阅读完整系列：Ch.1-保护Active Directory域服务Ch.2-只读域控制器（RODC）Ch.3-恢复Active Directory域服务 现代数据中心的每个组件都需要某种形式或方式的身份验证。Microsoft的Active Directory服务包含有关林中单个对象的信息，并将必要的信息存储在关系数据库中(ntds.dit公司). 域控制器是通过身份验证和登录过程控制对资源的访问的基础结构的负责人。当用户试图访问基于公司域的文件服务器上的文件时，Kerberos和NTLM是用于验证计算机或用户身份的身份验证协议。至少可以说，身份验证对于始终在线的业务至关重要。设计高可用性IT专业人员和工程师会非常小心地执行广泛的规划，以仔细构建一个高可用性的ActiveDirectory域服务基础架构，以消除潜在的问题。如果单个域控制器不可用（例如，由于网络中断，修补程序窗口期间重新启动），我们不希望所有通信停止，因此我们构建了恢复能力。Microsoft的Active Directory站点和服务(网站.msc)处理复制引擎或域控制器之间发生复制的时间间隔。这可以确保最新的更改自动在站点间移动，最好创建一个"滞后"站点，即在环境中从正常复制中显著删除的站点。这些值由成本和间隔模型管理。成本和复制间隔最大的站点优先级最低。如果一个组织单元（OU）被意外删除，那么在环境中立即复制它将是一种悲剧，因此会出现延迟站点。示例1:Active Directory站点和服务—成本和间隔复制幸运的是，大数据实战，对于那些运行Veeam备份和复制的用户来说，我们能够快速、轻松、可靠地恢复单个对象或对象的属性，以防某些内容被错误地编辑或删除。这是通过利用Veeam Explorer for Microsoft Active Directory实现的。控制城堡的钥匙Active Directory（AD）有许多内置的全局安全组；一些用于计算机对象，另一些用于用户对象。例如：域管理员企业管理员架构管理员组域用户域控制器域计算机为了成功地实现委派，了解AD中的安全模型是如何工作的很重要。在我看来，这实际上非常简单，非常像NTFS。在顶层设置的权限可以通过域层次结构中嵌套的OU和对象向下传递。意外肯定会发生！如果服务台上的John不小心删除了包含SQL基础结构的所有服务帐户的OU怎么办？今天真是糟糕的一天！为了防止意外的人为错误或更糟的恶意破坏，必须密切监视这些组的成员身份。应定期进行审核，以验证哪些用户帐户有权访问哪些组。最佳做法是为所有基于应用程序的用户帐户创建服务帐户（svc xxxx），联通物联网，为每个用户登录的所有提升访问帐户创建管理帐户（admin xxxx）。例如，我的常规域帐户cwyckoff永远不允许在domainadmins组中。为此，我将创建并使用admincwyckoff。另外，考虑使用随机字符，如员工ID作为用户帐户（例如v123456或admin-v123456）。这使得猜测用户帐户名对于外部黑客来说更像是一个挑战，根据已知的命名约定进行暴力攻击。将角色委派给IT中的其他成员是授权团队其他成员执行活动的一种很好的方式。通常，在较大的IT车间中，云计算和大数据的区别，工程和体系结构团队拥有activedirectory身份验证服务，同时将控制权和访问权委托给管理员和操作员级别的团队。为此，您应该利用ActiveDirectory用户和计算机中的内置工具(计算机控制台). 将完成常见任务的访问权委托给单个用户或用户组非常简单。例如，"将计算机加入域"或"重置用户密码并在下次登录时强制更改密码"。如果您希望完成的任务没有设置为向导中常见的现成任务之一，云报，则也可以创建自定义任务。列出每个用户或用户组将执行的任务允许我们采取基于角色的方法。这绝对是一个最佳实践，它是确保适当的团队拥有执行其工作所需的确切权限的一个很好的方法—不偏不倚。示例2：内置控件委派向导结论域身份验证是基础设施的一个关键任务组件，大数据分析培训课程，它常常被忽视。很多时候，运行域服务的成员没有时间坐下来思考每个成员在其中的具体角色。最简单的解决办法就是过度权限，给别人太多的权限，这会让事情很快变得非常危险。构建本地保护策略，同时设计一个高度弹性的体系结构，允许所有组件以最佳方式运行。在下一篇文章中，我们将讨论整个站点的故障和恢复组件，以及如何利用只读域控制器（RODC）来进一步保护广告环境。VN:F[1.9.22_1171]评级：4.4/5（17票）保护Active Directory域服务-广告管理最佳实践（第1部分），根据17个评级，5分中有4.4