第3章 Active Directory和组策略.ppt

1 第3章ActiveDirectory和组策略 规划基础结构服务服务器角色规划和实现组策略方案 本章课程设置 第1课WindowsServer2008ActiveDirectory第2课WindowsServer2008组策略 2 第1课windowsServer2008AD 学习目标 列举和描述WindowsServer2008ActiveDirectory域服务 ADDS 的新特征和功能规划和配置域功能级别规划林功能级别规划林信任使用目录服务器 3 3 1 1介绍WindowsServer2008目录服务器角色 目录服务器角色ADDS引入的新功能 只读域控制器RODC新的和增强的工具和向导 ADDS安装向导细化的安全策略 多元密码策略可重启的ADDS 允许离线操作ADDS数据挖掘工具 可查看快照数据 4 3 1 1介绍WindowsServer2008目录服务器角色 1 只读域控制器RODCRODC是具有ActiveDirectory文件库只读版本的域控制器 可部署于域控制器安全性无法确保的环境中 包括域控制器的物理安全性有疑虑的分支机构 或者具有额外角色功能并需要其他用户登入与管理服务器的域控制器 可以把RODC管理委派给一个域用户或安全组 从而在本地管理员不是DomainAdmins组成员的地方使用RODC 5 3 1 1介绍WindowsServer2008目录服务器角色 使用案例 远程分公司的用户 一般通过广域网WAN连接到总公司的DC进行身份验证 缺点 延迟或不能登录 怎么解决 可写的DC 存放一个可写的DC和一个管理员 浪费太大 存放一个可写的DC 让管理员远程管理 带宽低 费时又棘手 存放一个可写的DC不如WAN安全 RODC解决方案 RODC提供了增强的安全性 使登录更快速 并且允许更有效地访问本地资源 RODC管理可以委派给一个没有管理权限的用户或组 6 1 只读域控制器RODC如果分公司使用的LOB line of business 业务应用程序只有安装到一个域控制器上才能运行 也要选择部署RODC RODC从一个可写DC接收它的配置 敏感的安全信息不被复制到RODC 用户在分公司第一次登录时通过WAN进行身份确认 然后RODC可以把凭证缓存 以后就可以在本地验证 因此 在用户相对较少 物理安全性差 网络带宽较低 IT知识贫乏的环境下 可以采用RODC 提供了只读ADDS数据库 单向复制 凭证缓存 管理员角色分离 只读DNS 不支持客户更新 等功能 3 1 1介绍WindowsServer2008目录服务器角色 7 3 1 1介绍WindowsServer2008目录服务器角色 2 规划RODC实现条件 远程启动Server2008升级或有一个2008的ADDS域 即可计划实现RODC RODC安装的两个阶段 第一阶段 为该域中的RODC创建计算机账户时 可以为特定的RODC规定密码复制策略 在RODC上安装DNS实现一个辅助的DNS服务器 可以复制该DNS使用的所有应用程序目录分区 客户更新数据 可以请求单一更新DNS 第二阶段 安装 8 3 1 1介绍WindowsServer2008目录服务器角色 3 利用安装向导增强功能WindowsServer2008增加了ADDS安装向导 以简化ADDS安装 并引入了RODC安装等新特征 单击 添加角色 输入命令dcpromo高级模式安装使你能够更好地控制安装过程 9 3 1 1介绍WindowsServer2008目录服务器角色 4 委派RODC安装在总公司DC中 可以委派合适的权限给一个用户或组 分支办公室的用户接受了委派权限后 就可以执行RODC的安装 并可以管理RODC 但不需要域管理员权限 过程 首先创建RODC账户 安装过程中就可以关联 委派 10 3 1 1介绍WindowsServer2008目录服务器角色 5 利用MMC管理单元增强功能WindowsServer2008增强了MMC管理单元工具 如AD用户和计算机 的功能 查找命令 该命令允许查找放置DC的站点 可以帮助解决复制问题 提供配置 密码复制策略 选项卡 用于配置RODC的设置 单击 高级 按钮 可以查看哪些密码已被发送或存储到RODC中 也就知道谁在使用RODC 11 3 1 1介绍WindowsServer2008目录服务器角色 6 规划多元密码和帐户锁定策略以前的ActiveDirectory实现中 只能对域中的所有用户应用一个密码和帐户锁定策略 WindowsServer2008允许规定多元密码策略 可以规定多个密码策略 并对单个域中的不同用户组应用不同的密码限制和账户锁定策略 密码设置容器 PSC 密码设置对象 PSO 通常 规划的策略可以包含至少3个但不能多于10个PSO 不能直接将PSO应用于组织单元OU 而考虑为这些OU创建影子组 全局安全组 然后应用PSO 12 3 1 1介绍WindowsServer2008目录服务器角色 6 规划多元密码和帐户锁定策略将PSO应用于组而不是OU 可以不用修改OU层次结构 组为管理各用户集提供了更好的灵活性 使用多元密码 需要具有2008域功能级别 只有域管理组的成员才可以创建PSO 以及将一个PSO应用于某个组或用户 多元密码策略只能应用于用户对象和全局安全组 不能应用于计算机对象 多元密码策略不能干预自定义的密码筛选器 PSO分配给一个全局组后 可以把一个特殊的PSO直接应用于特定的用户 可以计划委派多元密码管理 13 3 1 1介绍WindowsServer2008目录服务器角色 7 规划数据挖掘工具的使用目的 为了方便恢复被删除的ADDS对象 数据挖掘工具Dsamain exe使被删除的数据能够以卷影复制服务VSS备份的ADDS快照方式进行保留 可以利用轻型目录访问协议工具 如ldp exe查看这些快照中的只读数据 规划被删除数据的还原策略 决定如何最好地保留删除的数据 使它能够被还原 从而在需要的时候还原该数据 决定数据丢失后或者破坏时应还原哪个快照 确定了需要恢复的对象或OU 可以在快照中标识并记录它们的属性和返回链接 考虑快照的安全问题 制订恢复计划 14 3 1 1介绍WindowsServer2008目录服务器角色 8 规划ADDS审核在WindowsServer2008中 全局审核策略 审核目录服务访问 默认启动 该策略控制启用还是禁用目录服务事件的审核 审核 记录事件写入 安全性 事件日志以及如何响应事件 DS访问DS改变DS复制审核DS复制被进一步细分 提供两个审核级别的选择 正常和详细 如何响应事件 将任务附加到该事件 15 3 1 2规划域和林功能 将域和林升级到WindowsServer2008时 总会提升域和林的功能级别 提升功能级别非常容易 但是不可能降低它们 除了卸载重装 要规划需要为域设置什么功能级别以及什么时候提升功能 需要知道每个功能级别支持什么DC以及提升功能级别提供哪些附加功能 还需要知道域和林功能级别之间的关系 域功能级别考虑因素林功能级别考虑因素 16 3 1 3规划林级信任 林信任 即林级信任 允许一个林中的每个域信任另一个林中的每个域 可以是单向传入信任 单向传出信任或双向信任 应用 伙伴公司或密切联系的组织之间可以使用林信任 林信任可能构成并购或者接管战略的组成部分 对AD隔离也可以使用林信任 17 1 规划信任类型和信任方向类型 林信任 最常见的跨林运作的信任类型 快捷方式信任外部信任 林中的一个域需要与一个不属于林的域建立信任关系 则建立一个域信任 领域信任 Unix领域和Windows域之间 通过Kerberos身份验证 建立信任 信任方向 单向 传入 传出 双向 3 1 3规划林级信任 18 3 1 3规划林级信任 2 创建林信任在创建前 需要确保两个林的林功能级别是WindowsServer2003或WindowsServer2008 下一步是确保每个林的根域可以访问其他林的根域 从 管理工具 中打开 ActiveDirectory域和信任关系 启动 新建信任向导 19 本课小结 WindowsServer2008引入许多新的ADDS功能 包括RODC 多元安全策略和数据挖掘工具等 在分支办公室中 如果可写入的DC可能成为一种安全威胁 则可以安装RODC来改进登录和DNS解析 可以配置PSO以存储不同于域策略的密码和账户锁定策略 可以将用户和安全组与一个PSO关联 数据挖掘工具使被删除的ADDS或ADLDS数据能够以VSS获得的ADDS快照方式保留下来 WindowsServer2008增强了MMC管理单元工具的功能 增强了ADDS审核功能 允许判定ADDS发生了什么改变以及这些改变是何时发生的 林级信任允许一个林中的某个域的用户访问另一个林中的某个域中的资源 20 第2课WindowsServer2008组策略 组策略通过自动完成很多与用户和计算机管理相关的任务来简化管理 可以使用组策略在客户端按需安装允许的应用程序 并使应用程序保持更新 在WindowsServer2008中 组策略管理控制台 GPMC 是内置的 通过 添加功能向导 可以安装GPMC 管理模板 ADM 文件用来描述基于注册表的组策略设置 在WindowsServer2008中ADM文件被替换为XML格式的ADMX文件 使管理更加容易 21 第2课WindowsServer2008组策略 学习目标 了解组策略 安装GPMC列举WindowsServer2008引入的新的组策略设置和说明它们的功能编写简单的ADMX文件讨论配置组策略时可能发生的各种问题以及如何解决它们 22 3 2 1了解组策略 组策略对象 GPO 中包含的组策略设置可以链接到OU 而OU既可以从父OU继承设置 也可以阻断继承 并从它们自己链接的GPO获得特定的设置 策略 特别是安全策略 可以设置为 不覆盖 使它们不能被阻断或覆盖 并强制子OU从父OU继承设置 23 WindowsServer2008引入了下列组策略设置 允许远程启动未列出的程序允许时间区域重定向在连接时始终显示桌面磁盘诊断 配置自定义警告文本 配置执行级别不允许剪贴板重定向登录时不自动显示初始配置任务窗口登录时不显示服务器管理器页面实施远程桌面墙纸的删除组策略管理编辑器 3 2 1了解组策略 24 3 2 2规划和管理组策略 规划组策略的部分工作是规划组织结构 保持结构简单 不要跨站点边界链接OU和GPO 赋予OU和GPO有意义的名称 充分了解组策略在客户端是如何处理的 处理分如下两个阶段 核心处理 核心组策略引擎在初始阶段处理 连接DC 是否有GPO被修改 以及哪些策略设置必须处理 客户端扩展 CSE 处理 从DC下来的组策略设置被放到了不同的分类 每个分类的设置都有一个特定的CSE处理 核心组策略引擎调用所需的CSE来处理客户端应用的设置 25 3 2 2规划和管理组策略 1 使用ADMX文件管理组策略ADMX是用来定义注册表的策略设置 使用基于XML的文件格式 ADMX文件分为语言中立资源 admx文件 和语言特定的资源 adml文件 2 ADMX位置ADMX文件可以存储在一个中心位置 这就大大减少了维护GPO所需的存储空间 中心存储位置不是默认可用的 而是需要人工创建它 26 3 2 2规划和管理组策略 3 创建自定义的ADMX文件如果WindowsSerer2008所带的标准组策略设置不能满足要求 可以考虑创建自定义的ADMX文件 ADMX修改注册表 所以要在隔离的试验网络上对自定义的ADMX文件进行测试 不能把它们直接安装到生产网络上 使用XML编辑器或文本编辑器可以创建和编辑ADMX文件 XML文件是区分大小写的 27 3 2 3组策略疑难解答 组策略是健壮的 几乎不会break 由于策略继承和OU结构设计得不正确 组策略会不起作用 调试组策略的第一步 通常是检查正确地规划和实现了域基础结构 确保所需的服务和组件都如期望的那样运行和配置 如果某一个有问题 首先验证是否被连入网络 加入了域 具有正确的系统时间 其次检查你配置的安全筛选等设置有没有影响正常的GPO处理 28 3 2 3组策略疑难解答 1 使用组策略工具GPResult exe 验证对某个特定用户或计算机起作用的所有策略设置 GPOTool exe 一个资源工具包 检查域的每个DC上的GPO一致性 以及确定这些策略是否有效 显示有关复制的GPO的详细信息 2 解决核心处理问题如果核心处理没有快速有效地发生 CSE处理可能无法开始 组策略得不到应用 29 本课小结 GPMC与WindowsServer2008紧密集成 使用服务器