「运维有小邓」域控制器概述

身份验证是计算机网络的一项基本功能，有助于确保只有授权用户才能访问系统。作为托管服务提供商 (MSP)，身份验证是帮助确保客户数据安全且只有正确用户才能访问的关键要素。

出于这个原因，MSP 应该花时间了解域控制器，这在现代身份验证中起着重要作用。什么是域控制器？在本文中，我们将解释它们的功能并对各种类型的域控制器进行分析，包括 Active Directory。

身份验证

域和域控制器有什么区别？

每个计算机工作站都有自己的用户帐户，称为本地帐户，用于登录该特定机器。但是，这些账户并非旨在登录网络，原因有两个。首先，网络帐户需要是可移植的——用户应该能够从任何工作站访问网络。其次，需要从中心位置控制账户配置。否则，每当帐户权限发生变化时，系统管理员都需要在每个本地设备上单独配置帐户。

这就是域的用武之地。网络域集中了用户帐户，因此可以更轻松地管理它们，并使用户能够从任何机器登录到网络。在域内，域控制器用于管理用户账户对网络的访问。

域控

域控制器的主要功能是什么？

域控制器是 Microsoft 网络环境的一部分。Windows 域控制器处理用户身份验证请求。当用户试图访问网络时，域控制器会响应该请求。域控制器验证用户是否应该被允许进入，运行登录过程，并调节权限（控制用户可以看到网络的哪些部分）。这是一项关键的安全功能。域控制器确保只允许授权用户访问网络，有助于抵御黑客威胁。

验证通常使用用户名和密码组合执行，但可以结合生物识别技术和 多因素身份验证 (MFA) 以提高安全性。验证用户后，域控制器将确定他们是普通用户还是具有额外权限的系统管理员。

多因素身份验证

但随着黑客技术的不断升级，域控制器已经很难对各类密码攻击产生很好的效果，所以很多企业已经开始利用第三方工具对企业域环境进行保护。AD域管理一直以来都是企业IT管理员的一项重要工作之一。虽然如此，但当IT管理员面临一些AD域用户问题时仍无法高效妥善处理。例如，由于域内执行密码策略，大量用户没有及时更改密码导致大量用户密码过期。管理员若想解决该类问题只能对过期密码逐一进行重置，但目前的公司人员数量越来越多，如果想对过期密码进行重置，将耗费管理员很大精力而且其中不免会出现错误。

因此密码修改或重置这些工作如果能由用户自己来完成，那么管理员的工作压力会减轻不少。但自助改密往往会存在着密码被盗的风险。所以用户的自助改密前提就是保障账户密码的安全性。

ADSelfSericve Plus

ADSelfSericve Plus是一款AD域用户自助管理工具，它不仅能实现用户自助更改密码，在修改密码过程中还必须执行相应的验证。保障修改者正是密码持有者。并且他还能对锁定状态下的账户进行解锁。完全通过自助的形式让AD域中的用户能够自助对账号密码进行管理。待密码到期时还可以对用户进行及时提醒，防止用户因为密码过期导致的无法登录情况再发生。

社会的发展进步都会伴随着技术的革新，在互联网时代高效快捷的执行力是企业发展的活力源泉。企业AD域管理同样如此，快捷高效的对域用户进行管理，安全妥善保证AD域正常运行才是企业正确的AD域管理之道。