Active Directory教程4
Windows Server 2008 ADDS最受欢迎的功能是能在域中定义多个密码策略。您可能知道,在 Windows 2000 和 Windows Server 2003 Active Directory 中,每个域仅支持一个应用于域中所有安全主体的密码策略。如果一组特定用户需要一个单独的密码策略,您必须创建一个单独的域。但现在 Windows Server 2008 ADDS 中新增了一项功能,称为精准密码策略,您可以用它在域中定义多个密码策略。本文是《Active Directory教程》中的第四篇,问您介绍windows Server 2008 active directory的域用户密码策略,以及改进了的备份恢复和安全审计功能。
新策略使用组将精准的密码策略应用于用户。您先在 CN=密码设置容器、CN=系统、DC=<域> 容器中创建新 msDS-PasswordSettings 对象来定义精准密码策略。msDS-PasswordSettings 对象(简称 PSO)包含与“组策略”中的密码策略设置平行的属性。下表中说明了 mSDS-PasswordSettings 对象中的属性 :您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
属性 说明
mSDS-PasswordReversibleEncryptionEnabled 指示是否使用了可逆加密对密码进行加密的布尔值。
mSDS-PasswordHistoryLength 密码历史记录中维护的条目数量。
mSDS-PasswordComplexityEnabled 指示是否启用了密码复杂性限制的布尔值。
mSDS-MinimumPasswordLength 定义最短密码长度的整数。
mSDS-MinimumPasswordAge 指示可以更改密码前其最短使用期限的 INTEGER8。
mSDS-MaximumPasswordAge 指示必须更改密码前其最长使用期限的 INTEGER8。
mSDS-LockoutThreshold 指示锁定前失败登录数目的整数。
mSDS-LockoutObservationWindow 指示纳秒数的 INTEGER8,为触发锁定,必须在此间隔内连续出现登录失败。
mSDS-LockoutDuration 指示帐户锁定纳秒数的 INTEGER8。
随后,您可通过将用户或组名称添加到 PSO 的多值 mDS-PSOAppliesTo 属性中为用户或组指派密码策略。一旦您接受不向 OU 应用密码策略这一观念,会非常易于实施。但在其他方面还有一些复杂。
用户通常是许多组的成员。因此,如果由于这些组成员关系导致了用户产生多项相互冲突的密码策略,那又将如何呢?在这种情况下,ADDS 使用优先级评估来确定应用哪个密码策略。其工作原理如下所示:您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
如果密码策略直接链接用户对象(而不是通过组成员关系),将应用该密码策略。
如果多个密码策略直接与用户链接,将应用优先权值最小(由 PSO 的 msDS-PasswordSettingsPrecendence 属性值确定)的策略。
如果多个 PSO 的优先权相同,将应用 objectGUID 值最小的那个 PSO。
如果没有 PSO 与用户直接链接,ADDS 将评估与用户组相链接的 PSO。如果有多个 PSO,将应用 msDS-PasswordSettingsPrecedence 属性中值最小的那个 PSO。
如果多个 PSO 的优先权值相同,将应用 objectGUID 值最小的那个 PSO。
如果没有 PSO 与用户相关联,将使用域密码策略。
用户对象有一个名为 msDS-ResultantPSO 的新属性,协助精确排序应用给用户的 PSO。此属性包含控制该用户密码的 PSO 的独有名称。
精准密码策略赋予您更多的灵活性,但您必须仔细管理并简化这些策略。要定义精准密码策略,没有现成的实用工具,您需要使用 ADSIEdit 或查找第三方实用工具。
可重启的 Active Directory 目录服务
每次关闭域控制器进行 DIT 维护时,都会在网络服务层造成一些中断。Windows Server 2008 DC 有一项新功能,可以让您不必完全关闭 DC 就行停止目录服务。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
在 Windows Server 2008 DC 上使用 NET STOP NTDS 命令来中止 ADDS。执行此操作时,DC 上的本地安全机构 (LSASS) 继续运行,但它会卸载所有与 ADDS 相关的 DLL,因此无法再使用目录服务。LSASS 随后将域验证请求转发给 DC,其操作方式与成员服务器并无二致。由于卸载了处理 ADDS 的 DLL,您可以应用与 ADDS 相关的补丁程序,或执行离线 DIT 碎片整理。ADDS 的启动与 NET START NTDS 一样简单。但是,从系统状态备份恢复 DIT 仍需要您重新启动,然后进入目录服务修复模式。
您需要知晓目录服务并不是真正的 Windows 服务。它仍是 LSASS 的一个构成组件,不关机,您无法停止 LSASS。但是在 Windows Server 2008 中启动和停止目录服务非常便利。
备份和恢复
Windows Server 2008 中对整个备份和恢复机制进行了修改。这里我不想一一累述,但新的 Windows Server 备份有一些更改影响到了 ADDS。
Windows Server 备份是一个基于卷的备份解决方案,这意味着它一次备份整个磁盘卷。另外,它仅备份到磁盘(或类似磁盘)设备,不支持磁带。
WBADMIN 命令行备份实用工具有一个系统状态备份选项。使用 WBADMIN START SYSTEMSTATEBACKUP 命令,您现在可以创建备份映像,其中包含在域控制器恢复 Active Directory 所需的全部重要系统文件。这样,备份集中最多可以有五个卷,但每个卷只包含恢复系统状态所需的文件。更有些恼人的是,从 Windows Server 2008 的 RC0 起,您无法对网络共享执行系统状态备份。您必须有可供系统状态备份映像使用的本地磁盘卷,且该卷不能是系统状态备份卷集的一部分。对于您要进行系统状态备份的每个域控制器,您可能必须向其新添加一个磁盘卷。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
系统状态还原非常简单。只需将 DC 引导为目录服务还原模式,然后运行 WBADMIN START SYSTEMSTATERECOVERY 命令即可。这将产生非权威还原的 DIT,您可在其中使用 NTDSUTIL 对特定对象执行权威还原,就像在 Windows Server 2003 中一样。
Windows Server 备份中的一个方面需特别注意:它以虚拟硬盘 (VHD) 格式存储备份映像。Microsoft Virtual Server 2005 也使用这种格式存储其虚拟磁盘映像。这表示您可获取用 Windows Server 备份创建的备份映像,在 Microsoft Virtual Server 下运行的虚拟机中将其安装成一个磁盘。然后就像正常磁盘一样浏览备份内容。
ADDS 备份的另一项更改是可以使用“卷影复制服务”创建 Active Directory 的时间点快照。使用 NTDSUTIL 创建快照时,“卷影复制服务”在每个磁盘块被更新操作覆盖前,保存其更新前的映像。通过将保存的更新前映像与 DIT 的当前版本组合在一起,“卷影复制服务”可用极小的开销构建完整的 DIT 快照。无论 DIT 的大小如何,创建典型的快照只需几秒。
就其本身而言,这是一项有趣的功能,但并非总是那样有用。但是,在 Windows Server 2008 中,ADDS 纳入了一个称为 DSAMAIN 的命令行实用工具,它以只读模式安装快照映像。这样就提供了一个独立 LDAP 服务器,它很象在快照时包含目录内容的 ADLDS 实例。您可使用 LDP 实用工具或其他 LDAP 工具浏览目录,并从先前的时间点检索目录对象的版本。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
使用 DFS-R 复制 SYSVOL
Windows Server 2003 R2 带有一个改良的分布式文件服务 (DFS),其中引进了称为 DFS-R 的全新文件复制机制。它使用的是远程差分压缩,这种方式通过确定需要复制哪些目标文件块来与源文件同步,极大地减少了文件复制流量。但是,Windows Server 2003 R2 仍使用文件复制服务(而不是 DFS-R)在域控制器之间复制 SYSVOL。因此,SYSVOL 复制还是 Active Directory 管理员的问题之源。
在 Windows Server 2008 域功能级运行时,Windows Server 2008 使用 DFS-R 复制 SYSVOL,提高 SYSVOL 复制的速度和强度。这就可以将大型文件放入 SYSVOL,供所有 DC 使用。要将 DFS-R 用于 SYSVOL,必须先使用 DFSRMIG 实用工具将旧 SYSVOL 数据迁移至 DFS-R。此过程包括四个步骤:
创建 DFS-R. 所需的 Active Directory 对象。
在每个域控制器上为 SYSVOL 新建文件结构。
转换所有域控制器以使用新的 SYSVOL。
删除旧的 SYSVOL。
此过程可能花点儿时间,具体视 SYSVOL 的大小和域控制器的数量而定,但性能和可靠性的提高完全值得为此花费时间。
审计改进
Windows Server 2003 中 Active Directory 的审计系统具有双重效应。一方面,它为追踪目录中的更改提供了极其全面、灵活和安全的解决方案。但是也有事例反映遇到某些严重的使用性问题。
在 Windows Server 2003 域控制器上启用目录更改审计非常类似“全有”或“全无”,它或者启用,或者禁用。繁忙企业 DC 上的审计流量可能使审计变得不实用。通过改变单个的安全描述符配置审计系统,使其生成您真正需要的信息既费力,又容易出错。审计信息本身经常含义模糊,并且所含的信息常常是您不需要的,例如属性变化前后的值。使用 Windows 自带的工具从多个域控制器收集、关联并存档信息不太现实。
Windows Server 2008 中的目录服务审计系统解决了一些这样的问题。首先,目录服务审计新增了四个审计子类:DS 访问、DS 更改、DS 复制和详细的 DS 复制。如果您只想审计目录更改,不必费力查看所有读取和复制事件。但是,如果您想在审计日志中包含对象删除,您必须启用 DS 访问。这会生成所有 DS 对象访问的信息,本质上这还是生成了过多的信息并且仍是由您配置安全描述符来为您关心的对象生成所需的信息。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
审计信息已得到了充分整理,所以它们既能读取,又包含您所需的数据。特别是,目录更改生成包含变化属性新旧值的审计日志条目。这是一个巨大的改进。唯一的不足是新旧值显示在不同的审计日志条目中,因此您必须将它们关联起来才能真正理解所做的更改。许多加载项审计日志收集产品(包括 Microsoft 审计收集服务)均支持这类关联。
UI 改进
Active Directory 用户和计算机、站点和服务,以及域和信任 MMC 管理单元对于管理 Active Directory 而言通常足够了。在 Windows Server 2008 中,基本管理工具已得到整理,并引入了一组上乘的新功能。如果您启用高级功能,每个对象的属性对话框会额外显示一个选项卡,名为“属性编辑器”。
ADSIEdit 也使用这个属性编辑器选项卡,您可用它检查并编辑对象的所有属性。该选项卡本身现在可以对已编码的属性(例如 userAccountControl 属性)进行效果更好地解码。
Active Directory教程系列的其他文章请参考
活动目录教程
Active Directory
Active Directory教程1
Active Directory教程2
Active Directory教程3
Active Directory教程4
active directory site design
active directory分支机构分公司子域委派
---gnaw0725