运维有小邓

  一、身份管理挑战： 由于企业需要越来越高的安全性，以保护用户帐户免遭入侵者的任何恶意攻击，因此身份管理正日益变得重要。在所有密码相关的身份挑战中，帮助台工作单量成为重中之重，它们在组织的年同比财务预算中不堪重负。部署更多的帮助台员工来实施复杂的密码安全策略所涉及的成本是首要关注的问题。 身份管理 二、用户帐户的安全从不打折扣： 由于即使很小的身份泄漏也可能造成巨大的损失，因此用户帐户的安全从不打折扣。如今的各组织期盼有更好的、更经济实惠的解决方案来保护员工身份安全。 ADSelfService Plus 通过向企业提供自助服务与报表解决方案的恰当平衡，帮助各企业解决至关重要的身份管理挑战。 账户安全 三、ADSelfService Plus通过提供以下功能，解决了身份管理挑战： 自助密码重置 功能，针对忘记或 锁定 自己密码的用户 用户 更新 其个人资料的自助服务优点。 报表机制 ，用于跟踪使用该软件执行的各用户所有活动。 它还增强管理员在帮助推行强 密码策略 实施方面的信心。 ADSelfService Plus 四、密码自助解决方案： ADSelfService Plus 自助密码重置/帐户解锁 解决方案提供易于使用的界面，让用户在不用帮助台干预的情况下，通过回答安全问题/复制验证码来重置其密码或解锁其帐户。即，ADSelfService Plus帮助其用户对他们自己进行 身份验证 （身份管理的一个重要方面），因此大幅减少了密码工作单量。 密码自助管理 五、自助更新功能： ADSelfService Plus允许域用户在 Active Directory 中使用基于web的自助门户，自助更新其个人信息。这帮助实时保持记录最新。有关用户的最新信息允许管理层根据手头最新的个人资料，采取恰当的决策。 六、所有用户活动的审计线索： ADSelfService Plus带有报表机制，帮助管理员生成有关所有用户活动（由软件指派给用户）的审计报表。有关在Active Directory中自助密码重置、自助解锁帐户和自助更新用户信息的审计报表进行记录，并可以生成。有关何时在哪台机器发生什么操作的审计信息帮助管理员前摄地查明/检测任何的身份处理不当情况。 七、增强实施强密码策略的信心： 如果管理员有信心降低帮助台电话量的信心，则可实行强密码策略。提供自助密码重置解决方...

  随着企业大量采用云应用程序，最终用户不得不在一天中处理越来越多的密码，只是为了完成他们的工作。为了进行有效的用户身份管理，您需要采用一种有效且安全的方法来管理用户密码。 ADSelfService Plus 是一个 企业单点登录(SSO)解决方案 ，为用户提供无缝、一键访问所有支持saml的云应用程序。它允许用户使用一个身份访问所有云应用程序。使用ADSelfService和SSO，可以最大限度地减少密码安全问题，提高工作效率，缓解身份管理方面的挑战，同时还可以增强用户体验。 SSO 一、无缝，一键访问所有应用程序 用户只需登录到ADSelfService Plus，它充当身份提供者。登录后，用户将看到一个仪表板，其中列出了他们可以访问的每个云应用程序。只需单击一下，用户就可以访问每个应用程序，而无需再次输入用户名和密码。 身份验证 二、安全的云应用程序与双重认证 ADSelfService Plus通过 多因素身份验证 保护对云应用程序的访问。启用SSO时，用户必须始终在ADSelfService中验证自己的身份，首先使用经过测试的Windows Active Directory域凭据，然后使用您选择的另一个因素。对于第二个因素，ADSelfService Plus支持本地因素，如SMS或基于电子邮件的验证码，以及第三方身份验证提供者，如Duo Security、RSA SecurID、RADIUS server和谷歌Authenticator。了解ADSelfService Plus如何通过 双因素身份验证 确保云应用程序的安全性。 ADSelfService Plus 三、使用活动目录中的现有标识 ADSelfService Plus使用users’用于身份验证的Windows  Active Directory 中的现有身份。这节省了原本用于为用户设置新身份的时间，也消除了对存储额外密码的密码库工具的依赖。ADSelfService Plus也使用了OU和Active Directory中的组结构来控制云应用的访问。了解ADSelfService Plus如何让您轻松使用Active Directory身份为云应用设置单点登录。 Active Directory 四、基于策略的访问控制 您可以通过创建基于Active Directory...

  大多数组织依赖于密码自助管理工具来跟踪用户的密码相关日常 事务。但是，另一方面，大多数自助解决方案只能从web浏览器进行访问。因此，已锁定的用户被迫从同事的工作站或用web浏览器从自助服务终端重置其密码。这与 自助密码管理 的意图背道而驰了。为了成功地解决此类困局，ManageEngine   ADSelfService Plus 提供了一种全面的密码自助管理解决方案。 ADSelfService Plus 在ADSelfService Plus GINA/CP登录代理的帮助下，ADSelfService Plus让用户从其Windows登录机器的登录屏幕 重置密码 /解锁帐户。此功能帮助各组织减少IT帮助台电话的相关开支。它还将管理员从此类小问题中解放出来，帮助他们着重关注更重要的任务。 ManageEngine ADSelfService Plus在运行Windows Vista及以上版本（包括Windows 10）的机器上，提供ADSelfService CP登录代理作为凭证提供程序(CP)。 操作系统 受支持的操作系统： Windows 10 Windows 8.1 Windows 8 Windows 7 Windows Vista Windows Server 2012 Windows Server 2008 r2 Windows Server 2008 ADSelfService Plus GINA登录代理在运行更早Windows版本的机器上的登录屏幕上，负责显示“重置密码/解锁帐户”按钮。ADSelfService Plus GINA基本上是标准Microsoft GINA的扩展，与ADSelfService Plus CP代理具有相同的功能。 受支持的操作系统： Windows XP Windows Server 2003 r2 Windows Server 2003 凭证提供程序是什么？ 凭证提供程序是COM对象，当安全注意序列事件（按CTRL+ALT+DEL组合键）出现时显示。他们获得有关用户凭证的信息，并传送至本地安全机构服务器以进行身份验证。它们首次是随Windows Vista引进的，然后成为所有Windows版本的有机组成部分。第三方凭证提供程序（例如：ADSelfService Plus CP代理）还可以与Micr...

  企业需要每天都警惕内部攻击和间谍等重大安全威胁。防范潜在的攻击者对保护组织的网络和数据大有裨益。但是，要实现此目标，还需满足几点。您必须完全了解分配给Windows   Active Directory   (AD)中用户和组的权限，它们可访问的帐户、资源和数据，其   NTFS和共享权限 , 以及它们可以执行的操作。换句话说，您需要有关于AD中用户和组权限的详细报告。 这些权限报告对于通过 SOX, HIPAA, GLBA, GDPR 和PCI等各种法规的合规性审计也十分必要。要列出每个AD用户和组具有的所有权限，您通常需要依赖PowerShell或Active Directory用户和计算机(ADUC)控制台之外的其他脚本语言，因为该控制台不提供AD报告帮助。而另一方面  ADManager Plus , 则可提供专门构建的报告，可轻松查看分配给AD中用户和组的所有权限。 Active Directory 使用ADManager Plus报告Active Directory权限 ADManager Plus是一个基于Web的Active Directory、Office 365和 Exchange管理和报告工具 ，提供预定义的报告库，其中包括基于权限的报告，如： 用户和组可访问的AD对象: 查看指定AD用户和组可以访问的所有对象（如用户、组、计算机、文件夹、NTDS服务对象等），以及他们对每个对象拥有的权限（读取所有属性、读取登录信息、写入、列出内容、更改密码、删除、完全控制等）和权限类型（允许或拒绝）。 用户和组可访问的服务器: 列出所选AD用户和组可以访问的所有计算机（服务器和工作站）、计算机的操作系统、这些计算机的权限类型（允许或拒绝），以及他们可以对其执行的完整操作列表。 用户和组可访问的文件夹: 显示指定AD用户和组可以访问的所有共享文件夹、他们可以执行的权限或操作的完整列表，以及他们对所列操作具有的权限类型（允许或拒绝）。 用户和组可访问的子网: 显示AD中所选用户或组可以访问的所有子网。还会列出所选用户和组在子网中可以和不可执行的所有操作。 文件夹权限: 显示有权访问指定文件夹的用户和组及其相应的权限。对于组，此报告还显示组成员，这反过来可帮助您确定哪些组和用户可以访问所选文件夹（作为组的成员）。...

  使用此简化的 NTFS权限工具 分析和优化共享权限和访问控制列表（ACL）。 ADManager Plus 是我们的Active Directory管理和报表解决方案，可以兼用作共享文件夹权限报表工具。它提供预定义的报表，以查看，分析和修改NTFS并共享分配给Windows或NetApp服务器，文件夹和文件的权限或ACL。 NTFS权限 使用ADManager Plus，您可以： 一、防止未经授权访问NTFS分区和共享 全面了解NTFS并共享所有文件和文件夹的权限，以防止滥用文件，包括由于未经授权的访问而损坏文件内容。生成文件夹，文件和服务器共享的访问权限报表。向下钻取到实际的文件夹或文件，并分析安全设置和ACL，以便您可以采取适当的措施。 二、列出文件夹权限 服务器报表中的份额服务器报表中的共享：列出指定服务器中所有可用的共享，以及重要的详细信息，例如它们的位置，对该共享具有权限的帐户列表（安全主体），其关联的权限以及权限范围（例如文件夹，子文件夹）。 “帐户可访问的文件夹”报表“帐户可访问的文件夹”报表：的权限：根据特定的帐户权限过滤所有文件夹和文件。检查指定路径中的文件夹，然后进一步定义访问级别（完全控制或任何其他控制）以生成结果列表。 “非继承文件夹”报表：列出受可继承权限保护的文件夹和文件。指定路径以生成所有文件和文件夹的列表，这些文件和文件夹被限制不能继承其父对象的权限。 文件夹权限 三、报表有关用户和组的 Active Directory 访问控制权限 文件夹权限报表“文件夹权限”报表：查看哪些用户和组有权访问指定路径中的文件夹。关联的访问控制条目将指示用户或组对文件夹的访问级别，并指定可继承权限（如果有）。 安全报表：查看指定用户帐户可访问的所有服务器，子网或对象的列表。 四、将文件夹权限导出到Excel或其他格式 将NTFS以及文件或文件夹的共享权限导出到Excel，并以CSV，HTML，PDF和CSVDE格式显示。 五、自动执行NTFS和共享权限报表 安排这些报表在特定时间生成。生成后，可以将这些报表指定为自动通过电子邮件发送给管理员。 ADManager Plus 想了解关于ADManager Plus产品的详细功能信息。请持续关注“运维有小邓”，小邓将带您了解更多IT运维新知识！

  网络技术的进步催生了多种数据安全保护方法，可帮助企业有效保护敏感数据免受攻击者的窥探。其中， 多因素身份验证   (MFA) 是企业采用的最重要的安全措施之一。 MFA MFA（多因素身份验证）保证网络和资源免受基于凭证的攻击。它利用基于时间的一次性密码和生物识别等身份验证方式以及默认的基于用户名和密码的身份验证方法。随着敏感数据日益成为网络攻击者的主要目标之一，实施MFA变得至关重要。 目前攻击者已将注意力转移到MFA，技术的进步也帮助攻击者想出更复杂的方法来侵入系统和应用程序，甚至开始绕开MFA。攻击者利用 MFA 解决方案中存在的技术漏洞或使用社会工程学来操纵最终用户放弃与MFA相关的信息，例如安全问题的答案。 然而放弃使用MFA解决方案并不是目前解决问题的最有效方法，尽管MFA已经变得容易受到注入和暴力攻击等攻击机制的攻击，但其优势仍然使其成为急需的安全措施。根据 Microsoft的说法，MFA使99.9% 的帐户泄露攻击无效。 密码攻击 对于需要遵守GDPR和HIPAA等监管标准的企业来说，实施MFA是强制性的，这凸显了采用MFA的重要性。为了改善他们的网络安全状况，企业需要实施阻止MFA被攻击者绕过的防护策略。我们现在就给您推荐一款更全面的MFA解决方案，它可以完全避免攻击者利用相关技巧绕开验证，其独具的多重身份验证方式可以不断叠加，不管攻击者利用何种技术都逃不过其中一种或多种验证，为您的敏感数据增加了多把锁。 ADSelfService Plus 是一种 自助式密码管理和MFA 解决方案 ，可让您在企业中实施MFA以保护攻击者和VPN登录、自助式域密码和帐户操作以及企业应用程序登录。ADSelfService Plus 还提供了实施国际安全组织建议的 MFA 缓解策略的选项。 ADSelfService Plus 想了解关于ADSelfService Plus产品的详细功能信息。请持续关注“运维有小邓”，小邓将带您了解更多IT运维新知识！

  Microsoft  SharePoint Online 是被使用最广泛的内容管理平台之一。但令人担忧的是，最近几年我们发现大部分攻击者可以滥用 SharePoint Online 和 OneDrive for Business 中的某项功能来加密您的所有文件并以此来勒索赎金。 SharePoint Online 据观察发现可能存在潜在的漏洞是文件版本控制功能，可在SharePoint Online和OneDrive for Business网站上使用。该功能可以允许用户立即将任何文档恢复到以前的版本。但是，此功能可能会被攻击者利用。 一、文件版本控制如何容易受到攻击？ SharePoint Online和OneDrive for Business中的文件存储在列表和文档库中。每个文档库都有一个设置，可以在其中配置保存版本的数量。出现潜在漏洞是因为修改版本控制不需要管理权限。任何具有站点管理权限的用户都可以修改可以存储的版本数。 安全漏洞 与其他攻击一样，第一步是获得访问权限，这可以通过使用窃取的凭据或诱骗用户通过 OAuth应用程序提供所需的访问权限来完成。一旦威胁者设法访问网站所有者的帐户，他们就可以将版本数量修改为低至两个。此次变更后，SharePoint Online 和 OneDrive for Business 将只保留最后两个版本。然后，威胁行为者可以对文件进行两次修改并对其进行加密，从而确保从Microsoft365 生态系统中删除所有合法更改。 二、确保您的数据免受勒索软件攻击 我们不可能始终阻止所有的网络攻击，因为攻击者只需用户的一个小失误或网络漏洞就可以对您的数据造成严重破坏。抵御网络攻击的最佳防御措施是备份您的所有数据。 即使恶意软件减少了文件版本的数量或加密了您网站上的所有文件，ManageEngine RecoveryManager Plus 解决方案也可以 备份您的 Microsoft 365 环境的所有文件 ，让您可以将所有SharePoint Online和OneDrive for Business网站还原到一个恶意软件攻击之前的时间点。 RecoveryManager Plus 具有 增量备份 、粒度和完整还原、可修改的 保留策略 和多种存储介质，可以确保您的SharePoint Online和OneDriv...

  自疫情开始以来，医疗机构的信息存储与管理正面临着巨大的考验。患者的健康史，包括所有治疗、程序、处方、实验室测试和扫描报告，都以电子健康记录 (EHR) 的形式存储。尽管 EHR 更能提高患者病例的准确性，并帮助医生跟踪患者的医疗保健数据，但如果攻击者对这些报告进行篡改可能会产生难以估量的后果。因此，IT 管理员有责任保护患者的数据和隐私。 EHR 为保证这些健康信息 (PHI) 的完整性，结合以下三种策略可确保医疗机构完全遵守医疗信息隐私和安全法规，包括 HIPAA和HITRUST。 一、监控用户对包含健康信息（PHI）的文件服务器的访问 EHR包含PHI，这使其成为网络犯罪分子有利可图的攻击目标。需要密切监控包含EHR的服务器，及时发现未经授权的文件访问、修改和移动，确保数据完整性。医疗机构必须保证只有经过授权的医务人员和患者本人才能访问此类敏感信息。 二、实施 细粒度密码策略 和（ 多重身份验证 ）MFA 由于大多数医疗保健机构严重依赖密码来对其ePHI的访问进行保护，因此黑客只需要一个被破坏的凭据即可对其企业内部数据进行访问。而真正具有挑战的在于确保医生和其他医务人员使用强密码来保护他们的帐户。基于域、OU和组成员身份对不同用户（例如护士、住院医生、医生、前台等）实施多因素身份验证 (MFA)，同时确保无缝登录体验。 三、减少特权滥用和内部威胁 有权控制您的 Active Directory  (AD域)环境、GPO和服务器的特权用户会带来特权滥用和内部威胁风险。为了有效的安全性，需要建立一个 ZeroTrust 环境，以便将内部威胁拒之门外。仅将对患者健康信息的访问权限分配给医生、护士、健康保险主管和其他直接负责该患者的人员。 Active Directory 要实施这三种策略，您需要一个全面的 身份和访问管理 (IAM) 解决方案 ，例如 ManageEngine  AD360 。AD360 是一个集成的 IAM 套件，可以管理和保护您的 Windows AD、Exchange Server和 Microsoft 365 环境，并满足您的合规性要求。 AD360 使用 AD360，您可以： 在包含 PHI 的 Windows、NetApp、EMC、Synology、Huawei 和 Hitachi 文件服务器系统中实时跟踪谁...

  由于疫情原因，我们的工作方式也发生了很大的改变，相比以往的办公方式，未来线上远程办公将成为一种全新的方式。但目前对于很多企业来说，施行线上办公模式还面临着很多困难。 Microsoft 365 是企业最普遍选择的基于云的工作组件，在全球拥有5020万用户。对于基于云的产品，我们只需简单的互联网连接。无论我们在何处工作，与我们一起工作的人员、文件和数据都会随身携带。 远程办公 Microsoft 365可以简化企业员工的协作和通信。但是，它的诸多功能很少是面向管理员的。并且Microsoft 365 提供的个别功能或服务，使用单独的窗口，管理变得非常耗时。 M365 ManageEngine推出的  M365 Manager Plus （M365管理解决方案）通过以下功能管理 Microsoft 365 操作，从而消除了IT管理员的负担： 单一窗口功能：Exchange Online、Microsoft Teams、Azure Active Directory、OneDrive for Business 和其他服务的管理和安全功能都在单一窗口下提供。 内置报告：提供有关 Microsoft 365 服务的预配置单击报告，包括用于安全性和合规性报告的单独类别。 M365管理 ：使用 M365 Manager Plus 提供的批量管理功能节省管理员宝贵的工作时间。只需上传包含所有必需数据的CSV文件。从简单的密码重置到完整的权限管理，可以快速高效地对任意数量的用户或邮箱进行管理。 自动化：使用 M365 Manager Plus 自动化功能简化用户、邮箱管理，创建事件驱动的自动化策略。当被触发时，它们会执行一系列不需要人工干预的任务。即使是简单的任务，如为被阻止的帐户重置密码，也可以在指定的时间间隔内自动执行。 审计：不是简单的从统一的审计日志中检索所需的数据，M365 Manager Plus 提供可定制审计报告。这些报告及时准确地提供了可追溯到配置之日的实时审计数据。 警报：实时监控内部用户的威胁行为，接收有关关键和可疑用户活动的即时电子邮件通知。创建您自己的警报配置文件以密切关注所有用户和管理员活动。 邮箱内容搜索：搜索包含内部人员和个人身份信息的电子邮件，避免泄露个人信息给企业带来不必要的麻烦，强化企业内部网络合规等级。 监控： M...

  自互联网走进我们的生活以来，密码无论在生活和工作当中都充当着敏感数据信息的守护者。但如今尽管密码可能仍被很多企业所使用，但如果不对其进行改善，它已不能阻挡日益猖獗的网络攻击。 双因素身份验证 最近一波引人注目的安全漏洞让我们重新思考网络安全。只需几行代码即可公开全球数百万个登录凭据。 现如今仅仅定期更改密码可能还不够。根据2021年数据泄露调查报告，证书是攻击者用来入侵企业网络的主要手段，占数据泄露事件总量的61%，非常令人震惊。 仅仅依靠密码来保护企业网络数据就像把敏感数据的钥匙放在太阳底下给大家欣赏。所以您需要一种有效的方法来保护您的数据，当您的数据密钥落入坏人之手时，我们可以对敏感数据增加一层额外保护。这就是 多因素身份验证  (MFA) 和 双因素身份验证 （2FA有时也称为 TFA）至关重要的地方。 2FA 什么是 2FA，以及为什么您的企业需要它 2FA是一种在线验证您的身份并确保只有您可以访问敏感信息的方法。除了您的常规密码外，2FA 还会提示您证明您的身份。这些验证程序包括：验证器应用程序或物理验证（例如指纹或面部解锁）生成。 在企业设置中， 2FA 让系统管理员高枕无忧，因为它能确保即使密码落入坏人之手，他也无法对您的账户进行访问。使用2FA 还能解决您记住复杂密码烦恼，您无需再将它们写在便利贴上。即使您使用的密码并不是那么容易破解，网络罪犯也可以利用多重手段对劲的密码进行暴力破解，所以2FA才是您未来密码防护的更好选择。 密码保护 网络生活的便利使我们可以开设多个账户才能满足您的需求。更多帐户意味着更多密码。它还可能导致在多个网站中重复使用相同的密码。虽然重复使用相同密码的坏习惯可能很难改掉，但添加2FA这样的额外安全层可以帮助您有效保护数据的同时又获得完美的网络体验。 2FA可能是保护您的企业网络免受网络钓鱼、凭据填充、蛮力、中间人 (MITM) 攻击等诸多网络攻击的最简单方法。

  世界各地的网络安全专家都已表示加强网络安全防护措施是确保企业网络安全的重中之重。不断发生的网络攻击事件说明攻击者为了利益是不会对任何企业、任何个人讲情面的，而且我们现在已经看到，即使是大疫情也无法阻止或减缓他们的网络攻击行为。因此，企业必须对其内部网络安全重视起来，让网络资源得到妥善保护，引导企业员工使用强密码和 身份验证 等措施保护其帐户安全，并确保应用程序没有安全漏洞。 网络安全 ManageEngine在网络安全方面一直都在进行深入研究并对任何新型攻击形式保持警惕，以确保我们的网络安全解决方案足够强大，而且安全可靠。揣着同样的愿景， ADSelfService Plus  开发团队遵循大量流程来测试改款产品的安全性与实用性，确保其安全性坚如磐石。以下就是ADSelfService Plus团队在对产品进行开发时所经历的场景： ① 内部代码分析 ADSelfService Plus团队拥有强大的内部代码分析工具，可以测试解决方案确定是否存在任何缺陷，然后立即修复。 ② 让内部的红队成员变成攻击者 红队由擅长发现内部微小缺陷的一批人组成，他们冒充攻击者来试图利用各种方式攻击我们的解决方案，看看是否存在任何可能被黑客滥用的漏洞。 ③ 漏洞赏金计划 ManagEngine 内部或外部人员、社区和安全专家的团队一次又一次地对我们的解决方案进行测试，以扫描是否存在任何缺陷。如果发现任何漏洞，则会立即对其进行修补。 ADSelfService Plus 如果您想了解更多关于 ADSelfService Plus的相关功能，您可以持续关注“运维有小邓”，小邓将继续为您提供关于ADSelfService Plus的详细信息。

  随着网络犯罪的频率和强度不断上升，许多企业开始选择购买网络保险，用以弥补网络攻击后的经济损失。虽然采用全面的 网络安全策略 至关重要，但即使是最安全的网络防护手段仍可能被熟练的黑客攻破。 网络保险 据报道，全球网络保险市场预计将从2022年的119亿美元增长到2027年的292亿美元。因此，网络保险公司正在急速增加保费。 保险公司要求保单购买者必须在其企业网络中实施严格的安全防护措施，这样才有资格获得投保权。然而，网络保险的相关保单中并未说明需要实施什么才能获得投保权。 网络攻击 网络保险公司经常使用包含重要问题的安全检查表来评估您的企业是否具有最低限度的安全控制措施帮助其获得投保权。其中一些包括： 您是否有适当的机制来识别威胁？ 您是否对本地和远程登录都使用 多重身份验证  (MFA)？ 您是否有抵御勒索软件攻击的防御机制？ 您有合适的 备份和恢复解决方案 吗？ 您如何控制特权滥用？ 对于大多数企业而言，网络保险公司的这些要求似乎在技术上非常难以实现，让许多企业在进行准备时焦头烂额。 勒索软件 如何获得网络保险的投保资格 其实涉及的步骤很简单。 弄清楚网络保险公司提出的问题。 列出必须实施的所有网络安全解决方案。 确定有助于实施所有必需的安全控制的统一解决方案。 如果您正在寻找一种解决方案来帮助您的企业顺利通过网络保险投保资格，你来对地方了！ManageEngine  AD360 （AD综合运维解决方案）可以通过其有效的安全防护策略帮助您获得网络保险投保资格。 AD360 想了解更多关于AD360解决方案的相关产品问题，请继续关注“运维有小邓”小邓每天都会为您分享网络运维相关知识及优质产品，为您的企业网络安全提供帮助！

  如果您是刚接触 Active Directory  (AD)的初学者，那么当您发现LDAP这个术语时可能会感到十分迷茫。今天就让我们来您熟悉 LDAP，让您更加坚定学习 AD域管理 的信心。 LDAP 首先，让我们直面主题！什么是 LDAP？ LDAP 是一种标准软件协议，允许用户查找有关其他用户及其属性、资源、应用程序和其他活动目录的详细信息。它是使AD域各类功能成为可能的主要协议。 AD域与LDAP 一、LDAP 扮演的角色如下： 它有助于对用户进行 身份验证 和授权，以便用户可以访问和修改网络中的数据和资源。 它为客户端提供了一种通信语言，用于与服务器进行交互并从活动目录服务中请求所需的信息。 LDAP 使用绑定操作授权客户端在成功验证后访问LDAP服务器。绑定操作包括绑定请求和绑定响应。 二、LDAP 绑定请求由以下三个参数组成： LDAP 版本：指定客户端要使用的LDAP版本。LDAP Version 3 在客户中很流行，但一些老客户可能仍然需要LDAP Version 2。 专有名称(DN)：DN 唯一标识活动目录中的对象。在匿名身份验证的情况下，该字段的值可以为0。 认证方式：客户端可以使用以下任意一种认证方式：匿名认证、简单认证或简单认证和安全层（SASL）。 为了更好地理解这一点，让我们用一个例子更好的说明其功能。小邓想要使用他办公室五楼的扫描仪来处理一些正式工作。LDAP使他能够搜索和定位五楼的扫描仪，并进一步验证和授权他访问扫描仪并进行安全连接。 三、以下步骤详细阐明了LDAP如何执行此身份验证和授权过程： 步骤一：小邓（用户，也称为客户端或活动目录用户代理 (DUA)）连接到 LDAP 服务器（也称为活动目录系统代理 (DSA)）。 步骤二：小邓然后使用LDAP向服务器发送搜索请求，请求五楼的特定扫描器。 步骤三：LDAP数据库对小邓进行身份验证。 步骤四：LDAP搜索活动目录并将请求的扫描器地址返回给小邓。 步骤五：小邓收到请求的响应并断开与LDAP服务器的连接。 LDAP服务器 在上述过程中，LDAP服务器可以使用三种方式中的任何一种来对小邓进行身份验证。他们分别是： 匿名身份验证：在此方法中，客户端通过发送绑定请求连接到服务器，其中用户名值为0，密码值为 0。使用此方法，客户端可用的信息范围通常很小。 简单认证：在...