学习Windows2008——设计活动目录
正确设计Windows Server2008活动目录域服务(ADDS)结构是成功部署该技术的关键要素。
域设计
审视域信任——包括可传递信任、显式信任、捷径信任、跨森林可传递信任。
选择域名称空间——决定ADDS将占用的一个通用域名系统(DNS)名称空间。ADDS围绕DNS展开工作并且两者不能分割。但注意:如在因特网中注册一个AD名称空间则可能暴露给入侵者;因此要考虑好使用内部名称空间还是外部名称空间,或者将多个名称空间结合到一个森林中。
分析域设计特性——精细粒度口令策略、域重命名功能、跨森林可传递信任、通过媒体提升域控制器。
选择域结构——设计ADDS域结构的一个基本原则:从简单开始,然后仅在必要时予以扩展以解决特殊的需求。域主要的设计模型如下:单域模型、多域模型、单森林中的多树模型、联合森林设计模型、同位体根(peer-root)模型、占位符域模型、专用域模型。
单域的好处是简单、实现了集中式管理。缺点是可能不完全适合公司所需要,由于单域要求充当模式主控角色的计算机必须位于此域中,这样会讲模式主控放置在包含所有用户账户的域中,使模式暴露的风险增大。于是设计将模式主控分离到占位符域的模型可以达到解决风险。
如果在基础结构内存在如下特性,则可能有必要向现有的域结构中添加子域:
分布式管理——如果一个公司通常由其不同的分支机构管理它们自己的IT结构并且今后不打算将它们合并到一个集中式模型中,那么采用多个互连的域可能是理想的结构。
地理限制——如果极低速率链路或不可靠的链路以及地理上较远的距离分割公司不同的部门,那么将用户群体划分到分离的域中或许是明智的做法。而其中地理分布创建域的主要原因可能在于提高管理的灵活性。
唯一的DNS名称空间问题
加强安全性考虑——根据公司的需要,将模式主控角色分离到一个与用户隔离的域中可能是合适的做法。在这种情况下,单域模型不再适用而采用诸如同位体根或占位符这样的模型更加适合。
多域模型
单个森林中的多树模型——例如你的公司想考虑使用ADDS并希望将外部名称空间用于公司的设计。但是公司当前的环境使用了多个DNS名称空间并需要将它们集成到同一个设计中。多个名称空间如:hotmail.com、microsoft.com、msn.com、msnbc.com。在此设计中只有一个域是森林的根。在这个示例中microsoft.com是根域并且只有这个域能够控制到森林模式的访问权。域之间的所有信任关系均是可传递的,并且信任可以从一个域流动到另一个域。一般是依据分离的DNS名称空间,需要整合这些名称空间时 采用。例如政府部门中的消防、公安、公交、医疗等部门。
联合森林设计模型——实现的特性是跨森林可传递信任。允许使用完全分离的模式在两个森林之间建立可传递信任,从而使森林之间的用户能够共享信息并验证用户。它非常适合于如下两种不同的情景。一种是当企业出现收购、并购和其他形式的组织重组时就联合两个异类的ADDS结构。在这些情况下,需要链接两个AD森林以交换信息。另一种是公司内的不同部门或子公司不仅要求绝对安全性和IT结构的所有权而且需要交换信息的情况。有时采用这种设计是由于需要对公司的不同部门之间的安全性进行彻底地隔离。
空根域模型——模式是ADDS的一个最重要的组件,应该得到严密的保护和监管。而空根域模型就是为了将模式的密钥与用户群体相隔离的一种可供考虑的明智选择。着重于安全性的选择。这种模型的好处:安全、可以灵活地重命名域、添加域并且实际上可以移入和移出子域而不需要重命名森林。
专用域设计模型——专用域或森林是服务于特殊需求而建立的。比如公司可以设置一个专用域来容纳外部承包商或临时工人,以限制使用ADDS主森林。分离的专用域的另一种可能用法是驻留具有目录服务能力的应用程序,处于安全性或其他原因,这些应用程序要求自身具有对模式的独占访问权。通过建立跨森林信任关系来允许共享两个环境之间的信息。
域重命名有诸多限制:
不能减少森林中域的数量——不能使用域重命名工具从森林中删除额外的域。但可以使用ADMT来执行域合并任务。
不能降级当前的根域——尽管域重命名工具可以将域从ADDS名称空间的一部分拼接和移植到另一部分,但是不能更改树中的根域。但可以重命名根域。
不能在一个周期内转变当前的域名——一个生产域不能命名为与同一个森林中存在的另一个生产域相同的名称。允许执行域重命名过程两次来获得这种期望的功能。
域重命名的先决条件:
整个森林必须处于Windows Server2003或Windows Server2008功能级别上
必须创建新的DNS区域——一个域的DNS服务器必须为域将重命名到的新域名称空间添加一个区域。
必须从控制台服务器上执行域重命名——一个成员Windows Server2008计算机(而不是域控制器)必须充当域重命名过程的控制台服务器。
可能需要创建捷径信任关系——移接到ADDS森林中某个新位置的任何域都需要在它自身和它将移植到的父域之间建立捷径信任。
仅在没有其他备选方案时才谨慎地使用域重命名。
除了前面列出的限制和先决条件外,域重命名的大部分障碍是以森林中断的形式出现的,这是由于森林中所有计算机的重启造成的。在满足先决条件之后,可以通过6个基本步骤来实现整个域重命名过程。此例行程序对网络要求相当苛刻,因为它会造成网络基础设施停止运行而不应该视为一种常见的操作。
步骤1:列出当前的森林描述。用于域重命名的工具称为Rendom。从控制台服务器上运行的第一个程序是rendom /list,它用于定位域中的域控制器并将所有域名信息解析到一个名为Domainlist.xml的XML文档 中 。
步骤2:使用新的域名修改森林描述。必须使用新的域名信息修改通过/list标记生成的XML文件。此步骤使用NetBOIS和DNS名称
步骤3:将重命名脚本上载到域控制器(DC)。在使用新的域信息更新XML文档之后,通过使用rendom /upload命令可以将此文档上载到森林中的所有域控制器。此程序将指令和新的域信息向上复制到森林内的所有域控制器。
步骤4:为域重命名准备好域控制器。域重命名是一个全面彻底的过程,因为森林中的所有域控制器接收到更新信息是绝对必需的。因此,有必要运行rendom /prepare发起准备过程,以检查ADDS中列出的每个单域控制器是否响应并指示已准备好升级。不过不是所有单域域控制器都予以响应,准备活动失败后必须重新开始。采用此预防措施可以防止关机或跨越网络不可访问的域控制器随后出现在网络上并企图用旧的域名为客户机提供服务。
步骤5:执行域重命名程序。在所有域控制器肯定地响应准备操作以后,可以通过从控制台服务器上运行rendom /execute命令开始实际的域重命名。在运行execute命令之前,实际上没有对生产环境做出更改。但是,当运行此明明时所有域控制器会进行更改并自动重启。然后必须建立一种重启所有成员服务器、工作站及其他客户机的方法,并且随后将它们重启两次以确保所有服务接收到域命名变化。
步骤6:重命名之后的任务。Rendom任务中的最后一个步骤是运行Rendom /clean操作,它将删除在域控制器上创建的临时文件并将域返回到正常操作状态。除了清除任务以外,需要有效重命名每个域控制器,更改它的主DNS后缀。每个域控制器都需要经过这个操作,可以通过netdom命令行实用程序来执行此操作。如下步骤概述了域控制器的重命名过程:
打开CMD
输入netdom computername Oldsevername /add:NewServerName
输入netdom computername Oldsevername /makeprimary:NewServerName
重启服务器
输入netdom computername NewServerName /remove:Oldsevername
组织单元OU和组结构均可定制以满足几乎所有业务需求。
组织单元是一种管理级容器,用于在逻辑上组织ADDS中的对象。推荐奖用户和计算机对象从他们默认的容器转移到OU结构中。
OU结构可以嵌套或者可以包含多层深的子OU。但是要记住OU结构越复杂,管理越复杂,并且目录查询将消耗更多的时间。微软推荐嵌套的深度不要超过10层。
OU主要用于满足将管理权委托给分离的管理员组的需要。
OU不会面临目录的威胁,因此在以下情况下会使用OU:当用户希望向OU的成员发送电子邮件,他将看不到OU结构也看不到OU分组中的成员。为了查看一个组织结构中的成员,应该创建ADDS组。当用户希望列出组织中的成员和组时可以将组暴露给目录并且让用户看到。
组用于在逻辑上将用户组织到一个便于识别的结构中。但它的工作方式与OU有一些重大的区别,区别如下:
组成员对用户时可见的——尽管OU的可见性被限制在使用特殊管理工具的管理员,但是所有参与域活动的用户都可以查看组。
多个组中的成员资格——OU类似于文件系统的文件夹结构。换句话说,一次仅能将文件保留在一个文件夹中。但是,组成员资格并不是独占的。用户可以成为许多组中任何一个组的成员,并且可以随时更改她在该组中的成员资格。
作为安全规则的组——ADDS中的每个安全组在创建后都含有一个与其相关联的唯一安全标示符(SID)。OU没有相关联的访问控制实体(ACE)并因此不能被应用到对象级别的安全性。这是一个非常显著的区别,因为安全组允许用户根据组成员资格准许或拒绝安全访问资源。但是需要注意的是,此情况的例外是不用于安全性的分配组。
邮件启用组功能——通过分配组和邮件启用的安全组,用户可以向一个组发送电子邮件达到群发效果。
组表现为两种形式:安全组、分配组
组按作用范围分:机器本地组、域本地组、全局组、通用组。
OU设计也应该保持简单并且只有在存在必须创建OU的特殊需求下才对其予以扩展。在多数情况下创建OU最有说服力的原因常常局限于委托管理权限。
OU设计过程中的第一步是确定在OU结构内组织用户、计算机和其他域对象的最佳方法。切忌过度使用。
管理员创建组策略来限制用户执行某些任务或自动建立特定的功能。
在某种情况下,仅仅为了应用多个组策略就创建额外的OU对于OU结构的使用而言是低效的,并且通常可能导致OU的过度使用。一般情况下,通过将它们直接应用到组上,这可以得到更简明的使用方法。
组的使用,记住简单的规则:使用域本地组来控制对资源的访问并使用全局组来组织类似的用户组。当完成这些操作后,创建的全局组随后可以作为成员应用到域本地组,从而允许这些用户有权访问这些资源并限制复制对环境所产生的影响。
通用组最适合用于跨越域边界合并组成员资格,并且这应该是它们在Windows2008中的主要功能。
到目前为止,出现了影响OU和组设计的3中截然不同的模型: 第一种模型基于业务功能需求,其中不同的部门可以指定OU和组的存在。第二种模型基于地理为止,其中为远程站点授予分离的OU和组。