1. Главная
  2. Математика
  3. Общее представление о службе Active Directory.

Общее представление о службе Active Directory.

Active Directory представляет собой реализацию каталога и протоколов именования, основанных на стандарте Интернета. Active Directory использует СУБД для поддержки обмена транзактными сообщениями и поддерживает множество стандартов интерфейсов программирования приложений.

В этом разделе

  • Защита Active Directory
  • Управление доступом в Active Directory
  • Именование в Active Directory
  • Хранилище данных каталога
  • Протокол доступа к каталогам
  • Учетные записи пользователей и компьютеров
  • Имена объектов
  • Подразделения
  • Роли сервера Active Directory
  • Клиенты Active Directory
  • Общее представление о доменах и лесах
  • Общее представление о группах
  • Общее представление об отношениях доверия
  • Общее представление о сайтах и репликации
  • Общее представление о глобальном каталоге
  • Взаимодействие с DNS и групповой политикой
  • Общее представление о схеме

Защита Active Directory

Защита Active Directory

Active Directory обеспечивает безопасную среду каталогов организации, используя встроенную проверку подлинности и авторизацию пользователя при входе в систему. Для обеспечения повышенной безопасности Active Directory после ее развертывания используйте следующие рекомендации и предупреждения.

Общие сведения о безопасности Active Directory см. в разделе Сведения о безопасности для Active Directory.

Дополнительные сведения о проверке подлинности (на английском языке) см. в разделе о входе в систему и проверке подлинности на веб-узле ресурсов Microsoft Windows. Дополнительные сведения об авторизации (на английском языке) см. в разделе об авторизации и управлении доступом на веб-узле ресурсов Microsoft Windows.

Внимание!

  • Физической доступностью контроллера домена могут воспользоваться злоумышленники для несанкционированного доступа к зашифрованным паролям. Поэтому все контроллеры домена рекомендуется закрывать в помещении, доступ в которое имеют лишь те пользователи, которым он действительно необходим. Кроме того, следует ограничить членство в группах «Администраторы предприятия», «Администраторы домена», «Операторы учета», «Операторы сервера», «Опытные пользователи», «Операторы печати» и «Операторы архива». Дополнительные сведения о контроллерах домена и группах см. в разделах Контроллеры домена и Группы по умолчанию.
Чтобы Используйте
Установите доверительные отношения между двумя лесами, а также упростите администрирование безопасности и проверку подлинности между лесами. Доверие лесов См. раздел Доверия лесов.
Заставьте пользователей домена использовать надежные пароли. Групповая политика См. раздел Надежные пароли.
Включение политик аудита. Аудит журнал событий можно настроить таким образом, чтобы выдавались уведомления о действиях, которые могут сделать систему уязвимой. Групповая политика См. раздел Политика аудита.
Назначьте права пользователя новым группам безопасности для определения административной роли пользователя в домене. Групповая политика См. Типы группы.
Включить блокировку учетных записей пользователей для снижения вероятности проникновения злоумышленника в домен путем повторяющихся попыток входа в домен. Групповая политика См. раздел Учетные записи пользователей и компьютеров.
Включить журнал паролей учетных записей пользователей для снижения вероятности проникновения злоумышленника в домен. Групповая политика См. раздел Вести список использованных паролей.
Определить минимальный и максимальный сроки действия паролей учетных записей пользователей для снижения вероятности проникновения злоумышленника в домен. Групповая политика См. разделы Минимальный срок действия пароля и Максимальный срок действия пароля.
Проверять подлинность каждого пользователя, используя криптографию с применением открытых ключей. Инфраструктура открытого ключа См. раздел Развертывание инфраструктуры открытого ключа.
Использовать безопасную рабочую среду, работая на компьютере без учетных данных администратора, когда они не требуются. Команду «Запуск от имени» См. раздел Использование команды «Запуск от имени».
Ограничить доступ пользователей, групп и компьютеров к общим ресурсам и отобрать параметры групповой политики. Группы безопасности См. Типы группы.
Предотвратить атаки злоумышленников, которые могут пытаться передать расширенные права пользователя учетной записи другого пользователя. Отбор SID См. раздел (на английском языке) «Об использовании фильтрации по идентификатору безопасности (SID) для предотвращения атак с целью повышения привилегий» на веб-узле корпорации Майкрософт .
Обеспечить безошибочную проверку подлинности пользователей и безопасность электронной почты. Смарт-карты См. раздел Общие сведения о смарт-картах.
Использовать стойкое шифрование для защиты пароля учетной записи на локальных компьютерах, рядовых серверах и контроллерах домена. Служебную программу Syskey См. раздел Служебная программа системного ключа.




Наши рекомендации

Возможности службы Active Directory. Преимущества службы Active Directory. Публикация ресурсов

Установка домена Active Directory

Общие сведения об Active Directory

Управление доступом в Active Directory

Именование в Active Directory

Роли сервера Active Directory

Средства поддержки Active Directory

Билет.DNS в Active Directory.

Установка Active Directory и DNS - сервера

Общее представление о психологической службе