Active Directory(AD)
实用手册
Active Directory(AD)实用手册
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。在本期专题里,我们提供了活动目录的使用技巧,如解决在Active Directory环境里Windows 登录性能问题与使用Active Directory标识和追踪虚拟机等,涵盖了虚拟化、灾难恢复等方面。
AD介绍
在本系列第一篇文章中,我们将介绍如何使用Active Directory跟踪虚拟化资源。第二篇文章讨论如何使用脚本进行Active Directory计算机对象Description查询;第三部分在Active Directory范式的基础上做了进一步扩展,其中包括用一个自定义属性来标识计算机是物理平台还是虚拟平台。
使用Active Directory标识和追踪虚拟机
查询Active Directory的方法介绍
如何自定义Active Directory模式?
AD与灾难恢复
对于活动目录,什么因素会产生一个良好的灾难恢复计划?在多域林中如何恢复活动目录根域?我们以两个分别为https://www.doczj.com/doc/654784304.html,和https://www.doczj.com/doc/654784304.html,的域作为例子……
如何在多域林中恢复活动目录根域?
活动目录林的灾难预防策略
活动目录林的灾难预防最佳方式
AD与lingering object
对于任何活动目录管理员来说,最让其烦恼的,是一些被称为延迟对象的奇怪小东西。本系列文章详细介绍如何查找、删除与恢复lingering object的操作步骤。
如何查找活动目录中的lingering object?
如何删除活动目录里的lingering object?
修复活动目录林中的lingering object问题
AD技巧集
Active Directory环境里Windows登录性能问题如何解决?在Windows Server 2008 R2版本里,AD有哪些新的改动?快照功能如何使用?在虚拟化平台vSpere里,AD能做什么事情……本部分介绍AD的一些实用技巧。
解决在Active Directory环境里Windows登录性能问题
Windows Server 2008 R2活动目录新特征
如何使用Windows Server 2008里的Active Directory快照?
使用Windows Active Directory组控制vSpere管理权限
在Active Directory管理里创建taskpad view
使用Active Directory标识和追踪虚拟机
在本系列文章的第一篇文章中,TechTarget中国的虚拟化专家Chris Wolf将介绍如何使用Active Directory跟踪虚拟化资源。
随着很多企业部署越来越多的虚拟化平台,如何区分物理服务器和虚拟服务器也变得越来越难。有些管理员在每台虚拟机的主机名后加上“_vm”以示区别。然而,很多企业不喜欢这种方法,因为任何名字的变化都会影响到用户和应用程序访问虚拟机数据信息的方式。在服务器转变为虚拟机之后,改变服务器的名字可能也会影响到服务器本地安装的应用程序和服务。如果管理员对一台遵循从物理平台到虚拟平台(P2V)迁移的服务器重新命名,他们通常使用DNS中的CNAME记录,以此来保证名字解析的透明性。但是,这种方法增加了对服务器资源管理的额外复杂度。另外一种标识服务器对象(无论是虚拟环境还是物理环境)的方法是使用每一台计算机对象Active Directory中的Description属性。已经有一些企业使用Description属性来标识一台计算机的位置、部门或者角色。考虑到这一点,使用Description属性可能要求用户能够简洁地标识出是物理平台还是虚拟平台。例如,可以使用如下的命名规范:
Ps – Physical server
Vesx – VMware ESX VM
Vms – Microsoft Virtual Server VM
Vxen – Xen VM
Vvi – Virtual Iron VM
Vvz – SWsoft Virtuozzo virtual private server
Vscon – Solaris Container
在所有Description属性中,我比较喜欢使用“P”作为物理平台的前缀,“V”作为虚拟平台的前缀。这样做的话可以使用户使用脚本语句对所有的虚拟机做查询操作,例如,仅通过脚本查询每一台计算对象的Description属性的第一个字母。
图1和图2给出了通过计算机对象的Description属性标识虚拟机的两种方法:
图1:使用Description属性标识一台Xen虚拟机
图2:使用Description属性标识一台物理服务器,以及其位置、部门和角色
有了这些合适的命名规范,通过使用Active Directory Users and Computers和给这些对象排序(使用Description属性),就可以很快地在任何一个Active Directory 容器中定位到虚拟机对象。点击Active Directory Users and Computers中的Description列就可以做到这些,双击的话就可以按照降序排序。如图3是一个通过Description排序计算机对象的例子:
图3:在Active Directory Users and Computers中排序虚拟机计算机对象
在大型企业中,很多管理员发现Active Directory查询属性非常有用。例如,为了定位所用域中的成员计算机(这些计算机都是ESX虚拟机),以下几个步骤就非常必要:
1.在Active Directory Users and Computers窗口,右键点击“Domain Object”,
选择“Find”
2.在“Find”对话框,点击“Find Drop-down”菜单,选择“Computers”
3.接下来,点击“Advanced”属性页。在“Advanced”属性页下,点击“Field”按
钮,在复合的drop-down菜单中选择“Description”
4.在“Condition Drop-down”菜单中,选择“Starts With”
5.在“Value”属性中输入“Vesx”,注意如果需要搜索所有虚拟机,只需输入“V”
6.接下来,点击“Add”按钮
7.现在可以点击“Start”开始查询(如图4),就可以显示出那些Description属
性以“Vesx开头”的计算机对象
图4:ESX虚拟机Active Directory查询
当然,使用Active Directory Users and Computers GUI只能完成这些工作。在大型环境中,用户可能希望使用脚本语言来填充每一台计算机对象的Description属性。下面的SetDescription.vbs脚本就可以从一个文本文件中读取一个计算机列表,也可以修改这些已有的Description属性,确保其有一个物理或者虚拟的标识符作为前缀。
'SetDescription.vbs
'Adds virtual or physical descriptor to
'computer description attribute.
'set variables
'strPrefix -- physical or virtual identifier prefix
' Prefix values:
' Ps – Physical server
' Vesx – VMware ESX VM
' Vms – Microsoft Virtual Server VM
' Vxen – Xen VM
' Vvi – Virtual Iron VM
' Vvz – SWsoft Virtuozzo virtual private server
' Vscon – Solaris Container
strPrefix = "Vesx"
'strDomainTarget -- this is the AD container
' where the target computer accounts are located strDomainTarget = "cn=computers,dc=virtual,dc=net"
'strSourceFile -- file that contains computer
' account list
strSourceFile = "c:\computers.txt"
' Constants
Const ForReading = 1
'Open Source File
Set objFSO = CreateObject("Scripting.FileSystemObject") set objSourceFile = objFSO.OpenTextFile(strSourceFile,_ ForReading, True)
'Connect to Directory Service
'Modify computer description for each computer in
' source file list
Do Until objSourceFile.AtEndOfStream
strcomputer = objSourceFile.Readline
strADSpath = "LDAP://cn=" & strcomputer & _
"," & strDomainTarget
Set objComputer = GetObject(strADSpath)
strOldDes = objcomputer.description
If strOldDes = "" then
strNewDes = strPrefix
Else
strNewDes = strPrefix & " - " & strOldDes
End If
objcomputer.Put "Description", strNewDes
objcomputer.SetInfo
Loop
注意:在上述脚本中,需要修改如下的三个变量:
strPrefix
?strDomainTarget
?strSourceFile
strPrefix标识虚拟机的前缀,用来给每台计算机Description属性赋值。例如,对于ESX虚拟机,就可以把strPrefix赋值为“Vesx”;对于物理服务器,可以给
strPrefix赋值为“Ps”。strDomainTarget必须用来给容器设置不同的名字,在这些容
器中包含有目标计算机。例如,如果计算机对象在https://www.doczj.com/doc/654784304.html,域的Computers容器中,这个strDomainTarget变量就应该设置为
“cn=computers,dc=techtarget,dc=com”;如果计算机对象在https://www.doczj.com/doc/654784304.html,域的Development OU中,这个strDomainTarget变量的值就应该设置为
“ou=development,dc=techtarget,dc=com”。需要注意的是脚本一次只能在一个Active Directory容器中运行,因此,如果需要修改多个容器中计算机对象的话,用户就需要在每一个Active Directory目标容器中运行一次脚本程序。
strSourceFile用来标识文本文件,在这些文本文件中是一个需要修改的计算机名列表。文件中的每一行都需要列出一个计算机主机名字。如下的链接中是一个样例:computers.txt。
在每一台计算对象的Description属性设定之后,用户就可以使用在本文中前面部分提到的Active Directory Users and Computers查询技术来定位虚拟机对象。另外,用
户也可以使用一个脚本程序查询Active Directory或者输出一个计算机列表,这个列表
包含有一个描述前缀符号,如“Vesx”或者“V”。在本系列文章的第二篇文章中,我们
将讨论如何使用脚本进行Active Directory计算机对象Description查询;在第三部分中,我在Active Directory范式的基础上做了进一步扩展,其中包括用一个自定义属性
来标识计算机是物理平台还是虚拟平台。
(作者:Chris Wolf 译者:王越来源:TechTarget中国)
原文标题:使用Active Directory标识和追踪虚拟机
原文链接:https://www.doczj.com/doc/654784304.html,/showcontent_19476.htm
查询Active Directory的方法介绍
在这系列文章的第二部分中,TechTarget中国的虚拟化专家Chris Wolf将介绍如何使用脚本查询计算对象描述属性以定位虚拟机。
在这系列第一部分中,我介绍了如何使用计算机对象Description属性标识出虚拟平台和物理平台的方法。同时我也阐述了如何使用vbscript为大量计算机修改Description 属性。
在本文中,我将介绍查询Active Directory的方法,来查询匹配预定义Description 属性前缀的计算机对象。例如,如果用户希望查找所有虚拟机,可能就需要找出所有Description属性以“V”开始的计算机。如果要查找所有基于Xen的虚拟机,就需要查询所有Description属性以“Vxen”开始的计算机。
在上一篇文章中我解释了如何使用Active Directory Users and Computers执行计算机对象查找,但是有时用户要么是为了和其它管理工具保持完整性,要么是为了长时期保存,也可能希望输出存储在一个文本文件中。考虑到这些的话,可以使用脚本程序QueryDescription.vbs(在我的个人主页上可以下载到文本格式)。执行这个脚本程序,可以返回一个计算机列表,这些计算机的Description属性都是以预定义字符串开始的。
为了在读者的工作环境中使用这个脚本程序,需要编辑三个变量:
?strPrefix
?strDomainTarget
?strLogFile
strPrefix标识Description属性前缀,以包括查询使用。例如,把strPrefix设置为“V”将会返回所有虚拟机列表。如果把strPrefix设置为“Ps”,将会返回所有物理服务器列表。
strDomainTarget用来标明用户希望查询域的不同名字,这个变量的设置需要和用户的域名相匹配。因此如果用户管理的是https://www.doczj.com/doc/654784304.html,域的话,strDomainTarget就需要设置为“dc=searchservervirtualization, dc=com”。需要注意的是用户也可以通过新增一个不同的名字限制一个OU的连接范围,例如,为了连接https://www.doczj.com/doc/654784304.html,域中的“Web”OU,strDomainTarget就应该设置为
“ou=web,dc=techtarget, dc=net”。
最后一个可能需要修改的变量是strLogFile。strLogFile标识脚本程序输出的日志文件所存储的位置。默认保存到C盘根目录下,下面是一个日志文件的样例:
The following computers have the vesx Description Prefix:
Computer Name
=============
FS1
FS2
Hernandez
Maine
web1
web2
web3
相信读者也看到了,在Active Directory中跟踪虚拟机对象没有看起来那么难。使
用脚本程序修改Description属性来标识计算机是特定的虚拟机类型或者是物理系统,使
用该方法可以允许用户更迅速地合理部署一个系统,并且可以更轻松地跟踪整个企业内部
系统中的所有虚拟机。在全部现有的物理计算机和虚拟机对象在它们的Description属性
中都设置合适的前缀之后,用户应该确保所有新加入域的虚拟机也拥有正确的
Description属性前缀(如Vesx、Vvi、Vms等)。企业内部的部署和更改控制流程也需要随之进行更新,以保证这些操作正常进行。
在本系列文章的最后一部分,我将探讨自定义Active Directory的一些方法。通过
这些自定义Active Directory,可以使用自定义虚拟机属性。如果使用已有Description
属性(其它属主的Description属性),下一篇文章中给出的解决方案或许正是读者所需
要的。
(作者:Chris Wolf 译者:王越来源:TechTarget中国) 原文标题:查询Active Directory的方法介绍
原文链接:https://www.doczj.com/doc/654784304.html,/showcontent_19480.htm
如何自定义Active Directory模式?
在这一系列的最后一篇文章中,TechTarget中国的特约虚拟化专家Chris Wolf将介绍如何添加自定义Active Directory计算对象属性以定位虚拟机。
在本系列文章的的前两篇中,我描述了一种通过计算机对象Active Directory中Description属性来标识一个工作环境是物理环境还是虚拟环境的方法。在本文中,我将对Active Directory Integrity做进一步介绍,探讨自定义Active Directory模式,用来支持新的虚拟化属性。
在本文中,我给出了创建两个自定义Active Directory属性(isVirtual属性和vmType属性)的基本步骤。isVirtual属性是一个布尔变量,用来标识一台计算机是物理计算机还是虚拟计算机。如果isVirtual设置为“True”,就说明该计算机对象是虚拟机。如果用户希望以更细的粒度标识虚拟机,就需要增加vmType属性。vmType是一个字符串变量,可以用来标识一台虚拟机的虚拟平台,在此需要使用第一篇文章中所描述的命名规范。
需要注意的是本文所述的过程要求Active Directory模式修改,修改后是不可撤消的。如果存在问题,那么你需要评估本系列前两篇文章中所描述的解决方案。对于扩展Active Directory模式的技术背景,用户需要看是TechNet的一篇文章《Extending the schema》,在这篇文章中,有几个微软文档的链接。微软的这几篇文档解释模式修改的程序及其微小差异。一定要记住本文列出的几个步骤在应用到产品领域之前,一定要先在某个测试环境中进行评估。
在开始之前,如果还没有对象标识符((OID:Object Identifier))的话,需要为企业申请一个。如果企业没有OID,就需要在MSDN的Active Directory Naming Registration网站申请一个。另外,在这篇之外也不失一般性,最好的方案是在通用名字和LDAP显示名字中使用企业指定的模式前缀。例如,我的模式前缀是cwolf。因此不是使用通用名字“isVirtual”,最好的方法是使用“cwolf-isVirtual”,关于模式命名更多的信息,参看Microsoft Windows Server 2003应用程序规范。请注意,如果读者希望在一个实验室环境中测试这些流程,可以使用我在本文中给出的OID变量。
为了创建新isVirtual属性和vmType属性,需要注册Active Directory模式MMC嵌入式管理单元。为了注册这个管理单元,需要登录域控制器,运行命令regsvr32 schmmgmt.dll。注意:只有用户是模式管理组成员才可以能够对Active Directory模式做出改动。
接下来就需要运行mmc目录打开一个空MMC shell,在shell上新增Active Directory模式管理单元。如果创建一个自定义的虚拟机属性,以下几个步骤是很有必要的:
1. 在“Active Directory Schema MMC”中,右键点击“Attributes Container”,选择“Create Attribute”
2. 查看“Schema Object Creation warning”对话框;点击“Continue”,一定要注意属性增加将会导致Active Directory模式的永久性改变
3. 在如图1所示的对话框中,输入如下变量:
Common Name: isVirtual
LDAP Display Name: isVirtual
Unique X500 Object ID: Prefix value associated with organization's OID, followed by a unique attribute identifier. For example,
1.2.840.113556.1.8000.2522.2.1.
Description: Identifies a computer as virtual
Syntax: Boolean
4. 在“Create New Attribute”对话框中输入要求的变量之后,点击“OK”就可以创建Description属性
5. 接下来,需要创建vmType属性;右键点击“Attributes Container”,选择“Create Attribute”
6. 查看“Schema Object Creation warning”对话框;点击“Continue”
7. 在“Create New Attribute”对话框中(如图2),输入如下变量:
Common Name: vmType
LDAP Display Name: vmType
Unique X500 Object ID: Prefix value associated with organization's OID, followed by a unique attribute identifier. For example,
1.2.840.113556.1.8000.2522.2.2.
Description: Identifies the VM's virtualization platform
Syntax: Case-insensitive string
8. 刷新模式之后就可以看见新增的属性;右键点击“Active Directory Schema object”,选择“Reload the Schema”
9. 接下来,点击“Attributes Container”,定位isVirtual属性;看到isVirtual 属性之后,右键点击选择“Properties”
10. 在“isVirtual Properties”对话框中,检查“Index this Attribute in the Active Directory”复选框,点击“OK”;注意,在此也需要选上 Attribute is Active 框。
11. 如果新增“vmType Attribute”重复第9步和第10步
12. 需要注意的是所创建的属性必须和计算机类相关联;所以需要扩展类容器并且定位“Computer”类;右键点击“Computer”,选择“Properties”
13. 在“Computer Properties”对话框中,选择“Attributes”属性页,点击“Add”按钮
14. 在“Select Schema Object”对话框中,向下拉选择“isVirtual attribute”,然后选择“OK”
15. 在“Computer Properties”对话框的“Attributes”复选框内,再次点击“Add”按钮
16. 现在可以选择“vmType Attributes”,点击“OK”
17. 在在“Computer Properties”对话框的可选属性中就可以看到isVirtual和vmType;点击“OK”保存更改
图1:创建isVirtual属性
图2:创建vmType属性
注意这些步骤将会改变模式,对Active Directory模式的任何改变将会影响到整个集群,所以需要确保在尝试该流程之前,对于这些变化有适当的符号结束指令。
在属性增加到模式之后,就需要配置属性,使用setvirtual.vbs vbscript脚本程序设置计算机isVirtual属性:
strComputerDN = "CN=reyes,CN=Computers,DC=virtual,DC=net"
Set objComputer = GetObject("LDAP://" & strComputerDN)
objComputer.Put "isVirtual" , true
objComputer.SetInfo
另外还需要编辑strComputerDN变量的名字确保和要编辑的计算机的不同名字保持一致,可以使用如下queryvirtual.vbs 脚本查询一台计算机的isVirtual属性:
strComputerDN = "CN=reyes,CN=Computers,DC=virtual,DC=net"
Set objComputer = GetObject("LDAP://" & strComputerDN)
isVirtual = objComputer.get("isVirtual")
wscript.echo(strComputerDN & " isVirtual = " & isVirtual)
如果需要为很多计算机设置isVirtual和vmType属性,我的个人主页上的setvirtualattributes.vbs 脚本程序可以完成这项工作。
但是需要修改脚本程序中的以下几个变量:
?blnIsVirtual
?strVMtype
?strDomainTarget
?strSourceFile
在使用脚本标识计算机对象为虚拟机的情况下,blnIsVirtual需要被设置为“True”。
strVMtype标识虚拟机类型代码,用来自定义每台计算的vmType属性。例如,设置ESX虚拟机的strVMtype为“Vesx”。
strDomainTarget必须用来给容器设置不同的名字,在这些容器中包含有目标计算机。例如,如果计算机对象在https://www.doczj.com/doc/654784304.html,域的Computers容器中,这个strDomainTarget变量就应该设置为“cn=computers,dc=techtarget,dc=com”;如果计算机对象在https://www.doczj.com/doc/654784304.html,域的Development OU中,这个strDomainTarget变量的值就应该设置为“ou=development,dc=techtarget,dc=com”。需要注意的是脚本一次只能在一个Active Directory容器中运行,因此,如果需要修改多个容器中计算机对象的话,用户就需要在每一个Active Directory目标容器中运行一次脚本程序。
strSourceFile用来标识文本文件,在这些文本文件中是一个需要修改的计算机名列表。文件中的每一行都需要列出一个计算机主机名字。如下的链接中是一个样例:computers.txt。
最后,为了定位一个特定域内的所有虚拟机,需要运行QueryVirtualAttributes.vbs 脚本,该脚本程序可以在我的个人主页上下载到文本格式。为了在读者的工作环境中运行该脚本,需要修改三个变量:
?strVMtype
?strDomainTarget
?strLogFile
strVMtype标识用户可能查询的虚拟机平台类型。例如,设置strVMtype为“Vxen”将会输出一个所有基于Xen的虚拟机列表;使用“V”作为vmType变量将会输出
isVirtual属性都是“True”的计算机列表,同时还有vmType属性的值。
strDomainTarget用来标明用户希望查询域的不同名字,这个变量的设置需要和用户的域名相匹配。因此如果用户管理的是https://www.doczj.com/doc/654784304.html,域的话,strDomainTarget就需要设置为“dc=searchservervirtualization, dc=com”。需要注意的是用户也可以通过新增一个不同的名字限制一个OU的连接范围,例如,为了连接
https://www.doczj.com/doc/654784304.html,域中的“Web”OU,strDomainTarget就应该设置为
“ou=web,dc=techtarget, dc=net”。
最后一个可能需要修改的变量是strLogFile。strLogFile标识脚本程序输出的日志
文件所存储的位置。默认保存到C盘根目录下,下面是一个日志文件的样例:
The following computers have the Vesx vmType attribute
Name VM Type
==== =======
Reyes Vesx
Maine Vesx
Wagner Vesx
WS86 Vesx
从本系列文章的第一部分和第二部分中提到的技术可以看到,每次一台新计算机对象创建时,为isVirtual和vmType自定义AD属性值是非常重要的。
整合虚拟化管理和Active Directory可以给用户对于审计和管理整个企业内部所有
虚拟机更大控制权。令人振奋的消息是,本系列文章中提到的一个解决方案可以提供AD
整合和管理,这或许正是各位读者正在寻找的。如果不是的话,请告知我还需要那些技术来简化虚拟化工作环境的管理工作。
(作者:Chris Wolf 译者:王越来源:TechTarget中国) 原文标题:如何自定义Active Directory模式?
原文链接:https://www.doczj.com/doc/654784304.html,/showcontent_19482.htm
如何在多域林中恢复活动目录根域?
我最近处理过一个需要对整个林根域进行恢复的情况。结构本身是相对比较简单的,包含两个域,一个空的林根以及一个包括所有用户、计算机等的子域。其中也只有大约4000个用户。
但存在两个(几乎是致命的)问题。首先,该组织在根域中仅仅建立了一个域控制器。第二,更不幸的是,那个域控制器已经有超过10个月没有进行备份了。尽管根域控制器是一个RAID-5的磁盘配置,在同一天内,灾难发生了而且驱动器里面有两个挂掉了。
这种类型的配置可能是承袭了微软在Windows 2000的早期所信奉的一种最佳做法。当时的建议是创建一个空的根域,这样在子域名字被更改时,可以对其进行添加或者移除(不能在一个域被定义后再对其进行改名)。
这种方法没有得到延续,但是,因为多个域林会有其它的复杂性:在一个交叉域组中恢复组和用户之间的后端链接,在全局目录服务器只读上下文中存在的延迟对象,以及其它的相关问题。为了避免这些问题,一些组织不得不把多域结构拆为单域。
在这个例子中,两个域分别为https://www.doczj.com/doc/654784304.html,和https://www.doczj.com/doc/654784304.html,,其中Corp-DC1是根域中的域控制器,而EMEA-DC1和EMEA-DC2为子域中的域控制器。
请注意,所有的客户——包括用户、工作站以及服务器——没有被这个问题所影响,这使得我们有时间去指定并颁布一个处理计划。
挑战
这种情况下有若干问题和挑战,包括:
?我还没有见过林根域需要被恢复的例子,并且我也找不到谁见过
?恢复10个月以前的备份会在工作良好的子域控制器的林中引入延迟对象
?当恢复1月份的备份时,在根域控制器中修改系统时间的话会遇到什么问题?
?是否需要对https://www.doczj.com/doc/654784304.html,和https://www.doczj.com/doc/654784304.html,两个域之间的信任关系进行修复?同样地,是否需要重置安全隧道密码?
?是否有必要使用一个授权的备份?
?当还原https://www.doczj.com/doc/654784304.html, 1月份的备份时,会遇到什么样的复制问题?
尽管如此,在这次灾难中也有一些正面的因素:
通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。:)OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况: 1、整个网络中有且仅有一台域控制器; 首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:
点击我用箭头指出的“高级模式”:
再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导: 在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:
AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系:
ad活动目录,解决方案,ppt 篇一:活动目录AD解决方案 客户现状:现在客户在各地共有4个办公点。每个点采用的是独立的域环境。现在客户希望将分散在各地的办公点连接起来,能够实现各地间的访问与共享。 一、客户方案:通过VPN技术实现网络的互联,并通过林间的信任来实现各地间的互相信任,以达到共享与访问。 客户的方案如下:拓扑图如下: 由于客户各地点域已经建立,现在需要做的如下: 1、DNS的转发: 作用:处理本地没有应答的DNS查询。 方法:每个域内的DNS服务器都需要做到其他域的DNS 转发,以便于DNS的解析。 2、信任关系的建立 作用:为了使不同域可以互相访问。 方法:在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。在这里建立A,B的相互信任,B,C的相互信任,C,D的相互信任,A,D的相互信任(一但前三个相互信任形成,则第四个A,D的相互信任自动形成。) 3、 WINS服务器的安装
作用:信任域间可以通过主机名称进行访问。 方法:每个域建立独立的WINS服务器,并与其他域内的WINS服务器建立“推/拉”伙伴关系,实现域间WINS服务器的同步。各域客户端WINS服务器指向本地服务器。 说明:每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。 二、单域多站点结构 方案拓扑图: 方案描述如下: 所有站点处于同一个域下,每个站点的子网不相同。在A站点建立主DC服务器,其他站点分别建立额外DC,如, , 实现方法: 1. 子网划分:分配各个站点的子网,要求子网不能够相同,比如A站点/24 B站点 /24; C站点/24; D站点/24 2. 主DC的建立:A站点域控制器集成AD与DNS服务,并且在DNS 上做转发,实现对外网的访问。在A站点建立域内主DC,DNS地址指向本地地址。 3. 额外DC的建立:首先DC
企业活动AD域控规划方案活动目录介绍 活动目录是Windows 2003网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.1. 应用Windows 2003 Server AD的好处 Windows 2003 Server是微软最新推出的网络操作系统服务器,它沿用了Windows 2000 Server 的先进技术并且使之更易于部署、管理和使用。其结果是:其高效结构有助于使您的网络成为单位的战略性资产。 应用Windows 2003 Server的好处如下表所示: 优势描述 可靠性Windows Server 2003 是迄今为止最快、最可靠和最安全的Windows 服务器操作系统。 ●提供集成结构,用于帮助您确保商业信息的安全性。 ●提供可靠性、实用性和可伸缩性,使您可以提供用户需要的网络结构。
AD域部署方案 一、综述: 活动目录(AD)为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。 二、客户题: 客户方随着企业规模扩大,办公电脑数量增多,员工数量增加,随之而来就是管理题的突显;各种软件的安装,网上冲浪,聊天工具的使用;都对公司的正常业务带来影响; 三、解决方案的架构: 1、公司采用单域单站点管理模式,建设AD与BAD,即主域控器与备份域控制器,在其下面采用U(组织单元)的模式进行集中管理各部门人员与电脑。此种管理模式,成本降低,且减少管理复杂度和维护量。 2、AD(主域控制器):公司所有权限管理,用户建立以及各种策略、软件等的管理及实施到每台电脑。 3、BAD(备份域控制器):采用与AD完全相同的设置,继承AD上的所有管理资料,防止AD出现故障后,公司电脑无法登陆AD和使用网络资源,在BAD服务器上,建立资源共享件夹,即Fileserver,进行公司种件的共享和使用,将BAD 服务器做成WSUS服务器(indos补丁服务器),管理公司所有电脑的补丁的下载与提供安装的服务,如有需要还可集成SASERVER服务器,进行公司网络的管控(上外网的的控制)。 四、解决方案的优势: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 n域控制器集中管理用户对网络的,如登录、验证、目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 n域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法未登陆域服务器中的资源或无法获得未登陆域的服务。 2、安全性高,有利于企业的一些保密资料的管理,比如一个件只能让某一个人看,或者指定人员可以看,但不可以删改移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处统一管理,方便在S 软件方面集成,如SAEXCHANGE(邮件服务器)、SASERVER(上网的各种设置与管理)等。 5、使用漫游账户和件夹重定向技术,个人账户的工作件及数据等可以存储
XXXX集团 活动目录规划方案
目录 1. 前言 (3) 2. 活动目录规划 (3) 2.1. 活动目录介绍 (3) 2.2. 应用 Windows 2003 Server AD 的好处 (4) 2.3. 明确系统规划目标 (7) 2.4. 活动目录设计方案 (8) 3. 用户关心问题解答 (9) 3.1. 活动目录优势 (9) 3.2. 重要组策略介绍 (11) 3.3. 计算机从工作组加入到域可能存在的问题和解决方法 (15) 4. 活动目录方案实施 (16) 4.1. AD 域命名和 DNS 的规划 (16) 4.2. 确定 AD 逻辑结构 (16) 4.3. 确定 AD 物理结构 (17) 4.4. 规划 OU 结构和组策略 (18) 4.5. 创建OU 以管理和委派 (19) 4.6. 创建OU 支持组策略 (19) 4.7. 应用组策略选项 (20) 4.8. 硬件设备选型建议 (21) 5. 活动目录服务内容 (22) 5.1. 可行性调查 (22) 5.2. 规划活动目录部署方案 (22) 5.3. 部署活动目录服务 (22) 5.4. 制订活动目录管理维护规范 (23) 5.5. 工程师定时上门进行活动目录日常维护 (23) 5.6. 处理活动目录紧急情况 (23) 5.7. 整理和存档资料 (24) 5.8. 培训系统管理员 (24) 6. 服务质量保证 (25) 7. 部分成功案例 (28)
1.前言 本文档是张家港保税区金凯迪电脑贸易有限公司结合自身长期为客户提供全面的 IT 顾问咨询服务和应用解决方案积累起来的丰富经验,为企业规划 Windows 2003 AD 企业目录服务的解决方案建议。 由于计算机安全和管理的需要,IT 部门计划部署活动目录,希望所有的计算机分阶段加入到域,通过活动目录加强计算机安全和桌面管理,并为进一步部署 Exchange、SMS 等微软产品打下坚实的基础架构。 方案包括以下组成部分: 活动目录整体规划 用户关心问题解答 活动目录方案实施 活动目录服务项目 服务质量保证 2.活动目录规划 设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义,并对部署微软的相关产品如 Exchange 等具有举足轻重和决定性的重要意义。 2.1. 活动目录介绍 活动目录是 Windows 2003 网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
AD安全优化解决方 案
AD安全优化解决方案 设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义,并对部署微软的相关产品如Exchange 等具有举足轻重和决定性的重要意义。 1.1. 活动目录介绍 活动目录是Windows 网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构能够有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统能够轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构能够将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构经过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也能够使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.2. 应用Windows Server AD的好处 Windows Server是微软最新推出的网络操作系统服务器,它沿用了 Windows Server 的先进技术而且使之更易于部署、管理和使用。其结果是:其高效结构有助于使您的网络成为单位的战略性资产。
活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后,企业信息化建设者和网络管理员可以从中获得如下好处: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理
常见活动目录AD故障解决集锦 2009-11-15 13:32 A1、客户机无法加入到域? 一、权限问题。 要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。普通用户登录进来,更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。 二、不是说“在2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。”吗?这时如何在这台计算机上登录到域呀! 显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。注意:域管理员不受10台的限制。 三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。 这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或 手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户 将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。 四、域xxx不是AD域,或用于域的AD域控制器无法联系上。 在2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC的IP 地址,然后开始进行网络身份 验证。DNS不可用时,也可以利用浏览服务,但会比较慢。2000以前老版本计算机,不能利用DNS来定位DC,只能 利用浏览服务、WINS、lmhosts文件来定位DC。所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配 的DNS服务器,指向DC所用的DNS服务器。 加入域时,如果输入的域名为FQDN格式,形如https://www.doczj.com/doc/654784304.html,,必须利用DNS中的SRV记录来找到DC,如果客户机的 DNS指的不对,就无法加入到域,出错提示为“域xxx不是AD域,或用于域的AD域控制器无法联系上。”2000及以 上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是2000及以上,且与DC不在同一子网时, 应该用此方法。 加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但浏览 服务不是一个完善的服务,经常会不好使。而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,
AD安全优化解决方案 设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义,并对部署微软的相关产品如Exchange 等具有举足轻重和决定性的重要意义。 1.1. 活动目录介绍 活动目录是Windows 2012网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.2. 应用Windows 2012 Server AD的好处 Windows 2012 Server是微软最新推出的网络操作系统服务器,它沿用了Windows 2000 Server 的先进技术并且使之更易于部署、管理和使用。其结果是:其高效结构有助于使您的网络成为单位的战略性资产。 应用Windows 2012 Server的好处如下表所示:
中小型活动目录设计实例 1.0 :公司概况 公司简单介绍: Xx公司是一家网络项目集成企业。通过公司合理的运营和管理。发展迅速,员工人数已经有100人左右。为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业的网络。公司计划部署一个由约100台计算机组成的局域网。用于完成企业的数据通信和资源共享。 部门划分 行政部:负责日常考勤、后勤服务等 人事部:负责员工招聘、绩效考核、员工薪酬福利管理等 工程部:负责对外网络工程项目、办公网络管理维护、售前售后技术支持等 销售部:负责客户接洽、项目谈判、市场宣传等 财务部:负责工资结算、公司账目管理等 针对以上情况,我们可以利用windows2003 server的“域“,以及OU可以使网络结构和公司的管理模型完全匹配。按照公司的管理层次来管理网络中的用户和计算机。 我们划分ou是基于公司的部门来划分的,划分为5个ou IT状况: 公司有一个局域网,运行约为100台计算机,服务器的操作系统是windowsserver2003.客户机的操作系统是windowsxp工作在工作组的模式下,员工一人一个机器办公。公司从ISP申请了ADSL线路。采用ICS技术共享上网。由于计算机较多。管理上缺乏层次。公司希望利用windows域环境管理所有的网络资源。提高办公效率。 域: 采用单域结构,域名为https://www.doczj.com/doc/654784304.html, 与多域结构相比,实现网络资源集中管理,并保障管理上的简单性和低成本 在域内按照部门名称划分组织单位(OU) 为保证可靠性,需要安装2台域控制器 帐户管理 公司对员工的帐户需求如下: 员工一人一个帐户 所有帐户集中存储管理 按部门管理帐户 帐户密码长度不小于8 密码不能为简单密码,如12345678等 对个别员工试探别人密码的行为要有所防范 员工的权限级别有3种:总经理、部门经理、普通员工,他们在访问网络资源时权限不同 针对以上需求我们可以采取 用户帐户
公司:项目:时间:
目录 一前言 (3) 1.1企业IT面临的挑战 (3) 1.2AD域架构的应用给企业管理带来的优势 (4) 1.3域架构设计原则 (4) 二.公司域架构规划 (5) 2.1域架构部署规划 (5) 2.2通过OU、GPO和用户组实现域安全的管理 (6)
一前言 由于Windows 网络系统架构在企业应用中的普及,企业会面临大量客户端及服务器的统一安全管理; AD域的规划架构需要根据企业现有的网络规模布局和IT管理制度,以适应企业当前和长远的发展需求,有效地保护用户的资料,减少用户的风险。 针对整个公司的域架构规划和实施,前期需要先完成企业域规划及部署;实现公司统一的目录服务管理,统一的企业用户信息、安全策略。 Windows 网络架构客户端默认均属于工作组的办公环境,所有的用户账号均保存在本地客户端上,网络共享数据时只能允许所有人everyone 查看的权限,数据共享及网络安全存在较多的风险。Windows 域架构管理模式可以解决众多网络安全性问题,域环境下可以轻易实现网络用户账号的集中管理,规范客户端密码长度和复杂性;在域环境下,可以实现所有客户端系统的补丁自动更新,有效提高服务器及桌面系统的安全性。 在Windows AD域的办公环境下,并不会太多改变原有的客户端工作组下的办公习惯;域账号登陆默认缓存功能,用户离开公司网络,同样可以使用域用户账号在本机登陆,不会改变原有工作组的工作习惯。另外企业应用系统中,很多应用系统是基于微软的AD架构,如MS Cluster集群高可用系统、Exchange 邮件系统、OCS及时通讯系统、MOSS 企业门户网站协作系统等等;所以AD域的架构管理不但可以方便企业内部安全管理,还为以后的企业应用扩展提供了系统基础。 1.1工作组环境下企业IT面临的挑战 身份管理 大量的用户登录名和目录 不牢固的密码 安全访问网络和应用资源 增加的桌面系统维护费用 服务器和桌面电脑管理 如何统一管理服务器和桌面系统安全策略 如何统一管理桌面系统的应用 如何保持所有系统安全补丁升级到最新
XXX集团微软AD活动目录解 决方案建议书2014年08月
目录 一、方案概述 (2) 二、项目背景 (3) 三、微软AD身份安全管理解决方案介绍 (3) 3.1 AD身份安全管理解决方案概述 (3) 3.2 客户面临挑战与解决方案商业价值 (4) 3.3 解决方案架构 (6) 3.4 活动目录优势 (7) 四、方案设计 (10) 4.1 方案架构设计 (10) 4.2 部署方案 (11) 4.3 项目涉及软硬件产品与服务 (11)
一、方案概述 通过部署微软操作系统活动目录(AD),为企业建立统一管理控制的计算机用户管理和授权控制系统。从而实现对企业内部网络安全的集中控制,有效防止非法登录和授权活动的产生,最终提高企业网络安全。活动目录服务提供了单一登录的能力并且为企业的整个网络架构提供了一个集中的信息知识库,它大大的简化了用户和计算机的管理并且提供了网络资源的更好的访问方式。活动目录确保了它成为今天的市场中最具灵活性的目录架构之一。由于与目录集成的应用变得更为普遍,因此组织能利用活动目录处理最为复杂的企业网络环境。活动目录在降低企业的总拥有成本及简化企业内部运作上得到了增强。新的特性和改进已加入到所有的产品中,从而增加了功能、简化了管理并增强了可靠性。 在企业内部,企业雇用各种人才并采用各种业务系统,如全职员工、合同制员工以及外部服务供应商,这些雇员出于不同的需要而访问公司的信息,因此需要不同的验证和授权要求。迅速而准确地为这些个人和服务设置适当的访问权限,这对于公司生产力至关重要。例如,当新的全职雇员加入公司时,人力资源部会将其输入到人力资源数据库。这些雇员还需要访问电子邮件以及包含工作项目数据的服务器,此外还有一般公司数据和福利信息。如果供应不能与首次输入到公司数据库中的雇员资料自动连接,则验证和授权流程可能需要花费数小时甚至数天时间,这样将导致公司生产力降低。 同一名雇员可能需要根据需要随时使用大量的设备对相同的信息进行移动访问。除非将公司信息集中在一起,以便通过单一门户进行访问,否则该雇员可能会因访问由不同系统管理的信息而遭遇麻烦和重复性工作,或者因记住多个密码而产生潜在安全风险(对此我们多数均有责任,因为我们习惯于将记有各种用户ID 和密码的便条放在桌子或计算机上),此外还需要在一天之内多次登录。 针对当前企业及其下属单位均已建成了针对自身的局域网络,并部署了多个信息化业务系
AD备份恢复方案 主 DC: 1台 辅助 DC:2台 1. 理想化备份方案 建议: DC:周日0:00 进行全备份,周一到周六进行增量备份; 1.1 主域 DC: 系统状态(System State) 所有文件 1.2 辅助域 DC: 系统状态(System State) 所有文件 2. 主DC恢复操作 1、原始恢复用于重建域中的第一个域控制器。步骤: 进入目录恢复模式,在向导页面使用“高级模式”,并选择“当还原复制的数据集时,将XXX所有副本的主要数据”。(如安装新硬盘时损坏数据库) 2、正常恢复(非授权恢复)用于恢复受损的AD数据库。步骤:?活动目录数据库还原 –非授权还原 –授权还原
?非授权还原:恢复活动目录到它备份时的状态 ?执行非授权还原后 –如果域中只有一个域控制器,在备份之后的任何修改都将丢失 –如果域中有多个域控制器,则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态 执行非授权还原步骤 1)重启DC,在显示启动菜单时按F8键 2)选择【目录服务还原模式】 3)在登录提示符处,输入账户administrator,输入还原密码,进入系统 4)使用备份工具还原系统状态数据 5)重启DC 3、授权恢复把AD 恢复到先前的一个状态步骤: ?Authoritative Restore ?授权还原:恢复活动目录的特定对象 ?执行授权还原的步骤 1)重启DC,进入【目录服务还原模式】 2)使用备份工具恢复活动目录到原始位置 3)打开命令提示符,键入ntdsutil 4)键入“authoritative restore”
5)restore subtree “ou=sales,dc=xapc,dc=com” 6)退出ntdsutil,重启DC 5、当主DC 系统服务无法正常运行时 启动到目录恢复模式,通过备份工具执行正常恢复(非授权恢复),然后重新启动即可。 6、当主DC 无法启动时 重新安装后恢复即可。 【备份与恢复如下示例:】 在主域中新建两个OU(市场部、技术部) 在DC1上建好OU后,在辅助DC(DC2)中也有同步了DC1的数据,也有了这两个OU
A -------------------------------------------------------------------------------- 访问控制(access control)--登录计算机或网络权限的管理。 ACE--参见"访问控制条目"。 访问控制条目(access control entry,简称ACE) --每一个ACE包括一个安全标识符(SID),这个标识符标识这个ACE的应用对象(用户或小组)以及允许或者拒绝访问的ACE信息的类型。访问控制表(access control list,简称ACL) --用来定义用户/工作组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录服务中,一个ACL是一个存储访问权限与被保护对象相互之间关系的列表。在Windows NT?操作系统中,一个ACL作为一个二进制值保存,称之为安全描述符。 ACL--参见"访问控制列表"。 活动目录-- Windows? 2000支持的一种结构,这种结构可以跟踪和定位网络上任意一个对象。活动目录是Windows 2000服务器中使用的目录服务,为Windows 2000分布式网络提供基础。 活动目录服务接口(Active Directory Service Interface,简称ADSI)--基于组件对象模型(COM)的客户端软件。ADSI定义了一个目录服务模型和一组COM接口,通过这些接口可以使Windows NT 和Windows 95客户端应用程序访问一些网络目录服务,包括活动目录服务。ADSI允许应用程序与活动目录进行通信。 ADSI提供目录服务客户端通过使用一组接口与任何提供ADSI实现的名字空间进行交流的方法。ADSI客户端通过使用ADSI替代与网络相关的应用程序编程接口(API)调用,从而获得访问名字空间服务的更简单的方法。ADSI 遵守并且支持标准的COM特征。ADSI也定义了可以从自动兼容软件,例如Java、Visual Basic、Visual Basic Scripting Edition(VBScript),来访问的接口和对象,这同样可以应用到非自动兼容语言,例如C和C++,通过这个特性可以增强性能。此外,ADSI提供它自己的OLE数据库提供者,并且可以完全支持任何客户端已经使用的OLE数据库,包括那些使用ActiveX? 技术的。 ADSI--参见活动目录服务接口"。 属性(attribute)--对象的单一属性。对象通过它们的属性值进行描述。例如,可以用属性这样来定义一辆车:制造商、模型、颜色等等。属性这个术语和特性这个词可以相互使用,它们使完全一样的。属性也是用来描述对象的数据项,这些对象通过模式中定义的类来表现的。在模式中,属性和类使分开定义的;这样使得一个属性可以在多个类中使用。参见"对象"。 授权(authentication)--确定用户的身份,即确定究竟是谁登录到计算机系统中的,或确定事物的完整性。 B -------------------------------------------------------------------------------- 备份域控制器(backup domain controller,简称BDC) --在Windows NT Server 4.0或早期的域中,运行Windows NT Server的计算机接受包括域中所有帐户和安全策略信息的目录的拷贝。这份拷贝信息周期性并且自动的与主域控制器中的主备份进行同步。备份域控制器也可以确认用户并且配置成为象PDC类似的功能。一个域上可以有多个备用域控制器。 在Windows 2000域中,备份域控制器是不需要;所有域控制器是对等的,都可以维护目录。当Windows NT 4.0和Windows NT 3.51备份域控制器运行在混合模式下时,可以与