第3章ActiveDirectory和组策略

1第3章ActiveDirectory和组策略规划基础结构服务服务器角色规划和实现组策略方案本章课程设置：•第1课WindowsServer2008ActiveDirectory•第2课WindowsServer2008组策略2第1课windowsServer2008AD学习目标：列举和描述WindowsServer2008ActiveDirectory域服务（ADDS）的新特征和功能规划和配置域功能级别规划林功能级别规划林信任使用目录服务器33.1.1介绍WindowsServer2008目录服务器角色目录服务器角色ADDS引入的新功能：只读域控制器RODC新的和增强的工具和向导：ADDS安装向导细化的安全策略：多元密码策略可重启的ADDS：允许离线操作ADDS数据挖掘工具：可查看快照数据43.1.1介绍WindowsServer2008目录服务器角色1．只读域控制器RODCRODC是具有ActiveDirectory文件库只读版本的域控制器，可部署于域控制器安全性无法确保的环境中。包括域控制器的物理安全性有疑虑的分支机构，或者具有额外角色功能并需要其他用户登入与管理服务器的域控制器。可以把RODC管理委派给一个域用户或安全组，从而在本地管理员不是DomainAdmins组成员的地方使用RODC。53.1.1介绍WindowsServer2008目录服务器角色使用案例：远程分公司的用户，一般通过广域网WAN连接到总公司的DC进行身份验证。缺点：延迟或不能登录。怎么解决？可写的DC?存放一个可写的DC和一个管理员，浪费太大。存放一个可写的DC，让管理员远程管理，带宽低，费时又棘手。存放一个可写的DC不如WAN安全。RODC解决方案：RODC提供了增强的安全性；使登录更快速，并且允许更有效地访问本地资源；RODC管理可以委派给一个没有管理权限的用户或组。61．只读域控制器RODC如果分公司使用的LOB（line-of-business）业务应用程序只有安装到一个域控制器上才能运行，也要选择部署RODC。RODC从一个可写DC接收它的配置。敏感的安全信息不被复制到RODC。用户在分公司第一次登录时通过WAN进行身份确认，然后RODC可以把凭证缓存，以后就可以在本地验证。因此，在用户相对较少，物理安全性差，网络带宽较低，IT知识贫乏的环境下，可以采用RODC。提供了只读ADDS数据库、单向复制、凭证缓存、管理员角色分离、只读DNS（不支持客户更新）等功能。3.1.1介绍WindowsServer2008目录服务器角色73.1.1介绍WindowsServer2008目录服务器角色2．规划RODC实现条件：远程启动Server2008升级或有一个2008的ADDS域，即可计划实现RODC。RODC安装的两个阶段：第一阶段：为该域中的RODC创建计算机账户时，可以为特定的RODC规定密码复制策略。在RODC上安装DNS实现一个辅助的DNS服务器，可以复制该DNS使用的所有应用程序目录分区。客户更新数据，可以请求单一更新DNS。第二阶段：安装83.1.1介绍WindowsServer2008目录服务器角色3．利用安装向导增强功能WindowsServer2008增加了ADDS安装向导，以简化ADDS安装，并引入了RODC安装等新特征。单击“添加角色”输入命令dcpromo高级模式安装使你能够更好地控制安装过程。93.1.1介绍WindowsServer2008目录服务器角色4．委派RODC安装在总公司DC中，可以委派合适的权限给一个用户或组。分支办公室的用户接受了委派权限后，就可以执行RODC的安装，并可以管理RODC，但不需要域管理员权限。过程：首先创建RODC账户；安装过程中就可以关联/委派。103.1.1介绍WindowsServer2008目录服务器角色5．利用MMC管理单元增强功能WindowsServer2008增强了MMC管理单元工具（如AD用户和计算机）的功能。查找命令：该命令允许查找放置DC的站点。可以帮助解决复制问题。提供配置“密码复制策略”选项卡，用于配置RODC的设置。单击“高级”按钮，可以查看哪些密码已被发送或存储到RODC中，也就知道谁在使用RODC。113.1.1介绍WindowsServer2008目录服务器角色6．规划多元密码和帐户锁定策略以前的ActiveDirectory实现中，只能对域中的所有用户应用一个密码和帐户锁定策略。WindowsServer2008允许规定多元密码策略。可以规定多个密码策略，并对单个域中的不同用户组应用不同的密码限制和账户锁定策略。密码设置容器（PSC）密码设置对象（PSO）通常，规划的策略可以包含至少3个但不能多于10个PSO。不能直接将PSO应用于组织单元OU。而考虑为这些OU创建影子组（全局安全组），然后应用PSO。123.1.1介绍WindowsServer2008目录服务器角色6．规划多元密码和帐户锁定策略将PSO应用于组而不是OU，可以不用修改OU层次结构，组为管理各用户集提供了更好的灵活性。使用多元密码，需要具有2008域功能级别。只有域管理组的成员才可以创建PSO，以及将一个PSO应用于某个组或用户。多元密码策略只能应用于用户对象和全局安全组，不能应用于计算机对象。多元密码策略不能干预自定义的密码筛选器。PSO分配给一个全局组后，可以把一个特殊的PSO直接应用于特定的用户。可以计划委派多元密码管理。133.1.1介绍WindowsServer2008目录服务器角色7．规划数据挖掘工具的使用目的：为了方便恢复被删除的ADDS对象。数据挖掘工具Dsamain.exe使被删除的数据能够以卷影复制服务VSS备份的ADDS快照方式进行保留。可以利用轻型目录访问协议工具，如ldp.exe查看这些快照中的只读数据。规划被删除数据的还原策略：决定如何最好地保留删除的数据，使它能够被还原，从而在需要的时候还原该数据。决定数据丢失后或者破坏时应还原哪个快照。确定了需要恢复的对象或OU，可以在快照中标识并记录它们的属性和返回链接。考虑快照的安全问题，制订恢复计划。143.1.1介绍WindowsServer2008目录服务器角色8．规划ADDS审核在WindowsServer2008中，全局审核策略“审核目录服务访问”默认启动。该策略控制启用还是禁用目录服务事件的审核。审核：记录事件写入“安全性”事件日志以及如何响应事件。DS访问DS改变DS复制审核DS复制被进一步细分，提供两个审核级别的选择：正常和详细。如何响应事件：“将任务附加到该事件”。153.1.2规划域和林功能将域和林升级到WindowsServer2008时，总会提升域和林的功能级别。提升功能级别非常容易，但是不可能降低它们，除了卸载重装。要规划需要为域设置什么功能级别以及什么时候提升功能，需要知道每个功能级别支持什么DC以及提升功能级别提供哪些附加功能，还需要知道域和林功能级别之间的关系。域功能级别考虑因素林功能级别考虑因素163.1.3规划林级信任林信任（即林级信任）允许一个林中的每个域信任另一个林中的每个域。可以是单向传入信任、单向传出信任或双向信任。应用：伙伴公司或密切联系的组织之间可以使用林信任。林信任可能构成并购或者接管战略的组成部分。对AD隔离也可以使用林信任。171．规划信任类型和信任方向类型：林信任：最常见的跨林运作的信任类型。快捷方式信任外部信任：林中的一个域需要与一个不属于林的域建立信任关系，则建立一个域信任。领域信任：Unix领域和Windows域之间，通过Kerberos身份验证，建立信任。信任方向：单向（传入、传出）、双向3.1.3规划林级信任183.1.3规划林级信任2．创建林信任在创建前，需要确保两个林的林功能级别是WindowsServer2003或WindowsServer2008。下一步是确保每个林的根域可以访问其他林的根域。从“管理工具”中打开“ActiveDirectory域和信任关系”。启动“新建信任向导”。19本课小结WindowsServer2008引入许多新的ADDS功能，包括RODC、多元安全策略和数据挖掘工具等。在分支办公室中，如果可写入的DC可能成为一种安全威胁，则可以安装RODC来改进登录和DNS解析。可以配置PSO以存储不同于域策略的密码和账户锁定策略，可以将用户和安全组与一个PSO关联。数据挖掘工具使被删除的ADDS或ADLDS数据能够以VSS获得的ADDS快照方式保留下来。WindowsServer2008增强了MMC管理单元工具的功能。增强了ADDS审核功能，允许判定ADDS发生了什么改变以及这些改变是何时发生的。林级信任允许一个林中的某个域的用户访问另一个林中的某个域中的资源。20第2课WindowsServer2008组策略组策略通过自动完成很多与用户和计算机管理相关的任务来简化管理。可以使用组策略在客户端按需安装允许的应用程序，并使应用程序保持更新。在WindowsServer2008中，组策略管理控制台（GPMC）是内置的。通过“添加功能向导”可以安装GPMC。管理模板（ADM）文件用来描述基于注册表的组策略设置。在WindowsServer2008中ADM文件被替换为XML格式的ADMX文件，使管理更加容易。21第2课WindowsServer2008组策略学习目标：了解组策略，安装GPMC列举WindowsServer2008引入的新的组策略设置和说明它们的功能编写简单的ADMX文件讨论配置组策略时可能发生的各种问题以及如何解决它们223.2.1了解组策略组策略对象（GPO）中包含的组策略设置可以链接到OU，而OU既可以从父OU继承设置，也可以阻断继承，并从它们自己链接的GPO获得特定的设置。策略（特别是安全策略）可以设置为“不覆盖”，使它们不能被阻断或覆盖，并强制子OU从父OU继承设置。23WindowsServer2008引入了下列组策略设置：允许远程启动未列出的程序允许时间区域重定向在连接时始终显示桌面磁盘诊断：配置自定义警告文本、配置执行级别不允许剪贴板重定向登录时不自动显示初始配置任务窗口登录时不显示服务器管理器页面实施远程桌面墙纸的删除组策略管理编辑器……3.2.1了解组策略243.2.2规划和管理组策略规划组策略的部分工作是规划组织结构。保持结构简单，不要跨站点边界链接OU和GPO，赋予OU和GPO有意义的名称。充分了解组策略在客户端是如何处理的。处理分如下两个阶段：核心处理：核心组策略引擎在初始阶段处理。连接DC，是否有GPO被修改，以及哪些策略设置必须处理。客户端扩展（CSE）处理：从DC下来的组策略设置被放到了不同的分类，每个分类的设置都有一个特定的CSE处理。核心组策略引擎调用所需的CSE来处理客户端应用的设置。253.2.2规划和管理组策略1．使用ADMX文件管理组策略ADMX是用来定义注册表的策略设置。使用基于XML的文件格式。ADMX文件分为语言中立资源（.admx文件）和语言特定的资源（.adml文件）。2．ADMX位置ADMX文件可以存储在一个中心位置。这就大大减少了维护GPO所需的存储空间。中心存储位置不是默认可用的，而是需要人工创建它。263.2.2规划和管理组策略3．创建自定义的ADMX文件如果WindowsSerer2008所带的标准组策略设置不能满足要求，可以考虑创建自定义的ADMX文件。ADMX修改注册表。所以要在隔离的试验网络上对自定义的ADMX文件进行测试，不能把它们直接安装到生产网络上。使用XML编辑器或文本编辑器可以创建和编辑ADMX文件。XML文件是区分大小写的。273.2.3组策略疑难解答组策略是