十、什么是组策略
(1)、组策略出现之前怎么管理计算机
在Windows98下,控制面板里没有直接选项,只能修改注册表,若直接修改注册表会很危险,计算多做起来麻烦
在NT上,可以用“系统策略”解决在Window\poledit策略编辑器,修改后保存策略,图形化修改注册表
在Window Server 2003中组策略不止是用于修改注册表,还可以有其他作用,单机设定,用安全模式修改好了以后,导入模板
要在另一台计算机上用安全模板就在模板上右键另存为放在共享文件夹,然后在别的计算机上拷贝走应用配置,或者在管理工具到本的安全策略里设置
系统策略存在的一些问题
系统策略仅能修改注册表,而组策略不仅仅是修改注册表可以做很多其他事情
组策略的管理更加灵活
组策略可以做以下设置
集中设置策略
确保用户使用他们需要的环境,在我们所认可的环境工作
控制用户和计算机的环境
强制一些用户、计算机、基本策略
(2)、组策略可以做什么?
用户策略
计算机策略
设置 描述
管理模板 给予所有注册表的设定
安全 设定一些本地的、域的、网络上的安全性
软件安装 集中部署软件
脚本 启动、关机、注销、登录时运行相应脚本
远程安装服务 设置相应的用户可以运行远程安装服务
IE维护 设定主页、连接端口、代理
文件夹重定向 把文件重定义到服务器
软件限制策略 Windows Server 2003的功能(有用)
组策略可以管理用户环境
管理模板 脚本 重定向文件 软件限制 管理用户环境
Desk top安全设定
例如:隐藏桌面上的图标
不保存用户设置
在“我的文档”中隐藏驱动器
去掉“运行”
不允许用户更改“显示”属性
保护为了资源
断开网络连接
移走网络驱动器
隐藏“网上邻居”
管理启动菜单
移走“查找”
禁用“任务管理器”
隐藏相应的工具
FRS:文件复制服务
活动目录的复制分为两部分:AD和FRS
容器只能是域、站点、OU、只能在域、站点、OU上做GPO,当然,也可以在本地计算机上做。
只要建立了信任关系、GPO可跨越森林
一个GPO要生效,首先要和一个容器相关(即建立了连接)
删除一条组策略对象两种选项:
删除组策略和对象关系
删除组策略对象
OU的特点是OU下边还可以建立OU,这样组策略也可以应用到子OU
组策略的权限
如果要应用GPO,必须要对GPO有读和应用的权限,如果没有读写和应之一,就不受GPO管理
例如:公司GPO所有的网上邻居被隐藏,如果不想让管理员也有这个权限,就将他的这个GPO的权限去掉读写,应用之一就可以了
如何让GPO生效
(1)、如果是计算机设置,要重启计算机
(2)、如果是用户设置,要重新登录
后台生效
到了刷新时间自动刷新
客户机到了90分钟,DC5分钟
手工强制刷新
Gpupdate /force
在运行中输入
Secedit refreshpolicy machine policy /enforce刷新计算机
Secdeit refreshpolicy user policy /enforce 刷新用户策略
(3)、组策略规则
策略是多变的,规则是不变的
规则
GPO的继承
先生效本地、再生效Site……(依次往下)
不发生冲突,所有生效的策略都生效最后一个生效的生效(发生冲突时)
如图:
Enabling Black Inheritance 阻止继承
不允许覆盖
是“禁止替代”强还是“阻止继承”强
禁止替代 > 阻止继承
上级No Override 和下级No Override的比较
上级的生效
同一个容器多个组策略,有优先级不冲突都生效;冲突时,优先级比较,最后一个生效的生效,同一个容器有多个GPO,No Override会不会生效?强制会生效,多GPO都设置了No Override优先级来判别。
用户帐号的策略,只能在域上设置,而且不会被覆盖,在其他地方设置都会被忽略
组策略可以用来:
限制软件访问
文件夹重定向
配置企业网络安全
部署软件
十一、活动目录的概述
活动目录是系统管理、安全管理、互操作性的基石,活动目录主要功能包括:系统管理、安全管理、互操作性
网络越大,用户在网络中查找资源的困难越大,在工作的时候,一定要先做好活动目录使用规划
一个完整的规划应该包括以下内容
评估工作环境,创建基准
服务器规划
网络架构图
应用架构图
性能参数
中断时间
确认活动目录团队的任务
审核
备份和恢复
管理活动目录组件、信任、站点
定义工作行为
将工作自动化或手动操作
工具 获取 功能
AD Migration Tool 网站有下载 先牵出来检测,在迁出入,正常生产,这样保证产品平滑过度
AD域和信任关系 管理工具包 管理域信任关系和功能级别
活动目录安装向导 系统级别 安装卸载活动目录
AD站点和服务 管理工具包 管理站点和复制
AD用户和计算机 管理工具包 管理活动目录资源
ADSI Edit 支持工具包(Support Tool) 管理活动目录资源比AD用户和计算机强大的多了
DNS控制台 管理工具包 管理DNS服务器,管理AD资源记录
备份向导 系统工具 不借助第三方软备份AD
Dcdiag.exe 支持工具包和资源工具包 管理DNS、管理AD资源记录
Dsatat.exe 支持工具包 比较不同域的DC的差别
事件查看器 管理工具包 查看日志
LDP.exe 支持工具包 使用命令行或者脚本管理活动目录,对开发人员是个喜讯
Link.exe 资源工具包 创建删除更新目录的挂接
MMC 系统级别 添加不同控制台恶性化管理
Netdiag.exe 支持工具包和资源工具包 检查网络连接
Netdom.exe 支持工具包 管理域间的信任关系和操作主控角色的迁移
ADMT
迁移模式你不在混合模式(2000)使用
ADSL EDIT比活动目录AD用户和计算机功能强大的多,可以比使用一般的工具看到更多信息,可以更细的设置权限,不是太熟悉活动目录不要使用他。可以直接修改数据库。
DC diag 做不多检测,比方,可以测试连通性,在活动目录复制出现问题的时候查看是不是Netlogon等服务出现问题
活动目录任务列表
时间 任务
每天 确认DC和管理工具,控制台进行交互式操作,查看每台DC出现的新警告,解决出现Netlogon、KDC、W32time等服务故障,AD依赖这些服务。Sysvol是否共享,DC是否宣告它自身查看DNS时间同步,时间区相同,DC间不超过5分钟按照紧急顺序解决问题
每天到每周 维护GC成员共享在GC内存在存储本域信息
每周 检测间接问题、验证、复制
每月 确认搜有DC运行相同的SP
看报告调整值
监视应用程序
查看AD响应时间的报告
查看AD性能报告
查看域控制器磁盘空间是否充足
监视活动目录
好处:
对用户的好处:用户依赖于DC的应用程序的可靠性提供较快的登录时间,桌面资源环境较好(也降低了管理开销)高度的客户满意率(注意到了以前的问题已解决)较强的服务级别(可靠性提高),工作计划较容易扩展,有优先级工作流的能力(工作处于较低优先级是容易解决),应对以外事件发生能力增强。
坏处:登录失败(信任关系、名称解析失败)
帐号锁定(PDC仿真器失效)DC间复制失败
DC失败(包含NTDS.dit空间不足)
应用程序失败 DC/GC失效
不一致的目录数据,复制故障
帐号创建失败,DC已经耗尽 RID是一段SID,DC的RID分完,RID主控失败
安全策略失败,Sysvol共享问题
活动目录的安装与卸载,域控制器重命名,全局编录服务器的处理,活动目录与DNS的关系。
活动目录为什么需要DNS?
AD域名和DNS区域名有什么关系?
什么是SRV记录,他有什么用?
AD是否一定需要DNS?
AD是否一定需要MSDNS的DNS服务?
AD对DNS服务的需求是什么?
给予BINS DNS可以给AD支持?
只需特殊版本,只需支持SRV记录,不一定要动态更新
安装活动目录的权限
安装新域要企业管理员(不是父域管理员)
安装额外DC,要域管理员
同样需要待安装计算机的本地管理员身份父域管理员不能了子域
企业管理员不等于父域管理员也不等于等于管理员
卸载步骤
检查带降级服务器是否有主操作主控
控检查带降级服务器是否有全局编录服务器
检查带降级服务器是否能与DNS正常通信
检查带降级服务器是否能与其他DC通信
检查是否能够访问操作主控
删除活动目录
在“AD站点和服务”删除服务器对象(根据情况决定计算机是否离域)
(3)、GC的作用
存储森林着那个所有对象的信息,方便最终用户进行搜索。通用组成员身份信息,帮助用户构建访问令牌。用户使用UPN名称登录时决定用户属于森林中的那个域。当活动目录森林离包含有Exchange时,提供全局地址列表,把用户名字转换为邮件地址,展开邮件列表协助邮件传递。Exchange DS Access组件访问GC获得目录信息。如果全局编录服务器不正常工作,那么就有可能是GC坏了,UG用户无法登录,缓存登录问题UG的身份信息存放在GC上。
如何确认GC开始工作
当满足下列条件是GC开始工作
满足当前设定的复制占有级别,不复制完成仍然不进行GC应有的工作
Is Global catalog Ready 属性值为TUVE
DNS里有SRV记录有更新
注册表建值
HK_LOCAL_M_SYSTEM/SERVICE/NTDS/P/GLOBAL如果为1,则是GC,否则不是GC
他会开放3268、3269TCP端口
DNS中出现相关SRV记录
3268、3569端口打开证明GC在运行,复制级别到了才会打开3268、3269端口
从DC去除GC角色
把勾勾掉则马上停止TCP3268、3269,停止接受客户端访问请求,但是没有马上删除GC数据,数据库清理可能耗费很长时间,大约每小时从DC上删除2000对象,直到没有多余对象为止。
(4)、管理AD操作主控
管理AD数据库(如何缩小整个AD的数据库)
NT4.0域环境是一个大SAM数据库,不是AD
NT4.0分为PDC和BDC
2000以后则不分PDC和BDC,他们都是DC
五种主控的作用:
常规不需要对FSMO进行管理
主控规则:占有架构主控的DC必须保证高可用性,但不是必须拥有高性能,因为实际更新更少,用的不多,但是经常用DC每小时联系架构主控,更新架构缓存。
域命名主控:也很少用,占有域名主控的DC必须保证高可用性,但是不是必须拥有高性能,且该DC同时必须是GC
PDC仿真器
占有PDC仿真器的DC,要高可用性和高性能
RID主控
占用RID主控的DC必须保证高可用性,但是不是必须拥有高性能,除非有大量用户加入。
基础架构主控
占有基础架构主控的DC可以忽略可用性和性能,但不能把基础架构主控和GC放在同一台机器上,活动目录森林有且只有一个域,基础架构主控就没用,即使活动目录中的DC全是GC,基础架构主控也没用
建议:
1、将森林级别的FSMO角色放置于森林根域的GC上
2、将两个森林级别的FSMO角色放置于同一台DC上
3、将三个域级别的FSMO角色放置域同一台高性能的DC上
4、不建议将域级别的FSMO角色放置在GC上
管理操作主控
转移操作主控
抢占操作主控
查看现在那台拥有操作主控
netdom query fsmo /domain:域名
ADSIEIT打开活动目录数据库,分区下边找属性fsmoroleowner
Dcdiag /v
图形界面
备份于恢复
备份AD及相关组件
执行非授权恢复
对子域或节点对象执行授权恢复
对整个目录授权恢复
使用重装恢复DC
使用重装恢复域控制器从备份中进行后缀恢复
备份AD目录及相关组件
只是备份系统状态(第三方软件)
备份系统状态和系统磁盘(备份工具)
备份系统状态:系统引导文件
系统注册表
类注册表
Sysvol相关内容
备份的身份:域管理员、本地管理员、备份管理员、登录本地备份
使用重新安装恢复DC
于创建新的DC相同,不包括从备份媒体进行恢复
在同一个域中必须存在一个正常工作的DC
通常只充当单一角色服务器上恢复
使用重新封装恢复DC模式情况下可用
通常在运行其他应用的DC上执行
(5)、管理时间服务
时间服务
同步客户端时间
客户端和成员服务器以验证DC为时间源
DC以本地域PDC模拟器为时间源
PDC模拟器以上级别域PDC模拟器为时间源
森林根域PDC模拟器为森林根域权限域时间源
本地和服务器间
本地比服务器快,以本地为准
本地比服务器慢
2分钟内慢慢同步
2分钟外,,立即同步
AD采用外部时间源和瀑布更新法
日常管理,一般不用管理
PDC模拟器上,会出项Win32time错误,是时间错误
配置事件源,配置外部时间源可以解决这个错误
在Windows Server2003的服务器上默认已经指定外部时间源,如果还有报错(只是警报,不会影响正常使用)可以使用net time /set sntp:ip或服务器名字。
如果不想看到错误,又不想指定外部事件源,还用外部的时间,可以设置本地时间源,在注册表中找到Service /win32Time /p 创建一个双字节键值Reliable Time Source 值设置成1,然后重新启动W32time服务
设置外部事件源也可以通过修改注册表
Service\win32time\p type设置为NTP,新建一个双字节键值Reliable Time Source值设置为1,然后在LocalNTP中,设置为1,间一个字串,NTP Server值是Peers,轮训时间periad设置为24,即每天24词,65531每45分钟同步一次,一次成功每天同步一次65532每45分钟同步一次一次成功8小时一次,65533每7天一次65534每3天一次,65535每两天一次,不同步设置为0,然后重启Win32Time服务。
Win32Time -s 强制客户同步
(6)、管理长期离线的DC
长期离线的DC带来的危害
长期离线DC的危害
幽灵帐号(删不掉需要删除的号)
无效的Sysvol
主控无效
AD里删除帐号不是马上删掉,而是有一台墓碑时间,这个墓碑时间在Windows 2000是60天,在2003上是180天
如果一台DC离线中标志为墓碑,这个DC上线同步会出现问题,长期离线(160天或180天以上)DC上线会发现死人回来了
无效的Sysvol超过60天,Sysvol无效,所以对长期离线DC防范大于修正
DC长期离线前的准备工作
强制AD复制
检查FSMO角色
备份系统、系统状态恢复
墓碑时间源设置,评估离线时间长度,超过墓碑时间要修改墓碑时间
修改墓碑时间设置如下:
ADSL Edit:mcs /config....../cn=services/cn=windowNT/cn=Directory service/属性/tombstonelifetime
长期离线DC上线时:
查看tombostonlifetime禁用离线DC的outbound连接(只获得复制信息)
Repadmin/options servername tdisable _outbound_repl
删除无效对象,恢复sysvol
超过墓碑时间不要把DC上线,而是要重新安装
十二、Sysvol的日常维护
管理sysvol文件夹,维护sysvol
什么时sysvol?
安装AD的时候安装sysvol,sysvol是一个共享目录
存储GPO . sysvol里的信息复制到域上所用的DC
/sysvol
Domain
Poticies
.s
Enterprise
Policies
.s
Staging
Domain
Enterprise
Staging Aress
Enterprise
Windows domain .com
Sysvol
Enterprise
DC在复制的时候会先复制到交换区域
位置规划(因为GPO,.都在这)
日志监控,文件复制服务日志
性能日志(看FRS服务日志)
为什么要监控,因为最常见的错误时FRSID 13511,磁盘空间不足FRSID13522,staging Areas不足
如果在安装活动目录的时候没有规划好Sysvol的位置,那么要进行非常维护
移动 增加空间 重建
移动:空间不足,经常被访问,可能影响系统性能(同一磁盘)对Sysvol最好在安装时规划好,不建议移动Sysvol
移动Sysvol方法1:重装AD
问题:
大环境很费时间
有的企业只有一台DC,重装不可能
方法2:手工操作
检查复制关系(站点工具,服务器,NTDS Seting是否有足够的复制伙伴)
用命令也可以检查复制连接
Dedig /tset:replications
检查复制状态
Dediag /tset:netlogons
测试netlogons是否正常
查看Sysvol结构是否正确,文件是否完整
停止FRS服务 net stop ntfrs
到Sysvol文件夹位置把对应文件做一个复制,把相关文件复制到新的Sysvol位置
配置注册表
HK_LOCAL_MAC\SYSTEM\CURRENTCONSET\NETLOGON\PARA
更改Sysvol位置】
修改AD 信息
展开相应的域及对应的DC,一直到NTFRS Sbu.ions可以看到一个值,编辑这个值,查看属性,查看设为Mandatory Property to view改为FRSS Sagging Path
Edit写入目标路径,然后点Set
进入系统原有Sysvol下
进入Staging areas
Dir 显示文件夹是挂接点,要重新挂接到的位置
用Linkd域名<目录名>新位置
例如:Linkd wenda.com C:\sysvol\staging\domain
在ADSI里修改Domain的属性,修改frsrootpath,编辑位置
把Sysvol下连接
例如:Linkd n.msft C:\sysvol\domain
由于frs停止了一段时间,必须从其他DC上面获得新的复制
注册表:HK_LOCAL_MA\SSTEM\CURRENTCONTROLSET\SERVICE\NERRS\PAPAMETERS\BACKUP\RESTORE\PROCESS ATSTAG把Buf Flags的键值该为d2
改为d2的意义在于设置这台DC上的Sysvol是不可信的Sysvol,是这台DC离线了一段时间当重新工作的时候先复制再工作
net Stat ntfrs
查看是否共享,是否挂接
Dcdiag /test:netlogons
为Staging Area分配更多的额为空间
Staging Area可能需要更多空间
为Staging Area分配空间
HE_LO_MA_\SYS\CURRENTCONTROLSET\SERVICES\NEFRS\RARAM\ETERS\STAGINGSPACE.LIMIT.INKB可以改
还原重建Sysvol
Sysvol丢失是非常可怕的,一般在为AD还原后可能会丢失
对单个DC还原时,很可能会发现Sysvol已经丢失了,其实一般只是没有正常挂接,没有办法正常工作,只需要重新挂接上去
但是很多时候需要重建Sysvol,因为需要复制
dcdiag /tset:replications
进入目录恢复模式,Sysvol在正常状态下是受保护的状态,可写
Net stop ntrs
注册表Service\ntfrs\parmeters\back......\process修改d2
复制其他DC上的Sysvol,必须Admin$可用
Net start ntfrs
挂接sysvol linkd......
十三、管理活动目录的信任关系
管理站点和复制
什么是信任工关系?
信任关系是用于确保一个域的用户可用访问和使用另一个域中资源的安全机制,根据传递信任,信任关系可分为可传递信任关系和不可传递信任两种关系,根据预置信任关系分。Windows信任关系可分为五种(父子、森林根域之间、外部信任、快捷树根信任、领域信任)
关于信任关系:
父子信任,根域信任是默认存在
快捷方式信任有助于提高效率
外部信任有助于提高效率
在Windows2003森林之间需要创建外部信任关系
Windows2003域与其他非Windows kerberos区域之间需要创建外部领域信任关系
创建信任关系的考虑
域中一定量用户要求长期服务某个域中的资源(不用输入用户名和密码)由于安全理由,区分了资源域和帐号域,避免了资源域中用户登录和其他的信息
部分信任关系默认存在
处于减少上层域DC/GC压力 ,可创建快捷方式信任,(不用经过上层DC、GC)
管理站点和复制
站点简介:
站点是一个物理概念,定义处于同一个物理区域的一个或多个子网中的用户对象
优化用户登录访问
优化AD的复制
站点是活动目录的物理结构的体现,他的两个作用是控制活动目录的复制,以及保证用户登录到网络时,使用本站点的域控制器进行身份验证
十四、域重命名
2000以下无法直接使用工具对域进行重命名,要重命名 必须重建现有域
2000中修改域名、域树结构是被禁止的,但可以把资源移动到新域
域的重命名有以下几种结果
修改单个域名称
修改整个域名称
修改一个子域成为一个树
域重命名操作的条件和要求
域的重命名过程是一个复杂的过程,需要进行仔细的规划和执行
对森林结构进行调整的功能能够对森林中域的DNS和NetBIOS名称,以实现一个结构,合理的森林
要创建新的DNS区域
提升域和林功能级别制windows server2003纯模式
域的重命名过程不是在域控制器上完成,需要额外一台已经加入域系统Windows server 2003的成员服务器,作为进行域的重命名操作的控制工作站
域重命名操作对服务的影响
部署了Exchange 2000/2003的AD森林不支持域的重命名操作
森林会在最短时间内不能提供服务(因为数据库还不完整)
所用的域控制器或者成功完成能够与的重命名或者从森林中消失
在域的重命名过程中,不能添加/删除域和DC,也不能建立新的信任关系
域重命名操作之前备份每个DC上的关系状态数据
步骤:
开始域重命名程序
备份所有DC的数据库
准备新的DNS区域
提升域和森林功能级别
运行命令Rendom
进行重命名后续工作
结束域重命名操作
域重命名之后会发现组策略不能应用,所以还要修改组策略到新域
生成但前森林信息
Rendom /list 生成 domainlist.xml(修改域名)
Rendom /upload 生成 Dclist.xml
当upload敲上去以后,整个森林被锁定,意思是不能更改森林配置虽然可以更改信任方向,但是其他不能更改,为保证业务连贯性,影响最小,一般夜里做。验证DC是否就绪。
Rendom /prepare 生成Dclist.xml
并发出RPC请求检查DC是否就绪,如果DC全部就绪就开始进行下一步,如果没有,则返回错误信息,没有就绪的DC在最后不能被重命名,以后需要删除。
Rendom /execute 所有DC重新启动
这是能够回头的最后一步,在敲入execute以后,还可以用rendom /end来回头,敲了以后,森林将停止工作,所用DC成员和森林不能联系
后续工作
所有加入到原来域中的计算机需要重新启动两次
解除因为执行Rendom /upload所造成的森林的冻结,使用Rendom /end
组策略的协调进行了Rendom 以后,组策略并没有从原来域中应用到新域,使用gpfixup
例如:gpfixup /olddns:contoso.com /newdns:hnwenda.com.cn /olddns:contoso/new nb:HNWENDA /dc:hnwenda.com.cn
重命名域控制器的DNS后缀名(默认虽然更改了所在域),但是没有更改后缀名,需手工更改
在活动目录中删除老的域名,不然将会把老的域名当作别名,执行Rendom /clean