Active Directory

Q: Active Directory 是什么?

微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。 它属于网络安全的 身份与访问 分类。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

Active Directory 是什么?

Active Directory微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。

Active Directory(AD)将身份信息存储在域控制器上的分层、可复制数据库中,通过 LDAP 对外开放,认证主要由 Kerberos 完成,对旧客户端则使用 NTLM。管理员通过林、域、组织单位以及组策略对象(GPO)对成千上万台计算机统一应用配置和安全基线。AD 是大多数企业环境的核心,也因此成为攻击者的高价值目标:攻击者会利用 Kerberoasting、AS-REP roasting、DCSync、Golden Ticket 以及 BloodHound 绘制的攻击路径来获取 Domain Admin 权限。现代加固措施包括分层管理、专用特权访问工作站(PAW)、LAPS、AD 审计日志,以及与 Entra ID 集成,实现混合身份和条件访问。

● 示例

01
新员工入职时将 Windows 工作站加入企业域控制器。
02
通过组策略强制对所有加入域的笔记本电脑启用 BitLocker 加密。

● 常见问题

Active Directory 是什么?

微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。它属于网络安全的身份与访问分类。

Active Directory 是什么意思?

微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。

如何防御 Active Directory?

针对 Active Directory 的防御通常结合技术控制与运营实践,详见上方完整定义。

Active Directory 还有哪些其他名称?

常见的别称包括: AD, AD DS, Active Directory 域服务。

Active Directory