当前位置:文档之家 › 2008 Active Directory 域服务新增功能

2008 Active Directory 域服务新增功能

  • 格式:docx
  • 大小:32.97 KB
  • 文档页数:13

下载文档原格式

  / 13

合集下载

Windows Server 2008中Active Directory域的配置管理

Windows Server 2008中Active Directory域的配置管理

Windows Server 2008中Active Directory域的配置管理摘要:随着计算机技术的发展,利用域管理网内计算机的新技术得到广泛应用,本文图例介绍了windows平台的active directory 域及配置管理方法关键词:windows server active directory域配置管理中图分类号:tp316 文献标识码:a 文章编号:1007-9416(2012)02-0155-02活动目录(active directory)是windows server 2008操作系统提供的一种新的目录服务。

所谓目录服务其实就是提供了一种按层次结构组织的信息,然后按名称关联检索信息的服务方式。

这种服务提供了一个存储在目录中的各种资源的统一管理视图,从而减轻了企业的管理负担。

另外,它还为用户和应用程序提供了对其所包含信息的安全访问。

活动目录作为用户、计算机和网络服务相关信息的中心,支持现有的行业标准ldap(lightweight directory access protocal,轻量目录访问协议)第8版,使任何兼容ldap 的客户端都能与之相互协作,可访问存储在活动目录中的信息,如linux、novell系统等。

创建域之前需验证windows server 2008系统具备以下条件:(1)在安装windows server 2008的计算机上至少有一个ntfs分区,至少有250m的空间。

(2)计算机上必须配置好ip地址和dns服务器地址。

(3)具须具备管理员权限。

dns服务可以在安装活动目录前安装,也可以在活动目录集成安装,即在安装活动目录过程中安装。

1、安装active directory域一般情况下,在新安装系统时,系统会提示是否选择安装【活动目录】选项,通常不安装活动目录,以便用户有时间来规划与活动目录有关的协议和系统结构。

活动目录服务一般需要在安装windows server 2008后进行安装,可以使用“dcpromo”命令,“dcpromo”是一个图形化的向导程序,它将引导用户一步一步地建立域控制器。

Windows Server 2008批量添加Active Directory对象的实现方法

Windows Server 2008批量添加Active Directory对象的实现方法

& 中创 建用 户对 象 D N,o jcC a sn me u eA c u t o t l A b t l ,a ,s r c o n c n r , MA c u t & 在 OU e s os c o n ¥ bU e . t f (& 将 变动 提 交给A o j s r e l o) & s n D Na e, m
1 打开 记 事本 输入 文本 : .
d : N S re l , C j t C c m n C = e v r0 D =mp, = o D
C a g tp a d h n e y e:d
S t b o ue= b rae c mp tr ”C = e e j mp tr o j C et (“o ue”, N d s oC OU
0be t 1s :e s n ic Ca sp ro
0b e t Is : r a i t n l e s n ic C a sO a nz i aP r O sO
Ob e t Is : s r ic C a su e
Obe t l s c mp tr jc Ca : o ue s
语 法格 式 :c ci x 脚本 名 srt e pe V S r t 使 用AD I 口操作 A B ci 也 p S接 D,因此 其 自动 创 建AD 对
3 在命 令 行 中输入 命令 : .
Cs d — — % u e p o i % \ o u e t\ o p t r .S ” v e i f s r f e d c m n sc m u e sC V r l
S e将 其直 接导 入A P hl l D。
参考文献 : … 张颖华 ,批量操作 Wid ws 用,网管员世 ,2 1 . (1 l no 域 018 1) [] n Home Nesn R etD nel et 2 Da l lo u s a il Ru s,刘晕 、彭爱华 、汤 e 雷译,配置Wid wsS r e 0 8 n o e v r2 0 活动 目录 ( TS MC 教程 ) . 清 华大学出版社 .0 1 5 2 1 .

实验5-2 Windows 2008中Active Directory备份和还原

实验5-2 Windows 2008中Active Directory备份和还原

实验5-2 Windows 2008中Active Directory备份和还原Windows Server 2008 为Active Directory 带来了许多新功能,其中对备份和恢复计划具有重大影响的两个功能是:新的Windows Server Backup 实用工具,以及获取和使用Active Directory 的“卷影复制服务”快照的能力。

在本文中,我将介绍这些增强功能所带来的变化,以及如何利用这些变化来简化Active Directory 备份活动。

NTBACKUP 与Windows Server Backup组策略设置Windows Server Backup 提供了若干组策略设置,使您可以在一定程度上控制备份在您服务器上的工作方式。

使用这些备份策略,人们通过未经授权的备份访问未授权数据的风险会降低。

选项包括:仅允许系统备份如果设置了此选项,则Windows Server Backup 只能备份关键的系统卷。

它无法执行卷备份。

不允许本地附加的存储作为备份目标如启用此设置,它不允许备份至本地附加的驱动器。

只能备份至网络共享。

不允许网络作为备份目标此设置不允许备份至任何网络共享。

不允许光学媒体作为备份目标如设置了此选项,Windows Server Backup 无法备份至任何光学媒体,例如可记录的DVD 驱动器。

不允许一次性运行备份此设置不允许Windows Server Backup 运行非计划的特定备份。

仅通过Windows Server Backup MMC 管理单元计划的备份可以运行。

您所了解和喜爱的NTBACKUP 自Windows NT? 3.5 之后已消失。

代替它的是Windows Server Backup。

这一新工具不是仅仅对NTBACKUP 的改进;它是一个全新的备份技术,使您必须重新思考备份系统的方法。

尽管Windows? Server 备份是Windows Server 2008 唯一的现成备份解决方案,但它并不是替换NTBACKUP 的另一种功能。

WindowsServer2008活动目录域服务实战(1)

WindowsServer2008活动目录域服务实战(1)

Server2008活动目录域服务实战前言Microsoft Windows Server 2008 Active Directory Domain Services (AD DS) 在不同的领域给用户带来了很多增强的特性。

我们将具体介绍Windows Server 2008 Directory Services,以及它是如何结合Windows Server 2008特有的在安全和管理性方面的大量原则。

Read-Only Domain Controller (RODC) 是Windows Server 2008中最大的特性并有拥有最强的增强。

在Windows Server 2008过去的两年半时间内,大约有80%的开发资源是投入到RODC。

RODC的特性是非常丰富和令人兴奋的。

管理角色的分离允许管理员将管理权限指派给Read-Only DC级别的一些用户。

这极大地减轻了拥有许多域管理员的负担并提高了安全性。

Server Core和DC角色被显著地增强来大大地减少了服务器受攻击的层面。

组策略有许多新特性和新设置,使用起来更容易,扩展了它的范围,并变的更加稳定。

下面让我们浏览一下Windows Server 2008 Directory Services 的新特性和增强。

安全的增强Windows Server 2008中的活动目录域服务(AD DS)提供了安全领域的增强。

在安全领域,只读域控制器(RODC)扮演了一个重要的角色。

RODC为在那些地方部署域控制器提供了一个更安全的方法。

它们要求快速、可靠和坚固的认证服务,但也有安全限制,如禁止部署可写域控制器。

RODC主要设计用于部署在远程基础结构环境中。

在这样的环境中一般有相对比较少的用户,物理安全比较薄弱,到中心站点的网络带宽比较少,以及很少的本地IT经验。

域名称服务和域控制器,RODC,和完整DCs 支持活动目录Server Core角色。

除了账号密码,RODC持有所有可写域控制器持有的AD DS对象和属性,但是不能对存储在RODC上副本做修改。

WindowsServer2008活动目录解析

WindowsServer2008活动目录解析

在Windows Server 2008中,活动⽬录域服务(Active Directory Domain Services缩写AD DS)相⽐前⼀代操作系统⼜有了重⼤的提升和改进,本⽂简要介绍⼀下其新特性。

⼀、审核策略 在Windows Server 2008中,你现在能够通过使⽤新的审核策略的⼦类(⽬录服务更改)来建⽴AD DS审核策略。

当活动⽬录对象及它们的属性发⽣变化时,新的审核策略可以记录新旧属性值。

AD DS审核能⼲什么? 我们定义本策略设置(通过修改默认域控制器策略),能够指定审核成功的事件,失败的事件,或者什么也不审核。

能够在AD DS对象的属性对话框中的安全选项卡中设置系统访问控制列表。

”审核⽬录服务访问“在应⽤上同审核对象访问⼀致。

但只适⽤与AD DS对象上⽽不是⽂件对象或注册表对象。

审核AD DS访问 在AD DS中新的审核策略⼦类(⽬录服务更改)增加了以下的功能: 当对对像的属性修改成功时,AD DS会纪录先前的属性值以及现在的属性值。

如果属性含有⼀个以上的值时,只有作为修改操作结果变化的值才会被记录。

如果新的对像被创建,属性被赋予的时间将会被记录,属性值也会被记录,在多数情景中,AD DS分配缺省属性给诸如sAMAccountName等系统属性,这些系统属性值将不被记录。

如果⼀个对像被移动到同⼀个域中,那么先前的以及新的位置(以distinguished name 形式)将被记录。

当对象被移动到不同域时,⼀个创建事件将会在⽬标域的域控制器上⽣成。

如果⼀个对象被反删除,那么这个对象被移动到的位置将会被记录。

另外如果在反删除操作中属性被增加,修改或者删除,那么这些属性的值也会被记录。

当"⽬录服务更改"审核⼦类别启⽤以后,AD DS会在安全⽇志中记录事件当对象属相的变化满⾜管理员指定的审核条件。

下⾯的这张表格描述了这些事件。

事件号事件类型事件描述 5136 修改这个事件产⽣于成功的修改⽬录对象属性。

windows server 2008-2012新增和弃用功能(活动目录)

windows server 2008-2012新增和弃用功能(活动目录)

Windows Server 2008 R2 操作系统中Active Directory 域服务中的新增功能:Windows Server 2008 R2 操作系统中的Active Directory(R) 域服务(AD DS) 包括许多新功能,可帮助改进Active Directory 可管理性、可支持性和性能。

Windows Server 2008 R2 中提供以下更改:•Active Directory 回收站信息技术(IT) 专业人员可以使用Active Directory 回收站来撤消Active Directory 对象的意外删除。

意外对象删除会导致业务中断。

已删除用户无法登录或访问公司资源。

这是Active Directory 恢复方案的首要原因。

Active Directory 回收站适用于AD DS 和Active Directory 轻型目录服务(AD LDS) 对象。

此功能在处于Windows Server 2008 R2 林功能级别的AD DS 中启用。

对于AD LDS,所有副本必须在新的“应用程序模式”下运行。

•Windows PowerShell 的Active Directory 模块和Windows PowerShell(TM) cmdlet Windows PowerShell 的Active Directory 模块使用一致的词汇和语法为管理、配置和诊断任务提供命令行脚本。

它提供可预测的发现和灵活的输出格式。

可以轻松地对cmdlet执行管道操作以构建复杂操作。

Active Directory 模块可实现Exchange Server、组策略和其他服务的端到端可管理性。

有关详细信息,请参阅AD DS 的新增功能:Windows PowerShell 的Active Directory 模块。

•Active Directory 管理中心Active Directory 管理中心拥有面向任务的管理模式,包含对大型数据集的支持。

Windows Server 2008 活动目录创建

Windows Server 2008出来好一阵子了,自己也用了段时间,但一直没机会体验其AD功能的强大,下面简单的讲解下Windows Server 2008 Active Directory域服务的安装步骤:1.点击“开始”->“运行”,输入“dcpromo”并回车,弹出如下窗口:直接点击“下一步”,一般不需要“使用高级模式”,(除非你的添加第二个DC做他用或者对各种设定都非常熟悉)2.点击“下一步”;3.因为是新建DC,所以选择“在新林中新建域”;4.在目录林根级域FQDN(F)一栏中,输入想建立之网域名称,如确定无误后,按下“下一步”,稍后会进行检查同网段上是否有无网域名称重复;5. 在“设置林功能级别”页面,如林内网域控制站皆为Windows Server 2008担任,则可将林功能等级提升至Windows Server 2008,但有些应用程序需绑AD,则暂不建议将网域等级升至Windows Server 2008。

确定无误后,则按下“下一步”,则会开启“其它域控选项”页面6.DNS当然得选了,直接选择“下一步”;7. 对了,在进行DNS服务器角色安装之前,会先行检查该服务器是否已设定固定IP 地址。

同时,会出现该警示提示(下图),是因为IPv6预设是为启动,而该Lab使用的是IPv4,故该警示可忽略,按下“是,该计算机将使用动态分配的IP地址(不建议)”---当然,首先固定IP是最好了8. 出现此警示讯息则说明如该网域如为子网域时,则必须先升级问为父系网域,然后设定DNS服务器委派的动作,因该Lab为的网域,故可忽略此警示讯息,按下“是”即可;9.这个…基本不用更改,前提是都是NTFS格式;10.设置还原密码,跟2003一样,够复杂能记住就行;11.到这里就可以检查一下前面的步骤有无错误,没有就可以直接“下一步”;12.正在配置各种设定和服务,大约5~6分钟;13.至此,AD域服务已经安装完毕!重启即可,记得下次登录需要选择Domain哦,否则会拒之门外的!以后会陆续讲解其他功能,如ADSI Edit、Hyper...。

Windows Server 2008活动目录新特性概览

Windows Server 2008 活动目录新特性概览 活动目录新特性概览
MVP 许震 xuz1215@
主要内容
Windows Server 2008活动目录新特性一览 活动目录新特性一览 重要新特性说明
2008活动目录相关服务的新名称 2008活动目录相关服务的新名称
Active Directory Domain Service
- 核心活动目录服务,即以前的AD Directory Service
Active Directory Federation Services Active Directory Lightweight Directory Services
- 即以前的AD Application Mode
Active Directory Certificate Services Active Directory Right Management Services
- 只读状态:单一的AD和FRS\DFRS复制方向(RODC上SYSVOL丢失不影响 writeable域控制器) - 每个RODC有自己单独的KDC KrbTGT账户以提供独立的加密key - 授权的DCPROMO减少域管理员远程登录RODC的需要,强化安装的安全性和 便捷性 - Windows 2008 writeable域控制器代替RODCs注册SRV记录,以防止DNS中出 现错误/失效记录
- 不需要进行系统状态还原 - 节省了AD备份的空间和时间 - 减少了停机次数
审核修改的对象和删除的对象
- 提供了一种机制允许用户纠正意外操作
使用简单
- 不需要安装额外的工具 - 只要安装了AD DS或AD LDS的服务器均可以使用 - 新的ntdsutil工具可以用于创建、列出和卸除AD DS或AD LDS快照 - 使用dsamain.exe作为LDAP公开快照数据 - 现有的LDAP工具(LDP.exe和AD用户和计算机)可以访问快照数据

2008 AD 域服务部署配置 额外域控 adprep命令

选择Active Directory 域服务部署配置安装Active Directory 域服务(AD DS) 时,可以选择以下可能的部署配置之一:向域中添加新的域控制器向林中添加新的子域,或作为一个选项添加新的域树注意只有在选中位于Active Directory 域服务安装向导的“欢迎使用Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时,用于安装新域树的选项才会出现。

创建新的林下列各部分将详细介绍上述的每个部署配置。

向域中添加新的域控制器如果域中已有一个域控制器,则可以向该域添加其他域控制器,以提高网络服务的可用性和可靠性。

通过添加其他域控制器,有助于提供容错,平衡现有域控制器的负载,以及向站点提供其他基础结构支持。

当域中有多个域控制器时,如果某个域控制器出现故障或必须断开连接,该域可继续正常工作。

此外,多个域控制器使客户端在登录网络时可以更方便地连接到域控制器,从而还可以提高性能。

准备现有域向现有的Active Directory 域添加运行Windows Server 2008 R2 的域控制器之前,必须通过运行Adprep.exe 来准备林和域。

请务必运行Windows Server 2008 R2 安装介质随附的Adprep 版本。

此版本的Adprep 可以添加运行Windows Server 2008 R2 的域控制器所需的架构对象和属性,并且可以修改对新对象和现有对象的权限。

根据需要为环境运行以下adprep 参数:添加运行Windows Server 2008 R2 的域控制器之前,请在承载架构操作主机角色(架构主机)的林中的域控制器上运行一次adprep /forestprep。

若要运行此命令,您必须是包括架构主机的域的Enterprise Admins 组、Schema Admins 组和Domain Admins 组的成员。

此外,请在每个计划将运行Windows Server 2008 R2 的域控制器添加到其中的域中,在承载基础结构操作主机角色(基础结构主机)的域控制器上运行一次adprep /domainprep /gpprep。

Server2008微软官方教程 3 Windows Server 2008 活动目录新特性概览


管理单元 用户帐号
组策略
省,城市 市民
法律法规
访问/china/technet/webcast 获取更多课程资源
活动目录中的信息
Windows 用户 • 帐号信息 • 权利 • 配置 • 策略 其他目录服务 • White pages • 电子商务 Windows 客户端 • 管理配置 • 网络信息 • 策略
5.
6. 7.
ADPREP /ForestPrep ADPREP /DomainPrep 安装/升级一台DC到Windows Server 2008 DC 确认Forest Functional Mode为Win2k03 ADPREP /RodcPrep 确认客户端已经安装相应兼容性补丁 安装RODC
无论密码是否在RODC上Cache, 客户端均从RODC上执行登陆脚 本与组策略 Outlook客户端可以使用RODC GC做 Address Book查询等 LDAP 搜索在 RODC上执行 如果WAN出现故障,只有等RODC上有用户密码cache,用户才 可以使用RODC登陆。否则用户用本机Cache登陆
访问/china/technet/webcast 获取更多课程资源
主要内容


活动目录核心概念回顾 Windows Server 2008活动目录新特性一览 重点新特性
访问/china/technet/webcast 获取更多课程资源
Windows Server 2008 新技 术概览篇

详细介绍

Windows Server 2008 技 术实现篇
/china/technet/webcasts/cla ss/Win2008rc1.mspx
访问/china/technet/webcast 获取更多课程资源
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

2008 Active Directory 域服务新增功能Microsoft 通过 Windows 2000 向世人展示了 Active Directory。

接下来,在 Windows Server 2003 这一重要版本中,Active Directory 得到了极大的改进,但未做任何重大更改。

如今,Active Directory® 已成为功能强大且极其成熟的目录服务。

尽管如此,Active Directory 团队仍通过不懈的努力在最新版本中继续完善其功能,以提高这一核心网络服务的安全性和可管理性。

在世纪之交,Active Directory 主要是验证登录的用户、对用户和计算机应用组策略并协助其找到所需的打印机。

仅仅几年后,Microsoft 又发布了一个独立的改良版,称为 Active Directory 应用程序模式 (ADAM)。

到了 2006,一切都焕然一新。

Active Directory 不再是一种特定的技术。

现在,它已成为一种品牌名称,代表一系列Windows® 身份和访问控制服务。

图1为您展示了 Active Directory 品牌组成内容的纲要。

Figure 1 Active Directory 组件因此,要是为使用合适的术语,应该将这篇文章称为“域服务”介绍。

但为了不产生混淆,还是应该把它叫做自 2000 年以来深为您称道的 Active Directory。

Windows Server 2008 中的服务器管理器对于 Active Directory,我首先要讨论的两项改进并不是 Active Directory 域服务 (ADDS) 中的更改;而是 Windows 中的更改,它们会改变您管理 Active Directory 的方式。

第一项是新的“服务器管理器”,它在您首次启动 Windows Server® 2008 服务器时就会出现。

(第二项是 Active Directory 安装,稍后我们将对其进行解说。

)安装 Windows Server 2003 后,默认会随后出现“配置服务器向导”,您可能从中对服务器管理器有一定的了解。

但那个版本对于日常管理不是十分有用,我所认识的每个人都选择了“登录时不显示此页”复选框。

Windows Server 2008 中的服务器管理器则非常有用(请参阅 Byron Hynes 在本期《TechNet 杂志》撰写的文章了解服务器管理器的概况)。

首先,如图 2中所示,服务器管理器现在属于Microsoft® 管理控制台 (MMC) 管理单元,而非 Microsoft HTML 应用程序 (HTA)。

这意味着它具备了用户所熟悉的界面,功能完备且易于自定义。

您可随时使用服务器管理器掌控服务器角色(DNS、ADDS 和IIS 这类主要服务)和功能(Microsoft .NET Framework、BitLockerTM 驱动器加密和 Windows PowerShellTM 这类软件组件)的安装。

除了添加和删除软件,服务器管理器还为运行诊断工具(如事件查看器和 PerfMon)及系统配置实用工具(如设备管理器和 Windows 防火墙管理单元)提供了单点联络。

如果您能为Active Directory 加入 MMC 管理单元,例如,用户和计算机、域和信任关系、站点和服务,您将获得一个极为出色的界面,用于执行 Windows Server 2008 域控制器 (DC) 的日常管理。

图 2 Windows Server 2008 中的服务器管理器(单击该图像获得较大视图)Windows Server 2008 Server CoreWindows Server Core 是一个新的 Windows 安装选项,它提供一个精简的Windows,仅包含运行某些关键的服务器角色(包括 Active Directory 域服务)所必需的组件。

(图 3 中列出了 Server Core 支持的角色。

)虽然 Server Core安装程序有图形化 UI,但它并不运行 Windows 桌面外壳程序,并且几乎略去了所有管理和配置 Windows 的图形工具(请参阅图 4)。

取而代之的是一个命令行窗口,让您对接下来的操作甚感迷茫。

如何更改计算机名称?如何配置静态 IP 地址?图 4在 Server Core UI 中看不到太多的内容(单击该图像获得较大视图) 在 Server Core 最初安装的几分钟,可能会有些混乱。

很快您就会重新熟悉WMIC、NETSH 和 NETDOM,然后轻松完成所有常规设置和配置任务。

并且,您仍可用注册表编辑器和记事本满足图形工具的需求。

Server Core 的主要优点是移除了许多典型 Windows 安装需要,而这些核心服务器角色不需要的代码。

这样遭受恶意软件攻击的几率降低了(是件好事),并且 DC 所需的补丁和重新启动次数也大为减少(更好的事)。

占用的磁盘空间少了许多,从而减小的硬盘要求,可能在一般条件下不算什么,但对于虚拟服务器环境的帮助却很大。

缺少图形化实用工具对 ADDS 的管理会造成困难吗?完全不会。

通过在工作站运行实用工具,然后连接网络上的域控制器,您可远程执行绝大部分管理任务。

我期望 Server Core 安装最终可以运行大部分 DC。

DCPROMO 更改ADDS 本身最先引起您注意的更改是新的 DCPROMO。

它的作用与 Windows Server 2003 中的 DCPROMO 一样,但经过重新编写后更容易使用了。

例如,您不必输入您的域管理员凭证,DCPROMO 可以将您的登录凭证提供给服务器。

您也不必通过键入 DCPROMO /ADV 来取得“高级模式 DCPROMO”选项,现在第一个 DCPROMO 对话框中提供了这些选项的复选框。

高级模式还允许您选择复制所需的现有域控制器。

这样,您就可以从生产 DC 中转移 DCPROMO 的复制负荷。

将 DC 提升到新域或林中时,DCPROMO 会为您提供选项,供您设置林和域操作级别,而不是在提升后才准许您设置。

您还可指定想要在提升期间放置 DC 的Active Directory 站点,如果存在无人参与的 DCPROMO,这会非常有帮助。

DCPROMO 甚至会根据 DC 的 IP 地址对最好的站点给出建议。

新的 DCPROMO 还在一个页面上汇集了所有配置选项,让你在此选择新 DC 是全局编录、DNS 服务器还是只读 DC。

您不必转到 Active Directory 站点和服务管理单元中的偏僻位置将 DC 标记为 GC。

新 DCPROMO 能恰好在提升开始前在一个响应文件中保存所有 DCPROMO 设置,这可能是它最出色的功能。

比起手工整理响应文件,这要简单得多,还不容易出错。

您随后可使用响应文件在其他服务器上执行无人参与的 DCPROMO。

为了满足脚本痴迷者的愿望,所有 DCPROMO 选项现在均可通过命令行访问。

只读域控制器在 Active Directory 的早期阶段,企业常常在用户可能登录的每个站点均部署域控制器。

例如,银行通常在每个支行都安装 DC。

其中的逻辑是每个支行的用户都能登录并访问本地网络资源,即使 WAN 失效也能如此。

那时,实际的 DC 安全需求没有被很好地理解。

我看到过控制器堆放在桌子下面,路过的人可以轻易接触到它们。

直到几年后,Active Directory 架构师才完全领会到不安全的 DC 所带来的安全风险,IT 组织开始将 DC 重新放回到中央数据中心。

这以使分支用户必须经由 WAN 进行验证,但由于提高了安全性,这也是值得的。

Windows Server 2008 中的 Active Directory 通过引进只读域控制器或 RODC 改变了分支部署的规则。

它们是 Windows Server 2008 域服务中最大的变化。

Active Directory 团队在设计 RODC 时重点考虑了分支机构的需求,他们的目标是“在分支机构就地解决问题”。

这其中的要点是如果您在实际条件不安全的分支部署了 DC,基本上您是无法防止 DC(和信任它的机器)受到攻击的,但是您可防止攻击向其他域扩散。

注意,即使这需要对 ADDS 基础结构做很大的更改,但 RODC 的实现并不复杂。

您的域必须处于 Windows Server 2003 的林功能级,并且域中必须至少有一个Windows Server 2008 DC。

除了是分支解决方案,在面对互联网的环境中和 DC 处于网络外围的情况下,RODC 同样发挥着重要的作用。

DC 离职在分支机构中,需要考虑几类威胁。

第一类是“DC 失窃”,即有人带着 DC 或 DC 的磁盘溜之大吉。

这不但会使本地的服务崩溃,攻击者最终还有可能得到域中所有的用户名和密码,并由得以访问保密资源或造成拒绝服务。

为防范这种威胁,默认情况下,RODC 不将密码哈希存储在其目录信息树 (DIT) 中。

因此,用户首次向特定的 RODC 进行身份验证时,RODC 会将该请求发送给域中的完全域控制器 (FDC)。

FDC 处理该请求,如果验证成功,RODC 会签发密码哈希复制请求。

受到攻击的 RODC 有可能请求敏感帐户的密码哈希。

为防止这种情况发生,域管理员可为每个 RODC 配置密码复制策略。

该策略由 RODC 计算机对象的两个属性组成。

msDS-RevealOnDemandGroup 属性包含密码缓存于 RODC 上的组、用户或计算机帐户的独有名称(它们通常是与 RODC 位于同一站点的用户和计算机)。

msDS-NeverRevealGroup 包含密码未缓存于 RODC 上的组、用户或计算机帐户的独有名称(例如,域管理员帐户绝不应将其密码哈希缓存于 RODC 上)。

如 RODC 请求特殊帐户的密码哈希,FDC 会根据密码复制策略评估请求,以确定是否应将密码哈希复制给 RODC。

如 DC 失窃,则受攻击的对象仅限于在从网络转移时在失窃 RODC 上缓存的密码,重要的密码不会受到攻击。

RODC 计算机对象包含的其他两个属性可以帮您精准确定应缓存其密码的帐户。

msDS-AuthenticatedAtDC 属性列出 RODC 已验证了密码的帐户,msDS-RevealedList 属性命名其密码当前由 RODC 存储的帐户。

用户和计算机密码哈希并不是 DC 存储的唯一秘密信息。

KrbTGT 帐户包含在每个域控制器上运行的 Kerberos 密钥分发中心 (KDC) 服务的密钥。

在通常情况下,域中的每个 KDC 共享相同的 KrbTGT 帐户,所以有可能攻击者从窃得的 DC 上获取这些密钥,然后使用它们攻击域的其余部分。