ActiveDirectory和組策略教材課件

第3章ActiveDirectory和組策略規(guī)劃基礎(chǔ)結(jié)構(gòu)服務(wù)服務(wù)器角色規(guī)劃和實(shí)現(xiàn)組策略方案本章課程設(shè)置：第1課WindowsServer2008ActiveDirectory第2課WindowsServer2008

組策略1第3章ActiveDirectory和組策略規(guī)劃基礎(chǔ)結(jié)第1課windowsServer2008AD學(xué)習(xí)目標(biāo)：列舉和描述WindowsServer2008ActiveDirectory域服務(wù)（ADDS）的新特征和功能規(guī)劃和配置域功能級(jí)別規(guī)劃林功能級(jí)別規(guī)劃林信任使用目錄服務(wù)器2第1課windowsServer2008AD學(xué)習(xí)目標(biāo)3.1.1介紹WindowsServer2008目錄服務(wù)器角色目錄服務(wù)器角色ADDS引入的新功能：只讀域控制器RODC新的和增強(qiáng)的工具和向?qū)В篈DDS安裝向?qū)Ъ?xì)化的安全策略：多元密碼策略可重啟的ADDS：允許離線操作ADDS數(shù)據(jù)挖掘工具：可查看快照數(shù)據(jù)33.1.1介紹WindowsServer2008目錄服務(wù)3.1.1介紹WindowsServer2008目錄服務(wù)器角色1．只讀域控制器RODCRODC是具有ActiveDirectory文件庫(kù)只讀版本的域控制器，可部署于域控制器安全性無(wú)法確保的環(huán)境中。包括域控制器的物理安全性有疑慮的分支機(jī)構(gòu)，或者具有額外角色功能并需要其他用戶登入與管理服務(wù)器的域控制器?？梢园裄ODC管理委派給一個(gè)域用戶或安全組，從而在本地管理員不是DomainAdmins組成員的地方使用RODC。43.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色使用案例：遠(yuǎn)程分公司的用戶，一般通過(guò)廣域網(wǎng)WAN連接到總公司的DC進(jìn)行身份驗(yàn)證。缺點(diǎn)：延遲或不能登錄。怎么解決？可寫(xiě)的DC?存放一個(gè)可寫(xiě)的DC和一個(gè)管理員，浪費(fèi)太大。存放一個(gè)可寫(xiě)的DC，讓管理員遠(yuǎn)程管理，帶寬低，費(fèi)時(shí)又棘手。存放一個(gè)可寫(xiě)的DC不如WAN安全。RODC解決方案：RODC提供了增強(qiáng)的安全性；使登錄更快速，并且允許更有效地訪問(wèn)本地資源；RODC管理可以委派給一個(gè)沒(méi)有管理權(quán)限的用戶或組。53.1.1介紹WindowsServer2008目錄服1．只讀域控制器RODC如果分公司使用的LOB（line-of-business）業(yè)務(wù)應(yīng)用程序只有安裝到一個(gè)域控制器上才能運(yùn)行，也要選擇部署RODC。RODC從一個(gè)可寫(xiě)DC接收它的配置。敏感的安全信息不被復(fù)制到RODC。用戶在分公司第一次登錄時(shí)通過(guò)WAN進(jìn)行身份確認(rèn)，然后RODC可以把憑證緩存，以后就可以在本地驗(yàn)證。因此，在用戶相對(duì)較少，物理安全性差，網(wǎng)絡(luò)帶寬較低，IT知識(shí)貧乏的環(huán)境下，可以采用RODC。提供了只讀ADDS數(shù)據(jù)庫(kù)、單向復(fù)制、憑證緩存、管理員角色分離、只讀DNS（不支持客戶更新）等功能。3.1.1介紹WindowsServer2008目錄服務(wù)器角色61．只讀域控制器RODC3.1.1介紹WindowsSer3.1.1介紹WindowsServer2008目錄服務(wù)器角色2．規(guī)劃RODC實(shí)現(xiàn)條件：遠(yuǎn)程啟動(dòng)Server2008升級(jí)或有一個(gè)2008的ADDS域，即可計(jì)劃實(shí)現(xiàn)RODC。RODC安裝的兩個(gè)階段：第一階段：為該域中的RODC創(chuàng)建計(jì)算機(jī)賬戶時(shí)，可以為特定的RODC規(guī)定密碼復(fù)制策略。在RODC上安裝DNS實(shí)現(xiàn)一個(gè)輔助的DNS服務(wù)器，可以復(fù)制該DNS使用的所有應(yīng)用程序目錄分區(qū)。客戶更新數(shù)據(jù)，可以請(qǐng)求單一更新DNS。第二階段：安裝73.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色3．利用安裝向?qū)г鰪?qiáng)功能WindowsServer2008增加了ADDS安裝向?qū)?，以?jiǎn)化ADDS安裝，并引入了RODC安裝等新特征。單擊“添加角色”輸入命令dcpromo高級(jí)模式安裝使你能夠更好地控制安裝過(guò)程。83.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色4．委派RODC安裝在總公司DC中，可以委派合適的權(quán)限給一個(gè)用戶或組。分支辦公室的用戶接受了委派權(quán)限后，就可以執(zhí)行RODC的安裝，并可以管理RODC，但不需要域管理員權(quán)限。過(guò)程：首先創(chuàng)建RODC賬戶；安裝過(guò)程中就可以關(guān)聯(lián)/委派。93.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色5．利用MMC管理單元增強(qiáng)功能WindowsServer2008增強(qiáng)了MMC管理單元工具（如AD用戶和計(jì)算機(jī)）的功能。查找命令：該命令允許查找放置DC的站點(diǎn)?？梢詭椭鉀Q復(fù)制問(wèn)題。提供配置“密碼復(fù)制策略”選項(xiàng)卡，用于配置RODC的設(shè)置。單擊“高級(jí)”按鈕，可以查看哪些密碼已被發(fā)送或存儲(chǔ)到RODC中，也就知道誰(shuí)在使用RODC。103.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色6．規(guī)劃多元密碼和帳戶鎖定策略以前的ActiveDirectory實(shí)現(xiàn)中，只能對(duì)域中的所有用戶應(yīng)用一個(gè)密碼和帳戶鎖定策略。WindowsServer2008允許規(guī)定多元密碼策略?？梢砸?guī)定多個(gè)密碼策略，并對(duì)單個(gè)域中的不同用戶組應(yīng)用不同的密碼限制和賬戶鎖定策略。密碼設(shè)置容器（PSC）密碼設(shè)置對(duì)象（PSO）通常，規(guī)劃的策略可以包含至少3個(gè)但不能多于10個(gè)PSO。不能直接將PSO應(yīng)用于組織單元OU。而考慮為這些OU創(chuàng)建影子組（全局安全組），然后應(yīng)用PSO。113.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色6．規(guī)劃多元密碼和帳戶鎖定策略將PSO應(yīng)用于組而不是OU，可以不用修改OU層次結(jié)構(gòu)，組為管理各用戶集提供了更好的靈活性。使用多元密碼，需要具有2008域功能級(jí)別。只有域管理組的成員才可以創(chuàng)建PSO，以及將一個(gè)PSO應(yīng)用于某個(gè)組或用戶。多元密碼策略只能應(yīng)用于用戶對(duì)象和全局安全組，不能應(yīng)用于計(jì)算機(jī)對(duì)象。多元密碼策略不能干預(yù)自定義的密碼篩選器。PSO分配給一個(gè)全局組后，可以把一個(gè)特殊的PSO直接應(yīng)用于特定的用戶。可以計(jì)劃委派多元密碼管理。123.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色7．規(guī)劃數(shù)據(jù)挖掘工具的使用目的：為了方便恢復(fù)被刪除的ADDS對(duì)象。數(shù)據(jù)挖掘工具Dsamain.exe使被刪除的數(shù)據(jù)能夠以卷影復(fù)制服務(wù)VSS備份的ADDS快照方式進(jìn)行保留?？梢岳幂p型目錄訪問(wèn)協(xié)議工具，如ldp.exe查看這些快照中的只讀數(shù)據(jù)。規(guī)劃被刪除數(shù)據(jù)的還原策略：決定如何最好地保留刪除的數(shù)據(jù)，使它能夠被還原，從而在需要的時(shí)候還原該數(shù)據(jù)。決定數(shù)據(jù)丟失后或者破壞時(shí)應(yīng)還原哪個(gè)快照。確定了需要恢復(fù)的對(duì)象或OU，可以在快照中標(biāo)識(shí)并記錄它們的屬性和返回鏈接?？紤]快照的安全問(wèn)題，制訂恢復(fù)計(jì)劃。133.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色8．規(guī)劃ADDS審核在WindowsServer2008中，全局審核策略“審核目錄服務(wù)訪問(wèn)”默認(rèn)啟動(dòng)。該策略控制啟用還是禁用目錄服務(wù)事件的審核。審核：記錄事件寫(xiě)入“安全性”事件日志以及如何響應(yīng)事件。DS訪問(wèn)DS改變DS復(fù)制審核DS復(fù)制被進(jìn)一步細(xì)分，提供兩個(gè)審核級(jí)別的選擇：正常和詳細(xì)。如何響應(yīng)事件：“將任務(wù)附加到該事件”。143.1.1介紹WindowsServer2008目錄服3.1.2規(guī)劃域和林功能將域和林升級(jí)到WindowsServer

2008時(shí)，總會(huì)提升域和林的功能級(jí)別。提升功能級(jí)別非常容易，但是不可能降低它們，除了卸載重裝。要規(guī)劃需要為域設(shè)置什么功能級(jí)別以及什么時(shí)候提升功能，需要知道每個(gè)功能級(jí)別支持什么DC以及提升功能級(jí)別提供哪些附加功能，還需要知道域和林功能級(jí)別之間的關(guān)系。域功能級(jí)別考慮因素林功能級(jí)別考慮因素153.1.2規(guī)劃域和林功能將域和林升級(jí)到WindowsSe3.1.3規(guī)劃林級(jí)信任林信任（即林級(jí)信任）允許一個(gè)林中的每個(gè)域信任另一個(gè)林中的每個(gè)域。可以是單向傳入信任、單向傳出信任或雙向信任。應(yīng)用：伙伴公司或密切聯(lián)系的組織之間可以使用林信任。林信任可能構(gòu)成并購(gòu)或者接管戰(zhàn)略的組成部分。對(duì)AD隔離也可以使用林信任。163.1.3規(guī)劃林級(jí)信任林信任（即林級(jí)信任）允許一個(gè)林中的每1．規(guī)劃信任類(lèi)型和信任方向類(lèi)型：林信任：最常見(jiàn)的跨林運(yùn)作的信任類(lèi)型?？旖莘绞叫湃瓮獠啃湃危毫种械囊粋€(gè)域需要與一個(gè)不屬于林的域建立信任關(guān)系，則建立一個(gè)域信任。領(lǐng)域信任：Unix領(lǐng)域和Windows域之間，通過(guò)Kerberos身份驗(yàn)證，建立信任。信任方向：?jiǎn)蜗颍▊魅?、傳出）、雙向3.1.3規(guī)劃林級(jí)信任171．規(guī)劃信任類(lèi)型和信任方向3.1.3規(guī)劃林級(jí)信任173.1.3規(guī)劃林級(jí)信任2．創(chuàng)建林信任在創(chuàng)建前，需要確保兩個(gè)林的林功能級(jí)別是WindowsServer2003或WindowsServer2008。下一步是確保每個(gè)林的根域可以訪問(wèn)其他林的根域。從“管理工具”中打開(kāi)“ActiveDirectory域和信任關(guān)系”。啟動(dòng)“新建信任向?qū)А薄?83.1.3規(guī)劃林級(jí)信任2．創(chuàng)建林信任18本課小結(jié)WindowsServer2008引入許多新的ADDS功能，包括RODC、多元安全策略和數(shù)據(jù)挖掘工具等。在分支辦公室中，如果可寫(xiě)入的DC可能成為一種安全威脅，則可以安裝RODC來(lái)改進(jìn)登錄和DNS解析。可以配置PSO以存儲(chǔ)不同于域策略的密碼和賬戶鎖定策略，可以將用戶和安全組與一個(gè)PSO關(guān)聯(lián)。數(shù)據(jù)挖掘工具使被刪除的ADDS或ADLDS數(shù)據(jù)能夠以VSS獲得的ADDS快照方式保留下來(lái)。WindowsServer2008增強(qiáng)了MMC管理單元工具的功能。增強(qiáng)了ADDS審核功能，允許判定ADDS發(fā)生了什么改變以及這些改變是何時(shí)發(fā)生的。林級(jí)信任允許一個(gè)林中的某個(gè)域的用戶訪問(wèn)另一個(gè)林中的某個(gè)域中的資源。19本課小結(jié)WindowsServer2008引入許多新第2課WindowsServer2008組策略組策略通過(guò)自動(dòng)完成很多與用戶和計(jì)算機(jī)管理相關(guān)的任務(wù)來(lái)簡(jiǎn)化管理。可以使用組策略在客戶端按需安裝允許的應(yīng)用程序，并使應(yīng)用程序保持更新。在WindowsServer2008中，組策略管理控制臺(tái)（GPMC）是內(nèi)置的。通過(guò)“添加功能向?qū)А笨梢园惭bGPMC。管理模板（ADM）文件用來(lái)描述基于注冊(cè)表的組策略設(shè)置。在WindowsServer2008中ADM文件被替換為XML格式的ADMX文件，使管理更加容易。20第2課WindowsServer2008組策略組策略通第2課WindowsServer2008組策略學(xué)習(xí)目標(biāo)：了解組策略，安裝GPMC列舉WindowsServer2008引入的新的組策略設(shè)置和說(shuō)明它們的功能編寫(xiě)簡(jiǎn)單的ADMX文件討論配置組策略時(shí)可能發(fā)生的各種問(wèn)題以及如何解決它們21第2課WindowsServer2008組策略學(xué)習(xí)目3.2.1了解組策略組策略對(duì)象（GPO）中包含的組策略設(shè)置可以鏈接到OU，而OU既可以從父OU繼承設(shè)置，也可以阻斷繼承，并從它們自己鏈接的GPO獲得特定的設(shè)置。策略（特別是安全策略）可以設(shè)置為“不覆蓋”，使它們不能被阻斷或覆蓋，并強(qiáng)制子OU從父OU繼承設(shè)置。223.2.1了解組策略組策略對(duì)象（GPO）中包含的組策略設(shè)置WindowsServer2008引入了下列組策略設(shè)置：允許遠(yuǎn)程啟動(dòng)未列出的程序允許時(shí)間區(qū)域重定向在連接時(shí)始終顯示桌面磁盤(pán)診斷：配置自定義警告文本、配置執(zhí)行級(jí)別不允許剪貼板重定向登錄時(shí)不自動(dòng)顯示初始配置任務(wù)窗口登錄時(shí)不顯示服務(wù)器管理器頁(yè)面實(shí)施遠(yuǎn)程桌面墻紙的刪除組策略管理編輯器……3.2.1了解組策略23WindowsServer2008引入了下列組策略設(shè)置：3.2.2規(guī)劃和管理組策略規(guī)劃組策略的部分工作是規(guī)劃組織結(jié)構(gòu)。保持結(jié)構(gòu)簡(jiǎn)單，不要跨站點(diǎn)邊界鏈接OU和GPO，賦予OU和GPO有意義的名稱。充分了解組策略在客戶端是如何處理的。處理分如下兩個(gè)階段：核心處理：核心組策略引擎在初始階段處理。連接DC，是否有GPO被修改，以及哪些策略設(shè)置必須處理?？蛻舳藬U(kuò)展（CSE）處理：從DC下來(lái)的組策略設(shè)置被放到了不同的分類(lèi)，每個(gè)分類(lèi)的設(shè)置都有一個(gè)特定的CSE處理。核心組策略引擎調(diào)用所需的CSE來(lái)處理客戶端應(yīng)用的設(shè)置。243.2.2規(guī)劃和管理組策略規(guī)劃組策略的部分工作是規(guī)劃組織結(jié)3.2.2規(guī)劃和管理組策略1．使用ADMX文件管理組策略ADMX是用來(lái)定義注冊(cè)表的策略設(shè)置。使用基于XML的文件格式。ADMX文件分為語(yǔ)言中立資源（.admx文件）和語(yǔ)言特定的資源（.adml文件）。2．ADMX位置ADMX文件可以存儲(chǔ)在一個(gè)中心位置。這就大大減少了維護(hù)GPO所需的存儲(chǔ)空間。中心存儲(chǔ)位置不是默認(rèn)可用的，而是需要人工創(chuàng)建它。253.2.2規(guī)劃和管理組策略1．使用ADMX文件管理組策略23.2.2規(guī)劃和管理組策略3．創(chuàng)建自定義的ADMX文件如果WindowsSerer2008所帶的標(biāo)準(zhǔn)組策略設(shè)置不能滿足要求，可以考慮創(chuàng)建自定義的ADMX文件。ADMX修改注冊(cè)表。所以要在隔離的試驗(yàn)網(wǎng)絡(luò)上對(duì)自定義的ADMX文件進(jìn)行測(cè)試，不能把它們直接安裝到生產(chǎn)網(wǎng)絡(luò)上。使用XML編輯器或文本編輯器可以創(chuàng)建和編輯ADMX文件。XML文件是區(qū)分大小寫(xiě)的。263.2.2規(guī)劃和管理組策略3．創(chuàng)建自定義的ADMX文件263.2.3組策略疑難解答組策略是健壯的，幾乎不會(huì)break。由于策略繼承和OU結(jié)構(gòu)設(shè)計(jì)得不正確，組策略會(huì)不起作用。調(diào)試組策略的第一步，通常是檢查正確地規(guī)劃和實(shí)現(xiàn)了域基礎(chǔ)結(jié)構(gòu)。確保所需的服務(wù)和組件都如期望的那樣運(yùn)行和配置。如果某一個(gè)有問(wèn)題，首先驗(yàn)證是否被連入網(wǎng)絡(luò)，加入了域，具有正確的系統(tǒng)時(shí)間。其次檢查你配置的安全篩選等設(shè)置有沒(méi)有影響正常的GPO處理。273.2.3組策略疑難解答組策略是健壯的，幾乎不會(huì)break3.2.3組策略疑難解答1．使用組策略工具GPResult.exe：驗(yàn)證對(duì)某個(gè)特定用戶或計(jì)算機(jī)起作用的所有策略設(shè)置。GPOTool.exe：一個(gè)資源工具包，檢查域的每個(gè)DC上的GPO一致性，以及確定這些策略是否有效，顯示有關(guān)復(fù)制的GPO的詳細(xì)信息。2．解決核心處理問(wèn)題如果核心處理沒(méi)有快速有效地發(fā)生，CSE處理可能無(wú)法開(kāi)始，組策略得不到應(yīng)用。283.2.3組策略疑難解答1．使用組策略工具2．解決核心處理本課小結(jié)GPMC與WindowsServer2008緊密集成，使用服務(wù)器管理器可以安裝該工具。WindowsServer2008引入了許多組策略設(shè)置，特別是與TS服務(wù)器角色有關(guān)的設(shè)置。ADMX語(yǔ)言中立和語(yǔ)言特定的文件定義WindowsServer2008域中可配置的組策略設(shè)置。這些文件可以存儲(chǔ)在DC上的一個(gè)中心存儲(chǔ)位置，需要在某個(gè)DC上創(chuàng)建該中心存儲(chǔ)位置。DFSR把它復(fù)制到域中的其他DC。有各種各樣的工具可以幫助解決組策略問(wèn)題，其中最有用的是使用GPMC保存GPO報(bào)告的功能。29本課小結(jié)GPMC與WindowsServer2008緊本章小結(jié)P1343.1.5本課小結(jié)P1523.2.5本課小結(jié)P154本章小結(jié)P1343.1.6復(fù)習(xí)題P1523.2.6復(fù)習(xí)題P154關(guān)鍵術(shù)語(yǔ)30本章小結(jié)P1343.1.5本課小結(jié)30第3章ActiveDirectory和組策略規(guī)劃基礎(chǔ)結(jié)構(gòu)服務(wù)服務(wù)器角色規(guī)劃和實(shí)現(xiàn)組策略方案本章課程設(shè)置：第1課WindowsServer2008ActiveDirectory第2課WindowsServer2008

組策略31第3章ActiveDirectory和組策略規(guī)劃基礎(chǔ)結(jié)第1課windowsServer2008AD學(xué)習(xí)目標(biāo)：列舉和描述WindowsServer2008ActiveDirectory域服務(wù)（ADDS）的新特征和功能規(guī)劃和配置域功能級(jí)別規(guī)劃林功能級(jí)別規(guī)劃林信任使用目錄服務(wù)器32第1課windowsServer2008AD學(xué)習(xí)目標(biāo)3.1.1介紹WindowsServer2008目錄服務(wù)器角色目錄服務(wù)器角色ADDS引入的新功能：只讀域控制器RODC新的和增強(qiáng)的工具和向?qū)В篈DDS安裝向?qū)Ъ?xì)化的安全策略：多元密碼策略可重啟的ADDS：允許離線操作ADDS數(shù)據(jù)挖掘工具：可查看快照數(shù)據(jù)333.1.1介紹WindowsServer2008目錄服務(wù)3.1.1介紹WindowsServer2008目錄服務(wù)器角色1．只讀域控制器RODCRODC是具有ActiveDirectory文件庫(kù)只讀版本的域控制器，可部署于域控制器安全性無(wú)法確保的環(huán)境中。包括域控制器的物理安全性有疑慮的分支機(jī)構(gòu)，或者具有額外角色功能并需要其他用戶登入與管理服務(wù)器的域控制器?？梢园裄ODC管理委派給一個(gè)域用戶或安全組，從而在本地管理員不是DomainAdmins組成員的地方使用RODC。343.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色使用案例：遠(yuǎn)程分公司的用戶，一般通過(guò)廣域網(wǎng)WAN連接到總公司的DC進(jìn)行身份驗(yàn)證。缺點(diǎn)：延遲或不能登錄。怎么解決？可寫(xiě)的DC?存放一個(gè)可寫(xiě)的DC和一個(gè)管理員，浪費(fèi)太大。存放一個(gè)可寫(xiě)的DC，讓管理員遠(yuǎn)程管理，帶寬低，費(fèi)時(shí)又棘手。存放一個(gè)可寫(xiě)的DC不如WAN安全。RODC解決方案：RODC提供了增強(qiáng)的安全性；使登錄更快速，并且允許更有效地訪問(wèn)本地資源；RODC管理可以委派給一個(gè)沒(méi)有管理權(quán)限的用戶或組。353.1.1介紹WindowsServer2008目錄服1．只讀域控制器RODC如果分公司使用的LOB（line-of-business）業(yè)務(wù)應(yīng)用程序只有安裝到一個(gè)域控制器上才能運(yùn)行，也要選擇部署RODC。RODC從一個(gè)可寫(xiě)DC接收它的配置。敏感的安全信息不被復(fù)制到RODC。用戶在分公司第一次登錄時(shí)通過(guò)WAN進(jìn)行身份確認(rèn)，然后RODC可以把憑證緩存，以后就可以在本地驗(yàn)證。因此，在用戶相對(duì)較少，物理安全性差，網(wǎng)絡(luò)帶寬較低，IT知識(shí)貧乏的環(huán)境下，可以采用RODC。提供了只讀ADDS數(shù)據(jù)庫(kù)、單向復(fù)制、憑證緩存、管理員角色分離、只讀DNS（不支持客戶更新）等功能。3.1.1介紹WindowsServer2008目錄服務(wù)器角色361．只讀域控制器RODC3.1.1介紹WindowsSer3.1.1介紹WindowsServer2008目錄服務(wù)器角色2．規(guī)劃RODC實(shí)現(xiàn)條件：遠(yuǎn)程啟動(dòng)Server2008升級(jí)或有一個(gè)2008的ADDS域，即可計(jì)劃實(shí)現(xiàn)RODC。RODC安裝的兩個(gè)階段：第一階段：為該域中的RODC創(chuàng)建計(jì)算機(jī)賬戶時(shí)，可以為特定的RODC規(guī)定密碼復(fù)制策略。在RODC上安裝DNS實(shí)現(xiàn)一個(gè)輔助的DNS服務(wù)器，可以復(fù)制該DNS使用的所有應(yīng)用程序目錄分區(qū)?？蛻舾聰?shù)據(jù)，可以請(qǐng)求單一更新DNS。第二階段：安裝373.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色3．利用安裝向?qū)г鰪?qiáng)功能WindowsServer2008增加了ADDS安裝向?qū)?，以?jiǎn)化ADDS安裝，并引入了RODC安裝等新特征。單擊“添加角色”輸入命令dcpromo高級(jí)模式安裝使你能夠更好地控制安裝過(guò)程。383.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色4．委派RODC安裝在總公司DC中，可以委派合適的權(quán)限給一個(gè)用戶或組。分支辦公室的用戶接受了委派權(quán)限后，就可以執(zhí)行RODC的安裝，并可以管理RODC，但不需要域管理員權(quán)限。過(guò)程：首先創(chuàng)建RODC賬戶；安裝過(guò)程中就可以關(guān)聯(lián)/委派。393.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色5．利用MMC管理單元增強(qiáng)功能WindowsServer2008增強(qiáng)了MMC管理單元工具（如AD用戶和計(jì)算機(jī)）的功能。查找命令：該命令允許查找放置DC的站點(diǎn)?？梢詭椭鉀Q復(fù)制問(wèn)題。提供配置“密碼復(fù)制策略”選項(xiàng)卡，用于配置RODC的設(shè)置。單擊“高級(jí)”按鈕，可以查看哪些密碼已被發(fā)送或存儲(chǔ)到RODC中，也就知道誰(shuí)在使用RODC。403.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色6．規(guī)劃多元密碼和帳戶鎖定策略以前的ActiveDirectory實(shí)現(xiàn)中，只能對(duì)域中的所有用戶應(yīng)用一個(gè)密碼和帳戶鎖定策略。WindowsServer2008允許規(guī)定多元密碼策略?？梢砸?guī)定多個(gè)密碼策略，并對(duì)單個(gè)域中的不同用戶組應(yīng)用不同的密碼限制和賬戶鎖定策略。密碼設(shè)置容器（PSC）密碼設(shè)置對(duì)象（PSO）通常，規(guī)劃的策略可以包含至少3個(gè)但不能多于10個(gè)PSO。不能直接將PSO應(yīng)用于組織單元OU。而考慮為這些OU創(chuàng)建影子組（全局安全組），然后應(yīng)用PSO。413.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色6．規(guī)劃多元密碼和帳戶鎖定策略將PSO應(yīng)用于組而不是OU，可以不用修改OU層次結(jié)構(gòu)，組為管理各用戶集提供了更好的靈活性。使用多元密碼，需要具有2008域功能級(jí)別。只有域管理組的成員才可以創(chuàng)建PSO，以及將一個(gè)PSO應(yīng)用于某個(gè)組或用戶。多元密碼策略只能應(yīng)用于用戶對(duì)象和全局安全組，不能應(yīng)用于計(jì)算機(jī)對(duì)象。多元密碼策略不能干預(yù)自定義的密碼篩選器。PSO分配給一個(gè)全局組后，可以把一個(gè)特殊的PSO直接應(yīng)用于特定的用戶。可以計(jì)劃委派多元密碼管理。423.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色7．規(guī)劃數(shù)據(jù)挖掘工具的使用目的：為了方便恢復(fù)被刪除的ADDS對(duì)象。數(shù)據(jù)挖掘工具Dsamain.exe使被刪除的數(shù)據(jù)能夠以卷影復(fù)制服務(wù)VSS備份的ADDS快照方式進(jìn)行保留?？梢岳幂p型目錄訪問(wèn)協(xié)議工具，如ldp.exe查看這些快照中的只讀數(shù)據(jù)。規(guī)劃被刪除數(shù)據(jù)的還原策略：決定如何最好地保留刪除的數(shù)據(jù)，使它能夠被還原，從而在需要的時(shí)候還原該數(shù)據(jù)。決定數(shù)據(jù)丟失后或者破壞時(shí)應(yīng)還原哪個(gè)快照。確定了需要恢復(fù)的對(duì)象或OU，可以在快照中標(biāo)識(shí)并記錄它們的屬性和返回鏈接?？紤]快照的安全問(wèn)題，制訂恢復(fù)計(jì)劃。433.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色8．規(guī)劃ADDS審核在WindowsServer2008中，全局審核策略“審核目錄服務(wù)訪問(wèn)”默認(rèn)啟動(dòng)。該策略控制啟用還是禁用目錄服務(wù)事件的審核。審核：記錄事件寫(xiě)入“安全性”事件日志以及如何響應(yīng)事件。DS訪問(wèn)DS改變DS復(fù)制審核DS復(fù)制被進(jìn)一步細(xì)分，提供兩個(gè)審核級(jí)別的選擇：正常和詳細(xì)。如何響應(yīng)事件：“將任務(wù)附加到該事件”。443.1.1介紹WindowsServer2008目錄服3.1.2規(guī)劃域和林功能將域和林升級(jí)到WindowsServer

2008時(shí)，總會(huì)提升域和林的功能級(jí)別。提升功能級(jí)別非常容易，但是不可能降低它們，除了卸載重裝。要規(guī)劃需要為域設(shè)置什么功能級(jí)別以及什么時(shí)候提升功能，需要知道每個(gè)功能級(jí)別支持什么DC以及提升功能級(jí)別提供哪些附加功能，還需要知道域和林功能級(jí)別之間的關(guān)系。域功能級(jí)別考慮因素林功能級(jí)別考慮因素453.1.2規(guī)劃域和林功能將域和林升級(jí)到WindowsSe3.1.3規(guī)劃林級(jí)信任林信任（即林級(jí)信任）允許一個(gè)林中的每個(gè)域信任另一個(gè)林中的每個(gè)域。可以是單向傳入信任、單向傳出信任或雙向信任。應(yīng)用：伙伴公司或密切聯(lián)系的組織之間可以使用林信任。林信任可能構(gòu)成并購(gòu)或者接管戰(zhàn)略的組成部分。對(duì)AD隔離也可以使用林信任。463.1.3規(guī)劃林級(jí)信任林信任（即林級(jí)信任）允許一個(gè)林中的每1．規(guī)劃信任類(lèi)型和信任方向類(lèi)型：林信任：最常見(jiàn)的跨林運(yùn)作的信任類(lèi)型?？旖莘绞叫湃瓮獠啃湃危毫种械囊粋€(gè)域需要與一個(gè)不屬于林的域建立信任關(guān)系，則建立一個(gè)域信任。領(lǐng)域信任：Unix領(lǐng)域和Windows域之間，通過(guò)Kerberos身份驗(yàn)證，建立信任。信任方向：?jiǎn)蜗颍▊魅?、傳出）、雙向3.1.3規(guī)劃林級(jí)信任471．規(guī)劃信任類(lèi)型和信任方向3.1.3規(guī)劃林級(jí)信任173.1.3規(guī)劃林級(jí)信任2．創(chuàng)建林信任在創(chuàng)建前，需要確保兩個(gè)林的林功能級(jí)別是WindowsServer2003或WindowsServer2008。下一步是確保每個(gè)林的根域可以訪問(wèn)其他林的根域。從“管理工具”中打開(kāi)“ActiveDirectory域和信任關(guān)系”。啟動(dòng)“新建信任向?qū)А薄?83.1.3規(guī)劃林級(jí)信任2．創(chuàng)建林信任18本課小結(jié)WindowsServer2008引入許多新的ADDS功能，包括RODC、多元安全策略和數(shù)據(jù)挖掘工具等。在分支辦公室中，如果可寫(xiě)入的DC可能成為一種安全威脅，則可以安裝RODC來(lái)改進(jìn)登錄和DNS解析?？梢耘渲肞SO以存儲(chǔ)不同于域策略的密碼和賬戶鎖定策略，可以將用戶和安全組與一個(gè)PSO關(guān)聯(lián)。數(shù)據(jù)挖掘工具使被刪除的ADDS或ADLDS數(shù)據(jù)能夠以VSS獲得的ADDS快照方式保留下來(lái)。WindowsServer2008增強(qiáng)了MMC管理單元工具的功能。增強(qiáng)了ADDS審核功能，允許判定ADDS發(fā)生了什么改變以及這些改變是何時(shí)發(fā)生的。林級(jí)信任允許一個(gè)林中的某個(gè)域的用戶訪問(wèn)另一個(gè)林中的某個(gè)域中的資源。49本課小結(jié)WindowsServer2008引入許多新第2課WindowsServer2008組策略組策略通過(guò)自動(dòng)完成很多與用戶和計(jì)算機(jī)管理相關(guān)的任務(wù)來(lái)簡(jiǎn)化管理?？梢允褂媒M策略在客戶端按需安裝允許的應(yīng)用程序，并使應(yīng)用程序保持更新。在WindowsServer2008中，組策略管理控制臺(tái)（GPMC）是內(nèi)置的。通過(guò)“添加功能向?qū)А笨梢园惭bGPMC。管理模板（ADM）文件用來(lái)描述基于注冊(cè)表的組策略設(shè)置。在WindowsServer2008中ADM文件被替換為XML格式的ADMX文件，使管理更加容易。50第2課WindowsServer2008組策略組策略通第2課WindowsServer2008組策略學(xué)習(xí)目標(biāo)：了解組策略，安裝GPMC列舉WindowsServer2008引入的新的組策略設(shè)置和說(shuō)明它們的功能編寫(xiě)簡(jiǎn)單的ADMX文件討論配置組策略時(shí)可能發(fā)生的各種問(wèn)題以及如何解決它們51第2課WindowsServer2008組策略學(xué)習(xí)目3.2.1了解組策略組策略對(duì)象（GPO）中包含的組策略設(shè)置可以鏈接到OU，而OU既可以從父OU繼承設(shè)置，也可以阻斷繼承，并從它們自己鏈接的GPO獲得特定的設(shè)置。策略（特別是安全策略）可以設(shè)置為“不覆蓋”，使它們不能被阻斷或覆蓋，并強(qiáng)制子OU從父OU繼承設(shè)置。523.2.1了解組策略組策略對(duì)象（GPO）中包含的組策略設(shè)置WindowsServer2008引入了下列組策略設(shè)置：允許遠(yuǎn)程啟動(dòng)未列出的程序允許時(shí)間區(qū)域重定向在連接時(shí)始終顯示桌面磁盤(pán)診斷：配置自定義警告文本、配置執(zhí)行級(jí)別不允許剪貼板重定向登錄時(shí)不自動(dòng)顯示初始配置任務(wù)窗口登錄時(shí)不顯示服務(wù)器管理器頁(yè)面實(shí)施遠(yuǎn)程桌面墻紙的刪除組策略管理編輯器……3.2.1了解組策略53WindowsServer2008引入了下列組策略設(shè)置：3.2.2規(guī)劃和管理組策略規(guī)劃組策略的部分工作是規(guī)劃組織結(jié)構(gòu)。保持結(jié)構(gòu)簡(jiǎn)單，不要跨站點(diǎn)邊界鏈接OU和GPO，賦予OU和GPO有意義的名稱。充分了解組策略在客戶端是如何處理的。處理分如下兩個(gè)階段：核心處理：核心組策略引擎在初始階段處理。連接DC，是否有GPO被修改，以及哪些策略設(shè)置必須