1、Windows 网络操作系统的配置与管理网络操作系统的配置与管理单元一:安装windows操作系统单元二:安装与配置活动目录域服务单元三:管理用户和组单元四:配置和管理组策略单元五:配置与管理分布式文件系统单元六:配置与管理存储系统单元七:配置与管理打印服务器单元八:IP地址与配置方法单元九:配置与管理DHCP服务器单元十:配置与管理DNS服务器单元十一:配置与管理Web服务器 单元十二:配置与管理WSUS服务器单元十三:配置与管理ADCS单元十四:配置路由与远程访问单元十五:配置网络策略服务和网络访问保护单元十六:配置IPSec保护网络通信单元二 安装与配置活动目录域服务任务1 安装活动目录
2、域服务任务2 安装子域控制器任务3 安装RODC只读域控制器任务4 创建与管理组织单位任务3 安装只读域控制器一、课程导入二、知识原理 2.1 只读域控制器 2.2 只读域控制器的功能 2.3 准备安装 RODC 2.4 安装 RODC 2.5 委派 RODC 安装 2.6 密码复制策略三、演习 安装RODC只读域控制器四、小结一、课程导入 在不安全的分支机构配置DC可能的最大危险是活动目录密码方面的潜在的风险。由于Windows 2000 Server和Windows Server 2003中的AD域控制器为每一个用户和计算机账户储存密码,因此,一旦Windows 2000或Windows
3、2003的域控制器受到威胁或被盗用,管理员就需要重新设置每一个账号密码(有时还不止一次)。如何解决分支办公室的安全呢?二、知识原理2.1 只读域控制器2.2 只读域控制器的功能2.3 准备安装 RODC2.4 安装 RODC2.5 委派 RODC 安装 2.6 密码复制策略2.1 只读域控制器 RODC:(read only DC)是windows server 2008支持的一种新的域控制器类型。RODC承载AD DS数据库的只读分区。借助 RODC,组织可以在无法保证物理安全性的位置中轻松部署域控制器,RODC将为用户提供本地域控制器,从而确保即使在连接总部的广域网链路不可用的情况下,仍然
4、可登录应用组策略。作用:设计 RODC 主要是为了在分支机构环境中部署。分支机构通常用户相对较少,物理安全性差,连接站点的网络带宽也相对较低,并且缺乏本地 IT 知识。RODC单向复制双向复制2.2 只读域控制器的功能RODC 提供:单向复制:减少了恶意用户在分支位置所做的更改影响主域,同时减少分子负载 凭据缓存:默认RODC不存储用户或计算机凭据,如果启用可缩短用户登录 管理角色分离:将RODC本地管理员权限委派给用户,可对RODC进行维护。只读 DNS:在确保安全情形下,提高分支机构的域名解析效率 RODC 筛选的属性集:可以为特殊应用程序配置一组不会复制到RODC的属性 2.3 准备安装
5、 RODC安装 RODC 之前的必需步骤:确保域和林为 Windows Server 2003 功能级别 确保运行 Windows Server 2008 的可写域控制器可用于复制域分区 运行 ADPrep/rodcprep 使 RODC 能复制 DNS 分区 如果 RODC 将作为全局编录服务器,那么在所有域中运行 ADPrep/domainprep 2.4 安装 RODC 选择在现有域中安装其他域控制器的选项 1 如果要配置密码复制策略,那么选择高级模式安装3 选择从 Active Directory 域服务安装向导中安装 RODC 的选项 2 要在服务器核心安装上安装 RODC,可使用包
6、含 ReplicaOrNewDomain=ReadOnlyReplica 值的无人参与安装文件 2.5 委派 RODC 安装 为了委派 RODC 安装:在 Domain Controllers 容器中预先创建 RODC 计算机账户 为用户或组分配安装 RODC 的权限 为了完成委派 RODC 安装,附带 /UseExistingAccount:Attach 开关运行 DCPromo 如果不委派安装管理,那么只有Domain Admins组或Enterprise Admins组的成员可以完成RODC的安装。2.6 密码复制策略 密码复制策略决定了 RODC 如何为通过身份验证的用户执行凭据缓存
7、默认情况下,RODC 不缓存任何用户凭据或计算机凭据 不缓存凭据 在 RODC 上为指定用户启用凭据缓存 配置密码复制策略的选项:配置密码复制策略的选项:将用户或组添加到“域 RODC 密码复制允许的组”,这样凭据就可以缓存在所有 RODC 上 三、演示 安装RODC只读域控制器工作场景:你是时讯公司的网络管理员,时讯公司在总部刚刚成立了一个分支办公室,你计划在分子办公室安装部署一台只读域控制器,域名为。实验环境:SHSVR1SHDC1ADDNS实验任务1.在AD中,预留RODC的计算机账户。2.以administrator身份登录nycsvr1计算机3.修改计算机的名称为:tor-dc4.设置sh-svr1计算机的网络属性:IP地址:10.10.0.40子网掩码:255.255.0.0首选DNS:10.10.0.105.运行dcpromo/UseExistingAccount:Attach命令,创建只读域控制器6.安装完成后检查安装结果。安装RODC只读域控制器演示:安装只读域控制安装只读DNS配置凭据缓存四、小结学习完本章后,你能够:1.了解只读域控制器2.了解凭据缓存3.掌握安装RODC