步骤设置AD:
安装 Windows Server:指定一个 Windows Server 实例作为您的主域控制器。专用一个满足运行 Windows Server 的最低硬件要求的虚拟化平台或服务器,并留出扩展空间。
安装活动目录域服务:使用服务器管理器或 PowerShell 安装 AD DS。制定备份的应急计划,并解决如果你的 DC 崩溃会发生什么的问题。
将服务器晋升为域控制器:接下来,你需要将服务器晋升为域控制器。活动目录域服务安装向导将协助指定网络的适当设置。
配置活动目录:根据你的网络要求配置活动目录。这涉及创建组织单位、用户、组和其他网络组件。满足现代安全标准可能是一个复杂的过程,只有了解其中风险的经验丰富的管理员才能尝试。
配置DNS:活动目录在名称解析方面严重依赖 DNS(域名系统)。正确配置 DNS 以确保活动目录正常运行。至少有两个内部 DNS 服务器,并考虑使用活动目录集成区域。这可以提高可靠性、性能,并且 DNS 服务器将拒绝未经授权的主机请求。
