|
| Windows Server 2008 活动目录解析
|
|
| 2008-5-16 21:15:24 (浏览:次) | |
在Windows Server 2008中,活动目录域服务(Active Directory Domain Services缩写AD DS)相比前一代操作系统又有了重大的提升和改进,本文简要介绍一下其新特性。 一、审核策略 在Windows Server 2008中,你现在能够通过使用新的审核策略的子类(目录服务更改)来建立AD DS审核策略。当活动目录对象及它们的属性发生变化时,新的审核策略可以记录新旧属性值。 AD DS审核能干什么? 我们定义本策略设置(通过修改默认域控制器策略),能够指定审核成功的事件,失败的事件,或者什么也不审核。能够在AD DS对象的属性对话框中的安全选项卡中设置系统访问控制列表。”审核目录服务访问“在应用上同审核对象访问一致。但只适用与AD DS对象上而不是文件对象或注册表对象。 审核AD DS访问 在AD DS中新的审核策略子类(目录服务更改)增加了以下的功能: 当对对像的属性修改成功时,AD DS会纪录先前的属性值以及现在的属性值。如果属性含有一个以上的值时,只有作为修改操作结果变化的值才会被记录。 如果新的对像被创建,属性被赋予的时间将会被记录,属性值也会被记录,在多数情景中,AD DS分配缺省属性给诸如sAMAccountName等系统属性,这些系统属性值将不被记录。 如果一个对像被移动到同一个域中,那么先前的以及新的位置(以distinguished name 形式)将被记录。当对象被移动到不同域时,一个创建事件将会在目标域的域控制器上生成。 如果一个对象被反删除,那么这个对象被移动到的位置将会被记录。另外如果在反删除操作中属性被增加,修改或者删除,那么这些属性的值也会被记录。 当"目录服务更改"审核子类别启用以后,AD DS会在安全日志中记录事件当对象属相的变化满足管理员指定的审核条件。下面的这张表格描述了这些事件。 事件号 事件类型 事件描述 5136 修改 这个事件产生于成功的修改目录对象属性。 5137 创建 这个事件产生于新的目录对象被创建。 5138 反删除 这个事件产生于目录对象被反删除时。 5139 移动 这个时间产生于对象在同一域内移动时。 二、密码策略 Windows Server 2008 为组织提供了一种方法,使得组织能在某一域中针对不同的用户集来定义不同的密码和账号锁定策略。 细致灵活的密码策略能干什么? 你能够使用细致灵活的密码策略在同一个域内指定多样化的密码策略。同时你也你能够使用细致灵活的密码策略对同一域内的不同用户集应用不同的密码和账号锁定策略限制。 这项特性提供了什么新功能? 密码设置容器默认被创建在域的系统(System)容器下。你能够通过使用活动目录用户与计算机管理单元并启用高级特性来查看。它为域储存了密码设置对象(Password Settings objects 一下简称PSOs)。 你不能够重命名,移动,或者删除这个容器。尽管你能够创建额外的自定义的密码设置容器,它们不被针对一个对象计算的组策略结果集计算在内。因此创建额外的自定义的密码设置容器不被推荐。 密码设置对像包含了能在默认域策略中定义的所有属性设置(除了Kerberos设置)。这些设置包含了以下密码设置属性: 强制密码历史 密码最长使用期限 密码最短使用期限 密码长度最小值 密码必须符合复杂性要求 用可还原的加密来储存密码 这些设定也包含了以下的账户锁定设置 账户锁定时间 账户锁定阈值 复位账户锁定计数器 另外,PSO也包含了以下两个新属性: PSO链接(PSO Link):这是链接到用户或者组对象的多值属性 优先(Precedence):这是一个用来解决多个PSO被应用到单个用户或组对象产生冲突时的整数值 这九个属性值必须被定义,缺一不可。来自多个PSO的设置不能被合并。 使用图形界面(adsiedit.msc)建立PSO 1. 单击开始按钮,单击运行,输入 adsiedit.msc ,单击确定。 *如果你是在DC上第一次运行adsiedit.msc,请继续看第二步,不是的话跳到第四步。 2. 在ADSI EDIT界面中,右击ADSI Edit,再单击连接到。 3. 在Name属性框中输入你想要创建PSO的域的完全合格域名(FQDN),然后单击确定。 4. 双击域。 5. 双击DC=<域名> 。 6. 双击CN=System 。 7. 右击 CN=Password Settings Container,单击新建,再单击对象 。 8. 在创建对象对话框中,选择msDS-PasswordSettings,单击下一步 。 9. 输入PSO的名称,单击下一步,根据向导,输入必备属性。 10. 在向导的最后一页,单击更多属性。 11. 在选择查看何种属性菜单中,单击可选或者两者 。 12. 在选择一种属性进行查看的下拉菜单中,选择msDS-PSOAppliesTo。 13. 在编辑属性中,添加需要应用PSO的用户和全局安全组的相对可分辨名称 。 14. 重复第13步,如果你需要将PSO应用到多个用户和全局安全组。 15. 单击完成 。 三、RODC及身份验证 只读域控制器(RODC)是在Windows Server 2008操作系统中一种新的域控制器类型。有了只读域控制器,组织能够容易地的物理安全得不到保证的地区部署域控制器。一台RODC包含了活动目录数据库的只读部分。 RODC可以做什么? 在考虑部署RODC时,物理安全的不足是最为寻常的理由。RODC给那些需要快速可靠的身份验证,同时对可写域控制器而言物理安全无法得到确保的地方部署域控制器提供了新的方法。 然而你的组织也可以为了特殊的管理需要选择部署RODC。比如,业务线应用程序(line-of-business,LOB)只能被安装到域控制器上并才能得以成功运行。或者,域控制器是分支机构仅有的服务器,而不得不运行服务器应用。 在这些例子中,业务线应用程序所有者必须经常交互式登录到域控制器或者使用终端服务来配置和管理程序。这种环境引起了在可写域控制器上不被接受的安全风险。 RODC为在这些场景中部署域控制器提供了更安全的机械结构。你能够将登录到RODC的权利转让给没有管理权限的域用户同时最小化给活动目录森林带来的安全风险。 你也可以在其它场景中部署RODC,比如在外延网(extranets)中本地储存的所有域密码被认为是主要威胁。 这项特性提供了什么新功能? RODC处理了在分支机构中的普遍问题。这些地方也许没有域控制器。或者他们有可写的域控制器但是没有足够的物理安全,网络带宽以及专门的技术人员来提供支持。下面的RODC的功能缓解了这些问题: 只读活动目录数据库 单向复制 凭据缓存 管理员角色分离 只读DNS 只读活动目录数据库 请求获得目录读取权限的本地程序能够获得访问许可。当使用轻型目录访问协议(LDAP)的程序请求写入权限时将会收到“referral”应答。通常情况下这些应答将写入请求引导到在枢纽站点中可写的域控制器。 RODC已筛选属性集 作为安全性的预防措施,如果你想配置RODC已筛选属性集请确保林功能级是Windows Server 2008。如果森林的功能级是Windows Server 2008,那么受到威胁的RODC将不能被如此利用,因为运行Windows Server 2003的域控制器在森林中是不被允许的。 单向复制 RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。RODC为AD DS及DFS执行正常的入站复制。 凭据缓存 凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存。 管理员角色分割 你能委派RODC的本地管理权限至任何域用户而不用使该用户获得域或者域控制器的用户权限。这使分支机构的用户能够登录至RODC并执行诸如升级驱动程序之类的维护工作。然而分支结构用户无法登录到其它任何域控制器或者在域中执行其它管理工作。因此分支结构用户能够委派有效的权利来管理分支机构的RODC而不会威胁到域内其它部分的安全。 只读DNS 你能在RODC上安装DNS服务。RODC能够复制DNS使用的所有程序目录分区,包括ForestDNSZones以及DomainDNSZones。如果DNS服务被安装到RODC上,用户能够像查询其它DNS服务器一样进行名称解析。 四、可重启的活动目录域服务 管理员能够在Windows Server 2008中通过MMC管理单元或者命令行来停止或者重启AD DS。 可重启的AD DS能做什么? 可重启的AD DS能够减少执行特定操作时所需要的时间。AD DS可以被停止,因此更新能够被应用到域控制器。当然,管理员能够停止AD DS来执行诸如脱机整理AD数据库之类的任务,而不用重新启动域控制器。运行在服务器上的其它服务并不依赖AD DS来进行工作,比如DHCP服务,因此当AD DS停止服务时能够继续满足客户端的请求。 这项特性提供了什么新功能? 在Windows Server 2008中,管理员能够停止或者重启AD DS。这使得能够更快速的执行AD DS脱机操作成为可能。 可重启的AD DS对已经存在的MMC管理单元增加了一些小变化。运行Windows Server 2008活动目录的域控制器在服务管理单元及计算机管理单元均能执行重启AD DS的任务。通过管理单元,管理员能够简单的停止或者重启AD DS,就如同管理其它运行在服务器上本地服务一样。 下面的流程图展示了运行Windows Server 2008的域控制器如何在这三种状态间进行变化。
五、数据挖掘工具 数据挖掘工具(dsamain.exe,现以更名为Database Mounting Tool)能够检验针对在AD DS中数据进行的任何更改。比如,如果一个对象在意外情况下被修改,你能够使用数据挖掘工具来检验变化并帮助你更好的决定如何来修正它们,如有必要的话。 数据挖掘工具能干什么? 尽管数据挖掘工具本身不恢复任何已被删除的对象,但是它能够帮助提高还原被意外删除对象过程的效率。在Windows Server 2008以前,当对象或者组织单位被意外删除时,能够准确地确定被删除对象的唯一方法是从备份中还原数据。这项处理方法有两个缺陷: 活动目录不得不重启至目录服务还原模式来执行权威恢复。 管理员无法比较在不同时间点采集的备份数据(除非备份数据被还原到不同域控制器,而这个过程是不可行的)。 数据挖掘工具这项特性的目的是在线揭示储存在快照或者备份中的数据。管理员随后能够比较在不同时间点采集的快照或备份中的数据,这能使管理员能够更好地决定恢复那份数据,而不用导致停止服务。 具体实验步骤 创建、加载及列出快照 管理凭据 你必须是Domain Admins或Enterprise Admins组的成员或被委派了合适权限的用户。 创建、加载、列出及删除AD DS快照 1. 以Domain Admins或Enterprise Admins组的成员登录到域控制器 2. 单击开始,右键单击命令提示符,然后选择以管理员运行 3. 在被提升权限的命令提示符下,输入ntdsutil命令 4. 在ntdsutil提示符下输入snapshot命令 5. 在snapshot提示符下输入activate instance ntds命令 6. 在snapshot提示符下输入create命令,命令将返回“Snapshot set {} generated successfully.”其中{}内某一GUID值。 7. 在snapshot提示符下输入mount {GUID} 8. 你也可以使用 list mounted 来查看已加载的快照。在Windows Server 2008 beta3的后继版本中会出现索引号替代GUID来方便你执行后续的加载,卸载,删除快照等操作。 9. 使用dismount {GUID} 或者 dismount Index # 来卸载快照。使用delete {GUID} 或者 delete Index # 来删除快照。 10. 当你完成以上操作后,输入quit返回到ntdsutil提示符。再次输入quit退出ntdsutil命令。 以LDAP服务器的形式打开AD DS或AD LDS快照数据 管理凭据 你必须是Domain Admins或Enterprise Admins组的成员来运行dsamain.exe命令来访问被揭示出的AD数据。如果快照来自已不存在的域,你可以指定/allowNonAdminAccess 参数。 1. 首先加载快照。(可以在snapshot提示符下使用list all来显示所有快照,如果没有可用快照,那么先创建快照。) 2. 输入以下命令 dsamain -dbpath:<path_to_database_file> -ldapport:<port_#> |
|
|
|
