Windows.Server.2008.R2.Active.Directory.配置指南(一)

Windows.Server.2008.R2.Active.Directory.配置指南

何谓Directory呢?我们日常生活中使用的电话簿内记录着亲朋好友的姓名、电话与地址等数据,它就是Telephone Directory(电话目录);计算机中的文件系统(File System)内记录着文件的文件名、大小、与日期等数据,它就是File Directory(文件目录)。

如果这些Directory内的文件能够系统地加以整理的话,用户就能够很容易且迅速地查找到所需文件,而Directory(目录服务)所提供的服务,就是要让用户很容易且迅速地在Directory内查找所需文件

  Active Directory域服务的适用范围非常广泛,它可以用爱一台计算机、一个小型局域网或数个广域网的结合中。

名称空间是一块界定好的区域,在此区域内,可以利用某个名称来找到这个名称相关的信息。在Active Directory域服务(AD DS)内,Active Directory就是一个名称空间,通过它,可以利用对象名称来找到与这个对象相关的所有信息。

  AD DS域内的资源是以对象的形式存在的,例如用户、计算机与打印机都是对象,而对象是通过属性来描述其特征,也就是对象本身的一些属性的集合。

容器与对象相似,它也有自己的名称,也是一些属性的集合,不过容器内可以包含其他对象(例如用户、计算机等对象),也可以包含其他容器,而组织单元则是一个比较特殊的容器,其内除了可以包含其他对象与组织单位之外,还有组策略的给你

  AD DS是以层次架构将对象、容器与组织单元等组合在一起,并将其存储到Active Directory数据库内,AD DS内的对象类型与属性数据定义在架构内。例如定义了用户对象类型内包含了哪一些属性(姓、名、电话号码等)、每一个属性的数据类型等信息。

全局编录让用户即使不知道对象是位于哪一个域内,仍然可以很迅速地寻找到所需对象。用户登录时,全局编录服务器还复制提供该用户随隶属的通用组数据;或是当用户利用UPN登录时,它会负责提供该用户的隶属于哪一个域的信息。一个林内的所有域树共享相同的全局编录。

架构目录分区:它存储着整个林中所有对象与属性的定义数据,也存储如何创建对象与属性的规划。整个林内所有域共享一份相同的架构目录分区,它会被复制到林中所有域内的所有域控制器

配置目录分区:其内存储着整个AD DS的结构,例如有那些域、有那些站点、有那些域控制器等数据。整个林共享一份相同的配置目录分区,它会复制到整个林中的所有域控制器。

域目录分区:每一个域各自拥有一个唯一的域目录分区,其内存储着与该域有关的对象,例如用户、计算机与第一届等对象,此域目录分区只会被复制到该域的所有域控制器,并不会复制到其他域的域控制器

应用程序目录分区:一般来说,应用程序目录分区是由应用程序所创建,漆内存储着与该应用程序相关的数据。例如Windows 2008R2作为DNS服务器时,若所创建的DNS区域为Active Directory集成区域的话,则它便会在Active Directory数据库内创建应用程序目录分区,比便存储该区域的数据。应用春晓目录分区会被复制到林中的特定域控制器,而不是所有的域控制器。

2008R2添加只读域控制器、可重新启动的AD DS和Active Directory回收站

由于RODC的Active Directory数据库是只读的,并不存储用户账号的密码,因此它在验证用户名和密码的,仍需要将他们送到总公司的可写域控制器来验证。远地分公司的应用程序要更改Active Directory数据库的对象或用户要更改密码的话,这些更改要都会被转发到总公司的可写域控制器来出来,总公司的可写域控制器在通过Active Directory数据库的复制程序将这些变动复制到RODC

可以通过密码复制策略来设置可以被RODC缓存的账号,建议不要缓存太多的账号,因为分公司的安全措施比较差,若RODC被入侵的话,则存储在缓存区域的认证信息可能会外泄。

可以通过系统管理员角色隔离给你来讲任何一位域用户指派为RODC的本地系统管理员,此用户可以在RODC这台域控制器登录,然后执行隔离工作,例如更新驱动程序等,单身他却无法登录其他域控制器,也无法执行其他的域管理工作。系统管理员角色隔离给你可以将RODC的管理工作分配给用户,但却不会危害到域安全

只读域名系统:可以在RODC上架设DNS服务器,RODC会复制DNS服务器的所有应用程序目录分区,包含ForestDNSZones与DomainDNSZones,客户端可以向此台扮演RODC角色的DNS服务器提出DNS查询请求。不过RODC上的DNS服务器并不支持客户端直接动态更新,因此当客户端要更新记录时,此DNS服务器会将其转发到其他DNS服务器,让客户端向此DNS服务器更新,而RODC上的DNS服务器会自动从这台DNS服务器来复制这条更新的数据

  Active Directory数据库与日志文件的存储位置可以事后使用能听到ntdsutil命令来更改。但若要更改SYSVOL才、的存储地点的话,建议采用删除域控制器的ADDS,然后再重新安装ADDS时指定新的存储位置

域控制器默认每隔24小时会向DNS服务器注册一次

扩展林架构时需要找到林内的架构主机和每一个域内的结构主机,使用Windows 2008R2DVD中的adprep命令 cd\support\adprep使用adprep/domainprep/gpprep

如果是与组策略相关的设置,则这些设置会先被存储到扮演PDC模拟器操作主机角色的域控制器内,然后再由PDC模拟器操作主机复制给其他的域控制器

  AD DS内置的全局组本身并没有任何权限与权利,但是可以将其加入到具备权利或权限的本地域组,或另外直接指派权利或权限给此全局组。这些内置全局组位于容器User内。

组的使用准则

为了网络管理更为容易,同时也为减少维护的负担,因此在你使用组来管理网络资源是,建议你尽量采用以下的准则,尤其是大型网络:

AGDLP策略;

AGGDLP策略;

AGUDLP策略

AGGUDLP策略

A代表用户账号(user account)、G代表全局组(global group)DL代表本地域组(domain local group)、U代表通用组(Universal group)、P代表权限(permission)

AGDLP策略

例如:若甲域内的用户需要访问乙域内资源的话,则由甲域内的系统管理员负责在甲域内创建全局组、将甲域用户账户加入此组内;而乙域的系统管理员负责在乙域创建本地域组、设置此组的权限,然后将甲域的全局组加入到此组内。之后由甲域的系统管理员负责维护全局组内的成员,而乙域的系统管理员负责维护权限的设置,若此便可以将管理的负担分散。

AGGDLP策略;

图中全局组(G3)包含了两个全局组(G1与G2),他们必须是同一个域内的全局组,因为全局组内只能够包含位于同一个域内的用户账号与全局组

AGUDLP策略

若全局组G1与G2不是与G3在同一域内,则无法采用AGGDLP策略,

因为全局组(G3)内无法包含位于另外一个域内的全局组,此时必须将全局组G3改为通用组。

Windows.Server.2008.R2.Active.Directory.配置指南(一)_第1张图片

我们也可以不遵循以上的侧脸来使用组,不过会有一些缺点存在,例如可以:

直接将用户账号加入本地域组内,然后设置此组的权限,它的缺点是并无法在其他域内设置此本地域组的权限,因为本地域组只能够服务所属域内的资源

直接将用户账号加入到全局组内,然后设置此组的权限,它的缺点是所供网络内包含多个域,每一个域内都有一些全局组需要对此资源具备相同的权限的话,则需要分别为每一个全局组设置权限,这种方法比较浪费时间,会增加网络管理的负担。

组策略的主要功能

用户策略的设置:例如设置用户的密码长度、密码使用期限、账号锁定策略等

本地策略的设置:例如审核策略的设置、用户权限的分配、安全性的设置等

脚本的设置:例如登录与注销、启动与关机脚本的设置

用户工作环境的设置:例如隐藏用户桌面上所有的图标、删除开始菜单中的运行/搜索/关机等功能、在开始菜单中天津注销选项、删除流量器内部分选项、强制通过制度的代理服务器上网等

软件的安装与删除:用户登录或计算机启动时,自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。

限制软件的运行:通过各种不同的软件现在规则累现在域用户只能运行指定的软件

文件夹的重定向:例如改变文件、开始菜单等文件夹的存储位置

限制访问可移动存储设备:例如现在文件写入U盘,以免企业内的机密文件轻易地被带离公司。

其他众多的系统设置:例如让所有的计算机都自动信任指定的CA现在安装设备驱动程序等

可以在AD DS中针对站点、域与组织单元来设置组策略

组策略内包含着计算机配置与用户配置两部分

计算机配置:当计算机开机时,系统会根据计算机配置的属性来设置计算机的环境。例如来说,如果你针对域cisco.com设置了组策略,则此组策略内的计算机配置就会被应用到这个域内的所有计算机

用户配置:当用户登录时,系统会根据用户配置的属性来配置用户的工作环境。举例来说,若你针对组织单元业务部配置了组策略,则此组策略内的用户配置就会被应用到这个组织单元内的所有用户

组策略对象(group policy object, GPO)的内容被分为GPC与GPT两部分,他们分别存储到不同的位置

GPC是存储在Active Directory数据库内,它记录着次GPO的属性与版本等数据。域成员计算机可以通过属性来获取GPT的存储地点,而域控制器可以使用版本来判断其所拥有的GPO是否为最新的版本,以便作为是否需要从其他与域控制器复制最新GPO的依据。

GPT是用来存储GPO设置值与相关文件的,它是一个文件夹,而且是被创建在域控制器的%systemroot%\sysvol\sysvol\域名\policies文件夹内。系统是使用GPO的GUID来作为GPT的文件夹名称,

计算机配置的应用时限

域内的成员计算机会在以下的场合应用GPO的计算机配置值:

  1. 计算机开机时会自动应用

  2. 若计算机已经开机的话,则系统会每隔一段时间自动应用

域控制器:默认是每隔5分钟自动应用一次

非域控制器:默认是每隔90-120分钟自动应用一次

不论策略设置值是否有变动,系统仍然会每隔16个小时自动应用一次安全性配置策略

手动应用:到域成员计算机上打开命令提示符窗口运行gpupdate/force命令

运行gpupdate/force命令时会同时应用计算机与用户配置,部分的策略设置必须在计算机重启或用户登录时才有作用,例如软件安装策略与文件夹重定向策略

系统处理GPO的顺序是:站点的GPO最先处理、域的GPO次之、组织单位的GPO最后处理,因此会以组织单位的GPO设置优先。

系统是先处理计算机配置,再处理用户配置,若组策略内的计算机配置与用户配置有拆塔时,虽然最后处理用户配置,单身在大部分的情况下确实以计算机配置优先,若你将多个GPO链接到同一处,则所有这些GPO的设置会被累积起来作为最后的有效设置值,但是若这些GPO的设置相互冲突时,则是以链接顺序在前面的GPO设置优先

本地计算机策略的优先权最低,也就是说若本地计算机策略内的设置值与站点、域或组织单位的设置相冲突时,则一站点、域或组织单位的设置优先,本地计算机策略的设置无效

软件部署:可以通过组策略来将软件部署给域内的计算机,也就是用户登录或计算机启动时会自动安装或很容易安装所部署的软件,而软件部署为分配和发布两种。一般来说,这些软件需为windows installer package,也就是这些软件内包含着扩展名为.msi的安装文件,例如Office2007就是Windows installer package。客户端计算机是使用windows installer service来安装windows installer package。也可以部署扩展名为.zap或msp的软件,或是将其他类型的软件封装成为.mis的windows installer package

将软件分配给用户:当你将一个软件碳哥组策略分配给域用户后,用户在域内的任何一台计算机登录时,这个软件都会被通告给该用户,但是此软件并没有完全按照,而只是安装了与这个软件相关的部分信息而已,例如可能会在开始―所有程序中自动创建该软件的快捷方式。用户的计算机会在一下两种情况之下来安装此软件

用户开始运行此软件:例如用户通过快捷方式后,就好自动安装此软件

使用文件启动功能:举例来说,假死这个被通告的程序为office excel 2003,则用户登录时,他的计算机会自动将扩展名为.XLS的文件和Excel2003关联在一起,此时只有用户在windows资源管理器内双击任何一个扩展名为.XLS的文件,系统就会自动安装Excel 2003,这就是所谓的文件启动功能

将软件分配给计算机:当你将一个软件通过组策略分配给域成员计算机后,这些计算机启动时就会自动安装这个软件,而且任何用户登录都可以使用此软件

将软件发布给用户:当你将一个软件碳哥组策略发布给域用户后,此软件并不会自动被安装到用户的计算机内,而是由用户咨询使用以下两种方式来安装此软件

通过控制面板来安装:选择开始―控制面板―单击程序外的获取程序

使用文件启动功能:举例来说,假设这个被发布的软件为Excel 2003,则在AD DS内会自动将扩展名为.XLS的文件和Excel关联在一起,然而用户登录时,他的计算机并不会将扩展名为.XLS的文件和excel 2003关联在一起,也就是对此计算机来说扩展名为.XLS的文件是一个未知的文件类型,不过只有用户在windows资源管理器双击任何一个扩展名为.XLS的文件,他的计算机就会通过AD DS得知扩展名为.XLS的文件是与Excel 2003关联在一起的,因此会自动安装Excel 2003。

你无法将软件发布给计算机,只能够分配给计算机。如果用户计算机内已经安装其他版本office,例如office 2007则此时.XLS的文件应该已经与Excel 2007关联在一起,因此对计算机来说,扩展名为.XLS的文件并不是未知的文件类型。故用户在windows资源管理器内双击扩展名为.XLS的文件时,系统会执office 2007来打开此文件,而不会碳哥AD DS来自动安装office 2003

自动修复软件:被发布或分配的windows installer package可以具备自动修复的给你,也就是客户端在安装完成软件时,其系统会自动检查到此不正常现象,并重新安装这些文件

删除软件:一个被发布或分配的软件在用户将其安装完成后,若你之后不想再让用户来使用此软件的话,可在组策略内从发布或分配的软件列表中将此软件删除,并设置下次用户登录或计算机启动时,自动将这个软件从用户的计算机删除。


字数有限,后续资料请看下一篇文章

Windows.Server.2008.R2.Active.Directory.配置指南(二)

你可能感兴趣的:(计算机,记录,姓名,电话簿,日常生活)