網域控制站(Domain Controller, DC)為 ADDS中的一個核心組件, 主要用於管理與控制 Windows網域中的各種安全性及網路資源, 並提供集中化的身份驗證與授權功能, 負責管理網域內的目錄資料庫, 包括使用者帳戶、電腦帳戶、群組、網路資源和安全性原則等資訊, 儲存 ADDS目錄資料庫(Ntds.dit)副本和 SYSVOL資料夾副本的伺服器
Ntds.dit: 是 ADDS資料庫的核心檔案, 包含整個網域的目錄服務資料
1. 主要內容:
。儲存所有的目錄物件資訊, 包括使用者帳號、群組、電腦物件、組態資訊和安全性描述等
。包含網域中所有物件的屬性, 例如使用者密碼的雜湊值、物件識別碼(Object ID)等
2. 儲存位置:
預設情況下 Ntds.dit存放於 *%SystemRoot%\NTDS* 資料夾中w-studio.idv.tw
3. 複寫功能:
網域控制站會將 Ntds.dit中的目錄資料與其他網域控制站進行同步(即目錄服務複寫), 確保所有 DC上的目錄資料保持一致
4. 重要性:
Ntds.dit是 ADDS運作的核心, 如果這個檔案遺失或損壞, 網域控制站將無法提供身份驗證、授權及目錄服務
SYSVOL: 是一個共享資料夾, 儲存用於網域內的群組原則物件(GPO)和腳本等檔案, 主要用於網域內電腦的管理與同步
1. 主要內容:
。群組原則物件(GPO): 包含網域內的政策設定, 例如安全性設定、軟體部署等
。登入/登出腳本: 儲存網域登入時執行的批次檔或其他腳本
。網域公共檔案: 共享給網域內所有電腦使用的檔案
2. 儲存位置:
預設情況下 SYSVOL目錄位於 *%SystemRoot%\SYSVOL* 資料夾中
3. 共享與同步:
SYSVOL資料夾會透過 DFS-R(分散式檔案系統複寫)或早期的 FRS(檔案複寫服務)進行同步, 確保網域內所有網域控制站上的 SYSVOL資料保持一致, 每個網域成員電腦都能透過共享路徑 \\<網域名稱>\SYSVOL 存取這些內容
4. 重要性:
如果 SYSVOL發生問題, 群組原則和登入腳本將無法正常傳送到網域內的用戶端, 進而影響網域的集中管理功能w-studio.idv.tw
1. Kerberos驗證服務的角色與運作原理
Kerberos是一種基於票證(Ticket)和對稱加密的身份驗證協定, 提供安全的身份驗證機制使用戶能夠安全地存取網域內的資源
。主要功能:
-身份驗證: 透過密碼與加密票證驗證用戶或服務的身份
-單一登入(Single Sign-On, SSO): 用戶登入後只需一次身份驗證即可存取多個服務而不需重複輸入密碼
-加密通信: 確保身份驗證過程中的資訊不會被竊取或篡改
。Kerberos驗證通常包含以下三個步驟:w-studio.idv.tw
1) 用戶向 KDC進行身份驗證
--用戶端將自己的帳號名稱加密後發送給 KDC
--KDC透過使用者的密碼雜湊驗證該用戶的身份, 若驗證成功 KDC會頒發一個 TGT(Ticket Granting Ticket, 授權票證)給用戶端
2) 用戶請求存取特定服務
--用戶持 TGT請求存取某服務時, 向 KDC要求一個服務票證(Service Ticket)
--KDC根據 TGT頒發一個針對該服務的加密票證
3) 用戶存取服務
--用戶將服務票證提供給目標服務(如檔案伺服器), 服務會驗證票證的合法性
--驗證通過後用戶即可存取該服務, 而不需重新輸入密碼
2. KDC服務(Key Distribution Center)的角色
在 ADDS網域控制站中, KDC是實現 Kerberos驗證服務的核心組件, KDC主要負責發行並管理 Kerberos驗證所需的各種票證和密鑰
。KDC的兩大功能模組:
--驗證服務(Authentication Service, AS): 驗證用戶的身份, 當用戶首次登入時 KDC會頒發一個 TGT
--票證授權服務(Ticket Granting Service, TGS): 當用戶需要存取特定服務時, KDC會根據用戶的 TGT頒發一個服務票證給用戶端w-studio.idv.tw
。KDC與網域控制站的關係:
--在 Windows網域環境中, KDC服務是內建於網域控制站的一部分
--每個網域控制站都會提供 KDC服務, 負責處理網域內所有的 Kerberos驗證請求
--網域控制站同時扮演 KDC伺服器和目錄服務提供者的角色, 執行身份驗證與存取控制
沒有留言:
張貼留言