域控制器上可以装还原软件吗?

声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com。

       我的域控制器,NTDS 和SYSVOL两个目录都放在D盘,为了避免病毒入侵(最近威金、熊猫太厉害了),想在域控制器上装还原软件,将C盘保护起来。不知道这样做可以不可以?会不会导致活动目录数据丢失?
回答:还是那个话,就是安全是一个整体性的架构,一是安装最新的补丁,二是安装合适的防病毒软件并更新最新的病毒库,三是严格定义管理员的操作。
安装最新的补丁还是需要提一下的,因为在我做方案的时候,遇到有些管理员认为某些重要补丁对于dc来说是不用安装的,安装了反而会带来漏洞,比如Internet Explorer service pack 1。但这么做恰恰是错误的,现在有相当多的服务器管理软件都会涉及到web service,如果不安装ie的补丁,一方面可能导致功能缺陷,另一方面就可能带来病毒或恶意软件的攻击。
        安装合适的防病毒软件,针对不同的服务安装不同的防病毒软件,ad是基于文件服务的,所以所使用的软件,是要针对高频率文件操作而设计的。如果ad中的用户比较少,这个问题还不会有什么影响,如果比较多,比如上万的时候,并不是为高频率文件操作而设计的防病毒软件,就可能严重的影响ad的效能,设置导致死机。
最后一点是最关键的,很多的dc上出现病毒的问题,最常见的情况就是管理员将dc直接放置于internet,或者在dc上直接连接到internet,或者在dc上执行非授权的软件等等。这些都可能导致病毒的入侵,而dc作为ad架构的核心地带(在某些情况下就相当于fileserver),它一旦被攻击,就可能影响到所有的客户端,所以dc的安全是非常重要的。
关于您提到的“NTDS 和SYSVOL两个目录都放在D盘”,这样作其实并不能起到预防病毒的作用。微软曾经在如何调整dc性能的文章上,也提到这点。但这样做的目的是基于避免磁盘读写冲突的问题,也就是说,如果将ntds和sysvol放置在系统盘上,由于系统盘也需要较多的文件读写,这样就可能导致ad的运行效能。
但这样做,曾经在win2k and win2k3的ad上造成过兼容性的问题,当ntds 以及 sysvol位于非系统盘位置时,如果安装 service pack进行升级,ad服务及数据库可能会无法启动。
那么如果您需要将ntds转移到其他盘,那么最安全的做法就是,确保您将服务器提升为dc之前,已经安装了最新的service pack。
关于您提到的“在域控制器上装还原软件”,无论对于dc还是client都是不可取的。先不必说ad时刻都处于不断的变化过程中,dc之间需要不断同步,client与dc之间需要不断同步,一个硬件或者软件的强行还原,都有可能让被实施对象从ad中脱离,脱离后,可能需要的修复动作就是重新安装操作系统,这个结果对于client来说还不严重,但对于dc来说,就意味着,您需要手动清理ad中残留的dc数据,而这个过程是需要对ad的运作机制有一定了解的。
关于如何进行dc乃至整个ad架构的安全性防御的最佳实践,请参考
http://www.microsoft.com/china/TechNet/security/Safeguidebook/book01.asp
http://www.microsoft.com/downloads/thankyou.aspx?familyId=4e734065-3f18-488a-be1e-f03390ec5f91&displayLang=en

你可能感兴趣的:(职场,休闲,域控制器,还原软件)