




免费预览已结束,剩余15页可下载查看
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第6章 Windows域管理很多人对域名、活动目录、DHCP、DNS等术语可能还停留在概念性的阶段,于实际操作却有些陌生,本章有助于改善这一点。本章主要内容包括:n 介绍域、活动目录等基础概念;n 活动目录部署和配置;n DHCP部署和配置;n 组策略涉及以下一些方面:n 普通Server 2003和域控制器之间的升降级n DHCP和DNS的配置使用n 添加或删除域用户n 计算机加入域n SAM数据库和Syskeyn 组策略应用:对组策略进行编辑、设置,掌握强化系统的安全性的方法。实验1 域管理基础域是(Domain)Windows网络管理的一个基本单位。域管理涉及域、活动目录(AD)和SAM数据库等概念。1. 域和工作组首先我们介绍一下工作组(Work Group)的概念。域和工作组都是局域网环境下的两种不同的网络资源管理模式。工作组的概念想必大家都很熟悉。它是我们默认安装完系统以后的最初、也是最常用的一种工作模式。工作组将局域网中的电脑按功能分组,以便查找和浏览共享资源。同一个工作组内部或不同工作组成员之间可以通过“网上邻居”实现资源共享。从“网上邻居”最先看到的是本机所在的工作组的机器。“工作组”是一个“对等”网结构,就像一个自由加入和退出的俱乐部一样,可以随时自由出入毫无限制,它本身的作用仅仅是提供一个“房间”,以方便查找。在这种模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,没有server或client的概念。共享文件即使加有访问密码,也非常容易被破解。以工作组组成的局域网中,每一台电脑实现“个人自治”,一切设置在本机上进行,包括各种策略,用户登录也是在本机进行的,密码也是放在本机的数据库来验证的。显然,工作组模式在安全性上存在很大问题。域的提出,放弃了可以随便出出进进的工作组模式,而采用了“中央集权”式的严格控制。我们可以说,域既是Windows网络系统的逻辑组织单元,也是Internet的逻辑组织单元。在Windows网络系统中,“域是安全边界”。以域方式组成的网络,里面必须至少有一台服务器作为管理机,即“域控制器(Domain Controller,DC)”,同一个域中的计算机彼此之间已经建立了信任关系。而在一个独立的工作站上,域就是计算机自身。我们可以把域和工作组联系起来理解。每个域中有主域控制器、备份域控制器和服务器、工作站。每个域都有自己的安全策略以及与其他域相关的安全信任关系。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能访问或管理其他的域。如果计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证。这样做方便管理。不同于工作组,域的登陆密码是通过域控服务器验证的。当电脑联入网络时,域控制器首先要进行网络身份验证,鉴别这台电脑是否属于本域,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。他只能作为本机用户访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。显然,域的安全性高于工作组。2. 域和活动目录一个好的安全体系是多层防护的。在域的基础上,Windows提出了一种分层结构的服务器安全模型,即通过使用森林(活动目录,Active Directory,AD)、域树和组织单元(OU)这些概念来实现分层管理。活动目录由一个或多个域组成,当多个域通过信任关系连接起来,并且共享一个模式、配置和全局目录的时候,它们组成一个域树。多个域树可以组成一个森林。森林即相互信任的一个或多个活动目录树形成的小组。在该模型中,一个企业中可以有多个域树,通过信任关系建立域之间的联系。活动目录是指存储网络资源信息的目录数据库,以及让这些信息可供网络用户使用的所有服务。网络中的所有资源,包括用户帐户、组、计算机、打印机、服务器、文件数据、数据库和安全策略等,都可以存放在活动目录中,从而使用户的使用、管理和检索变得更加简单和方便。AD是一个分布式的目录服务网络,标识了分散在网络中多台不同计算机上的所有信息资源,保证用户可以快速访问和容错,同时,不管用户从何处访问或信息处在何处,都对用户提供统一的视图。域中所有用户帐户使用域控制器的“Active Directory用户和计算机”创建。该域的账户、密码、用户访问策略、属于该域的计算机等关键信息都存储在Active Directory数据库中,集中管理,集中控制。域中可以建立多个域控制器,Active Directory数据库中的信息可以在域控服务器之间复制。利用活动目录自带的强大功能,可以非常有效的帮助企业强化网络整体安全。简单来说,活动目录的首要目标是客户端的安全管理和标准化管理,防止用户在计算机上乱装软件、乱拷东西而带入大量病毒,并把所有计算机的软件或者桌面都统一起来。如果这两点完成了,那么再往高级了说,活动目录将成为企业基础架构的根本,所有的高级服务都会向活动目录整合,以利用其统一的身份验证、安全管理以及资源公用。AD是中央神经系统的大脑或者说是控制中心,它负责用户身份验证,管理安全、访问控制、通信、打印、信息存取等,而主域控制器则是AD的主机。域可以跨越多个物理区域,由于客户端所进行的应用以及相关配置全部存储在服务器上,故而用户在域内的移动和物理的计算机脱离关系,域帐户可以在同一域的任何一台计算机登陆。用户甚至用一个张智能卡就可以在域中的任何工作站上,随意切换自己的工作任务。正是由于服务器接管大部分的客户端任务,故而服务器的硬件以及网络的带宽要求也比较高。从AD的规范管理来讲,最好是能够先在各自的OU中建立好计算机帐户,然后再将客户端加入到域中。活动目录对整个网络系统中不同角色的信息整合作用如图2-1-1所示。图2-1-1 活动目录中的信息DNS服务主要用于名称解析和查询,AD的可靠性和可用性很大程度上依赖于DNS服务的正常运行,如果没有DNS服务,DC将无法互相查找并复制目录信息,客户端也将无法联系DC来进行身份验证。Windows2000/2003中的DNS区域可以与AD集成,集成的DNS区域数据存放在AD中。使用组策略设置DNS服务自动启动,控制器只归域管理员,可以避免DNS服务被未经授权的用户操纵,也可防止管理员疏忽而禁用该服务。3. 域模型与信任关系信任关系是域与域之间建立的连接关系。它可以执行对经过委托的域内用户的登录审核工作。域之间经过委托后,用户只要在某一个域内有一个用户帐号,就可以使用其他域内的网络资源了。例如, 若A域信任委托B域,则B域的用户可以访问A域的资源,而A域的用户则不能访问B域的资源,这就是单向委托。若A域的用户也想访问B域的资源,那么必须再建立B域信任A域的委托关系,这就是双向委托。有四种基本的域模型:n 单域模型:网络中只有一个域,就是主域,域中有一个主域控制器和一或多个备份域控制器。该模型适合于用户较少的网络。n 主域模型:网络中至少有两个域,但只在其中一个域(主域)中创建所有用户并存储这些用户信息。其他域则称为资源域,负责维护文件目录和打印机资源,但不需要维护用户账户。资源域都信任主域,使用主域中定义的用户和全局组。该模型适合于用户不太多,但又必须将资源分组的情况。 n 多主域模型:网络中有多个主域和多个资源域,其中主域作为账户域,所有的用户账户和组都在主域之上创建。各主域都相互信任,其他的资源域都信任主域,但各资源域之间不相互信任。该模型便于大网络的统一管理,具有较好的伸缩性。因此,该模型适合于用户数很多且有一个专门管理机构的网络中。 n 完全信任域模型:网络中有多个主域,且这些域都相互信任。所有域在控制上都是平等的,每个域都执行自己的管理。该模型适合于各部门管理自己的网络情况。4. AD灾难恢复AD灾难恢复的原则是用最短的时间,承受最小的损失,得到最好的可能结果。在磁盘上,AD显示为几个文件,它们分别是Ntds.dit(AD数据库),一个组交易记录Edb.log(即日志)和记录数据库最后一个缓冲区的检查点文件,还有一个暂时性的数据库文件Temp.edb,这些数据库文件存储在%SystemRoot%ntds目录下(安装时可以重新指定位置),如图2-1-2所示。图2-1-2 AD系统文件SYSVOL系统卷是可以由文件复制服务复制的文件夹、文件系统重分析点和组策略设置的集合,存储在%SystemRoot%sysvol目录下,有三种不同的恢复方法:重建、还原、修复。一般,一个DC的备份数据只能用于还原该DC,不能被用来还原另一个DC。因此,我们应尽量对每一个DC都进行备份。备份策略的最低备份要求是所有具有操作主机角色的DC,所有具有全局编录角色的DC,根域中第一个DC。非权威性还原(Non-Authoritative Restore)是AD还原的默认方法,对象恢复后会保持它们在备份时用的版本号,用Ntbackup还原到已知的某个好的状态,并重新进入AD正常模式让其自由同步更新。下面的情况可以使用该方法还原:域中有多台DC,其他DC至少有一台是工作正常的情况,域中只有单台DC的情况,或者典型情况如硬件问题等。权威性还原(Authoritative Restore)本质是非权威性还原的扩展,需要比非权威性还原多做一步,即提高还原对象属性的更新版本号,使其在目录中成为权威的拷贝。权威性还原是DC上选定的对象在域中具有权威性。典型情况如意外修改或删除了对象时就需要使用这种方式了。用Ntdsutil工具标记AD对象为权威,找到还含有该对象的DC,或者先从备份还原,恢复时尽量定位到最特定的DN。还原SYSVOL至相匹配的版本,目的是让SYSVOL和所备份时的SYSVOL相同,从而使整个恢复回来的AD具有一致性,在目录恢复模式下恢复SYSVOL至替换目录,一旦重启系统,将替换目录下的SYSVOL相应文件拷回原位置。操作主机的恢复有转移和抓取两种方式,五种操作主机应区别对待,能转移的尽量不要用获取,转移操作可逆,抓取操作主机角色是最后手段,原主机不能再恢复在线。以正常模式重新引导,检查目录和系统事件日志是否存在错误消息,就可以验证灾难恢复。5. 域的用户访问控制模型域对用户帐户的管理包括如下一些方面: 1)帐号规则:对用户帐号和口令进行安全管理,即入网访问控制。它还包括对用户入网时间限制、入网站点限制、帐号锁定、用户对特定文件/目录的访问权限限制和用户使用的网络环境的限制等内容。2)权限规则:Windows采用两类访问权限:用户访问权限和资源访问权限。用户访问权限有四种:完全控制、更改、读写和拒绝访问,完全控制权限最大。NTFS允许用两种访问权限来控制用户对特定目录和文件的访问:一种是标准权限(基本安全性措施);另一种是特殊权限(特殊安全性措施)。3)审核规则:它是系统对用户操作行为的跟踪,管理员可根据审核结果来控制用户的操作。Windows可对如下事件进行审核:登录和注销、文件和对象的访问、用户权限的使用、用户和组的管理、安全性策略的改变、启动与关闭系统的安全性和进程的跟踪等。跟踪审核结果存放在安全日志文件中。域中的每个用户帐户都是由域管理员在DC上创建的,其中包括用户名、口令、访问权限等信息。创建帐户后,系统还必须为帐户指定一个唯一的安全标识符(SID)。安全帐号管理器对用户帐户的管理正是通过SID进行的。一旦删除某个帐户,其对应的SID也被删除。即使用相同的用户名重建帐号,也会被赋予不同的SID,不会保留原来的权限。不同用户的SID不同。如果存在两个同样SID的用户,这两个帐户将被鉴别为同一个帐户,原理上如果帐户无限制增加的时候,会产生同样的SID,在通常的情况下SID是唯一的,他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。系统为每个用户指定一个用户组,为用户组指定文件和目录访问权限。这样,当用户角色变更时,只要把该用户从工作组中删除或指定他属于另一组,即可收回或更改该用户的访问权限。为此,系统为每个用户或用户组分配一个访问控制条目(access control entry,ACE)。它包括一个SID(标识这个ACE的应用对象)以及允许或者拒绝访问的ACE信息的类型。访问控制表(access control list,ACL)是用来定义用户或用户组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录服务中,一个ACL是一个存储访问权限与对象之间相互关系的列表。在 Windows操作系统中,一个ACL作为一个二进制值保存,称之为安全描述符。实际上,在活动目录中,系统为存储的每一个对象分配安全描述符,列出了允许访问的用户和组和他们的权限。对象的访问权限作为属性的一部分,以ACL形式存放。当用户访问时,系统比对文件对象ACL和用户存取标识是否相符,符合的话才允许访问,否则拒绝。6. SAM数据库SAM文件即安全帐号管理器(Security Account Manager,SAM),它是NT架构的操作系统(包括Windows NT/2000/XP/2003)的核心。所有用户的登录名和口令等相关信息都保存在SAM文件中。使用“本地用户和组”创建本地用户帐户后,相关信息也保存在SAM文件中。用户登录时进行本地身份验证。单机环境下,SAM存储在本机的C:WINDOWSsystem32config文件夹下的sam文件中,并在C:WINDOWSrepair里有一个备份。而对于加入到域的计算机来说,它存储在域控制器上。SAM文件可以认为类似于Unix系统中的Passwd文件,不过没有Passwd文件那么直观明了。虽然也用文件保存账号信息,不过Windows系统对SAM文件中的资料全部加密,一般的编辑器无法打开,在系统运行中,无法对其进行任何修改。SAM数据库(Security Account Management Database)通过存储在计算机注册表中的安全账户来管理用户和用户组的信息,在注册表中,存放用户信息的具体地方是HKLMSAMSAMDomainsAccountUsers中,下面的十六进制项都是用户的SID,比如用户Administrator的SID是000001F4,guest的SID是000001F5,其他每项都对应一个用户名。同时,在HKLMSAMSAMDomainsAccountUsersNames项下面保存的是用户名,下面的每项都是机器中的用户名。当添加一个新用户时,系统会在HKLMSAMSAMDomainsAccountUsers下添加一个新的SID项来标记新用户,同时在Names下建立一个用户名的项,而项的类型为这个新的SID。比如添加一个名为xiaobai的用户,系统就会在HKLMSAMSAMDomainsAccountUsers下添加一个新的SID项,假设是000003ED,与此同时,你会发现在HKLMSAMSAMDomainsAccountUsersNames下面多了一个名为xiaobai的项,类型为0x3ed。当删除一个用户时,系统所做的工作就是把添加用户时对应添加的两个项删除。SAM数据库的一个拷贝能够被某些工具用来破解口令,而NT的Admin帐户、Admin组中的所有成员、备份操作员、服务器操作员以及所有具有备份特权的用户,都可以拷贝SAM数据库的内容。特洛伊木马和病毒可能利用默认权力对SAM数据库进行备份,获取访问SAM数据库中的口令信息。7. 组策略组策略是微软操作系统中自带的最强大的设置管理工具之一。基于活动目录的组策略绝对是管理员的利器。我们可以把组看作某类有相同特点及属性的资源的集合。组类似于某种容器,可以将用户帐户、计算机帐户、其他组帐户、资源和权限组合在一起实现统一管理。使用组而不是单独的用户可以简化管理和维护,使用组策略,再也不需要亲自到每一台计算机上执行管理操作,轻松点击即可批量配置。通过对 Active Directory 中组策略对象的使用,系统管理员可以集中应用保护企业系统所要求的安全级别。组策略使用组策略编辑器这一安全配置工具来进行管理,有以下作用: 管理员可使用安全模板管理单元来定义和使用安全模板。 管理员可使用安全配置和分析管理单元来配置和分析本地的安全性。 管理员可使用组策略管理单元来配置Active Directory中的安全性。 管理员可以集中管理软件安装。 管理员可以执行设定开机、登录、注销、关机脚本,控制用户IE属性,文件夹重定向等多种功能。计算机的组策略设置在操作系统初始化时和系统刷新周期内应用,使用“计算机配置”节点,而用户的组策略设置在用户登录时和系统刷新周期内应用,使用“用户配置”节点。默认情况下,计算机组策略会每隔90分钟刷新一次,而DC上的策略刷新间隔为5分钟。组策略内容相当丰富,几乎所有的Windows常用或不常用的配置项都可以从中找到。我们从图2-1-3就可见一斑。详细讲解组策略将是一个繁重的任务,我们只能点到为止。图2-1-3 组策略界面概要实验1 域的安装和配置【实验目的】本实验主要介绍如何在Windows 2003 Server上安装和配置域。【实验环境】 Windows XP以上操作系统,内装Windows 2003 Server的VMware Workstation 7.0。【实验步骤】A. 配置AD为域控制器域是与活动目录联系在一起的,活动目录的安装可以说是系统由工作组状态升级为域状态的关键。在前面章节建立的分组VLAN中,到目前为止,我们的AD服务器都还只是一台普通的Server 2003服务器。接下来,我们在其之上安装Active Directory,将之升级为域控制器,有两种办法。a) 通过“配置服务器向导”安装首先,打开Server 2003 的“控制面板-管理工具”,双击“配置服务器向导”,如图2-1-4所示。在出现的“配置服务器向导”中单击“下一步”,如图2-1-5所示。图2-1-4 打开“控制面板管理工具”图2-1-5 配置服务器向导步骤2,在“预备步骤”页面单击“下一步”,开始搜索网络连接,如图2-1-6所示。图2-1-6 预备步骤搜索网络连接步骤3,因为是新建服务器,所以我们在“配置选项”页面中选择“第一台服务器的典型配置”,然后单击“下一步”,如图2-1-7所示。图2-1-7 配置选项步骤4,输入新域名,然后连续单击“下一步”,如图2-1-8和图2-1-9所示。图2-1-8 输入新域名图2-1-9 新域的NetBIOS名 步骤5,在开始安装前,系统将会给出总结,点击“下一步”按钮,开始安装服务器,如图2-1-10到图2-1-14所示。从总结中可以看出,安装活动目录是,系统会检查是否存在DHCP和DNS,如果没有就会补装上。图2-1-10 即将开始安装图2-1-11 安装服务器图2-1-12 安装服务器图2-1-13 服务器配置过程安装完毕后,点击“完成”,系统将自动重启。b) 通过“dcpromo”命令安装首先,从“开始-运行”中输入“dcpromo”命令,点“确定”启动活动目录安装向导,如图2-1-15和图2-1-16所示。图2-1-15 输入“dcpromo”命令图2-1-16 活动目录安装向导然后,点击“下一步”按钮,测试操作系统兼容性,如图2-1-17所示。完成后点击“下一步”。图2-1-17 操作系统兼容性步骤3,因为是安装的第一台域控制器,所以在图2-1-18所示页面中选择第一个按钮,建立一个新域的域控制器。点击“下一步”按钮,在“创建一个新域”页面中选择第一个按钮,如图2-1-19所示。图2-1-18 域控制器类型页面图2-1-19 创建新域步骤4,在“新的域名”页面输入新域的DNS全名,然后点击“下一步”按钮,如图2-1-20所示。图2-1-20 输入新域名步骤5,在图2-1-20到图2-1-23所示页面中直接点击“下一步”按钮。在此处需要注意千万不要和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“NISG”,虽然这里可以修改,但建议还是采用默认的好,省得以后麻烦,所以在此采用默认。如果需要更改相应的设置,直接在输入框内输入即可。图2-1-21 新域的NetBIOS名图2-1-22 指定数据库和日志文件保存位置图2-1-23 指定系统卷文件夹保存位置步骤6,在“DNS注册诊断”页面中,第一次部署时总会出现DNS注册诊断出错的画面,因为即使安装了DNS,但由于没有配置它,网络上还没有可用的DNS服务器,所以才会出现响应超时的现像,所以选择中间选项,然后点击“下一步”按钮,如图2-1-24所示。在接下来的“权限设置”页面中直接点击“下一步”按钮,如图2-1-25所示。图2-1-24 安装配置DNS服务器图2-1-25 权限设置步骤7,在“目录服务还原模式的管理员密码”页面中,输入还原密码,这是一个重点,还原密码设置好以后一定要记住,因为在后面的关于活动目录恢复中需要要用到这个密码。点击“下一步”按钮,如图2-1-26所示。此时出现“摘要”页面,如图2-1-27所示。要仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,因为改域名是很复杂的一件事情,如果有的话可以点上一步进入重输。图2-1-26 设置还原密码图2-1-27 正式安装前的摘要步骤8,确认无误后点击图2-1-27所示页面的“下一步”按钮开始安装,安装过程如图2-1-28所示。安装中,如果虚拟机没有配置成静态IP的话,系统将会提示对可选网络组件使用静态地址,如图2-1-29所示。点击“确定”,出现图2-1-30所示界面,选择配置静态地址的连接。图2-1-28 开始安装图2-1-29 提示使用静态地址图2-1-30 选择网络连接最后,活动目录安装完成,如图2-1-31所示。点击“完成”按钮,将弹出系统重启提示信息,点“确定”后重启系统。图2-1-31 活动目录安装完成最后提示一点需要注意的是,没必要在DC上开启防火墙,只需要安装防病毒软件就可以了。因为DC与客户机(也就是域内被域控管理的其他计算机)之间的RPC映射等等通讯协议,会用到1024以上所有端口。B. DHCP服务器安装和配置DHCP为分组网络中的几台虚拟机都自动提供IP地址、域名解析等,活动目录安装过程中会自动为新建的域安装DNS服务器,而DHCP服务器就不一定了。方法A和方法B的主要区别就在于,用“dcpromo”命令安装活动目录时不会安装DHCP服务器。所以,我们在需要用到DHCP时只得另行安装。a) DHCP安装首先,打开虚拟机AD的“控制面板-添加/删除程序”,点击左边的“添加/删除Windows组件”,打开Windows组件向导,选择其中的“网络服务”,并点击右下方的“详细信息”按钮,在“网络服务”页面中勾选“DHCP”,然后点击“确定”,如图2-1-33所示。图2-1-33 添加DHCP服务器组件最后,打开域控制器,进入“控制面板管理工具”,可以发现三个网络服务的快捷方式,如图2-1-34所示。打开“管理您的服务器”页面,同样可以找到两种网络服务的管理按钮列表,如图2-1-35所示。图2-1-34 控制面板管理工具图2-1-35 服务器管理开始页b) 新建DHCP作用域DHCP服务器可以为多个子网分配地址。下面我们将为各个子网创建分别的作用域,并配置相关参数。首先,我们双击图2-1-34中的“DHCP”图标(通过图2-1-35中的按钮打开也是一样),进入DHCP主窗口,在DHCP窗口的主机名上打开右键菜单,选择“新建作用域”,如图2-1-36所示。图2-1-36 开始新建作用域步骤2,新建作用域向导启动,点击“下一步”按钮,首先输入新域名称,如图2-1-37所示。我们这里首先为图1-3-22中的VMnet2新建作用域,输入名称“VLAN2”,对应的是图1-3-21中的端口2。图2-1-37 新域名称步骤3,点击“下一步”按钮,依次输入新作用域的地址范围、租约、保留地址,如图2-1-38到图2-1-40所示。保留地址即排除在DHCP分配的动态地址之外的静态IP地址。图2-1-38 IP地址范围图2-1-39 设置排除地址图2-1-40 租约期限步骤4,在图2-1-40所示页面中点击“下一步”按钮,出现“配置DHCP选项”页面,直接点击“下一步”按钮,开始配置,如图2-1-41所示。首先配置的是路由器,设置VMnet的路由IP为,单击“添加”按钮后,点击“下一步”,如图2-1-42所示。图2-1-41 配置DHCP选项图2-1-42 路由器配置步骤5,在“域名和DNS服务器”页面输入DNS服务器名AD后点击“解析”按钮,系统即自动填写IP为0,然后单击“添加”按钮,点击“下一步”按钮,如图2-1-43所示。最后,激活新建的作用域,图2-1-44所示。图2-1-43 配置域名和DNS服务器图2-1-44 激活作用域同样依照图1-3-22所示为端口3、4、5配置DHCP作用域,结束后回到DHCP主界面,如图2-1-45所示。图2-1-45 回到DHCP主界面c) 主机路由配置既然我们现在将主机作为中心交换机,那么就还必须在“路由和远程访问”中配置转发DHCP服务器和客户机之间往来的DHCP数据,步骤如下:首先,打开主机的“路由和远程访问”服务主窗口,在左侧窗口找到“IP路由选择-常规”,选择右键菜单中的“新增路由协议”,如图2-1-46所示。在“新增路由协议”对话框中选择“DHCP中继代理服务”,如图2-1-47所示。图2-1-46 新增路由协议图2-1-47 添加DHCP中继代理程序步骤2,在主窗口中选择“DHCP中继代理程序”,并在右侧窗口中打开右键菜单,选择“新增接口”,如图2-1-48所示。图2-1-48 新增接口步骤3,从打开的“DHCP中继代理程序新接口”对话框中选择“VMnet2”后,点“确定”按钮,如图2-1-49所示。在随后打开的“中继站属性”对话框中,选中“中继DHCP数据包”,如图2-1-50所示。图2-1-49 添加VMnet2依同样方法依次添加VMnet3、VMnet4、VMnet5后,回到主窗口,选择“DHCP中继代理程序”右键菜单中的“属性”,如图2-1-51所示。在“属性”页面填入DHCP服务器地址0,并按“添加”按钮,如图2-1-52所示。图2-1-50 启动DHCP中继图2-1-51 选择属性图2-1-52 添加DHCP服务器地址C. DNS服务器配置打开DNS主窗口,选择正向查询中的某个域,可以在右侧窗栏中查看主机列表,如图2-1-53所示。其中,_msdcs 区域中包含所有域控制器的服务记录(SRV记录)。Active Directory 森林的根域中的_msdcs区域中还额外包含森林中所有的全局编录服务器的记录。_msdcs 区域的作用是为了定位域控制器和全局编录服务器,如果该区域不存在或的记录不正确,Active Directory 会出现故障。我们可以在右侧窗栏中打开右键菜单,为域添加主机。图2-1-53 DNS主窗口首先,我们为域新建一台名为www的主机,如图2-1-54所示。图2-1-54 新建主机DNS信息接下来我们可以在域中的其它机器上进行测试。打开分组中的其它机器,输入命令“ping ad.nisg. com”或“ping www.nisg. com”都可验证连接,如图2-1-55所示。图2-1-55 DNS连接测试我们可以在选中域上使用右键菜单为某台主机建立别名,如图2-1-56和图2-1-57所示。此时,AD2和ad都指向同一台域控主机。图2-1-56 为主机新建别名另外,域中主机的右键菜单中的“属性”项还提供配置域用户访问权限的功能,如图2-1-58所示。和上小节一样,如果需要的话,我们可以通过在DNS主窗口中右键点击主机名,从弹出菜单中选择“新建域”,在向导的指示下为主机建立多个查找域。步骤非常类似于新建DHCP作用域,不再赘述。图2-1-57 为主机新建别名图2-1-58 域中主机的安全属性D. 删除AD我们展示了如何将Server 2003普通服务器升级为域控制器,那么如何将一台域控制器降级为普通服务器呢?降级域控只有在管理员帐户下才能进行。操作之前,首先我们用前面介绍过的办法保存虚拟机快照,以备恢复。关闭域控制器,打开快照管理器,创建快照,然后重启该机。第一步和通过“dcpromo”命令安装AD是一样的。打开“开始-运行”,输入“dcpromo”,启动活动目录安装向导。步骤2,点击“下一步”,出现提示对话框,如图2-1-59所示。点击“确定”按钮。图2-1-59 卸载AD提示对话框 步骤3,系统将给出详细警告,包括删除AD将丧失其中的所有用户帐户信息,如图2-1-60所示。选择“这是最后一台域控制器”后,点击“下一步”按钮。图2-1-60 删除AD的详细信息步骤4,系统列举域控下的所有分区副本,如图2-1-61所示。点击“下一步”按钮,在图2-1-62所示页面上打勾后,继续点击“下一步”按钮。图2-1-61 删除域控下的分区副本图2-1-62 确认删除步骤5,既然所以用户帐户都删除了,系统将为降级的普通服务器新建一个管理员帐户,并要求输入管理员密码,如图2-1-63所示。如果密码不符合复杂性要求,系统将弹出图2-1-64所示的警告框。图2-1-63 输入普通服务器管理员密码图2-1-64 密码复杂性要求步骤6,给出最后一次提示,如图2-1-65所示。如果反悔,这将是最后一次取消操作的机会。随后,系统将正式开始删除活动目录,如图2-1-66所示。图2-1-65 删除前的最后一次提示图2-1-66 删除过程删除完活动目录后,我们可以为该机再建立一台链接克隆机,命名为“Server 2003 Clear”,然后恢复Server 2003快照“AD”,这就意味着原机重新成为域控。启动AD和Server 2003 Clear,一起进入“管理工具”,打开DHCP和DNS主窗口,通过对比两者我们可以发现,删除AD后,DHCP内的数据都保留,而DNS内的数据则清空了。这也表明使用“dcpromo”命令安装和删除活动目录都不涉及DHCP。E. 域用户帐户管理a) 添加新用户现在,我们为域添加一个新用户。打开域控机AD,进入“管理工具”中的“Active Directory用户和计算机”。选中域名后,打开域名目录树,选中“Users”目录,单击右键,在弹出菜单中选择“新建-用户”,如图2-1-67所示。图2-1-67 为域新建一个用户然后,在“新建对象-用户”页面,我们新建一个名为“b1”的用户,并为其输入密码(大小写字母加数字),如图2-1-68和图2-1-69所示。图2-1-68 输入用户信息图2-1-69 输入新用户密码最后,点击“下一步”按钮,系统将给出新用户信息,点击“完成”,如图2-1-70所示。此时,“Active Directory用户和计算机”主窗口的右侧窗口中的用户列表将增加显示用户“b1”,如图2-1-71所示。图2-1-70 新用户信息图2-1-71 新用户加入用户列表b) 域用户管理用户创建完成以后,可以对其进行删除、重命名等操作。只要选中某用户后点击右键菜单,选择“属性”,在弹出的“属性”对话框中,选择“隶属于”选项卡,然后按“添加”按钮,就可以将其添加到组中,如图2-1-72所示。图2-1-72 将域用户添加到组下面来看看如何设置域用户的登录时间限制。首先,选择“属性-帐户”选项卡,如图2-1-73所示。点击“登录时间”按钮,出现如图2-1-74所示登录时间界面。默认是任意时间都可以登录。图2-1-73 用户属性图2-1-74 登录时间步骤2,点击图2-1-73中的“登录时间”按钮,根据实际情况设置用户的登录时间,比如设置登录时间为星期一到星期五的每天上午8点到晚上21点这段时间可以登录,其他时间限制该用户登录到域中。F. 计算机加入域要把一台电脑加入域,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。现在我们向域中添加一台机器。首先,启动PC1,在“我的电脑”上单击右键,选择“属性”,打开“计算机名”选项卡,点击“更改”按钮,如图2-1-76所示。图2-1-76 打开“计算机名”选项卡然后,在打开的“计算机名称更改”对话框中选择“域”,输入域名“”,点“确定”,如图2-1-77所示。步骤3,在弹出的“计算机名更改”对话框中,输入域控制器的管理员用户名和密码,点“确定”,如图2-1-78所示。图2-1-77 计算机名称更改图2-1-78 输入域控制器管理员用户名和密码加入域成功后,会弹出“欢迎加入域”的对话框提示,点击“确定”。步骤4,按照提示重启后,以刚才新建的域用户“b1”登录到域,并按照提示修改密码,如图2-1-79到图2-1-81所示。图2-1-79 以域用户登录图2-1-80 提示修改密码图2-1-81 修改密码如果我们再次查看XP-SP2的计算机名,则会发现PC1加上了域名“”作为后缀。用户“b1”属于域上的普通用户(User组),不能在机器上装卸软件和驱动程序。从安全角度考虑,计算机加入域后,最好不要给远程用户以本地管理员权限。G. 重新生成SID一些局域网管理员往往喜欢通过克隆的办法来批量安装计算机,但是在将它们加入域时就会碰到问题。此时,我们可以使用一个小工具“NewSID”来解决问题。该工具能重新生成新的安全标识符,使用步骤如图2-1-82到图2-1-84所示。图2-1-82 使用向导图2-1-83 选择SID图2-1-84 重命名计算机H. 用户口令加密SyskeyWindows系统的帐号在SAM文件中使用了NTLM加密用户口令信息。NTLM将用户口令转换成Unicode编码,然后使用MD4算法将之压缩保存。但是这种口令加密方法从总体上来说强度还是不足,因此,微软为Windows XP以上版本提供了一个Syskey.exe的小工具来进一步加强口令安全。Syskey被设计用来防止轻易获得SAM密码。Syskey采用命令行方式启动,而一旦启用就无法关闭,除非使用启用Syskey之前的注册表备份恢复注册表。Syskey的启动界面如图2-1-85所示。图2-1-85 Syskey的启动界面在图2-1-85所示界面中点击“更新”按钮将会出现图2-1-86所示界面。Syskey使用了一个密钥将口令信息搞乱。该密钥可以由激活Syskey的用户选择保存位置,可以保存在软盘,或者在启动时由用户生成(通过用户输入的口令生成),又或者直接保存在注册表中。图2-1-86 更新启动密码当Syskey被激活,密码信息在存入注册表之前还进行了一次加密处理。然而,在机器启动后,一个旧的格式的信息还是会保存在内存中,这是因为旧格式的密码信息是进行网络验证所需要的。将Syskey激活后,在注册表HKLMSystemCurrentControlSetControlLsa下添加了新的键值“SecureBoot”,其中保存了Syskey的设置,如图2-1-87所示。图2-1-87 注册表中的Syskey实验2 组策略【实验目的】本实验主要介绍如何在Windows 2003 Server上进行组策略管理。【实验环境】 Windows XP以上操作系统,内装Windows 2003 Server的VMware Workstation 7.0。【实验步骤】A. 进入组策略编辑器我们可以通过三种方式进入组策略编辑器。方式一:在命令行方式下输入“gpedit.msc”进入组策略编辑器编辑本地策略。方式二:在域控机中管理域容器安全策略,按照如下步骤执行:首先,以管理员身份登录DC,打开“AD用户和计算机”,进入主界面,在需要设置的域容器上右击选择“属性”,例如我们选择域容器,进入域“属性”页面,选中要编辑的组策略后,单击“编辑”按钮即可进入组策略编辑器,如图2-1-88所示。图2-1-88 域属性界面在域中应用组策略对象时,建议不修改默认的组策略对象,因此我们在图2-1-88中,新建一个组策略对象来配置安全设置,点击“新建”按钮,在图2-1-88中会出现一个新的组策略对象,命名为TestDomain_SecTemplate,如图2-1-89所示。选中该组策略对象,点击“编辑”按钮,打开组策略编辑器主窗口,如图2-1-90所示。图2-1-89 新建组策略对象图2-1-90 组策略编辑器方式三:用控制台窗口打开,按照如下步骤执行:首先,以管理员身份登录域控制器,打开“开始-运行-MMC”,在控制台窗口中选择“文件-添加/删除管理单元”,如图2-1-91所示。图2-1-91 MMC控制台步骤2,在“添加/删除管理单元”对话框中点击“添加”按钮,出现“添加独立管理单元”页面,从中选择“组策略对象编辑器”,按下“添加”按钮,如图2-1-92所示。图2-1-92 添加组策略对象编辑器步骤3,出现如图2-1-93的选择组策略对象界面。单击“浏览”按钮,在浏览组策略对象中选择一个对象,这里选择“Default Domain Policy”(一般情况下不建议使用默认的域策略),依次单击“确定-完成-关闭-确定”后回到如图2-1-94所示的控制台主窗口。图2-1-93 选择组策略对象图2-1-94 组策略对象B. 应用模板配置安全策略我们可以通过使用“安全模板”来强化域控制器的配置,安全模板是包含相对受限制的配置和组策略设置的文件。这些模板是很好的出发点,但是在某些情况下可能无法提供足够的安全性。按照以下的步骤可以利用模板在域控上配置安全设置。首先,在组策略编辑器中选择“计算机配置-Windows设置-安全设置”,右击“安全设置”,选择“导入策略”,如图2-1-95所示。图2-1-95 导入安全模板策略最后,在“策略导入来源”中选择一个安全策略模板,点击“打开”即可,如图2-1-96所示。从图2-1-96中可以看到,“安全设置”项中包括:n 帐户策略:可配置帐户锁定策略和密码策略n 本地策略:可配置审核、用户权力和安全选项策略n 公钥策略:可配置加密数据恢复代理、域根、信任的CA策略n IPSec策略:可配置IPSec策略n 事件日志:可配置应用程序日志、系统日志、安全日志的设置n 受限制的组:可以为安全敏感的组配置成员n 系统服务:可配置服务的安全,启动设定n 注册表策略:可配置注册表键值安全性n 文件系统策略:可配置文件安全性图2-1-96 导入安全模板策略完成之后,关闭组策略编辑器,就完成了使用安全模板配置安全策略了。在这里,配置的是域的安全策略,也就是说该域中所有的客户端机器的安全设置策略都应用了该模板。Windows自带的安全模版中,安全特性按如下排列逐步增强:n Setup:配置了系统缺省的安全级别;n Compatws:在确保标准商业应用程序运行的前提下,提供了比Windows缺省安全级别更高的安全性;n Securews和Securedc:分别为域内普通计算机和域控提供了比上一模版更高的安全级别,而不保证标准商业应用程序的所有功能都不会因此而受损。n Hisecws和Hisecdc:分别为域内普通计算机和域控提供了最高安全性,而不考虑所有应用的正常运作。C. 启用审核和日志查看域管理中,审核和日志是相当重要的一环。开启安全审核是检测入侵的最基本方法。当有人尝试对你的系统进行某些方式(如尝试用户密码、改变帐户策略、未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。表2-1-1的这些审核是必须开启的,其他的可以根据需要增加:表2-1-1 审核设置策略设置策略设置审核策略更改成功,失败审核系统事件成功,失败审核登陆事件成功,失败审核帐户登陆事件成功,失败审核对象访问成功审核帐户管理成功,失败审核特权使用成功,失败为监视用户帐户的增删活动,我们需要修改导入的组策略,将其记入系统日志,如下:首先,在组策略编辑器窗口依次选择“计算机配置-Windows设置-安全设置-本地策略-审核策略” ,如图2-1-97所示。在审核策略的项中,选择需要设置的项,右击选择“属性”, 或双击该项,即可对该项策略进行设置,例如,双击“审核帐户管理”,然后勾选“成功”和“失败”,如图2-1-97所示。图2-1-97 审核策略设置接下来,我们可以对“审核登录事件”策略进行设置,选择成功、失败审核,如图2-1-98所示,单击“确定”即完成登录事件属性的设置。图2-1-98 审核登录事件最后,关闭组策略编辑器,运行“gpupdate /force”命令刷新组策略,如图2-1-99所示。图2-1-99 策略刷新以上策略配置后,对于帐户的增加及删除(无论成功或者失败)都会被记录到安全性日志中。如果有用户将Domain Admins帐户组从本地用户组中删除了,那么我们可以使用本地管理员登录该计算机,然后查看安全性日志文件。查找帐户管理的637事件就可以看出是哪个用户删除的Domain Admins帐户组。如果我们将Domain Admins帐户组添加到本地管理员,那么我们可以查看636事件,该事件就是添加用户时记录的。事件中的用户一栏就是您需要找到的执行添
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 借款续贷合同
- 2025中医院代谢性骨病影像学判读考核
- 挂名劳务合同
- 2025中医院肿瘤整形修复技术考核
- 快递送货合同
- 晋城市中医院烧伤整形科主治医师晋升考核
- 唐山市人民医院护理师资培训考核
- 2025绿色农产品保护价收购合同书
- 厨房器具安全使用培训试题及答案
- 2025年版的停车场车位租赁合同
- 2025年世界粮食日节约粮食光盘行动班会《莫让“食”光成为“失”光》
- 《念奴娇·赤壁怀古》+2025-2026学年统编版高一语文必修上册
- 2025年河北石家庄市市属国有企业面向社会公开招聘工作人员(525人)笔试题库历年考点版附带答案详解
- 重庆八中高 2027 届高二(上)第一次月考语文试卷(含答案)
- 2025年石嘴山市消防救援支队招录第二批政府专职消防队员的(65人)考试参考试题及答案解析
- 中国联通辽宁地区2025秋招笔试行测题库及答案行业解决方案经理岗
- 基础水文数据采集与管理项目方案
- 医院患者服务满意度调查表模板
- 土壤沉积物中可溶性有机质对辣根过氧化物酶催化氧化去除双酚A的作用机制探究
- 注塑机操作安全培训课件
- DB-T 29-88-2025 天津市民用建筑围护结构节能检测技术规程
评论
0/150
提交评论