活动目录（AD）凭借其独特管理优势，从众多企业管理服务中脱颖而出，成为内网管理中的佼佼者。采用活动目录来管理的内网，称为AD域。

了解AD域，有助于企业员工更好地与其它部门协作，同时提高安全意识。中安网星由此推出AD域安全科普系列，为大家讲解AD域的安全管理。

AD域将企业内网中的所有资源对象集中到域控上，存储在AD数据库中，采用DNS规则命名，方便管理的同时提高安全性。

这一篇文章中，我们先给大家介绍下AD域服务的应用环境——域，在了解清楚域的形成和结构之后，才能对AD域服务的功能有更深入的理解。

域的形成

在企业办公场景中，经常需要部门间互相共享资源，如果每与其它计算机通信一次，都要经过一次身份验证，会大大影响部门间的协调性，影响办公效率。

如果我们简单地关闭身份验证服务，将会导致计算机面临严重的安全风险，这种方法得不偿失。最好是与企业内部计算机通信时能够免去身份验证，而与外部计算机通信时依然保留身份验证服务。

这就需要在内部员工计算机间构建信任关系，建立了信任关系的计算机连起来就形成域。域外计算机与域内计算机通信需要进行身份验证，不同域的域计算机通信前需建立信任关系。当以域为单位建立信任关系时，可以在两域中的所有计算机间进行免验证通信。

而企业员工只需注册成域用户，在任一台域计算机上登录，就能与其它域用户通信。

这其实与单点登录的功能类似。单点登录中，用户只需进行一次身份验证，就能访问所有服务器。在域中，域用户只需要在登录时进行一次身份验证，就能与其它域用户进行免验证通信。

这个对用户进行身份验证的服务器就是域控制器（DC），简称域控。

域控

域控是集中存储域内所有资源对象及其属性的服务器。如果把域内资源对象看作团队成员，域控就相当于团队的领导者，所有人都要听它安排，所有事情都要给它汇报，包括对象信息变动、权限划分、资源分配等。

比如，企业中有新员工入职时，就要在域控上给他注册一个账号。该账号作为他进行域内活动的唯一凭证，关联他的所有信息，包括工作岗位、电话号码、对域内资源的使用权限等。

也正因此，黑客侵入企业内网后，都会想方设法横向移动到域控主机，夺取其控制权，进而掌握域内所有资源信息。

更为棘手的是，假使黑客攻破了域控主机，删除其上存储的全部信息，并破坏域控主机的正常功能，那么即使企业能够检测查杀入侵活动，也无法恢复正常业务功能。

这种情况下，我们通常会通过部署额外域控的方式来降低风险。顾名思义，额外域控就是在在已经存在一个域控的基础上，又多设置的域控。

我们只要将主域控上的信息备份到额外域控，并同步更新，那么在主域控发生故障时，就能用额外域控暂时代替主域控，保证信息系统的正常运行。

除此之外，额外域控还有一个重要作用，就是提高效率，它可以在有许多域用户要求提供服务时，替主域控分担压力，由它来响应部分用户的请求，从而提高企业整体效率。

除了以上提到的两种类型，还有一种只能读不能写的域控，简称只读域控（RODC）。

在只读域控管辖的域范围，用户只能进行登录验证和查找资源，而无法修改资源信息和配置组策略等，一般在企业的分支机构中应用较多。

当分支机构与中心内网间断开联系，用户无法通过中心域控登录，为了不影响他的正常工作，就由中心域控将用户信息拷贝到只读域控上，用户就能通过只读域控验证登录。

这样，就能保证分支机构的权限不必过大，也能正常运行。

域控作为域内资源管理的主导者，拥有极大的权限，也经常成为攻击者侵入企业内网的目标。保护内网安全，我们必须加强对域控的防护。

域树、域林

作为一台集中管理资源的设备，单一域控的承载能力是有限的，当域内用户数量达到它的承载极限时，为了满足需求，需要在其下再划分一个域。

新划分的域从旧域中衍生出来，与旧域建立了双向传递的信任关系，两者共享同一个存储结构和配置。因为他们间存在上下层次的依赖关系，一般我们将旧域称为父域，新域称为子域。

父域和子域形成连续的名字空间，同一名字空间的域连成域树。通常将第一个创建的域作为树根，其它随后创建的域就作为树的枝干延伸。每一个子域都用其上父域的名字作为域名后缀，比如，父域的名称是zawx.com时,子域的名称可能为a.zawx.com。

当内网中形成了多棵域树，会给管理增加困难。实际上，不管划分了多少片域形成了多少棵域树，他们都是属于同一个企业的。我们可以将企业中的所有域树连起来，用统一的活动目录管理，这就形成了域林。

“林”中的所有“树”共享同一个存储结构、配置和全局目录。通常将“林”中第一个创建的域作为根域，根域相当于“林”的主人，能够管理其它域，并在其上存储部分其它域的资源。

“林”中的域用户登录后，不仅可以与本域用户进行免验证通信，还能与林中其它域用户免验证通信。甚至在其它域赋予权限后，能查找及使用它域的资源。

简单来说，域树、域林是多个域的集合，从概念上来看，域树、域林代表了更大范围的信任联系，能协调更多部门间的通信和资源使用关系，更大程度上提高企业整体的协作效率。

结语

以上篇章中，我们为大家讲解了域、域控和域树、域林。在企业中应用时，通常将每个子公司单独划分成域，由子公司管理，再在各个域间建立双向传递的信任关系形成域树、域林，由企业统一管理。

实际上，域树域林的形成是借助了活动目录强大的拓展性。活动目录（AD）在内网管理中的优势不限于此，还有很多值得探索的地方，下一篇文章中，我们将给大家详细介绍AD域服务的功能。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法