Windows-Server下加强系统安全性系列之方案【九】

为企业部署 RODC
Xiaotang 公司的网络是一个 Windows 2008 的域环境,域名是 benet.com ,在这种复杂的域环境中,有时需要安装多台域控制器,管理员可以在任意一台域控制器上修改 Active Directory 的内容,这样无形中会增加管理的负担和安全隐患。为了减轻管理的负担和安全隐患,可以在域环境当中安装 RODC (只读域控制器)。它的作用和附加域控制器的作用一样,不同的是 RODC 中加载的是只读的 Active Directory 数据库,无论普通用户还是管理员都不能修改活动目录的内容。最近公司新成立了一个部门,并为该部门组建了一个单独的局域网,公司打算在不增加管理负担的基础上,专门为该部门安装一台域控制器,以提高该部门用户登录到域控制器的速度,但是不允许该部门的人修改域控制器的配置。
1.   部署 RODC 服务器
(1)    Aaministrator 身份登录到现有的域控制器上。
(2)    打开“ Active Directory 域和信任关系”,右击“ Active Directory 域和信任关系”,选择“提升林功能级别”将林的功能级别提升到 Windows 2003 Windows 2008 的版本。(注:如果新建的林中只运行 Windows 2008 域控制器,则不必执行此步骤)。
(3)    先将 Windows 2008 的安装光盘放入光驱。进入光盘的 \sources\adprep 目录,执行“ adprep/rodcprep ”命令。
Windows-Server下加强系统安全性系列之方案【九】_第1张图片
2.   安装 RODC 服务器
(1)    将要安装的 RODC 的计算机加入benet.com 的域。
(2)    RODC 的计算机中安装“ Active Directory 域服务”。
(3)    运行“ dcpromo ”命令,在弹出的对话框中选择“使用高级模式安装”,单击“下一步”按钮。
(4)    单击“下一步”按钮,选择“现有林”和“向现有域添加域控制器”,单击“下一步”按钮。
(5)    请输入域名并指定网络凭据,单击“下一步”按钮。
(6)    先选择要加入的域,单击“下一步”按钮。
(7)    选择想要添加的站点,再单击“下一步”按钮。
(8)    选择“只读域控制器”,单击“下一步”按钮。
(9)    接受默认的密码复制策略,单击“下一步”按钮。
10 )指定用于安装和管理 RDOC 的用户或组,选择该用户或组将成为 RODC 计算机的本地管理员,它是可以管理 RODC 的,但在域中只是一个普通的用户。
11 )选择“通过网络从现有域控制器复制数据”,单击“下一步”按钮。
12 )选择源域控制器,单击“下一步”按钮。
13 )指定数据库、日志文件和 SYSVOL 的位置,单击“下一步”按钮。
14 )设置目录服务器还原模式的密码,在单击“下一步”按钮。
15 )在“摘要”页直接单击“下一步”按钮。
16 )安装向导开始安装 RODC ,选择安装完成后自动重新启动计算机。
3. 验证安装的结果。
1 )安装完成之后以域管理员 Administrator 的身份登录到域控制器。
2 )打开“ Active Directory 用户和计算机”,展开“ Domain controllers ”容器,可以看到 RODC 的计算机。
3 )单击域名benet.com , 选择“更改域控制器”选项,选中刚刚安装好的 RODC 的计算机,单击“确定”按钮开始连接到 RODC
4 )打开“ Active Directory 用户和计算机”,在任意空白处右击,可以看到在 RODC 上不能修改活动目录配置(肯定是没有“新建”选项的)。
5 )注销域管理员的用户账户,再以“ rodc_domain ”的域用户账户登录到域控制器上,可以方便、快捷去管理企业的 RODC
 

你可能感兴趣的:(windows,职场,休闲,Server系统不安全,怎么办才好???)