ActiveDirectory和组策略教材

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,第3章Active Directory,和,和组策,略,略,规划基础,结,结构服务,服,服务器角,色,色,规划和实,现,现组策略,方,方案,本章课程,设,设置：,第1课WindowsServer 2008Active Directory,第2课WindowsServer 2008组策略,1,第1课windowsServer 2008AD,学习目标,：,：,列举和描,述,述WindowsServer2008ActiveDirectory域服务,（,（ADDS）的,新,新特征和,功,功能,规划和配,置,置域功能,级,级别,规划林功,能,能级别,规划林信,任,任,使用目录,服,服务器,2,3.1.1介绍,WindowsServer,2008,目,目录服务,器,器角色,目录服务,器,器角色AD DS,引,引入的新,功,功能：,只读域控,制,制器RODC,新的和增,强,强的工具,和,和向导：AD DS安装向,导,导,细化的安,全,全策略：,多,多元密码,策,策略,可重启的AD DS：允许,离,离线操作,AD DS数据挖,掘,掘工具：,可,可查看快,照,照数据,3,3.1.1介绍,WindowsServer,2008,目,目录服,务,务器角色,1只读,域,域控制器RODC,RODC,是,是具有Active Directory,文,文件库只读版本的域控制器，可部署,于,于域控制,器,器安全性,无,无法确保,的,的环境中,。,。包括域,控,控制器的,物,物理安全,性,性有疑虑,的,的分支机,构,构，或者,具,具有额外,角,角色功能,并,并需要其,他,他用户登,入,入与管理,服,服务器的,域,域控制器,。,。,可以把RODC管,理,理委派给,一,一个域用,户,户或安全,组,组，从而,在,在本地管,理,理员不是Domain Admins组成员,的,的地方使,用,用RODC。,4,3.1.1介绍,WindowsServer,2008,目,目录服,务,务器角色,使用案例,：,：,远程分公,司,司的用户,，,，一般通,过,过广域网WAN连,接,接到总公,司,司的DC,进,进行身份,验,验证。缺,点,点：延迟,或,或不能登,录,录。,怎么解决,？,？可写的DC?,存放一个,可,可写的DC和一个,管,管理员，,浪,浪费太大,。,。,存放一个,可,可写的DC，让管,理,理员远程,管,管理，带,宽,宽低，费,时,时又棘手,。,。,存放一个,可,可写的DC不如WAN安全,。,。,RODC,解,解决方案,：,：,RODC,提,提供了增,强,强的安全,性,性；,使登录更,快,快速，并,且,且允许更,有,有效地访,问,问本地资,源,源；,RODC,管,管理可以,委,委派给一,个,个没有管,理,理权限的,用,用户或组,。,。,5,1只读,域,域控制器RODC,如果分公,司,司使用的LOB（line-of-business,）,）业务应用,程,程序只有安装,到,到一个域,控,控制器上,才,才能运行,，,，也要选,择,择部署RODC。,RODC,从,从一个可,写,写DC接,收,收它的配,置,置。,敏感的安,全,全信息不,被,被复制到RODC,。,。,用户在分,公,公司第一,次,次登录时,通,通过WAN进行身,份,份确认，,然,然后RODC可以,把,把凭证缓,存,存，以后,就,就可以在,本,本地验证,。,。,因此，在用户相对,较,较少，物,理,理安全性,差,差，网络,带,带宽较低,，,，IT,知,知识贫乏,的,的环境下,，,，可以采,用,用RODC。,提供了只,读,读ADDS数据,库,库、单向,复,复制、凭,证,证缓存、,管,管理员角,色,色分离、,只,只读DNS（不支,持,持客户更,新,新）等功,能,能。,3.1.1介,绍,绍WindowsServer2008,目,目录服,务,务器角,色,色,6,3.1.1介,绍,绍,Windows Server,2008 目,录,录服务,器,器角色,2规,划,划RODC实,现,现,条件：,远,远程启,动,动Server 2008,升,升级或,有,有一个2008的AD DS域，,即,即可计,划,划实现RODC。,RODC安装,的,的两个,阶,阶段：,第一阶,段,段：为该,域,域中的RODC创建,计,计算机,账,账户时,，,，可以,为,为特定,的,的RODC规,定,定密码复,制,制策略。,在RODC上,安,安装DNS实,现,现一个辅助的DNS,服,服务器，可以,复,复制该DNS,使,使用的,所,所有应,用,用程序,目,目录分,区,区。客,户,户更新,数,数据，,可,可以请,求,求单一,更,更新DNS。,第二阶,段,段：安装,7,3.1.1介,绍,绍,Windows Server,2008 目,录,录服务,器,器角色,3利,用,用安装,向,向导增,强,强功能,Windows Server2008增加,了,了ADDS安,装,装向导，以简,化,化ADDS,安,安装，,并,并引入,了,了RODC安,装,装等新,特,特征。,单击“,添,添加角,色,色”,输入命,令,令dcpromo,高级模,式,式安装使你能,够,够更好,地,地控制,安,安装过,程,程。,8,3.1.1介,绍,绍,Windows Server,2008 目,录,录服务,器,器角色,4委,派,派RODC安,装,装,在总公,司,司DC,中,中，可,以,以委派合,适,适的权,限,限给一个,用,用户或,组,组。,分支办,公,公室的,用,用户接,受,受了委,派,派权限,后,后，就,可,可以执,行,行RODC的,安,安装，,并,并可以,管,管理RODC,，,，但不,需,需要域,管,管理员,权,权限。,过程：,首先创,建,建RODC账,户,户；,安装过,程,程中就,可,可以关,联,联/委,派,派。,9,3.1.1介,绍,绍,Windows Server,2008 目,录,录服务,器,器角色,5利,用,用MMC管理,单,单元增,强,强功能,Windows Server2008增强,了,了MMC管理,单,单元工,具,具（如AD用,户,户和计,算,算机）,的,的功能,。,。,查找命,令,令：该命,令,令允许,查,查找放,置,置DC,的,的站点,。,。可以,帮,帮助解,决,决复制,问,问题。,提供配,置,置“密,码,码复制,策,策略”,选,选项卡,，,，用于,配,配置RODC,的,的设置,。,。,单击“,高,高级”,按,按钮，,可,可以查,看,看哪些,密,密码已,被,被发送,或,或存储,到,到RODC中,，,，也就,知,知道谁,在,在使用RODC。,10,3.1.1,介,介绍,Windows Server,2008,目,目录服务器,角,角色,6规划多,元,元密码和帐,户,户锁定策略,以前的ActiveDirectory实,现,现中，只能,对,对域中的所,有,有用户应用,一,一个密码和,帐,帐户锁定策,略,略。,Windows Server2008允,许,许规定多元密码策,略,略。可以规定,多,多个密码策,略,略，并对单,个,个域中的不,同,同用户组应,用,用不同的密,码,码限制和账,户,户锁定策略,。,。,密码设置容,器,器（PSC,）,）,密码设置对,象,象（PSO,）,）,通常，规划,的,的策略可以,包,包含至少3个但,不,不能多于10个PSO。,不能直接将PSO应用,于,于组织单元OU。而考,虑,虑为这些OU创建影子,组,组（全局安,全,全组），然,后,后应用PSO。,11,3.1.1,介,介绍,Windows Server,2008,目,目录服务器,角,角色,6规划多,元,元密码和帐,户,户锁定策略,将PSO应,用,用于组而不,是,是OU，可,以,以不用修改OU层次结,构,构，组为管,理,理各用户集,提,提供了更好,的,的灵活性。,使用多元密,码,码，需要具,有,有2008,域,域功能级别,。,。,只有域管理,组,组的成员才,可,可以创建PSO，以及,将,将一个PSO应用于某,个,个组或用户,。,。,多元密码策,略,略只能应用,于,于用户对象,和,和全局安全,组,组，不能应,用,用于计算机,对,对象。,多元密码策,略,略不能干预,自,自定义的密,码,码筛选器。,PSO分配,给,给一个全局,组,组后，可以,把,把一个特殊,的,的PSO直,接,接应用于特,定,定的用户。,可以计划委,派,派多元密码,管,管理。,12,3.1.1,介,介绍,Windows Server,2008,目,目录服务器,角,角色,7规划数,据,据挖掘工具,的,的使用,目的：为了,方,方便恢复被,删,删除的ADDS对象,。,。,数据挖掘工,具,具Dsamain.exe使被删,除,除的数据能,够,够以卷影复制服,务,务VSS备份,的,的AD DS快照方式,进,进行保留。,可,可以利用轻,型,型目录访问,协,协议工具，,如,如ldp.exe查看,这,这些快照中,的,的只读数据,。,。,规划被删除,数,数据的还原,策,策略：,决定如何最,好,好地保留删,除,除的数据，,使,使它能够被,还,还原，从而,在,在需要的时,候,候还原该数,据,据。,决定数据丢,失,失后或者破,坏,坏时应还原,哪,哪个快照。,确定了需要,恢,恢复的对象,或,或OU，可,以,以在快照中,标,标识并记录,它,它们的属性,和,和返回链接,。,。,考虑快照的,安,安全问题，,制,制订恢复计,划,划。,13,3.1.1,介,介绍,Windo,ws Server,2008,目,目录服务器,角,角色,8规划AD DS审,核,核,在Windows Server2008,中,中，全局审核策,略,略“审核目录,服,服务访问”,默,默认启动。,该,该策略控制,启,启用还是禁,用,用目录服务,事,事件的审核,。,。,审核：记录,事,事件写入“,安,安全性”事,件,件日志以及,如,如何响应事,件,件。,DS访问,DS改变,DS复制,审核DS复,制,制被进一步,细,细分，提供,两,两个审核级,别,别的选择：,正,正常和详细,。,。,如何响应事,件,件：“将,任,任务附加到,该,该事件”。,14,3.1.2,规,规划域和,林,林功能,将域和林升,级,级到WindowsServer2008时,，,，总会提升,域,域和林的功,能,能级别。,提升功能级,别,别非常容易，,但,但是不可能降低它们，除了,卸,卸载重装。,要规划需要,为,为域设置什,么,么功能级别,以,以及什么时,候,候提升功能,，,，需要知道,每,每个功能级,别,别支持什么DC以及提,升,升功能级别,提,提供哪些附,加,加功能，还,需,需要知道域,和,和林功能级,别,别之间的关,系,系。,域功能级别,考,考虑因素,林功能级别,考,考虑因素,15,3.1.3,规,规划林级,信,信任,林信任（即,林,林级信任）,允,允许一个林,中,中的每个域,信,信任另一个,林,林中的每个,域,域。,可以是单向传入信,任,任、单向传出信,任,任或双向信任。,应用：,伙伴公司或,密,密切联系的,组,组织之间可,以,以使用林信,任,任。,林信任可能,构,构成并购或,者,者接管战略,的,的组成部分,。,。,对AD隔,离,离也,可,可以,使,使用,林,林信,任,任。,16,1,规,规划,信,信任,类,类型,和,和信,任,任方,向,向,类型,：,：,林信,任,任：最常,见,见的,跨,跨林,运,运作的信,任,任类,型,型。,快捷,方,方式,信,信任,外部,信,信任,：,：林,中,中的,一,一个,域,域需,要,要与,一,一个,不,不属,于,于林,的,的域,建,建立,信,信任,关,关系,，,，则,建,建立,一,一个,域,域信,任,任。,领域,信,信任,：,：Unix领,域,域和Windows域,之,之间,，,，通,过,过Kerberos身,份,份验,证,证，,建,建立,信,信任,。,。,信任,方,方向,：,：,单向,（,（传,入,入、,传,传出,）,）、,双,双