1、第第3章章 Active Directory 和组策略和组策略v规划基础结构服务服务器角色规划基础结构服务服务器角色v规划和实现组策略方案规划和实现组策略方案本章课程设置:本章课程设置:第第1课课 Windows Server 2008 Active Directory 第第2课课 Windows Server 2008 组策略组策略1第第1课课 windows Server 2008 ADv学习目标:学习目标:列举和描述列举和描述Windows Server 2008 Active Directory域域服务(服务(AD DS)的新特征和功能)的新特征和功能规划和配置域功能级别规划和配置域功
2、能级别规划林功能级别规划林功能级别规划林信任规划林信任使用目录服务器使用目录服务器23.1.1介绍介绍Windows Server 2008目录服务器角色目录服务器角色目录服务器角色目录服务器角色AD DS引入的新功能:引入的新功能:v只读域控制器只读域控制器RODCv新的和增强的工具和向导:新的和增强的工具和向导:AD DS安装向导安装向导v细化的安全策略:多元密码策略细化的安全策略:多元密码策略v可重启的可重启的AD DS:允许离线操作:允许离线操作vAD DS数据挖掘工具:可查看快照数据数据挖掘工具:可查看快照数据33.1.1介绍介绍Windows Server 2008 目录服务器角色
3、目录服务器角色1只读域控制器只读域控制器RODCvRODC是具有是具有 Active Directory 文件库文件库只读版本只读版本的的域控制域控制器器,可部署于域控制器安全性无法确保的环境中。包括域,可部署于域控制器安全性无法确保的环境中。包括域控制器的物理安全性有疑虑的分支机构,或者具有额外角控制器的物理安全性有疑虑的分支机构,或者具有额外角色功能并需要其他用户登入与管理服务器的域控制器。色功能并需要其他用户登入与管理服务器的域控制器。v可以把可以把RODC管理委派给一个域用户或安全组,从而在本管理委派给一个域用户或安全组,从而在本地管理员不是地管理员不是Domain Admins组成员
4、的地方使用组成员的地方使用RODC。43.1.1介绍介绍Windows Server 2008 目录服务器角色目录服务器角色使用案例:使用案例:v远程分公司的用户,一般通过广域网远程分公司的用户,一般通过广域网WAN连接到总连接到总公司的公司的DC进行身份验证。缺点:延迟或不能登录。进行身份验证。缺点:延迟或不能登录。v怎么解决?可写的怎么解决?可写的DC?存放一个可写的存放一个可写的DC和一个管理员,浪费太大。和一个管理员,浪费太大。存放一个可写的存放一个可写的DC,让管理员远程管理,带宽低,费时,让管理员远程管理,带宽低,费时又棘手。又棘手。存放一个可写的存放一个可写的DC不如不如WAN安
5、全。安全。vRODC解决方案:解决方案:RODC提供了增强的安全性;提供了增强的安全性;使登录更快速,并且允许更有效地访问本地资源;使登录更快速,并且允许更有效地访问本地资源;RODC管理可以委派给一个没有管理权限的用户或组。管理可以委派给一个没有管理权限的用户或组。51只读域控制器只读域控制器RODCv如果分公司使用的如果分公司使用的LOB(line-of-business)业务应用程业务应用程序序只有安装到一个域控制器上才能运行,也要选择部署只有安装到一个域控制器上才能运行,也要选择部署RODC。vRODC从一个可写从一个可写DC接收它的配置。接收它的配置。敏感的安全信息不被复制到敏感的安
6、全信息不被复制到RODC。用户在分公司第一次登录时通过用户在分公司第一次登录时通过WAN进行身份确认,进行身份确认,然后然后RODC可以把凭证缓存,以后就可以在本地验证。可以把凭证缓存,以后就可以在本地验证。v因此,在因此,在用户相对较少,物理安全性差,网络带宽较低,用户相对较少,物理安全性差,网络带宽较低,IT 知识贫乏的环境下,可以采用知识贫乏的环境下,可以采用RODC。提供了只读提供了只读AD DS数据库、单向复制、凭证缓存、管理数据库、单向复制、凭证缓存、管理员角色分离、只读员角色分离、只读DNS(不支持客户更新)等功能。(不支持客户更新)等功能。3.1.1介绍介绍Windows Se
7、rver 2008 目录服务器角色目录服务器角色63.1.1介绍介绍Windows Server 2008 目录服务器角色目录服务器角色2规划规划RODC实现实现v条件:远程启动条件:远程启动Server 2008升级或有一个升级或有一个2008的的AD DS域,即可计划实现域,即可计划实现RODC。vRODC安装的两个阶段:安装的两个阶段:第一阶段第一阶段:为该域中的:为该域中的RODC创建计算机账户时,可以创建计算机账户时,可以为特定的为特定的RODC规定规定密码复制策略密码复制策略。在在RODC上安装上安装DNS实现一个实现一个辅助的辅助的DNS服务器服务器,可以,可以复制该复制该DNS
8、使用的所有应用程序目录分区。客户更新数使用的所有应用程序目录分区。客户更新数据,可以请求单一更新据,可以请求单一更新DNS。第二阶段第二阶段:安装:安装73.1.1介绍介绍Windows Server 2008 目录服务器角色目录服务器角色3利用安装向导增强功能利用安装向导增强功能vWindows Server 2008增加了增加了AD DS安装向导安装向导,以简化,以简化AD DS安装,并引入了安装,并引入了RODC安装等新特征。安装等新特征。v单击单击“添加角色添加角色”v输入命令输入命令dcpromov高级模式安装高级模式安装使你能够更好地控制安装过程。使你能够更好地控制安装过程。83.
9、1.1介绍介绍Windows Server 2008 目录服务器角色目录服务器角色4委派委派RODC安装安装v在总公司在总公司DC中,可以中,可以委派合适的权限委派合适的权限给一个用户或组。给一个用户或组。v分支办公室的用户接受了委派权限后,就可以执行分支办公室的用户接受了委派权限后,就可以执行RODC的安装,并可以管理的安装,并可以管理RODC,但不需要域管理员权限。,但不需要域管理员权限。v过程:过程:首先创建首先创建RODC账户;账户;安装过程中就可以关联安装过程中就可以关联/委派。委派。93.1.1介绍介绍Windows Server 2008 目录服务器角色目录服务器角色5利用利用M
10、MC管理单元增强功能管理单元增强功能vWindows Server 2008增强了增强了MMC管理单元工具(如管理单元工具(如AD用户和计算机)的功能。用户和计算机)的功能。v查找命令查找命令:该命令允许查找放置:该命令允许查找放置DC的站点。可以帮助解决的站点。可以帮助解决复制问题。复制问题。v提供配置提供配置“密码复制策略密码复制策略”选项卡,用于配置选项卡,用于配置RODC的设置。的设置。v单击单击“高级高级”按钮,可以查看哪些密码已被发送或存储到按钮,可以查看哪些密码已被发送或存储到RODC中,也就知道谁在使用中,也就知道谁在使用RODC。103.1.1介绍介绍Windows Serv
11、er 2008 目录服务器角色目录服务器角色6规划多元密码和帐户锁定策略规划多元密码和帐户锁定策略v以前的以前的Active Directory实现中,只能对域中的所有用户应实现中,只能对域中的所有用户应用一个密码和帐户锁定策略。用一个密码和帐户锁定策略。vWindows Server 2008允许规定允许规定多元密码策略多元密码策略。可以规定。可以规定多个密码策略,并对单个域中的不同用户组应用不同的密码多个密码策略,并对单个域中的不同用户组应用不同的密码限制和账户锁定策略。限制和账户锁定策略。密码设置容器(密码设置容器(PSC)密码设置对象(密码设置对象(PSO)v通常,规划的策略可以包含通
12、常,规划的策略可以包含至少至少3个但不能多于个但不能多于10个个PSO。v不能直接将不能直接将PSO应用于组织单元应用于组织单元OU。而考虑为这些。而考虑为这些OU创建创建影子组(全局安全组),然后应用影子组(全局安全组),然后应用PSO。113.1.1介绍介绍Windows Server 2008 目录服务器角色目录服务器角色6规划多元密码和帐户锁定策略规划多元密码和帐户锁定策略v将将PSO应用于组而不是应用于组而不是OU,可以不用修改,可以不用修改OU层次结构,组层次结构,组为管理各用户集提供了更好的灵活性。为管理各用户集提供了更好的灵活性。v使用多元密码,需要具有使用多元密码,需要具有2
13、008域功能级别。域功能级别。v只有域管理组的成员才可以创建只有域管理组的成员才可以创建PSO,以及将一个,以及将一个PSO应应用于某个组或用户。用于某个组或用户。v多元密码策略只能应用于用户对象和全局安全组,不能应用多元密码策略只能应用于用户对象和全局安全组,不能应用于计算机对象。于计算机对象。v多元密码策略不能干预自定义的密码筛选器。多元密码策略不能干预自定义的密码筛选器。vPSO分配给一个全局组后,可以把一个特殊的分配给一个全局组后,可以把一个特殊的PSO直接应直接应用于特定的用户。用于特定的用户。v可以计划委派多元密码管理。可以计划委派多元密码管理。123.1.1介绍介绍Windows
14、 Server 2008 目录服务器角色目录服务器角色7规划数据挖掘工具的使用规划数据挖掘工具的使用v目的:为了方便恢复被删除的目的:为了方便恢复被删除的AD DS对象。对象。v数据挖掘工具数据挖掘工具Dsamain.exe使被删除的数据能够以使被删除的数据能够以卷影复制卷影复制服务服务VSS备份的备份的AD DS快照方式进行保留。可以利用轻型目快照方式进行保留。可以利用轻型目录访问协议工具,如录访问协议工具,如ldp.exe查看这些快照中的只读数据。查看这些快照中的只读数据。v规划被删除数据的还原策略:规划被删除数据的还原策略:决定如何最好地保留删除的数据,使它能够被还原,从而在需要的决定如
15、何最好地保留删除的数据,使它能够被还原,从而在需要的时候还原该数据。时候还原该数据。决定数据丢失后或者破坏时应还原哪个快照。决定数据丢失后或者破坏时应还原哪个快照。确定了需要恢复的对象或确定了需要恢复的对象或OU,可以在快照中标识并记录它们的属性,可以在快照中标识并记录它们的属性和返回链接。和返回链接。v考虑快照的安全问题,制订恢复计划。考虑快照的安全问题,制订恢复计划。133.1.1介绍介绍Windows Server 2008 目录服务器角色目录服务器角色8规划规划AD DS审核审核v在在Windows Server 2008中,中,全局审核策略全局审核策略“审核目录服务审核目录服务访问访
16、问”默认启动。该策略控制启用还是禁用目录服务事件的默认启动。该策略控制启用还是禁用目录服务事件的审核。审核。v审核:记录事件写入审核:记录事件写入“安全性安全性”事件日志以及如何响应事件。事件日志以及如何响应事件。DS访问访问DS改变改变DS复制复制v审核审核DS复制被进一步细分,提供两个审核级别的选择:正复制被进一步细分,提供两个审核级别的选择:正常和详细。常和详细。v如何响应事件:如何响应事件:“将任务附加到该事件将任务附加到该事件”。143.1.2 规划域和林功能规划域和林功能v将域和林升级到将域和林升级到Windows Server 2008时,总会提升域和时,总会提升域和林的功能级别
17、。林的功能级别。v提升功能级别提升功能级别非常容易,但是非常容易,但是不可能降低不可能降低它们,除了卸载它们,除了卸载重装。重装。v要规划需要为域设置什么功能级别以及什么时候提升功能,要规划需要为域设置什么功能级别以及什么时候提升功能,需要知道每个功能级别支持什么需要知道每个功能级别支持什么DC以及提升功能级别提供以及提升功能级别提供哪些附加功能,还需要知道域和林功能级别之间的关系。哪些附加功能,还需要知道域和林功能级别之间的关系。v域功能级别考虑因素域功能级别考虑因素v林功能级别考虑因素林功能级别考虑因素153.1.3 规划林级信任规划林级信任v林信任(即林级信任)允许一个林中的每个域信任另
18、一个林信任(即林级信任)允许一个林中的每个域信任另一个林中的每个域。林中的每个域。v可以是可以是单向传入信任单向传入信任、单向传出信任单向传出信任或或双向信任双向信任。v应用:应用:伙伴公司或密切联系的组织之间可以使用林信任。伙伴公司或密切联系的组织之间可以使用林信任。林信任可能构成并购或者接管战略的组成部分。林信任可能构成并购或者接管战略的组成部分。对对AD隔离也可以使用林信任。隔离也可以使用林信任。161规划信任类型和信任方向规划信任类型和信任方向v类型:类型:林信任:林信任:最常见的跨林运作最常见的跨林运作的信任类型。的信任类型。快捷方式信任快捷方式信任外部信任:林中的一个域需要与一个不
19、属于林的域建立外部信任:林中的一个域需要与一个不属于林的域建立信任关系,则建立一个域信任。信任关系,则建立一个域信任。领域信任:领域信任:Unix领域和领域和Windows域之间,通过域之间,通过Kerberos身份验证,建立信任。身份验证,建立信任。v信任方向:信任方向:单向(传入、传出)、双向单向(传入、传出)、双向3.1.3 规划林级信任规划林级信任173.1.3 规划林级信任规划林级信任2创建林信任创建林信任v在创建前,需要确保两个林的林功能级别是在创建前,需要确保两个林的林功能级别是Windows Server 2003 或或 Windows Server 2008。v下一步是确保每
20、个林的根域可以访问其他林的根域。下一步是确保每个林的根域可以访问其他林的根域。v从从“管理工具管理工具”中打开中打开“Active Directory域和信任关系域和信任关系”。v启动启动“新建信任向导新建信任向导”。18本课小结本课小结v Windows Server 2008 引入许多新的引入许多新的AD DS功能,包括功能,包括RODC、多元安全策略和数据挖掘工具等。、多元安全策略和数据挖掘工具等。v 在分支办公室中,如果可写入的在分支办公室中,如果可写入的DC可能成为一种安全威胁,可能成为一种安全威胁,则可以安装则可以安装RODC来改进登录和来改进登录和DNS解析。解析。v 可以配置可
21、以配置PSO以存储不同于域策略的密码和账户锁定策略,以存储不同于域策略的密码和账户锁定策略,可以将用户和安全组与一个可以将用户和安全组与一个PSO关联。关联。v 数据挖掘工具使被删除的数据挖掘工具使被删除的AD DS 或或AD LDS数据能够以数据能够以VSS获得的获得的AD DS快照方式保留下来。快照方式保留下来。v Windows Server 2008 增强了增强了MMC管理单元工具的功能。管理单元工具的功能。v 增强了增强了AD DS审核功能,允许判定审核功能,允许判定AD DS发生了什么改变以发生了什么改变以及这些改变是何时发生的。及这些改变是何时发生的。v 林级信任允许一个林中的某
22、个域的用户访问另一个林中的某林级信任允许一个林中的某个域的用户访问另一个林中的某个域中的资源。个域中的资源。19第第2课课 Windows Server 2008组策略组策略v组策略通过自动完成很多与用户和计算机管理相关的任务组策略通过自动完成很多与用户和计算机管理相关的任务来简化管理。来简化管理。v可以使用组策略在客户端按需安装允许的应用程序,并使可以使用组策略在客户端按需安装允许的应用程序,并使应用程序保持更新。应用程序保持更新。v 在在Windows Server 2008中,组策略管理控制台(中,组策略管理控制台(GPMC)是内置的。通过是内置的。通过“添加功能向导添加功能向导”可以安
23、装可以安装GPMC。v 管理模板(管理模板(ADM)文件用来描述基于注册表的组策略设置。)文件用来描述基于注册表的组策略设置。在在Windows Server 2008中中ADM文件被替换为文件被替换为XML格式的格式的ADMX文件,使管理更加容易。文件,使管理更加容易。20第第2课课 Windows Server 2008 组策略组策略v学习目标:学习目标:了解组策略,安装了解组策略,安装GPMC列举列举Windows Server 2008 引入的新的组策略设置和引入的新的组策略设置和说明它们的功能说明它们的功能编写简单的编写简单的ADMX文件文件讨论配置组策略时可能发生的各种问题以及如何
24、解决它讨论配置组策略时可能发生的各种问题以及如何解决它们们213.2.1 了解组策略了解组策略v组策略对象(组策略对象(GPO)中包含的组策略设置可以链)中包含的组策略设置可以链接到接到OU,而,而OU既可以从父既可以从父OU继承设置,也可以继承设置,也可以阻断继承,并从它们自己链接的阻断继承,并从它们自己链接的GPO获得特定的获得特定的设置。设置。v策略(特别是安全策略)可以设置为策略(特别是安全策略)可以设置为“不覆盖不覆盖”,使它们不能被阻断或覆盖,并强制子使它们不能被阻断或覆盖,并强制子OU从父从父OU继承设置。继承设置。22Windows Server 2008引入了下列组策略设置:
25、引入了下列组策略设置:v允许远程启动未列出的程序允许远程启动未列出的程序v允许时间区域重定向允许时间区域重定向v在连接时始终显示桌面在连接时始终显示桌面v磁盘诊断:配置自定义警告文本、配置执行级别磁盘诊断:配置自定义警告文本、配置执行级别v不允许剪贴板重定向不允许剪贴板重定向v登录时不自动显示初始配置任务窗口登录时不自动显示初始配置任务窗口v登录时不显示服务器管理器页面登录时不显示服务器管理器页面v实施远程桌面墙纸的删除实施远程桌面墙纸的删除v组策略管理编辑器组策略管理编辑器 v3.2.1 了解组策略了解组策略233.2.2 规划和管理组策略规划和管理组策略v规划组策略的部分工作是规划组策略的
26、部分工作是规划组织结构规划组织结构。保持结构简单,不要跨站点边界链接保持结构简单,不要跨站点边界链接OU和和GPO,赋予,赋予OU和和GPO有意义的名称。有意义的名称。v充分了解组策略充分了解组策略在客户端是如何处理在客户端是如何处理的。处理分如的。处理分如下两个阶段:下两个阶段:核心处理:核心组策略引擎在初始阶段处理。连接核心处理:核心组策略引擎在初始阶段处理。连接DC,是否有是否有GPO被修改,以及哪些策略设置必须处理。被修改,以及哪些策略设置必须处理。客户端扩展(客户端扩展(CSE)处理:从)处理:从DC下来的组策略设置被放下来的组策略设置被放到了不同的分类,每个分类的设置都有一个特定的
27、到了不同的分类,每个分类的设置都有一个特定的CSE处理。核心组策略引擎调用所需的处理。核心组策略引擎调用所需的CSE来处理客户端应来处理客户端应用的设置。用的设置。243.2.2 规划和管理组策略规划和管理组策略1使用使用ADMX文件管理组策略文件管理组策略vADMX是用来定义注册表的策略设置。使用基于是用来定义注册表的策略设置。使用基于XML的文的文件格式。件格式。vADMX文件分为语言中立资源(文件分为语言中立资源(.admx文件)和语言特定文件)和语言特定的资源(的资源(.adml文件)。文件)。2ADMX位置位置vADMX文件可以存储在一个中心位置。这就大大减少了维文件可以存储在一个中
28、心位置。这就大大减少了维护护GPO所需的存储空间。所需的存储空间。v中心存储位置不是默认可用的,而是需要人工创建它。中心存储位置不是默认可用的,而是需要人工创建它。253.2.2 规划和管理组策略规划和管理组策略3创建自定义的创建自定义的ADMX文件文件v如果如果Windows Serer 2008所带的标准组策略设置不能满所带的标准组策略设置不能满足要求,可以考虑创建自定义的足要求,可以考虑创建自定义的ADMX文件。文件。vADMX修改注册表。所以要在隔离的试验网络上对自定义修改注册表。所以要在隔离的试验网络上对自定义的的ADMX文件进行测试,不能把它们直接安装到生产网络文件进行测试,不能把
29、它们直接安装到生产网络上。上。v使用使用XML编辑器或文本编辑器可以创建和编辑编辑器或文本编辑器可以创建和编辑ADMX文件。文件。vXML文件是区分大小写的。文件是区分大小写的。263.2.3 组策略疑难解答组策略疑难解答v组策略是健壮的,几乎不会组策略是健壮的,几乎不会break。由于策略继承和。由于策略继承和OU结结构设计得不正确,构设计得不正确,组策略会不起作用。组策略会不起作用。v调试组策略的第一步,通常是检查正确地规划和实现了域调试组策略的第一步,通常是检查正确地规划和实现了域基础结构。确保所需的服务和组件都如期望的那样运行和基础结构。确保所需的服务和组件都如期望的那样运行和配置。配
30、置。v如果某一个有问题,首先验证是否被连入网络,加入了域,如果某一个有问题,首先验证是否被连入网络,加入了域,具有正确的系统时间。其次检查你配置的安全筛选等设置具有正确的系统时间。其次检查你配置的安全筛选等设置有没有影响正常的有没有影响正常的GPO处理。处理。273.2.3 组策略疑难解答组策略疑难解答1使用组策略工具使用组策略工具vGPResult.exe:验证对某个特定用户或计算机起作用的所:验证对某个特定用户或计算机起作用的所有策略设置。有策略设置。vGPOTool.exe:一个资源工具包,检查域的每个:一个资源工具包,检查域的每个DC上的上的GPO一致性,以及确定这些策略是否有效,显示
31、有关复制一致性,以及确定这些策略是否有效,显示有关复制的的GPO的详细信息。的详细信息。2解决核心处理问题解决核心处理问题v如果核心处理没有快速有效地发生,如果核心处理没有快速有效地发生,CSE处理可能无法开处理可能无法开始,组策略得不到应用。始,组策略得不到应用。28本课小结本课小结v GPMC与与Windows Server 2008紧密集成,使用服务器管紧密集成,使用服务器管理器可以安装该工具。理器可以安装该工具。v Windows Server 2008 引入了许多组策略设置,特别是引入了许多组策略设置,特别是与与TS服务器角色有关的设置。服务器角色有关的设置。v ADMX语言中立和语
32、言特定的文件定义语言中立和语言特定的文件定义Windows Server 2008域中可配置的组策略设置。这些文件可以存储在域中可配置的组策略设置。这些文件可以存储在DC上上的一个中心存储位置,需要在某个的一个中心存储位置,需要在某个DC上创建该中心存储位上创建该中心存储位置。置。DFSR把它复制到域中的其他把它复制到域中的其他DC。v 有各种各样的工具可以帮助解决组策略问题,其中最有用有各种各样的工具可以帮助解决组策略问题,其中最有用的是使用的是使用GPMC保存保存GPO报告的功能。报告的功能。29本章小结本章小结vP134 3.1.5 本课小结本课小结vP152 3.2.5 本课小结本课小结vP154 本章小结本章小结vP134 3.1.6 复习题复习题vP152 3.2.6 复习题复习题vP154 关键术语关键术语30
