配置组策略:最后,配置组策略,它允许你跨网络管理和强制执行策略。组策略设置可以应用于域、站点或组织单元级别。默认的 UI 可能会具有挑战性和繁琐性。GPO 模板使 Windows 更容易实现强安全姿态,如 CIS 基准测试。
域控制器和DNS服务器是相同的吗?
域控制器作为主机访问域资源的门卫,并使用 Kerberos 和(或)NTLM 对进入域的用户/设备进行身份验证。它是执行策略和托管 AD 的地方。域名系统(DNS)协议将 IP 地址转换为 URL,帮助用户浏览网络。DNS 服务器将严格提供 DNS 服务。
其他域控制器实现选项
以下部署选项可以帮助管理员节省费用并满足其要求。
全局目录 (GC):GC 是非官方的灵活的单主操作(FSMO)角色和 AD 特性,可提供跨所有林域的任何对象的信息。选择的属性会被复制到 GC 服务器,这使管理员可以获取必要的信息。
只读域控制器(RODC):当IT资源有限时,RODC 是在分支机构托管 Active Directory 只读副本的选项。它是在企业的每个分支机构建立安全数据中心设施的经济替代方案。身份验证请求发送到 RODC,而不是通过 WAN 链路,以提高安全性。RODC 服务器仅保存有关 DC 的有限数据,凭据缓存由策略定义。本地管理员可以进行更改,而不会影响总部的主要 DC。
目录服务还原模式(DSRM):DSRM 是一种特殊的启动模式,可帮助管理员恢复AD数据库并还原系统状态。这类似于 Windows 中的“安全模式”概念。黑客有时使用渗透测试工具,如 Mimikatz,激活并捕获本地 DSRM 管理员凭据。他们可以使用本地管理员帐户获得远程访问。
