第六章 Windows域管理.doc

第6章 Windows域管理很多人对域名、活动目录、DHCP、DNS等术语可能还停留在概念性的阶段，于实际操作却有些陌生，本章有助于改善这一点。本章主要内容包括：n 介绍域、活动目录等基础概念；n 活动目录部署和配置；n DHCP部署和配置；n 组策略涉及以下一些方面：n 普通Server 2003和域控制器之间的升降级n DHCP和DNS的配置使用n 添加或删除域用户n 计算机加入域n SAM数据库和Syskeyn 组策略应用：对组策略进行编辑、设置，掌握强化系统的安全性的方法。实验1 域管理基础域是（Domain）Windows网络管理的一个基本单位。域管理涉及域、活动目录（AD）和SAM数据库等概念。1. 域和工作组首先我们介绍一下工作组（Work Group）的概念。域和工作组都是局域网环境下的两种不同的网络资源管理模式。工作组的概念想必大家都很熟悉。它是我们默认安装完系统以后的最初、也是最常用的一种工作模式。工作组将局域网中的电脑按功能分组，以便查找和浏览共享资源。同一个工作组内部或不同工作组成员之间可以通过“网上邻居”实现资源共享。从“网上邻居”最先看到的是本机所在的工作组的机器。“工作组”是一个“对等”网结构，就像一个自由加入和退出的俱乐部一样，可以随时自由出入毫无限制，它本身的作用仅仅是提供一个“房间”，以方便查找。在这种模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，没有server或client的概念。共享文件即使加有访问密码，也非常容易被破解。以工作组组成的局域网中，每一台电脑实现“个人自治”，一切设置在本机上进行，包括各种策略，用户登录也是在本机进行的，密码也是放在本机的数据库来验证的。显然，工作组模式在安全性上存在很大问题。域的提出，放弃了可以随便出出进进的工作组模式，而采用了“中央集权”式的严格控制。我们可以说，域既是Windows网络系统的逻辑组织单元，也是Internet的逻辑组织单元。在Windows网络系统中，“域是安全边界”。以域方式组成的网络，里面必须至少有一台服务器作为管理机，即“域控制器（Domain Controller，DC）”，同一个域中的计算机彼此之间已经建立了信任关系。而在一个独立的工作站上，域就是计算机自身。我们可以把域和工作组联系起来理解。每个域中有主域控制器、备份域控制器和服务器、工作站。每个域都有自己的安全策略以及与其他域相关的安全信任关系。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能访问或管理其他的域。如果计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证。这样做方便管理。不同于工作组，域的登陆密码是通过域控服务器验证的。当电脑联入网络时，域控制器首先要进行网络身份验证，鉴别这台电脑是否属于本域，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。他只能作为本机用户访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。显然，域的安全性高于工作组。2. 域和活动目录一个好的安全体系是多层防护的。在域的基础上，Windows提出了一种分层结构的服务器安全模型，即通过使用森林（活动目录，Active Directory，AD）、域树和组织单元（OU）这些概念来实现分层管理。活动目录由一个或多个域组成，当多个域通过信任关系连接起来，并且共享一个模式、配置和全局目录的时候，它们组成一个域树。多个域树可以组成一个森林。森林即相互信任的一个或多个活动目录树形成的小组。在该模型中，一个企业中可以有多个域树，通过信任关系建立域之间的联系。活动目录是指存储网络资源信息的目录数据库，以及让这些信息可供网络用户使用的所有服务。网络中的所有资源，包括用户帐户、组、计算机、打印机、服务器、文件数据、数据库和安全策略等，都可以存放在活动目录中，从而使用户的使用、管理和检索变得更加简单和方便。AD是一个分布式的目录服务网络，标识了分散在网络中多台不同计算机上的所有信息资源，保证用户可以快速访问和容错，同时，不管用户从何处访问或信息处在何处，都对用户提供统一的视图。域中所有用户帐户使用域控制器的“Active Directory用户和计算机”创建。该域的账户、密码、用户访问策略、属于该域的计算机等关键信息都存储在Active Directory数据库中，集中管理，集中控制。域中可以建立多个域控制器，Active Directory数据库中的信息可以在域控服务器之间复制。利用活动目录自带的强大功能，可以非常有效的帮助企业强化网络整体安全。简单来说，活动目录的首要目标是客户端的安全管理和标准化管理，防止用户在计算机上乱装软件、乱拷东西而带入大量病毒，并把所有计算机的软件或者桌面都统一起来。如果这两点完成了，那么再往高级了说，活动目录将成为企业基础架构的根本，所有的高级服务都会向活动目录整合，以利用其统一的身份验证、安全管理以及资源公用。AD是中央神经系统的大脑或者说是控制中心，它负责用户身份验证，管理安全、访问控制、通信、打印、信息存取等，而主域控制器则是AD的主机。域可以跨越多个物理区域，由于客户端所进行的应用以及相关配置全部存储在服务器上，故而用户在域内的移动和物理的计算机脱离关系，域帐户可以在同一域的任何一台计算机登陆。用户甚至用一个张智能卡就可以在域中的任何工作站上，随意切换自己的工作任务。正是由于服务器接管大部分的客户端任务，故而服务器的硬件以及网络的带宽要求也比较高。从AD的规范管理来讲，最好是能够先在各自的OU中建立好计算机帐户，然后再将客户端加入到域中。活动目录对整个网络系统中不同角色的信息整合作用如图2-1-1所示。图2-1-1 活动目录中的信息DNS服务主要用于名称解析和查询，AD的可靠性和可用性很大程度上依赖于DNS服务的正常运行，如果没有DNS服务，DC将无法互相查找并复制目录信息，客户端也将无法联系DC来进行身份验证。Windows2000/2003中的DNS区域可以与AD集成，集成的DNS区域数据存放在AD中。使用组策略设置DNS服务自动启动，控制器只归域管理员，可以避免DNS服务被未经授权的用户操纵，也可防止管理员疏忽而禁用该服务。3. 域模型与信任关系信任关系是域与域之间建立的连接关系。它可以执行对经过委托的域内用户的登录审核工作。域之间经过委托后，用户只要在某一个域内有一个用户帐号，就可以使用其他域内的网络资源了。例如， 若A域信任委托B域，则B域的用户可以访问A域的资源，而A域的用户则不能访问B域的资源，这就是单向委托。若A域的用户也想访问B域的资源，那么必须再建立B域信任A域的委托关系，这就是双向委托。有四种基本的域模型：n 单域模型：网络中只有一个域，就是主域，域中有一个主域控制器和一或多个备份域控制器。该模型适合于用户较少的网络。n 主域模型：网络中至少有两个域，但只在其中一个域（主域）中创建所有用户并存储这些用户信息。其他域则称为资源域，负责维护文件目录和打印机资源，但不需要维护用户账户。资源域都信任主域，使用主域中定义的用户和全局组。该模型适合于用户不太多，但又必须将资源分组的情况。 n 多主域模型：网络中有多个主域和多个资源域，其中主域作为账户域，所有的用户账户和组都在主域之上创建。各主域都相互信任，其他的资源域都信任主域，但各资源域之间不相互信任。该模型便于大网络的统一管理，具有较好的伸缩性。因此，该模型适合于用户数很多且有一个专门管理机构的网络中。 n 完全信任域模型：网络中有多个主域，且这些域都相互信任。所有域在控制上都是平等的，每个域都执行自己的管理。该模型适合于各部门管理自己的网络情况。4. AD灾难恢复AD灾难恢复的原则是用最短的时间，承受最小的损失，得到最好的可能结果。在磁盘上，AD显示为几个文件，它们分别是Ntds.dit（AD数据库），一个组交易记录Edb.log（即日志）和记录数据库最后一个缓冲区的检查点文件，还有一个暂时性的数据库文件Temp.edb，这些数据库文件存储在%SystemRoot%ntds目录下（安装时可以重新指定位置），如图2-1-2所示。图2-1-2 AD系统文件SYSVOL系统卷是可以由文件复制服务复制的文件夹、文件系统重分析点和组策略设置的集合，存储在%SystemRoot%sysvol目录下，有三种不同的恢复方法：重建、还原、修复。一般，一个DC的备份数据只能用于还原该DC，不能被用来还原另一个DC。因此，我们应尽量对每一个DC都进行备份。备份策略的最低备份要求是所有具有操作主机角色的DC，所有具有全局编录角色的DC，根域中第一个DC。非权威性还原（Non-Authoritative Restore）是AD还原的默认方法，对象恢复后会保持它们在备份时用的版本号，用Ntbackup还原到已知的某个好的状态，并重新进入AD正常模式让其自由同步更新。下面的情况可以使用该方法还原：域中有多台DC，其他DC至少有一台是工作正常的情况，域中只有单台DC的情况，或者典型情况如硬件问题等。权威性还原（Authoritative Restore）本质是非权威性还原的扩展，需要比非权威性还原多做一步，即提高还原对象属性的更新版本号，使其在目录中成为权威的拷贝。权威性还原是DC上选定的对象在域中具有权威性。典型情况如意外修改或删除了对象时就需要使用这种方式了。用Ntdsutil工具标记AD对象为权威，找到还含有该对象的DC，或者先从备份还原，恢复时尽量定位到最特定的DN。还原SYSVOL至相匹配的版本，目的是让SYSVOL和所备份时的SYSVOL相同，从而使整个恢复回来的AD具有一致性，在目录恢复模式下恢复SYSVOL至替换目录，一旦重启系统，将替换目录下的SYSVOL相应文件拷回原位置。操作主机的恢复有转移和抓取两种方式，五种操作主机应区别对待，能转移的尽量不要用获取，转移操作可逆，抓取操作主机角色是最后手段，原主机不能再恢复在线。以正常模式重新引导，检查目录和系统事件日志是否存在错误消息，就可以验证灾难恢复。5. 域的用户访问控制模型域对用户帐户的管理包括如下一些方面： 1）帐号规则：对用户帐号和口令进行安全管理，即入网访问控制。它还包括对用户入网时间限制、入网站点限制、帐号锁定、用户对特定文件/目录的访问权限限制和用户使用的网络环境的限制等内容。2）权限规则：Windows采用两类访问权限：用户访问权限和资源访问权限。用户访问权限有四种：完全控制、更改、读写和拒绝访问，完全控制权限最大。NTFS允许用两种访问权限来控制用户对特定目录和文件的访问：一种是标准权限(基本安全性措施)；另一种是特殊权限(特殊安全性措施)。3）审核规则：它是系统对用户操作行为的跟踪，管理员可根据审核结果来控制用户的操作。Windows可对如下事件进行审核：登录和注销、文件和对象的访问、用户权限的使用、用户和组的管理、安全性策略的改变、启动与关闭系统的安全性和进程的跟踪等。跟踪审核结果存放在安全日志文件中。域中的每个用户帐户都是由域管理员在DC上创建的，其中包括用户名、口令、访问权限等信息。创建帐户后，系统还必须为帐户指定一个唯一的安全标识符（SID）。安全帐号管理器对用户帐户的管理正是通过SID进行的。一旦删除某个帐户，其对应的SID也被删除。即使用相同的用户名重建帐号，也会被赋予不同的SID，不会保留原来的权限。不同用户的SID不同。如果存在两个同样SID的用户，这两个帐户将被鉴别为同一个帐户，原理上如果帐户无限制增加的时候，会产生同样的SID，在通常的情况下SID是唯一的，他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。系统为每个用户指定一个用户组，为用户组指定文件和目录访问权限。这样，当用户角色变更时，只要把该用户从工作组中删除或指定他属于另一组，即可收回或更改该用户的访问权限。为此，系统为每个用户或用户组分配一个访问控制条目（access control entry，ACE）。它包括一个SID（标识这个ACE的应用对象）以及允许或者拒绝访问的ACE信息的类型。访问控制表（access control list，ACL）是用来定义用户或用户组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录服务中，一个ACL是一个存储访问权限与对象之间相互关系的列表。在 Windows操作系统中，一个ACL作为一个二进制值保存，称之为安全描述符。实际上，在活动目录中，系统为存储的每一个对象分配安全描述符，列出了允许访问的用户和组和他们的权限。对象的访问权限作为属性的一部分，以ACL形式存放。当用户访问时，系统比对文件对象ACL和用户存取标识是否相符，符合的话才允许访问，否则拒绝。6. SAM数据库SAM文件即安全帐号管理器（Security Account Manager，SAM），它是NT架构的操作系统（包括Windows NT/2000/XP/2003）的核心。所有用户的登录名和口令等相关信息都保存在SAM文件中。使用“本地用户和组”创建本地用户帐户后，相关信息也保存在SAM文件中。用户登录时进行本地身份验证。单机环境下，SAM存储在本机的C:WINDOWSsystem32config文件夹下的sam文件中，并在C:WINDOWSrepair里有一个备份。而对于加入到域的计算机来说，它存储在域控制器上。SAM文件可以认为类似于Unix系统中的Passwd文件，不过没有Passwd文件那么直观明了。虽然也用文件保存账号信息，不过Windows系统对SAM文件中的资料全部加密，一般的编辑器无法打开，在系统运行中，无法对其进行任何修改。SAM数据库（Security Account Management Database）通过存储在计算机注册表中的安全账户来管理用户和用户组的信息，在注册表中，存放用户信息的具体地方是HKLMSAMSAMDomainsAccountUsers中，下面的十六进制项都是用户的SID，比如用户Administrator的SID是000001F4，guest的SID是000001F5，其他每项都对应一个用户名。同时，在HKLMSAMSAMDomainsAccountUsersNames项下面保存的是用户名，下面的每项都是机器中的用户名。当添加一个新用户时，系统会在HKLMSAMSAMDomainsAccountUsers下添加一个新的SID项来标记新用户，同时在Names下建立一个用户名的项，而项的类型为这个新的SID。比如添加一个名为xiaobai的用户，系统就会在HKLMSAMSAMDomainsAccountUsers下添加一个新的SID项，假设是000003ED，与此同时，你会发现在HKLMSAMSAMDomainsAccountUsersNames下面多了一个名为xiaobai的项，类型为0x3ed。当删除一个用户时，系统所做的工作就是把添加用户时对应添加的两个项删除。SAM数据库的一个拷贝能够被某些工具用来破解口令，而NT的Admin帐户、Admin组中的所有成员、备份操作员、服务器操作员以及所有具有备份特权的用户，都可以拷贝SAM数据库的内容。特洛伊木马和病毒可能利用默认权力对SAM数据库进行备份，获取访问SAM数据库中的口令信息。7. 组策略组策略是微软操作系统中自带的最强大的设置管理工具之一。基于活动目录的组策略绝对是管理员的利器。我们可以把组看作某类有相同特点及属性的资源的集合。组类似于某种容器，可以将用户帐户、计算机帐户、其他组帐户、资源和权限组合在一起实现统一管理。使用组而不是单独的用户可以简化管理和维护，使用组策略，再也不需要亲自到每一台计算机上执行管理操作，轻松点击即可批量配置。通过对 Active Directory 中组策略对象的使用，系统管理员可以集中应用保护企业系统所要求的安全级别。组策略使用组策略编辑器这一安全配置工具来进行管理，有以下作用： 管理员可使用安全模板管理单元来定义和使用安全模板。 管理员可使用安全配置和分析管理单元来配置和分析本地的安全性。 管理员可使用组策略管理单元来配置Active Directory中的安全性。 管理员可以集中管理软件安装。 管理员可以执行设定开机、登录、注销、关机脚本，控制用户IE属性，文件夹重定向等多种功能。计算机的组策略设置在操作系统初始化时和系统刷新周期内应用，使用“计算机配置”节点，而用户的组策略设置在用户登录时和系统刷新周期内应用，使用“用户配置”节点。默认情况下，计算机组策略会每隔90分钟刷新一次，而DC上的策略刷新间隔为5分钟。组策略内容相当丰富，几乎所有的Windows常用或不常用的配置项都可以从中找到。我们从图2-1-3就可见一斑。详细讲解组策略将是一个繁重的任务，我们只能点到为止。图2-1-3 组策略界面概要实验1 域的安装和配置【实验目的】本实验主要介绍如何在Windows 2003 Server上安装和配置域。【实验环境】 Windows XP以上操作系统，内装Windows 2003 Server的VMware Workstation 7.0。【实验步骤】A. 配置AD为域控制器域是与活动目录联系在一起的，活动目录的安装可以说是系统由工作组状态升级为域状态的关键。在前面章节建立的分组VLAN中，到目前为止，我们的AD服务器都还只是一台普通的Server 2003服务器。接下来，我们在其之上安装Active Directory，将之升级为域控制器，有两种办法。a) 通过“配置服务器向导”安装首先，打开Server 2003 的“控制面板-管理工具”，双击“配置服务器向导”，如图2-1-4所示。在出现的“配置服务器向导”中单击“下一步”，如图2-1-5所示。图2-1-4 打开“控制面板管理工具”图2-1-5 配置服务器向导步骤2，在“预备步骤”页面单击“下一步”，开始搜索网络连接，如图2-1-6所示。图2-1-6 预备步骤搜索网络连接步骤3，因为是新建服务器，所以我们在“配置选项”页面中选择“第一台服务器的典型配置”，然后单击“下一步”，如图2-1-7所示。图2-1-7 配置选项步骤4，输入新域名，然后连续单击“下一步”，如图2-1-8和图2-1-9所示。图2-1-8 输入新域名图2-1-9 新域的NetBIOS名 步骤5，在开始安装前，系统将会给出总结，点击“下一步”按钮，开始安装服务器，如图2-1-10到图2-1-14所示。从总结中可以看出，安装活动目录是，系统会检查是否存在DHCP和DNS，如果没有就会补装上。图2-1-10 即将开始安装图2-1-11 安装服务器图2-1-12 安装服务器图2-1-13 服务器配置过程安装完毕后，点击“完成”，系统将自动重启。b) 通过“dcpromo”命令安装首先，从“开始-运行”中输入“dcpromo”命令，点“确定”启动活动目录安装向导，如图2-1-15和图2-1-16所示。图2-1-15 输入“dcpromo”命令图2-1-16 活动目录安装向导然后，点击“下一步”按钮，测试操作系统兼容性，如图2-1-17所示。完成后点击“下一步”。图2-1-17 操作系统兼容性步骤3，因为是安装的第一台域控制器，所以在图2-1-18所示页面中选择第一个按钮，建立一个新域的域控制器。点击“下一步”按钮，在“创建一个新域”页面中选择第一个按钮，如图2-1-19所示。图2-1-18 域控制器类型页面图2-1-19 创建新域步骤4，在“新的域名”页面输入新域的DNS全名，然后点击“下一步”按钮，如图2-1-20所示。图2-1-20 输入新域名步骤5，在图2-1-20到图2-1-23所示页面中直接点击“下一步”按钮。在此处需要注意千万不要和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“NISG”，虽然这里可以修改，但建议还是采用默认的好，省得以后麻烦，所以在此采用默认。如果需要更改相应的设置，直接在输入框内输入即可。图2-1-21 新域的NetBIOS名图2-1-22 指定数据库和日志文件保存位置图2-1-23 指定系统卷文件夹保存位置步骤6，在“DNS注册诊断”页面中，第一次部署时总会出现DNS注册诊断出错的画面，因为即使安装了DNS，但由于没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以选择中间选项，然后点击“下一步”按钮，如图2-1-24所示。在接下来的“权限设置”页面中直接点击“下一步”按钮，如图2-1-25所示。图2-1-24 安装配置DNS服务器图2-1-25 权限设置步骤7，在“目录服务还原模式的管理员密码”页面中，输入还原密码，这是一个重点，还原密码设置好以后一定要记住，因为在后面的关于活动目录恢复中需要要用到这个密码。点击“下一步”按钮，如图2-1-26所示。此时出现“摘要”页面，如图2-1-27所示。要仔细检查刚刚输入的信息是否有误，尤其是域名书写是否正确，因为改域名是很复杂的一件事情，如果有的话可以点上一步进入重输。图2-1-26 设置还原密码图2-1-27 正式安装前的摘要步骤8，确认无误后点击图2-1-27所示页面的“下一步”按钮开始安装，安装过程如图2-1-28所示。安装中，如果虚拟机没有配置成静态IP的话，系统将会提示对可选网络组件使用静态地址，如图2-1-29所示。点击“确定”，出现图2-1-30所示界面，选择配置静态地址的连接。图2-1-28 开始安装图2-1-29 提示使用静态地址图2-1-30 选择网络连接最后，活动目录安装完成，如图2-1-31所示。点击“完成”按钮，将弹出系统重启提示信息，点“确定”后重启系统。图2-1-31 活动目录安装完成最后提示一点需要注意的是，没必要在DC上开启防火墙，只需要安装防病毒软件就可以了。因为DC与客户机（也就是域内被域控管理的其他计算机）之间的RPC映射等等通讯协议，会用到1024以上所有端口。B. DHCP服务器安装和配置DHCP为分组网络中的几台虚拟机都自动提供IP地址、域名解析等，活动目录安装过程中会自动为新建的域安装DNS服务器，而DHCP服务器就不一定了。方法A和方法B的主要区别就在于，用“dcpromo”命令安装活动目录时不会安装DHCP服务器。所以，我们在需要用到DHCP时只得另行安装。a) DHCP安装首先，打开虚拟机AD的“控制面板-添加/删除程序”，点击左边的“添加/删除Windows组件”，打开Windows组件向导，选择其中的“网络服务”，并点击右下方的“详细信息”按钮，在“网络服务”页面中勾选“DHCP”，然后点击“确定”，如图2-1-33所示。图2-1-33 添加DHCP服务器组件最后，打开域控制器，进入“控制面板管理工具”，可以发现三个网络服务的快捷方式，如图2-1-34所示。打开“管理您的服务器”页面，同样可以找到两种网络服务的管理按钮列表，如图2-1-35所示。图2-1-34 控制面板管理工具图2-1-35 服务器管理开始页b) 新建DHCP作用域DHCP服务器可以为多个子网分配地址。下面我们将为各个子网创建分别的作用域，并配置相关参数。首先，我们双击图2-1-34中的“DHCP”图标（通过图2-1-35中的按钮打开也是一样），进入DHCP主窗口，在DHCP窗口的主机名上打开右键菜单，选择“新建作用域”，如图2-1-36所示。图2-1-36 开始新建作用域步骤2，新建作用域向导启动，点击“下一步”按钮，首先输入新域名称，如图2-1-37所示。我们这里首先为图1-3-22中的VMnet2新建作用域，输入名称“VLAN2”，对应的是图1-3-21中的端口2。图2-1-37 新域名称步骤3，点击“下一步”按钮，依次输入新作用域的地址范围、租约、保留地址，如图2-1-38到图2-1-40所示。保留地址即排除在DHCP分配的动态地址之外的静态IP地址。图2-1-38 IP地址范围图2-1-39 设置排除地址图2-1-40 租约期限步骤4，在图2-1-40所示页面中点击“下一步”按钮，出现“配置DHCP选项”页面，直接点击“下一步”按钮，开始配置，如图2-1-41所示。首先配置的是路由器，设置VMnet的路由IP为，单击“添加”按钮后，点击“下一步”，如图2-1-42所示。图2-1-41 配置DHCP选项图2-1-42 路由器配置步骤5，在“域名和DNS服务器”页面输入DNS服务器名AD后点击“解析”按钮，系统即自动填写IP为0，然后单击“添加”按钮，点击“下一步”按钮，如图2-1-43所示。最后，激活新建的作用域，图2-1-44所示。图2-1-43 配置域名和DNS服务器图2-1-44 激活作用域同样依照图1-3-22所示为端口3、4、5配置DHCP作用域，结束后回到DHCP主界面，如图2-1-45所示。图2-1-45 回到DHCP主界面c) 主机路由配置既然我们现在将主机作为中心交换机，那么就还必须在“路由和远程访问”中配置转发DHCP服务器和客户机之间往来的DHCP数据，步骤如下：首先，打开主机的“路由和远程访问”服务主窗口，在左侧窗口找到“IP路由选择-常规”，选择右键菜单中的“新增路由协议”，如图2-1-46所示。在“新增路由协议”对话框中选择“DHCP中继代理服务”，如图2-1-47所示。图2-1-46 新增路由协议图2-1-47 添加DHCP中继代理程序步骤2，在主窗口中选择“DHCP中继代理程序”，并在右侧窗口中打开右键菜单，选择“新增接口”，如图2-1-48所示。图2-1-48 新增接口步骤3，从打开的“DHCP中继代理程序新接口”对话框中选择“VMnet2”后，点“确定”按钮，如图2-1-49所示。在随后打开的“中继站属性”对话框中，选中“中继DHCP数据包”，如图2-1-50所示。图2-1-49 添加VMnet2依同样方法依次添加VMnet3、VMnet4、VMnet5后，回到主窗口，选择“DHCP中继代理程序”右键菜单中的“属性”，如图2-1-51所示。在“属性”页面填入DHCP服务器地址0，并按“添加”按钮，如图2-1-52所示。图2-1-50 启动DHCP中继图2-1-51 选择属性图2-1-52 添加DHCP服务器地址C. DNS服务器配置打开DNS主窗口，选择正向查询中的某个域，可以在右侧窗栏中查看主机列表，如图2-1-53所示。其中，_msdcs 区域中包含所有域控制器的服务记录（SRV记录）。Active Directory 森林的根域中的_msdcs区域中还额外包含森林中所有的全局编录服务器的记录。_msdcs 区域的作用是为了定位域控制器和全局编录服务器，如果该区域不存在或的记录不正确，Active Directory 会出现故障。我们可以在右侧窗栏中打开右键菜单，为域添加主机。图2-1-53 DNS主窗口首先，我们为域新建一台名为www的主机，如图2-1-54所示。图2-1-54 新建主机DNS信息接下来我们可以在域中的其它机器上进行测试。打开分组中的其它机器，输入命令“ping ad.nisg. com”或“ping www.nisg. com”都可验证连接，如图2-1-55所示。图2-1-55 DNS连接测试我们可以在选中域上使用右键菜单为某台主机建立别名，如图2-1-56和图2-1-57所示。此时，AD2和ad都指向同一台域控主机。图2-1-56 为主机新建别名另外，域中主机的右键菜单中的“属性”项还提供配置域用户访问权限的功能，如图2-1-58所示。和上小节一样，如果需要的话，我们可以通过在DNS主窗口中右键点击主机名，从弹出菜单中选择“新建域”，在向导的指示下为主机建立多个查找域。步骤非常类似于新建DHCP作用域，不再赘述。图2-1-57 为主机新建别名图2-1-58 域中主机的安全属性D. 删除AD我们展示了如何将Server 2003普通服务器升级为域控制器，那么如何将一台域控制器降级为普通服务器呢？降级域控只有在管理员帐户下才能进行。操作之前，首先我们用前面介绍过的办法保存虚拟机快照，以备恢复。关闭域控制器，打开快照管理器，创建快照，然后重启该机。第一步和通过“dcpromo”命令安装AD是一样的。打开“开始-运行”，输入“dcpromo”，启动活动目录安装向导。步骤2，点击“下一步”，出现提示对话框，如图2-1-59所示。点击“确定”按钮。图2-1-59 卸载AD提示对话框 步骤3，系统将给出详细警告，包括删除AD将丧失其中的所有用户帐户信息，如图2-1-60所示。选择“这是最后一台域控制器”后，点击“下一步”按钮。图2-1-60 删除AD的详细信息步骤4，系统列举域控下的所有分区副本，如图2-1-61所示。点击“下一步”按钮，在图2-1-62所示页面上打勾后，继续点击“下一步”按钮。图2-1-61 删除域控下的分区副本图2-1-62 确认删除步骤5，既然所以用户帐户都删除了，系统将为降级的普通服务器新建一个管理员帐户，并要求输入管理员密码，如图2-1-63所示。如果密码不符合复杂性要求，系统将弹出图2-1-64所示的警告框。图2-1-63 输入普通服务器管理员密码图2-1-64 密码复杂性要求步骤6，给出最后一次提示，如图2-1-65所示。如果反悔，这将是最后一次取消操作的机会。随后，系统将正式开始删除活动目录，如图2-1-66所示。图2-1-65 删除前的最后一次提示图2-1-66 删除过程删除完活动目录后，我们可以为该机再建立一台链接克隆机，命名为“Server 2003 Clear”，然后恢复Server 2003快照“AD”，这就意味着原机重新成为域控。启动AD和Server 2003 Clear，一起进入“管理工具”，打开DHCP和DNS主窗口，通过对比两者我们可以发现，删除AD后，DHCP内的数据都保留，而DNS内的数据则清空了。这也表明使用“dcpromo”命令安装和删除活动目录都不涉及DHCP。E. 域用户帐户管理a) 添加新用户现在，我们为域添加一个新用户。打开域控机AD，进入“管理工具”中的“Active Directory用户和计算机”。选中域名后，打开域名目录树，选中“Users”目录，单击右键，在弹出菜单中选择“新建-用户”，如图2-1-67所示。图2-1-67 为域新建一个用户然后，在“新建对象-用户”页面，我们新建一个名为“b1”的用户，并为其输入密码（大小写字母加数字），如图2-1-68和图2-1-69所示。图2-1-68 输入用户信息图2-1-69 输入新用户密码最后，点击“下一步”按钮，系统将给出新用户信息，点击“完成”，如图2-1-70所示。此时，“Active Directory用户和计算机”主窗口的右侧窗口中的用户列表将增加显示用户“b1”，如图2-1-71所示。图2-1-70 新用户信息图2-1-71 新用户加入用户列表b) 域用户管理用户创建完成以后，可以对其进行删除、重命名等操作。只要选中某用户后点击右键菜单，选择“属性”，在弹出的“属性”对话框中，选择“隶属于”选项卡，然后按“添加”按钮，就可以将其添加到组中，如图2-1-72所示。图2-1-72 将域用户添加到组下面来看看如何设置域用户的登录时间限制。首先，选择“属性-帐户”选项卡，如图2-1-73所示。点击“登录时间”按钮，出现如图2-1-74所示登录时间界面。默认是任意时间都可以登录。图2-1-73 用户属性图2-1-74 登录时间步骤2，点击图2-1-73中的“登录时间”按钮，根据实际情况设置用户的登录时间，比如设置登录时间为星期一到星期五的每天上午8点到晚上21点这段时间可以登录，其他时间限制该用户登录到域中。F. 计算机加入域要把一台电脑加入域，必须要由网络管理员进行相应的设置，把这台电脑加入到域中。这样才能实现文件的共享。现在我们向域中添加一台机器。首先，启动PC1，在“我的电脑”上单击右键，选择“属性”，打开“计算机名”选项卡，点击“更改”按钮，如图2-1-76所示。图2-1-76 打开“计算机名”选项卡然后，在打开的“计算机名称更改”对话框中选择“域”，输入域名“”，点“确定”，如图2-1-77所示。步骤3，在弹出的“计算机名更改”对话框中，输入域控制器的管理员用户名和密码，点“确定”，如图2-1-78所示。图2-1-77 计算机名称更改图2-1-78 输入域控制器管理员用户名和密码加入域成功后，会弹出“欢迎加入域”的对话框提示，点击“确定”。步骤4，按照提示重启后，以刚才新建的域用户“b1”登录到域，并按照提示修改密码，如图2-1-79到图2-1-81所示。图2-1-79 以域用户登录图2-1-80 提示修改密码图2-1-81 修改密码如果我们再次查看XP-SP2的计算机名，则会发现PC1加上了域名“”作为后缀。用户“b1”属于域上的普通用户（User组），不能在机器上装卸软件和驱动程序。从安全角度考虑，计算机加入域后，最好不要给远程用户以本地管理员权限。G. 重新生成SID一些局域网管理员往往喜欢通过克隆的办法来批量安装计算机，但是在将它们加入域时就会碰到问题。此时，我们可以使用一个小工具“NewSID”来解决问题。该工具能重新生成新的安全标识符，使用步骤如图2-1-82到图2-1-84所示。图2-1-82 使用向导图2-1-83 选择SID图2-1-84 重命名计算机H. 用户口令加密SyskeyWindows系统的帐号在SAM文件中使用了NTLM加密用户口令信息。NTLM将用户口令转换成Unicode编码，然后使用MD4算法将之压缩保存。但是这种口令加密方法从总体上来说强度还是不足，因此，微软为Windows XP以上版本提供了一个Syskey.exe的小工具来进一步加强口令安全。Syskey被设计用来防止轻易获得SAM密码。Syskey采用命令行方式启动，而一旦启用就无法关闭，除非使用启用Syskey之前的注册表备份恢复注册表。Syskey的启动界面如图2-1-85所示。图2-1-85 Syskey的启动界面在图2-1-85所示界面中点击“更新”按钮将会出现图2-1-86所示界面。Syskey使用了一个密钥将口令信息搞乱。该密钥可以由激活Syskey的用户选择保存位置，可以保存在软盘，或者在启动时由用户生成（通过用户输入的口令生成），又或者直接保存在注册表中。图2-1-86 更新启动密码当Syskey被激活，密码信息在存入注册表之前还进行了一次加密处理。然而，在机器启动后，一个旧的格式的信息还是会保存在内存中，这是因为旧格式的密码信息是进行网络验证所需要的。将Syskey激活后，在注册表HKLMSystemCurrentControlSetControlLsa下添加了新的键值“SecureBoot”，其中保存了Syskey的设置，如图2-1-87所示。图2-1-87 注册表中的Syskey实验2 组策略【实验目的】本实验主要介绍如何在Windows 2003 Server上进行组策略管理。【实验环境】 Windows XP以上操作系统，内装Windows 2003 Server的VMware Workstation 7.0。【实验步骤】A. 进入组策略编辑器我们可以通过三种方式进入组策略编辑器。方式一：在命令行方式下输入“gpedit.msc”进入组策略编辑器编辑本地策略。方式二：在域控机中管理域容器安全策略，按照如下步骤执行：首先，以管理员身份登录DC，打开“AD用户和计算机”，进入主界面，在需要设置的域容器上右击选择“属性”，例如我们选择域容器，进入域“属性”页面，选中要编辑的组策略后，单击“编辑”按钮即可进入组策略编辑器，如图2-1-88所示。图2-1-88 域属性界面在域中应用组策略对象时，建议不修改默认的组策略对象，因此我们在图2-1-88中，新建一个组策略对象来配置安全设置，点击“新建”按钮，在图2-1-88中会出现一个新的组策略对象，命名为TestDomain_SecTemplate，如图2-1-89所示。选中该组策略对象，点击“编辑”按钮，打开组策略编辑器主窗口，如图2-1-90所示。图2-1-89 新建组策略对象图2-1-90 组策略编辑器方式三：用控制台窗口打开，按照如下步骤执行：首先，以管理员身份登录域控制器，打开“开始-运行-MMC”，在控制台窗口中选择“文件-添加/删除管理单元”，如图2-1-91所示。图2-1-91 MMC控制台步骤2，在“添加/删除管理单元”对话框中点击“添加”按钮，出现“添加独立管理单元”页面，从中选择“组策略对象编辑器”，按下“添加”按钮，如图2-1-92所示。图2-1-92 添加组策略对象编辑器步骤3，出现如图2-1-93的选择组策略对象界面。单击“浏览”按钮，在浏览组策略对象中选择一个对象，这里选择“Default Domain Policy”(一般情况下不建议使用默认的域策略),依次单击“确定-完成-关闭-确定”后回到如图2-1-94所示的控制台主窗口。图2-1-93 选择组策略对象图2-1-94 组策略对象B. 应用模板配置安全策略我们可以通过使用“安全模板”来强化域控制器的配置，安全模板是包含相对受限制的配置和组策略设置的文件。这些模板是很好的出发点，但是在某些情况下可能无法提供足够的安全性。按照以下的步骤可以利用模板在域控上配置安全设置。首先，在组策略编辑器中选择“计算机配置-Windows设置-安全设置”，右击“安全设置”，选择“导入策略”，如图2-1-95所示。图2-1-95 导入安全模板策略最后，在“策略导入来源”中选择一个安全策略模板，点击“打开”即可，如图2-1-96所示。从图2-1-96中可以看到，“安全设置”项中包括：n 帐户策略：可配置帐户锁定策略和密码策略n 本地策略：可配置审核、用户权力和安全选项策略n 公钥策略：可配置加密数据恢复代理、域根、信任的CA策略n IPSec策略：可配置IPSec策略n 事件日志：可配置应用程序日志、系统日志、安全日志的设置n 受限制的组：可以为安全敏感的组配置成员n 系统服务：可配置服务的安全，启动设定n 注册表策略：可配置注册表键值安全性n 文件系统策略：可配置文件安全性图2-1-96 导入安全模板策略完成之后，关闭组策略编辑器，就完成了使用安全模板配置安全策略了。在这里，配置的是域的安全策略，也就是说该域中所有的客户端机器的安全设置策略都应用了该模板。Windows自带的安全模版中，安全特性按如下排列逐步增强：n Setup：配置了系统缺省的安全级别；n Compatws：在确保标准商业应用程序运行的前提下，提供了比Windows缺省安全级别更高的安全性；n Securews和Securedc：分别为域内普通计算机和域控提供了比上一模版更高的安全级别，而不保证标准商业应用程序的所有功能都不会因此而受损。n Hisecws和Hisecdc：分别为域内普通计算机和域控提供了最高安全性，而不考虑所有应用的正常运作。C. 启用审核和日志查看域管理中，审核和日志是相当重要的一环。开启安全审核是检测入侵的最基本方法。当有人尝试对你的系统进行某些方式（如尝试用户密码、改变帐户策略、未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。表2-1-1的这些审核是必须开启的，其他的可以根据需要增加：表2-1-1 审核设置策略设置策略设置审核策略更改成功，失败审核系统事件成功，失败审核登陆事件成功，失败审核帐户登陆事件成功，失败审核对象访问成功审核帐户管理成功，失败审核特权使用成功，失败为监视用户帐户的增删活动，我们需要修改导入的组策略，将其记入系统日志，如下：首先，在组策略编辑器窗口依次选择“计算机配置-Windows设置-安全设置-本地策略-审核策略” ，如图2-1-97所示。在审核策略的项中，选择需要设置的项，右击选择“属性”， 或双击该项，即可对该项策略进行设置，例如，双击“审核帐户管理”，然后勾选“成功”和“失败”，如图2-1-97所示。图2-1-97 审核策略设置接下来，我们可以对“审核登录事件”策略进行设置，选择成功、失败审核，如图2-1-98所示，单击“确定”即完成登录事件属性的设置。图2-1-98 审核登录事件最后，关闭组策略编辑器，运行“gpupdate /force”命令刷新组策略，如图2-1-99所示。图2-1-99 策略刷新以上策略配置后，对于帐户的增加及删除（无论成功或者失败）都会被记录到安全性日志中。如果有用户将Domain Admins帐户组从本地用户组中删除了，那么我们可以使用本地管理员登录该计算机，然后查看安全性日志文件。查找帐户管理的637事件就可以看出是哪个用户删除的Domain Admins帐户组。如果我们将Domain Admins帐户组添加到本地管理员，那么我们可以查看636事件，该事件就是添加用户时记录的。事件中的用户一栏就是您需要找到的执行添