Windows Server 2008活动目录管理实现(下)

Windows Server 2008中Active Directory域的配置管理摘要：随着计算机技术的发展，利用域管理网内计算机的新技术得到广泛应用，本文图例介绍了windows平台的active directory 域及配置管理方法关键词：windows server active directory域配置管理中图分类号：tp316 文献标识码：a 文章编号：1007-9416(2012)02-0155-02活动目录（active directory）是windows server 2008操作系统提供的一种新的目录服务。

所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关联检索信息的服务方式。

这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。

另外，它还为用户和应用程序提供了对其所包含信息的安全访问。

活动目录作为用户、计算机和网络服务相关信息的中心，支持现有的行业标准ldap（lightweight directory access protocal，轻量目录访问协议）第8版，使任何兼容ldap 的客户端都能与之相互协作，可访问存储在活动目录中的信息，如linux、novell系统等。

创建域之前需验证windows server 2008系统具备以下条件：(1)在安装windows server 2008的计算机上至少有一个ntfs分区，至少有250m的空间。

(2)计算机上必须配置好ip地址和dns服务器地址。

(3)具须具备管理员权限。

dns服务可以在安装活动目录前安装，也可以在活动目录集成安装，即在安装活动目录过程中安装。

1、安装active directory域一般情况下，在新安装系统时，系统会提示是否选择安装【活动目录】选项，通常不安装活动目录，以便用户有时间来规划与活动目录有关的协议和系统结构。

活动目录服务一般需要在安装windows server 2008后进行安装，可以使用“dcpromo”命令，“dcpromo”是一个图形化的向导程序，它将引导用户一步一步地建立域控制器。

在Windows Server 2008中，活动⽬录域服务（Active Directory Domain Services缩写AD DS）相⽐前⼀代操作系统⼜有了重⼤的提升和改进，本⽂简要介绍⼀下其新特性。

⼀、审核策略 在Windows Server 2008中，你现在能够通过使⽤新的审核策略的⼦类（⽬录服务更改）来建⽴AD DS审核策略。

当活动⽬录对象及它们的属性发⽣变化时，新的审核策略可以记录新旧属性值。

AD DS审核能⼲什么？ 我们定义本策略设置（通过修改默认域控制器策略），能够指定审核成功的事件，失败的事件，或者什么也不审核。

能够在AD DS对象的属性对话框中的安全选项卡中设置系统访问控制列表。

”审核⽬录服务访问“在应⽤上同审核对象访问⼀致。

但只适⽤与AD DS对象上⽽不是⽂件对象或注册表对象。

审核AD DS访问 在AD DS中新的审核策略⼦类（⽬录服务更改）增加了以下的功能： 当对对像的属性修改成功时，AD DS会纪录先前的属性值以及现在的属性值。

如果属性含有⼀个以上的值时，只有作为修改操作结果变化的值才会被记录。

如果新的对像被创建，属性被赋予的时间将会被记录，属性值也会被记录，在多数情景中，AD DS分配缺省属性给诸如sAMAccountName等系统属性，这些系统属性值将不被记录。

如果⼀个对像被移动到同⼀个域中，那么先前的以及新的位置（以distinguished name 形式）将被记录。

当对象被移动到不同域时，⼀个创建事件将会在⽬标域的域控制器上⽣成。

如果⼀个对象被反删除，那么这个对象被移动到的位置将会被记录。

另外如果在反删除操作中属性被增加，修改或者删除，那么这些属性的值也会被记录。

当"⽬录服务更改"审核⼦类别启⽤以后，AD DS会在安全⽇志中记录事件当对象属相的变化满⾜管理员指定的审核条件。

下⾯的这张表格描述了这些事件。

事件号事件类型事件描述 5136 修改这个事件产⽣于成功的修改⽬录对象属性。

Windows Server 2008出来好一阵子了，自己也用了段时间，但一直没机会体验其AD功能的强大，下面简单的讲解下Windows Server 2008 Active Directory域服务的安装步骤：1.点击“开始”->“运行”，输入“dcpromo”并回车，弹出如下窗口：直接点击“下一步”，一般不需要“使用高级模式”，(除非你的添加第二个DC做他用或者对各种设定都非常熟悉)2.点击“下一步”；3.因为是新建DC，所以选择“在新林中新建域”；4.在目录林根级域FQDN(F)一栏中，输入想建立之网域名称，如确定无误后，按下“下一步”，稍后会进行检查同网段上是否有无网域名称重复；5. 在“设置林功能级别”页面，如林内网域控制站皆为Windows Server 2008担任，则可将林功能等级提升至Windows Server 2008，但有些应用程序需绑AD，则暂不建议将网域等级升至Windows Server 2008。

确定无误后，则按下“下一步”，则会开启“其它域控选项”页面6.DNS当然得选了，直接选择“下一步”；7. 对了，在进行DNS服务器角色安装之前，会先行检查该服务器是否已设定固定IP 地址。

同时，会出现该警示提示(下图)，是因为IPv6预设是为启动，而该Lab使用的是IPv4，故该警示可忽略，按下“是，该计算机将使用动态分配的IP地址(不建议)”---当然，首先固定IP是最好了8. 出现此警示讯息则说明如该网域如为子网域时，则必须先升级问为父系网域，然后设定DNS服务器委派的动作，因该Lab为的网域，故可忽略此警示讯息，按下“是”即可；9.这个…基本不用更改，前提是都是NTFS格式；10.设置还原密码，跟2003一样，够复杂能记住就行；11.到这里就可以检查一下前面的步骤有无错误，没有就可以直接“下一步”；12.正在配置各种设定和服务，大约5~6分钟；13.至此，AD域服务已经安装完毕！重启即可，记得下次登录需要选择Domain哦，否则会拒之门外的！以后会陆续讲解其他功能，如ADSI Edit、Hyper...。

测试环境：服务器：计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。

IPV4:192.168.1.13,255.255.255.0,网关地址192.168.1.1管理员：Bill.XU实验要求：安装第一个企业根据域控制器域名为。

部署过程：以下操作都是以管理员Bill.XU登录完成方法一：手动部署1、使用事件查看器(EventVWR.MSC），查看日志情况。

并要所查看情况，进行系统诊断，确保安装前系统的状态正常2、打开网络连接，设置网卡的IP4地址为一静态地址，同时将DNS服务器地址设置为127.0.0.13、运行DCPROMO,出现设置向导。

设置过程如下图检测系统是否安装AD域服务二进制文件，如果没有，系统会自动安装(也可以在运行命令之前，通过服务器管理器，添加活动目录域服务角色来安装）出现活动目录域服务安装向导，选择高级模式（如果不选择此项，安装过程中将无法对有些设置进行更改，如域Netbios名的更改等）由于这是森林中的第一台服务器，所以选择在新林中新建域。

功能级别，所提供的功能不同。

如要使用R2新增的活动目录回收站功能，必须将功能级别提升到2008 R2功能级别。

要使用棵粒化密码策略，须将功能级别提升到2008。

R2新增了一种功能级别即2008 R2级别。

注意功能级别的操作是单向，即当提升到一个高功能级别后，它不能再降为低功能级别。

除非得新安装AD 域服务具体见：Appendix of Functional Level Features此实验中，DC也是一台DNS服务器，所以要勾选DNS服务器。

同时，这是森林中的第一台DC，所以全局编录（GC），只读域控制器（RODC）不可操作。

森林中必须至少有一台GC，同时要安装RODC，域中必须首先有一台可写的DC。

指定活动目录数据库的存放位置。

在一个大型的网络中，为了提高活动活动工作效率，可以将数据在放在其它的磁盘控制器或RAID上。

⽹络操作系统第六章WindowServer2008活动⽬录本章⼩结 在企业⽹络中，活动⽬录是必不可少的，它将⽹络中各种对象组织起来进⾏管理，⽅便了⽹络对象的查找，增强了⽹络的安全性，为⽤户的物流管理提供了极⼤的便利，本章⾸先介绍了活动⽬录的基本概念，然后通过实例详细介绍了活动⽬录的安装步骤活动⽬录中的⽤户和计算机管理，活动⽬录信任的配置和域管理，以及活动⽬录站点的配置域管理。

习题⼀、什么是活动⽬录？活动⽬录有哪些优点？1、活动⽬录服务是Windows 2000操作系统平台的中⼼组件之⼀。

2、活动⽬录是⼀个分布式的⽬标服务，包括⽬录和相关的服务。

3、活动⽬录优点。

　简化管理任务加强⽹络安全性通过互操作使⽤现存⽹络⼆、什么是域，域树，森林？1、域：是⽬录服务的基本管理单位，是对象（如计算机、⽤户等）的容器。

2、域树：是⼀个域可以是其他域的⼦域或⽗域，这些⼦域，⽗域构成了⼀棵树------域树3、多棵树就构成了森林。

三、什么是信任？什么是域⽅向及传递性？1、信任是域之间建⽴的关系，它可以使⽤⼀个域中的⽤户由处在另⼀个域中的域控制器进⾏验证，实现两个域之间的关系信任。

2、域⽅向：有信任域和受信任域两个⽅⾯，⽅向：单向信任。

单向信任是两个域之间创建的单向⾝份验证路径。

双向信任：Windows Server2000/2003/2008树林中的所有域的信任都是双向可传递性信任。

3、域的传递性：是确定了信任是否可扩展到建⽴信任的两个域之外。

四、如何管理活动⽬录的信任和站点？1、管理信任：⾸先，对信任的管理在“Active Dirrctory域和信任关系”的控制台中完成。

其次，在当中创建，添加，删除。

最后，完成管理信任。

2、管理站点：⾸先，创建站点和创建⼦⽹与站点并联。

其次，委派站点控制 最后，完成站点管理。

第六章的实例作品。

活动目录数据库包括数据库文件NTDS。

dit和日志文件。

考虑到最佳性能，在生产环境推荐将日志文件和数据库文件在单独的硬盘驱动器中或RAID中，同时要根据网络的规模，保证磁盘上有充足的剩余空间。

由于活动目录数据库是一个自我维护的系统，一般来说不需要日常维护（除备份外）.然而有时出现下列情况,可能对其进行管理：磁盘空间低、当前硬件失败、在全局编辑大量删除或移除后需要恢复物理空间。

活动目录数据库的管理包括移动、压缩（碎片整理）等.本实验以Windows Server 2008 R2之一活动目录部署的环境为操作环境。

实验要求:压缩活动目录数据库，将活动目录数据库移动到c:\ntds实验步骤：1、系统备份。

为了防止实验失败，在实验前强烈推荐对系统进行备份（略）2、查看活动目录数据库的相关信息（如下图）3、停止活动目录服务(可以在服务管理控制台services。

msc或在命令行状态运行net stop ntds停止)4、输入ntdsutil回车.然后依次键入activate instance ntds、files命令. 以是命令的使用帮助.可以使用integrity数据库的逻辑完整性等操作5、输入compact to c:\，压缩活动目录数据库,将压缩后的文件放在c:\。

压缩完成后，需将c:\ntds.dit文件复制到原来文件夹，并删除文件夹的＊。

log日志文件。

以下是进行移动操作6、键入move db to c：\ntds.这个命令将完成将数据库文件复制到c:\ntds。

系统会自动检测这个文件夹是否存在(如果不存在，会自动建立这个文件夹），同时，在计算机重新启动后,会自动设置这个文件夹的安全性。

7、键入move logs to c:\ntds移动日志文件。

8、按两次quit退出ntdsutil命令。

9、重新启动计算机。

通过事件查看器查看相关日志和c:\ntds的相关信息(安全性,文件）,看系统是否工作正常。

活动目录及域控制器的安装与配置一、安装DC（域控制器）的必备条件1、本地管理权限（系统管理员权限）2、操作系统版本必须满足条件Windows Server 2005windows Derver 20082、有TCP/IP4、有足够的可用磁盘空间5、NTFS 分区（至少要有一个NTFS分区）6、需DNS的支持。

二、安装DC1,、打开方法：开始-运行-输入“dcpromo”，就会出现图1-1所示的AD域服务器安装向导。

一般默认安装就行，钩不勾选高级差别不大。

图1-1图1-22、选择在新林中新建域数据库和日志文件夹默认保存位置C:\windows\NTDS Sysvol文件夹的位置必须为NTFS分区图1-3在这里输入你要新建的域名，域名一般是按照或形式建立图1-4在这里选择要安装的域控制器的操作系统版本，一般先选择最低级别的windows 2000 server,这里的好处是以后可以根据需要升级到高版本的如server 2003,2008等，如果直接选择最高版本的以后低版本的某些功能可能不会实现。

图1-5图1-6因为我的电脑之前已经安装了一个与服务器了所以这里会出现这个提示。

图1-7这里可能会出现如下图所示的对话框，问你是否配置静态IP，最好先到IPv4的协议中配置好ip和dns，网关根据需要来，也可以先不用配置。

图1-84、输入目录服务还原模式的Administrator密码。

一定不要忘记此密码，此密码可用于卸载你已经安装的好的域控制器图1-9图1-10图1-11图1-12这里我们可以看到，我的管理员前面出现了一个TARENA的域名，说明已经成功了，如果你重启后也看到你自己添加的域名证明你成功了图1-13让我们登陆看一下吧，登录Administrator用户，打开开始菜单——管理工具——就能看到活动目录了，图1-14，很好继续。

图1-14下图是打开活动目录后，看到自己新建的域——，你的不一定是这个哦，看你自己输入的域名是什么它就显示什么。

Win2008系统活动目录权限管理服务熟悉Windows Server 2003的朋友，相信对RMS（权限管理服务）都不会陌生，它能够有效的保护我们的数字资产在相应授权范围之外不会泄露。

在Windows Server 2008中，这一重要特性得以改进和提升，微软把它称之为AD RMS（Active Directory Rights Management Services），即活动目录权限管理服务。

相对于2003下的RMS有了较大的改进与提升，例如：不需要单独下载即可安装、不再需要连接到Microsoft去进行登记等等。

AD RMS 系统包括基于Windows Server 2008 的服务器（运行用于处理证书和授权的Active Directory 权限管理服务（AD RMS）服务器角色）、数据库服务器以及AD RMS 客户端。

AD RMS 系统的部署为组织提供以下优势：- 保护敏感信息。

如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用AD RMS，从而帮助保护敏感信息。

用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。

组织可以创建子自定义的使用策略模板（如“机密- 只读”），这些模板可直接应用于上述信息。

- 永久性保护。

AD RMS 可以增强现有的基于外围的安全解决方案（如防火墙和访问控制列表（ACL）），通过在文档本身内部锁定使用权限、控制如何使用信息（即使在目标收件人打开信息后）来更好地保护信息。

- 灵活且可自定义的技术。

独立软件供应商（ISV）和开发人员可以使用启用了AD RMS 的任何应用程序或启用其他服务器（如在Windows 或其他操作系统上运行的内容管理系统或门户服务器），与AD RMS 结合使用来帮助保护敏感信息。

启用ISV 的目的是为了将信息保护集成到基于服务器的解决方案（如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查）中。

硬件和软件注意事项AD RMS 中的功能在Windows Server 2008中，通过使用服务器管理器，可以设置AD RMS 的以下组件：- Active Directory Rights Management Services。