中國(guó)銀行活動(dòng)目錄預(yù)案建議書

46/46中國(guó)銀行活動(dòng)目錄部署建議書中國(guó)銀行活動(dòng)目錄部署建議書上海賽衛(wèi)思信息技術(shù)有限公司客戶服務(wù)部上海賽衛(wèi)思信息技術(shù)有限公司客戶服務(wù)部上海賽衛(wèi)思信息技術(shù)有限公司

客戶服務(wù)部2007-03-28V1.0上海浦東向城路15號(hào)錦城大廈11E電話：（86-21）51029886傳真：（86-21）58312457文檔說(shuō)明中國(guó)銀行網(wǎng)絡(luò)基礎(chǔ)服務(wù)和活動(dòng)目錄方案建議書制作者孫可可審核者制作日期2007．3更新日期版本1.0密級(jí)散發(fā)范圍中國(guó)銀行說(shuō)明 本文檔中所包含的內(nèi)容是上海賽衛(wèi)思信息技術(shù)有限公司為中國(guó)銀行提供的活動(dòng)目錄部署方案，其中可能用到了賽衛(wèi)思公司產(chǎn)品和技術(shù)的專有信息。這些信息僅在中國(guó)銀行活動(dòng)目錄部署過(guò)程中使用，不應(yīng)該被擴(kuò)散到中國(guó)銀行以外，同樣也不應(yīng)該在參考此手冊(cè)的前提下，復(fù)制、使用和擴(kuò)散本手冊(cè)。 MicrosoftWindowsServer、InternetSecurityandAccelerationServer2006、MicrosoftSQLServer或其它本手冊(cè)中提及的Microsoft產(chǎn)品，是Microsoft的商標(biāo)或注冊(cè)商標(biāo)。本文檔所提到的真實(shí)的公司和產(chǎn)品名稱可能是其各自所有者的商標(biāo)。

項(xiàng)目概況隨著中國(guó)銀行業(yè)務(wù)的擴(kuò)展和IT應(yīng)用的增加，維護(hù)整個(gè)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定、安全、高效越來(lái)越重要。微軟是企業(yè)IT基礎(chǔ)架構(gòu)領(lǐng)域的技術(shù)領(lǐng)先者，其活動(dòng)目錄技術(shù)被業(yè)界廣泛認(rèn)可，世界財(cái)富五百?gòu)?qiáng)的跨國(guó)公司大多采用活動(dòng)目錄技術(shù)來(lái)提供IT基礎(chǔ)架構(gòu)服務(wù)。中國(guó)銀行和微軟有著良好的合作關(guān)系，在IT應(yīng)用的各個(gè)領(lǐng)域都有很多微軟的解決方案。為利用新技術(shù)全面提升IT管理能力，決定在此次項(xiàng)目中全面部署基于WindowsServer2003的網(wǎng)絡(luò)基礎(chǔ)服務(wù)和活動(dòng)目錄服務(wù)。Windows2003操作系統(tǒng)集成了IT基礎(chǔ)架構(gòu)所需要的各種網(wǎng)絡(luò)服務(wù)，讓企業(yè)來(lái)建立和管理網(wǎng)絡(luò)、連接遠(yuǎn)程工作人員、連接分支機(jī)構(gòu)并且建立兄弟單位的外部網(wǎng)。Windows2003Server在開放的平臺(tái)上遵循標(biāo)準(zhǔn)的協(xié)議，它提供了增強(qiáng)的安全性和策略控制，同時(shí)提高性能并且簡(jiǎn)化了系統(tǒng)的安裝、管理和使用。此次項(xiàng)目將以建立完善的網(wǎng)絡(luò)基礎(chǔ)服務(wù)，集中統(tǒng)一規(guī)劃結(jié)構(gòu)合理的基于WindowsServer2003活動(dòng)目錄為目標(biāo)，賽衛(wèi)思將幫助中國(guó)銀行建立更加強(qiáng)大的IT基礎(chǔ)架構(gòu)，以適應(yīng)業(yè)務(wù)的高速發(fā)展。二、項(xiàng)目方案 下文中將就網(wǎng)絡(luò)基礎(chǔ)服務(wù)、活動(dòng)目錄服務(wù)、遠(yuǎn)程安裝服務(wù)三個(gè)方面進(jìn)行詳細(xì)介紹。2.1網(wǎng)絡(luò)基礎(chǔ)服務(wù)2.1.1背景簡(jiǎn)介WindowsServer2003的基礎(chǔ)的網(wǎng)絡(luò)服務(wù)包括以下兩大方面：地址分配地址分配即IP地址的分配和管理。目前中國(guó)銀行的ip地址是靜態(tài)的，其添加和維護(hù)工作由IT人員在現(xiàn)場(chǎng)手工完成。根據(jù)中國(guó)銀行的安全策略，在此次項(xiàng)目中仍然使用靜態(tài)ip地址。名稱解析名稱解析是指在訪問(wèn)網(wǎng)絡(luò)資源（包括文件服務(wù)器和打印機(jī)）時(shí)，如何將資源的名稱轉(zhuǎn)換成對(duì)應(yīng)的IP地址的服務(wù)。通過(guò)DNS和WINS的服務(wù)，相關(guān)的服務(wù)器會(huì)自動(dòng)將某個(gè)名稱轉(zhuǎn)換成實(shí)際的IP地址，用戶只需記住容易辨識(shí)的資源名稱即可進(jìn)行相應(yīng)的訪問(wèn)。這樣網(wǎng)絡(luò)資源的共享和使用效率將得到很大程度的提高。下文將對(duì)相關(guān)的部分進(jìn)行詳細(xì)的介紹。2.1.2地址分配這次項(xiàng)目不牽涉對(duì)中國(guó)銀行現(xiàn)有ip地址分配方法的改動(dòng)。Ip地址的劃分和分配，還沿用原有的設(shè)計(jì)。2.1.3名稱解析DNS內(nèi)部名稱解析建議在域內(nèi)每一個(gè)站點(diǎn)都設(shè)一臺(tái)DNS服務(wù)器。該服務(wù)器同時(shí)也是域控制器。換而言之，所有的域控制器同時(shí)也都將是DNS服務(wù)器。建議中國(guó)銀行內(nèi)部網(wǎng)絡(luò)的域名為：boc.DNS服務(wù)器都將DNS數(shù)據(jù)放在本地的AD數(shù)據(jù)庫(kù)中，但是作為獨(dú)立的ApplicationPartition來(lái)參與域控制器之間的目錄復(fù)制(DirectoryReplication)從而同步DNS數(shù)據(jù)庫(kù)。中國(guó)銀行內(nèi)部目前使用linux的DNS服務(wù)，該DNS上面有銀行內(nèi)部一些應(yīng)用程序需要的特有的服務(wù)紀(jì)錄。在部署過(guò)程中，我們建議在活動(dòng)目錄的DNS服務(wù)器上設(shè)置轉(zhuǎn)發(fā)，當(dāng)用戶需要查詢這些特有的紀(jì)錄時(shí)，域的DNS服務(wù)器會(huì)將解析的請(qǐng)求自動(dòng)轉(zhuǎn)發(fā)到linux上。這樣既可以實(shí)現(xiàn)活動(dòng)目錄內(nèi)資源的地址解析，也可以實(shí)現(xiàn)原有l(wèi)inux上提供的紀(jì)錄的解析。預(yù)期效果所有內(nèi)網(wǎng)的客戶端都將通過(guò)域DNS來(lái)進(jìn)行名稱解析。包括登入域和訪問(wèn)文件服務(wù)器或其他客戶端。每一個(gè)加入域的客戶端都通過(guò)動(dòng)態(tài)注冊(cè)在DNS服務(wù)器上注冊(cè)自己的主機(jī)紀(jì)錄(A)和指針紀(jì)錄(PTR)。管理員在服務(wù)器上可以輕松的了解所有客戶端的注冊(cè)情況。2.2活動(dòng)目錄服務(wù)2.2.1背景簡(jiǎn)介Windows2003的活動(dòng)目錄(ActiveDirectory)服務(wù)是Windows2003網(wǎng)絡(luò)結(jié)構(gòu)的一個(gè)必要和不可分離的部分，該服務(wù)是特別為分布式的網(wǎng)絡(luò)環(huán)境而設(shè)計(jì)的?；顒?dòng)目錄可以讓企業(yè)有效地共享和管理網(wǎng)絡(luò)資源和用戶的信息。此外，活動(dòng)目錄扮演著網(wǎng)絡(luò)安全性的主要權(quán)威的角色，它讓操作系統(tǒng)準(zhǔn)備好驗(yàn)證用戶的身份并且控制他或她對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。同等重要的是，活動(dòng)目錄起到了把系統(tǒng)集成到一起的結(jié)合點(diǎn)并且鞏固管理任務(wù)的作用。新版Windows2003的活動(dòng)目錄服務(wù)在Windows2000版本的基礎(chǔ)上，保留了大部分體系結(jié)構(gòu)，但在安全性，穩(wěn)定性和擴(kuò)展性上又有很大的進(jìn)步。設(shè)計(jì)Windows2003活動(dòng)目錄服務(wù)主要包括以下幾方面：域結(jié)構(gòu)組織單元結(jié)構(gòu)賬號(hào)和口令管理站點(diǎn)結(jié)構(gòu)FSMO角色2.2.2域結(jié)構(gòu)和DC位置規(guī)劃域結(jié)構(gòu)設(shè)計(jì)是活動(dòng)目錄中最重要，也是最基礎(chǔ)的工作，是多種因素權(quán)衡的結(jié)果，它既要盡可能貼近用戶的管理模式和組織結(jié)構(gòu)，也要考慮網(wǎng)絡(luò)情況及今后的各種變化。建議此次在中國(guó)銀行的IT環(huán)境內(nèi)采用單域結(jié)構(gòu)，域名：BOC.以下是單域結(jié)構(gòu)相對(duì)于其他結(jié)構(gòu)的優(yōu)點(diǎn)：使用EnterpriseAdministrators組集中管理整個(gè)集團(tuán)的安全策略。利用域里的組織單元反映具體的企業(yè)內(nèi)部組織結(jié)構(gòu)。當(dāng)機(jī)構(gòu)重組時(shí)可以非常靈活的進(jìn)行調(diào)整。當(dāng)資源和用戶需要在組織機(jī)構(gòu)內(nèi)遷移時(shí)可以非常靈活的調(diào)整。2.2.3組織單元結(jié)構(gòu)一個(gè)組織單元是一個(gè)容器對(duì)象，用于管理域中的對(duì)象，例如：用戶賬號(hào)、組、計(jì)算機(jī)、打印機(jī)和其他的組織單位?？梢允褂媒M織單位在一個(gè)邏輯層次中組織各種對(duì)象，這樣能夠體現(xiàn)企業(yè)基于部門的或基于地理分界的結(jié)構(gòu)。可以在域中創(chuàng)建組織單位的層次結(jié)構(gòu)。組織單位可包含用戶、組、計(jì)算機(jī)、打印機(jī)、共享文件夾以及其他組織單位。組織單位是目錄容器對(duì)象。它們表現(xiàn)為“ActiveDirectory用戶和計(jì)算機(jī)”中的文件夾。組織單位簡(jiǎn)化了域中目錄對(duì)象的視圖以及這些對(duì)象的管理?？蓪⒚總€(gè)組織單位的管理控制權(quán)委派給特定的人。這樣，您就可以在管理員中分配域的管理工作，以更接近指派的單位職責(zé)的方式來(lái)管理這些管理性職責(zé)工作。在中國(guó)銀行活動(dòng)目錄部署中，組織單元的設(shè)計(jì)將遵循兩點(diǎn)原則：反映中國(guó)銀行內(nèi)部的組織結(jié)構(gòu)有利于通過(guò)組策略進(jìn)行細(xì)化的終端管理由于用戶帳號(hào)（在這里包括用戶組賬號(hào)）和計(jì)算機(jī)賬號(hào)分?jǐn)?shù)兩種不同的資源類型，所以也需要分開管理。通常，應(yīng)該創(chuàng)建能反映組織單位的職能或商務(wù)結(jié)構(gòu)的單位。例如，您可以創(chuàng)建頂級(jí)單位，例如人事、設(shè)備管理和營(yíng)銷等部門單位。在人事單位中，您可以創(chuàng)建其他的嵌套組織單位，例如福利和招聘單位。在招聘單位中，也可以創(chuàng)建另一級(jí)的嵌套單位。例如，內(nèi)部招聘和外部招聘單位?？傊?，組織單位可使您以一種更有意義且易于管理的方式來(lái)模擬本單位實(shí)際工作的情況，而且在任何一級(jí)指派一個(gè)適當(dāng)?shù)谋镜貦?quán)利機(jī)構(gòu)作為管理員。具體的組織單元結(jié)構(gòu)在進(jìn)行后續(xù)部署時(shí)進(jìn)行細(xì)化。組織單元示意圖：2.2.4賬號(hào)和口令管理賬號(hào)管理可以分為個(gè)人賬號(hào)管理、組賬號(hào)管理和機(jī)器賬號(hào)管理。個(gè)人賬號(hào)管理個(gè)人賬號(hào)可以分為兩類：第一類為普通賬號(hào)，采用一人一號(hào)的方式，為每一位員工建立自己的賬號(hào)。當(dāng)員工加入或者離開時(shí)，按照一定的規(guī)則增加或者刪除用戶的賬號(hào)。第二類為特殊賬號(hào)，通常不屬于某一位員工，而是為了滿足某些特殊的功能，比如系統(tǒng)管理、匿名訪問(wèn)等等。特殊賬號(hào)有以下幾個(gè)：Administrator，系統(tǒng)管理員賬號(hào)，具有最高的權(quán)限，可以進(jìn)行任何管理操作，該賬號(hào)不能被刪除，只能更改用戶名。為了提高系統(tǒng)的安全性，建議將管理員賬號(hào)的用戶名更改，比如hqadmin（僅僅是建議，系統(tǒng)管理員可以自行決定）。Guest，匿名登錄的賬號(hào)，為了提高系統(tǒng)的安全性，建議將Guest賬號(hào)禁止。服務(wù)的賬號(hào)，在Windows2003中，每一個(gè)服務(wù)都需要一個(gè)賬號(hào)，通常這些賬號(hào)采用系統(tǒng)賬號(hào)，無(wú)須關(guān)心，但有一些服務(wù)需要特殊的用戶賬號(hào)。每個(gè)個(gè)人賬號(hào)都有一個(gè)口令來(lái)保護(hù)，為了防止口令被盜用和攻擊，建議在整個(gè)域中啟用相應(yīng)的密碼策略以保證每個(gè)密碼都符合一定的復(fù)雜度，具體要求如下：長(zhǎng)度不得小于7個(gè)字符必須包含大寫和小寫字母必須包含特殊字符（例如：~!@#$%^&*()_+）個(gè)人賬號(hào)的命名規(guī)則，用戶名稱將使用中文名，帳號(hào)名稱為:采用英文名稱，如有重復(fù)則在末尾加用戶所在部門名稱的首字母，若仍有重復(fù)則在末尾加數(shù)字以示區(qū)別。例如：姓名 英文名 帳戶名

張剛tony tony.zhang

計(jì)算機(jī)賬號(hào)管理所有加入到域中的計(jì)算機(jī)都需要一個(gè)計(jì)算機(jī)賬號(hào)，通過(guò)該帳號(hào)，可以對(duì)計(jì)算機(jī)的各種配置進(jìn)行管理。建議的計(jì)算機(jī)命名規(guī)則為：部門+序號(hào)。例如：HR-001（人力資源部第一臺(tái)計(jì)算機(jī)）。組賬號(hào)管理分組管理是重要而有效的管理策略。在Windows2003中有三種組帳戶：通用組（UniversalGroup）、全局組（globalgroup）和域本地組（Domainlocalgroup），全局組可以包括本域的用戶帳戶（useraccount），域本地組可以包括本域和資源域的用戶帳戶和全局組帳戶，通用組的使用則沒(méi)有任何限制。良好的分組策略可以降低管理的復(fù)雜性，避免安全上的漏洞，大大提高管理的可靠性。采用這樣的分組策略：按照職位分組。按職能分組，例如所有的財(cái)務(wù)人員，所有的科技人員，所有的系統(tǒng)管理員等等。對(duì)員工分類，比如普通員工，臨時(shí)員工等等。由于維護(hù)用戶和組賬號(hào)是一項(xiàng)日常的工作，這項(xiàng)工作將由中國(guó)銀行的IT人員，依據(jù)管理的需求來(lái)創(chuàng)建。首先將所有用戶分到各個(gè)不同的組織單元(OU)下面。每個(gè)組織單元下還包含一個(gè)用戶組，該用戶組的成員即是該組織單元內(nèi)的所有用戶，這樣可以較為輕松的管理用戶資源。2.2.5管理控制委派總部集中的管理并不以為著所有與IT相關(guān)的操作、配置都必須由總部的IT人員完成，WindowsServer2003的活動(dòng)目錄提供了很好的委派管理機(jī)制，可以有效地減少總部的管理負(fù)擔(dān)，實(shí)現(xiàn)既中央集權(quán)，又分布管理。對(duì)于一個(gè)大型的銀行而言，管理IT資源的人員不可能局限于一兩個(gè)人。在有多個(gè)管理員同時(shí)存在的情況下，如何分配管理權(quán)限是一個(gè)重要的問(wèn)題。如果權(quán)限過(guò)于疏松，個(gè)別的人為誤操作或惡意攻擊將對(duì)整個(gè)企業(yè)的環(huán)境產(chǎn)生威脅；而權(quán)限過(guò)于嚴(yán)格，又會(huì)產(chǎn)生諸多不便，影響工作效率并增加管理負(fù)擔(dān)。Windows2003提供了一種叫做管理控制委派(DelegationofAdministrativeControl)的機(jī)制來(lái)解決這一問(wèn)題。通過(guò)對(duì)不同管理控制的委派，可以輕松的讓某一個(gè)或某一組普通用戶帳號(hào)管理一定的資源，同時(shí)又不放松對(duì)整個(gè)域和其他重要資源的控制。通過(guò)一定的委派，這些帳號(hào)都有權(quán)限管理自己分支機(jī)構(gòu)所對(duì)應(yīng)的OU下面所有的用戶帳號(hào)和計(jì)算機(jī)賬號(hào)，包括改名，改密碼，創(chuàng)建用戶和組，或加入計(jì)算機(jī)到域內(nèi)。但是，對(duì)于域內(nèi)的其他資源而言，這些帳號(hào)只是普通的用戶帳號(hào)，沒(méi)有權(quán)限進(jìn)行任何改動(dòng)。同時(shí)，這些帳號(hào)都將加入一個(gè)用戶組，名稱是admins。這個(gè)組將加入域內(nèi)每一臺(tái)客戶端的本地管理員組(administrators)中。這意味著這些帳號(hào)都可以登入到任何一臺(tái)客戶端上并具有本地管理員的權(quán)限。這樣，這些帳號(hào)就可以用來(lái)代替每一個(gè)客戶端的本地管理員賬號(hào)來(lái)管理本地資源。2.2.6活動(dòng)目錄的備份和恢復(fù)活動(dòng)目錄是一種事務(wù)性數(shù)據(jù)庫(kù)，它是一種預(yù)先寫入記錄的模式，使用了ESE97的技術(shù)。在磁盤上，AD顯示為幾個(gè)文件，它們是ntds.dit(AD數(shù)據(jù)庫(kù))，一組交易記錄(即日志)和記錄數(shù)據(jù)庫(kù)最后一個(gè)緩沖區(qū)的檢查點(diǎn)文件。還有一個(gè)暫時(shí)性的數(shù)據(jù)庫(kù)文件。目錄服務(wù)是一個(gè)組合名詞，它包括有目錄數(shù)據(jù)存儲(chǔ)和可讓用戶或程序存取信息的相關(guān)服務(wù)的意思。

為什么要有目錄呢?目錄可提供企業(yè)網(wǎng)絡(luò)所有重要數(shù)據(jù)的一個(gè)集中存放區(qū)域，這些數(shù)據(jù)包括用戶帳戶、計(jì)算機(jī)、打印機(jī)、應(yīng)用程序、安全性與系統(tǒng)原則等各種資源。將大部分的重要的資源集中的放在某個(gè)共享的網(wǎng)絡(luò)資源中，這樣一來(lái)可以改善企業(yè)的效率與大幅減少網(wǎng)絡(luò)的總擁有成本(TCO)。WIN2K的目錄服務(wù)使用的是多控制器模式，也就是說(shuō)，可以在任意的一個(gè)控制器上修改目錄資源。所以，從上我們可以得知，AD實(shí)際是個(gè)數(shù)據(jù)庫(kù)，而每個(gè)DC都是重要的數(shù)據(jù)庫(kù)服務(wù)器。當(dāng)AD環(huán)境中的某一臺(tái)DC出現(xiàn)災(zāi)難時(shí)，不影響用戶的訪問(wèn)，因?yàn)槠渌腄C上面保存有同樣的活動(dòng)目錄數(shù)據(jù)庫(kù)。AD的備份你不能單獨(dú)備份ActiveDirectory,Windows2003將ActiveDirectory做為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進(jìn)行備份。系統(tǒng)狀態(tài)數(shù)據(jù)包括注冊(cè)表,系統(tǒng)啟動(dòng)文件,類注冊(cè)數(shù)據(jù)庫(kù),證書服務(wù)數(shù)據(jù),文件復(fù)制服務(wù),集群服務(wù),域名服務(wù)和活動(dòng)目錄等,這幾部分都不能單獨(dú)進(jìn)行備份,必須做為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進(jìn)行備份。你可以在系統(tǒng)工具里找到備份工具來(lái)完成此工作，也可以使用第三方軟件來(lái)實(shí)現(xiàn)。但要注意備份AD的一些約束條件:AD只備份當(dāng)前有效的數(shù)據(jù)，對(duì)于已經(jīng)標(biāo)記刪除的對(duì)象，不備份。而AD中的對(duì)象刪除并不是立即的，需要有60天的刪除標(biāo)記時(shí)間。因此，應(yīng)避免恢復(fù)60天前的AD備份，以免導(dǎo)致AD不完整。要確保備份中同時(shí)包含系統(tǒng)狀態(tài)、系統(tǒng)盤的文件以及SYSVOL目錄的內(nèi)容。你只能用原服務(wù)器的備份來(lái)恢復(fù)該服務(wù)器，不能用另一臺(tái)服務(wù)器的備份恢復(fù)該服務(wù)器。AD的還原有兩種辦法可以恢復(fù)ActiveDirectory。第一種是從域的其它DC上恢復(fù)數(shù)據(jù),前提是域內(nèi)必須還有一臺(tái)DC是可用的,這時(shí)當(dāng)損壞的DC重新安裝并加入到它原來(lái)的域時(shí),DC之間會(huì)自動(dòng)進(jìn)行數(shù)據(jù)復(fù)制,ActiveDirectory隨之會(huì)恢復(fù)。另一種方法就是從備份介質(zhì)進(jìn)行恢復(fù)。通常情況下,對(duì)于大多數(shù)小型公司來(lái)說(shuō),整個(gè)公司只有一個(gè)域,由于資金等諸方面的限制也只有一臺(tái)DC,因此從介質(zhì)恢復(fù)ActiveDirectory是經(jīng)常遇到的事情。使用備份來(lái)還原活動(dòng)目錄分為兩種方式：授權(quán)還原方式和非授權(quán)還原方式從備份介質(zhì)進(jìn)行ActiveDirectory恢復(fù)有兩種方式可以選擇:驗(yàn)證方式(authoritativerestore)和非驗(yàn)證方式(nonauthoritativerestore)。

通常情況下,Windows2000使用非授權(quán)方式恢復(fù):ActiveDirectory從備份介質(zhì)中恢復(fù)以后,域內(nèi)其它的DC會(huì)在復(fù)制過(guò)程中使用新的數(shù)據(jù)覆蓋舊的恢復(fù)過(guò)來(lái)的舊的數(shù)據(jù)。舉個(gè)例子,假設(shè)今天是星期五,你使用了星期三的備份對(duì)ActiveDirectory進(jìn)行了恢復(fù),那么從星期三以來(lái)已經(jīng)更改了的數(shù)據(jù)會(huì)復(fù)制到你正在恢復(fù)ActiveDirectory的DC上,也就是新數(shù)據(jù)會(huì)覆蓋你使用備份恢復(fù)的數(shù)據(jù)。授權(quán)模式則完全不同,它會(huì)將從備份介質(zhì)恢復(fù)過(guò)來(lái)的數(shù)據(jù)強(qiáng)行復(fù)制到域內(nèi)所有的DC上,無(wú)論從備份以后數(shù)據(jù)是否發(fā)生了變化。還拿上面的例子來(lái)說(shuō),當(dāng)你在星期五使用星期三的備份恢復(fù)了ActiveDirectory后,這些恢復(fù)過(guò)來(lái)的數(shù)據(jù)會(huì)復(fù)制到域內(nèi)所有的DC上,強(qiáng)行將備份后發(fā)生改變的所有數(shù)據(jù)覆蓋掉,域內(nèi)數(shù)據(jù)就恢復(fù)到了備份時(shí)的狀態(tài)。驗(yàn)證模式恢復(fù)ActiveDirectory通常用于這種情況:ActiveDirectory在域內(nèi)某臺(tái)DC上發(fā)生了嚴(yán)重的錯(cuò)誤,而且這種錯(cuò)誤通過(guò)復(fù)制擴(kuò)散到了域內(nèi)的其它DC上,這時(shí)就需要在某臺(tái)DC上使用驗(yàn)證方式恢復(fù)ActiveDirectory,強(qiáng)制使域恢復(fù)到原來(lái)的好的狀態(tài)。應(yīng)該說(shuō)這種方式是用的比較多的一種恢復(fù)ActiveDirectory的方式。三、關(guān)于遠(yuǎn)程安裝什么是RIS服務(wù)RIS服務(wù)是一種從Windows2000時(shí)代開始的技術(shù)，它的全名是Remoteinstallationservice,我們可以實(shí)用他來(lái)對(duì)WindowsXP進(jìn)行遠(yuǎn)程安裝使用RIS服務(wù)的優(yōu)點(diǎn)RIS主要提供了以下優(yōu)點(diǎn)：它可以為我們提供WindowsXP的遠(yuǎn)程安裝，而不用到每臺(tái)機(jī)器面前去一個(gè)一個(gè)安裝簡(jiǎn)單化的服務(wù)器管理支持在計(jì)算機(jī)出現(xiàn)故障時(shí)對(duì)操作系統(tǒng)進(jìn)行恢復(fù)即使目標(biāo)計(jì)算機(jī)重新啟動(dòng)，也可保持它的WindowsXP的安全性在什么時(shí)候使用RIS安裝WindowsXP系統(tǒng)在以下情況下選擇使用RIS來(lái)安裝WindowsXP是比較合適的：要在多臺(tái)計(jì)算機(jī)上安裝WindowsXP系統(tǒng)，但不想通過(guò)手動(dòng)安裝每一臺(tái)機(jī)器。企業(yè)或機(jī)構(gòu)部署大量的計(jì)算機(jī)時(shí)，可以選擇RIS進(jìn)行自動(dòng)部署。網(wǎng)絡(luò)中配置了DHCP、DNS、ActiveDirectory。（實(shí)現(xiàn)RIS的必要條件）注意上面條件中列出。如果要使用RIS服務(wù)進(jìn)行WindowsXP的遠(yuǎn)程安裝，DHCP服務(wù)是必須要條件。但是由于中國(guó)銀行內(nèi)部的安全策略中禁止使用DHCP服務(wù)，所以在本次實(shí)施用我們依然采用DHCP服務(wù)，同時(shí)使用基于802.1x的網(wǎng)絡(luò)訪問(wèn)認(rèn)證技術(shù)。這樣只有通過(guò)了身份驗(yàn)證的用戶才能通過(guò)網(wǎng)絡(luò)中的DHCP服務(wù)器得到ip地址。關(guān)于802.1x網(wǎng)絡(luò)訪問(wèn)認(rèn)證技術(shù)802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無(wú)線局域網(wǎng)協(xié)議，制訂802.1x協(xié)議的初衷是為了解決無(wú)線局域網(wǎng)用戶的接入認(rèn)證問(wèn)題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證，只要用戶能接入局域網(wǎng)控制設(shè)備(如LANSwitch)，就可以訪問(wèn)局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。但是隨著移動(dòng)辦公及駐地網(wǎng)運(yùn)營(yíng)等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需要對(duì)用戶的接入進(jìn)行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對(duì)端口加以控制以實(shí)現(xiàn)用戶級(jí)的接入控制，802.lx就是IEEE為了解決基于端口的接入控制(Port-BasedNetworkAccessContro1)而定義的一個(gè)標(biāo)準(zhǔn)。IEEE802.1X是根據(jù)用戶ID或設(shè)備，對(duì)網(wǎng)絡(luò)客戶端(或端口)進(jìn)行鑒權(quán)的標(biāo)準(zhǔn)。該流程被稱為“端口級(jí)別的鑒權(quán)”。它采用RADIUS(遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))方法，并將其劃分為三個(gè)不同小組:請(qǐng)求方、認(rèn)證方和授權(quán)服務(wù)器。820.1X標(biāo)準(zhǔn)應(yīng)用于試圖連接到端口或其它設(shè)備(如CiscoCatalyst交換機(jī)或CiscoAironet系列接入點(diǎn))(認(rèn)證方)的終端設(shè)備和用戶(請(qǐng)求方)。認(rèn)證和授權(quán)都通過(guò)鑒權(quán)服務(wù)器(如CiscoSecureACS)后端通信實(shí)現(xiàn)。IEEE802.1X提供自動(dòng)用戶身份識(shí)別，集中進(jìn)行鑒權(quán)、密鑰管理和LAN連接配置。如上所屬，整個(gè)802.1x的實(shí)現(xiàn)設(shè)計(jì)三個(gè)部分，請(qǐng)求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)。一下分別介紹三者的具體內(nèi)容:請(qǐng)求者系統(tǒng)請(qǐng)求者是位于局域網(wǎng)鏈路一端的實(shí)體，由連接到該鏈路另一端的認(rèn)證系統(tǒng)對(duì)其進(jìn)行認(rèn)證。請(qǐng)求者通常是支持802.1x認(rèn)證的用戶終端設(shè)備，用戶通過(guò)啟動(dòng)客戶端軟件發(fā)起802.lx認(rèn)證，后文的認(rèn)證請(qǐng)求者和客戶端二者表達(dá)相同含義。認(rèn)證系統(tǒng)認(rèn)證系統(tǒng)對(duì)連接到鏈路對(duì)端的認(rèn)證請(qǐng)求者進(jìn)行認(rèn)證。認(rèn)證系統(tǒng)通常為支持802.Lx協(xié)議的網(wǎng)絡(luò)設(shè)備，它為請(qǐng)求者提供服務(wù)端口，該端口可以是物理端口也可以是邏輯端口，一般在用戶接入設(shè)備(如LANSwitch和AP)上實(shí)現(xiàn)802.1x認(rèn)證。倎文的認(rèn)證系統(tǒng)、認(rèn)證點(diǎn)和接入設(shè)備三者表達(dá)相同含義。認(rèn)證服務(wù)器系統(tǒng)認(rèn)證服務(wù)器是為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體，建議使用RADIUS服務(wù)器來(lái)實(shí)現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能。請(qǐng)求者和認(rèn)證系統(tǒng)之間運(yùn)行802.1x定義的EAPO(ExtensibleAuthenticationProtocoloverLAN)協(xié)議。當(dāng)認(rèn)證系統(tǒng)工作于中繼方式時(shí)，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運(yùn)行EAP協(xié)議，EAP幀中封裝認(rèn)證數(shù)據(jù)，將該協(xié)議承載在其它高層次協(xié)議中(如RADIUS)，以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器;當(dāng)認(rèn)證系統(tǒng)工作于終結(jié)方式時(shí)，認(rèn)證系統(tǒng)終結(jié)EAPoL消息，并轉(zhuǎn)換為其它認(rèn)證協(xié)議(如RADIUS)，傳遞用戶認(rèn)證信息給認(rèn)證服務(wù)器系統(tǒng)。認(rèn)證系統(tǒng)每個(gè)物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來(lái)傳遞EAPoL協(xié)議幀，可隨時(shí)保證接收認(rèn)證請(qǐng)求者發(fā)出的EAPoL認(rèn)證報(bào)文;受控端口只有在認(rèn)證通過(guò)的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。整個(gè)802.1x的認(rèn)證過(guò)程可以描述如下(1)客戶端向接入設(shè)備發(fā)送一個(gè)EAPoL-Start報(bào)文，開始802.1x認(rèn)證接入;(2)接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報(bào)文，要求客戶端將用戶名送上來(lái);(3)客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入設(shè)備的請(qǐng)求，其中包括用戶名;(4)接入設(shè)備將EAP-Response/Identity報(bào)文封裝到RADIUSAccess-Request報(bào)文中，發(fā)送給認(rèn)證服務(wù)器;(5)認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge，通過(guò)接入設(shè)備將RADIUSAccess-Challenge報(bào)文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge;(6)接入設(shè)備通過(guò)EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證(7)客戶端收到EAP-Request/MD5-Challenge報(bào)文后，將密碼和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備(8)接入設(shè)備將Challenge，ChallengedPassword和用戶名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進(jìn)行認(rèn)證(9)RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束;(10)如果認(rèn)證通過(guò)，用戶通過(guò)標(biāo)準(zhǔn)的DHCP協(xié)議(可以是DHCPRelay)，通過(guò)接入設(shè)備獲取規(guī)劃的IP地址;四、附錄：術(shù)語(yǔ)和概念3.1目錄服務(wù)（directoryservice）目錄服務(wù)是一種存儲(chǔ)網(wǎng)絡(luò)信息的層次結(jié)構(gòu)。目錄是用來(lái)存儲(chǔ)有用對(duì)象的信息源，例如電話目錄存儲(chǔ)關(guān)于電話用戶的信息。在文件系統(tǒng)中，目錄存儲(chǔ)關(guān)于文件的信息。在分布式計(jì)算機(jī)系統(tǒng)或者象Internet這樣的公用計(jì)算機(jī)網(wǎng)絡(luò)中，有許多有用的對(duì)象，例如打印機(jī)、傳真機(jī)、應(yīng)用軟件、數(shù)據(jù)庫(kù)和其它用戶。用戶希望尋找并使用這些對(duì)象。而管理員則希望管理這些對(duì)象的使用。這份文檔中，術(shù)語(yǔ)directory（目錄）和directoryservice（目錄服務(wù)）指在公用和專用網(wǎng)絡(luò)中的目錄?！澳夸浄?wù)”不同于“目錄”在于它既是目錄信息源，也是使用戶可以使用這些信息的服務(wù)者。3.2活動(dòng)目錄(activedirectory)活動(dòng)目錄是包含了Windows

2000Server的目錄服務(wù)。它擴(kuò)展了以前基于Windows的目錄服務(wù)的功能，并增加了一些全新的功能?；顒?dòng)目錄是安全的、分布式、可分區(qū)和可復(fù)制的。它的設(shè)計(jì)保證能在任何規(guī)模的安裝中正常工作，從只有幾百個(gè)對(duì)象，一臺(tái)服務(wù)器的小系統(tǒng)到擁有數(shù)百萬(wàn)對(duì)象，上千臺(tái)服務(wù)器的龐大系統(tǒng)它都支持?；顒?dòng)目錄增加了許多新功能，這些功能使瀏覽并管理大量信息變得更容易，為管理員和終端用戶都節(jié)約了時(shí)間。3.3域（domain）基于WindowsNT的計(jì)算機(jī)網(wǎng)絡(luò)的安全邊界?；顒?dòng)目錄由一個(gè)或多個(gè)域組成。在一個(gè)獨(dú)立的工作站上，域就是計(jì)算機(jī)自身。域可以跨越多個(gè)物理區(qū)域。每一個(gè)域都有自己的安全策略和與其他域的安全關(guān)系。當(dāng)多個(gè)域通過(guò)信任關(guān)系連接起來(lái)，并且共享一個(gè)模式、配置和全局目錄的時(shí)候，它們組成一個(gè)域樹。多個(gè)域樹可以組成一個(gè)森林。參見"域控制器，局部域小組"。域控制器(domaincontroller)--一個(gè)基于WindowsNT的服務(wù)器擁有一個(gè)活動(dòng)目錄分區(qū)。3.4樹（tree）通過(guò)可傳遞、雙向信任關(guān)系連接在一起的WindowsNT域的集合，它們共享相同的模式、配置和全局目錄。域必須組成層次式的名字空間，例如，是樹根，是的孩子，是的孩子等等?；顒?dòng)目錄是一個(gè)或多棵域樹的組合。3.5森林（forest）相互信任的一個(gè)或多個(gè)活動(dòng)目錄樹形成的小組。森林中的所有樹共享一個(gè)模式、配置和全局目錄。當(dāng)一個(gè)森林包括多個(gè)樹的時(shí)候，所有的樹不是形成連續(xù)的名字空間。給定森林中的所有樹通過(guò)信任關(guān)系的雙向傳遞相互彼此信任。與樹不同的是，森林不需要一個(gè)可分辨的名稱(DN)。森林作為一組交叉引用的對(duì)象和成員樹之間的信任關(guān)系而存在。森林中的樹形成一層次信任關(guān)系。3.6組織單元（organizationalunit，簡(jiǎn)稱OU）一個(gè)容器對(duì)象，它是活動(dòng)目錄可管理的劃分。OU可以包含用戶、小組、資源和其他OU。組織單元可以管理權(quán)限委托給目錄中的子樹。組織單元的結(jié)構(gòu)限制在一個(gè)域內(nèi)。3.7站點(diǎn)(site)站點(diǎn)是網(wǎng)絡(luò)中一個(gè)包含活動(dòng)目錄服務(wù)器的位置。站點(diǎn)定義為一個(gè)或多個(gè)連接良好的TCP/IP子網(wǎng)?！斑B接良好”指網(wǎng)絡(luò)連接非常可靠和快速（例如10兆比特每秒或更高速的LAN）。定義站點(diǎn)為一組子網(wǎng)則允許管理員快速輕松地配置活動(dòng)目錄訪問(wèn)和復(fù)制拓?fù)?，以便充分利用物理網(wǎng)絡(luò)。當(dāng)用戶登錄上網(wǎng)時(shí)，活動(dòng)目錄客戶機(jī)將以用戶的身份在同一個(gè)站點(diǎn)找到活動(dòng)目錄服務(wù)器。由于網(wǎng)絡(luò)中同一個(gè)站點(diǎn)的機(jī)器彼此鄰近，所以它們之間的通訊可靠、快速并且高效。由于用戶的工作站已經(jīng)知道位于哪一個(gè)TCP/IP子網(wǎng)上并且能將子網(wǎng)直接轉(zhuǎn)變?yōu)榛顒?dòng)目錄站點(diǎn)，所以在登錄時(shí)確定本地站點(diǎn)就變得很容易。3.8域名系統(tǒng)（DomainNameSystem，簡(jiǎn)稱DNS）一種層次分布式數(shù)據(jù)庫(kù)，用來(lái)進(jìn)行域名/地址轉(zhuǎn)換。域名系統(tǒng)是Internet上使用的名字空間，用來(lái)將計(jì)算機(jī)和服務(wù)名稱轉(zhuǎn)換成為TCP/IP地址。活動(dòng)目錄在它的定位服務(wù)中使用DNS，以便客戶端可以通過(guò)DNS查詢找到域控制器。3.9可傳遞信任關(guān)系（transitivetrust）Windows2000域樹或森林中的域、森林中的樹、森林之間固有的存在信任關(guān)系。當(dāng)一個(gè)域加入到一個(gè)已有的森林或域樹時(shí)，自動(dòng)的建立可傳遞關(guān)系?？蓚鬟f信任一般時(shí)雙向的關(guān)系。在域樹中的父子域、森林中域樹的根域這一系列信任關(guān)系允許森林中的所有域相互之間彼此信任，這樣的目的是授權(quán)。例如，如果域A信任域B，域B信任域C，那么域A可以信任域C。3.10局部域小組(domainlocalgroup)可以包含森林、通用小組和本域中的其他局部小組中的用戶和全局小組。一個(gè)局部域小組只能在本域的ACL中使用。3.11通用小組（universalgroup）組的最簡(jiǎn)單的形式。通用組可以出現(xiàn)在森林ACL的任何地方。小型安裝可以專有的使用通用小組而不要去關(guān)心全局和局部小組3.12模式（schema）整個(gè)數(shù)據(jù)庫(kù)的定義；可以存儲(chǔ)在數(shù)據(jù)庫(kù)中的全局對(duì)象定義在模式中。對(duì)于每一個(gè)對(duì)象類而言，模式定義了類實(shí)例必須具有的屬性、可能有的附加屬性和當(dāng)前對(duì)象的父親是基于什么類的。3.13復(fù)制（replication）在數(shù)據(jù)庫(kù)管理系統(tǒng)中，通過(guò)例行公事的將整個(gè)數(shù)據(jù)庫(kù)或數(shù)據(jù)庫(kù)的子集拷貝到網(wǎng)絡(luò)中的其他服務(wù)器上而使分布式數(shù)據(jù)庫(kù)同步的功能。有幾種拷貝的方法，包括主站點(diǎn)復(fù)制、共享或傳輸所有權(quán)的復(fù)制、對(duì)稱復(fù)制（也稱為隨時(shí)更新或?qū)Φ葟?fù)制）和失敗恢復(fù)復(fù)制。參見不同復(fù)制方法的完整定義"百科全書"。3.14輕型目錄訪問(wèn)協(xié)議（LDAP）用來(lái)訪問(wèn)目錄服務(wù)的一種協(xié)議。目前的Web瀏覽器和電子郵件程序中都實(shí)現(xiàn)了LDAP，這樣就可以查詢一個(gè)LDAP目錄。LDAP是目錄訪問(wèn)協(xié)議（DirectoryAccessProcotol，簡(jiǎn)稱DAP）的一個(gè)簡(jiǎn)化版本，可以用來(lái)訪問(wèn)X.500目錄。編寫LDAP查詢代碼比DAP簡(jiǎn)單，但是LDAP的功能不是十分完善。例如，如果沒(méi)有找到地址，DAP可以在其他的服務(wù)器上進(jìn)行初始化尋找，但是LDAP就不具備這個(gè)功能。LDAP是活動(dòng)目錄的主要的訪問(wèn)協(xié)議3.15Kerberos一種用來(lái)授權(quán)用戶的安全系統(tǒng)。對(duì)于服務(wù)或數(shù)據(jù)庫(kù)，Kerberos不提供授權(quán)；它在登錄時(shí)授權(quán)用戶身份，這在整個(gè)會(huì)話中都是要使用的。Kerberos協(xié)議是Windows2000操作系統(tǒng)中的主要授權(quán)機(jī)制。3.16組策略(GroupPolicy)指將策略應(yīng)用到活動(dòng)目錄容器中的計(jì)算機(jī)組和/或用戶。所包括的策略類型不僅是出現(xiàn)在WindowsNT服務(wù)器4.0中的基于注冊(cè)的策略，還可以是目錄服務(wù)所允許的用來(lái)存儲(chǔ)策略數(shù)據(jù)的多種類型，例如：文件配置、應(yīng)用程序配置、登錄和注銷腳本、啟動(dòng)和關(guān)機(jī)腳本、域安全、Inte