Microsoft域控安全解决方案

Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

从信息技术部门人员来说，如何整合现有IT环境中的资源，将IT环境的管理由松散方式变为集中管理的方式，减轻日常管理维护负担，提升IT生产力。从最终用户来说，如何能够实现单一的身份验证，快速的访问企业内部的各种资源，较少的宕机时间也是最大的愿望。

域控安全作用：

1、集中的组织与管理网络内的服务器及客户端

2、统一的数据组织与资源管理

3、单一登录的网络环境

4、集中化的软件部署与运行限制

5、功能强大并易于扩展的IT基础架构

整合现有信息技术环境，就是将客户端与服务器由现有的工作组模式的环境平滑迁移至基于活动目录的域模式，统一管理及身份验证信息，将信息统一由服务器发布，减少信息孤岛，增强信息技术易用性和安全性。

我们选择的Windows Server活动目录产品融合了一些新的技术特点，使我们有理由相信我们推荐的企业网目录管理服务方案最能适合企业的应用，这些特点包括：

l DNS集成

活动目录使用域名系统（Domain Name System，简称DNS）。这使得运行在TCP/IP网络上的计算机可以识别和连接另一台计算机。DNS域和Windows Server的域自然而有机的结合在一起，使得整个目录结构成树型分布，具有了DNS的层次感觉，也使得Windows Server系统能够支撑庞大的目录结构，是的目录对象涵盖了整个网络元素：用户，计算机，打印机，共享文件夹，应用程序，管理策略等。

l 目录定位服务

通过DNS服务中的Service Resource Record（SRV RR）记录公布提供目录服务的服务器地址，SRV RR中的附加信息指出了服务器的优先权及重要度，使得客户可以选择他们所需要的最好的服务器。DNS记录也可以集成到目录中，随着目录复制而达到DNS复制的目的。

l 全局唯一的用户名

在域内一个用户对象只能有一个用户主名，而这个用户名是可以用username@domainname表示的，就好比一个用户的mail地址一样。正是具有了这个特性，才能够实现在企业内只要一套用户认证系统就可以实现所有应用系统的单一认证问题。

l 可扩展性

活动目录是可扩展的，就是说管理员可以向模式中添加新的对象类，也可以向已经存在的对象类添加新的属性。模式包括每一个对象类和对象类属性的定义，它们可以存储在目录中。例如，可以向用户对象添加购买机构属性，然后可以将用户的购买机构范围做为用户帐号的一部分进行存储。

l 灵活的查询

用户和管理员可以使用"开始"菜单上的"查询"命令、桌面上的"我的网络"图标或者"活动目录用户和计算机连接"插件来根据对象的属性快速的查找网络上的对象。

l 身份联合

ADFS（活动目录身份联合）提供了基于Web的extranet验证/授权、单一签名登陆(SSO)和针对Windows Server环境的联合的身份服务，从而提高了在涉及B2C extranet、intra company(多森林的)联盟和B2B internet联盟的场景中、现有活动目录部署的价值。

l 基于策略的管理

组策略是在初始化时对计算机或者用户进行的配置。所有的小组策略设置都包含在组策略对象（Group Policy Object，简称GPO）中，它可以应用于活动目录站点、域或组织单元中。GPO设置确定对目录对象和域资源的访问、哪些资源域是用户可以访问的以及这些资源域应该如何使用。

在利用企业网的目录管理服务提供单一的用户身份验证方面，总的来说，存在两方面的应用连接方式：

§ C/S应用的连接方式

§ Web应用的连接方式

其中，Web应用的连接方式比较统一，解决方法也比较成熟，而C/S应用的连接方式就比较复杂，需要根据特定的应用具体分析，举例来说，Domino/Notes系统就是典型的C/S应用。

在综合了所有解决方案之后，通过对安全性，用户使用的方便性，管理要求，实现技术的成熟性几方面的比较，最后推荐使用登录信息代理方式解决单一用户登录，统一认证(SSO)的问题。

这种方式的实现原理是：应用的登录信息存储在目录数据库（AD）中，通过AD的用户认证得到保护。在应用系统登录时从AD中获得相关信息进行登录。这个过程通过SSO插件透明进行，从而实现SSO。

l UNIX身份管理

通过将AD域控制器作为主NIS服务器，并同步Unix和Windows环境中的用户密码，UNIX集成有助于在操作系统间建立不间断的用户访问和有效的网络资源管理。

l 活动目录组成结构

企业网目录管理服务的产品构成比较简单：Windows Server +Active Directory(活动目录)+符合活动目录要求的客户端系统。